CN109948663A - 一种基于模型抽取的步长自适应的对抗攻击方法 - Google Patents
一种基于模型抽取的步长自适应的对抗攻击方法 Download PDFInfo
- Publication number
- CN109948663A CN109948663A CN201910147799.XA CN201910147799A CN109948663A CN 109948663 A CN109948663 A CN 109948663A CN 201910147799 A CN201910147799 A CN 201910147799A CN 109948663 A CN109948663 A CN 109948663A
- Authority
- CN
- China
- Prior art keywords
- image
- indicate
- attack
- classification
- resisting sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000000605 extraction Methods 0.000 title claims abstract description 14
- 230000003044 adaptive effect Effects 0.000 title claims abstract description 7
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 18
- 238000012549 training Methods 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims abstract description 5
- 230000003252 repetitive effect Effects 0.000 claims abstract description 4
- 239000011159 matrix material Substances 0.000 claims description 12
- 238000012360 testing method Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000015572 biosynthetic process Effects 0.000 claims description 3
- 150000001875 compounds Chemical class 0.000 claims description 3
- 238000009795 derivation Methods 0.000 claims description 3
- 230000001537 neural effect Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 21
- 238000010276 construction Methods 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 5
- 238000012804 iterative process Methods 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 230000008485 antagonism Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000009514 concussion Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 235000014653 Carica parviflora Nutrition 0.000 description 1
- 241000243321 Cnidaria Species 0.000 description 1
- 241000222640 Polyporus Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000004570 mortar (masonry) Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Abstract
本发明公开了一种基于模型抽取的步长自适应的对抗攻击方法,步骤1、构建图像数据集;步骤2、对图像集合IMG训练卷积神经网络,作为待攻击目标模型,步骤3、计算交叉熵损失函数,实现对卷积神经网络的模型抽取,初始化迭代攻击的梯度值与步长g1;步骤4、形成新的对抗样本x1;步骤5、重新计算交叉熵损失函数,利用新的梯度值更新下一步添加对抗噪声的步长;步骤6、重复输入图像‑计算交叉熵损失函数‑计算步长‑更新对抗样本的过程;将步骤5重复操作T‑1次,得到最终的迭代攻击对抗样本x′i,并将对抗样本输入到目标模型中进行分类,得出分类结果N(x′i)。与现有技术相比,本发明可以实现更好的攻击效果,这种相比当前的迭代方法具备更强的非黑盒攻击能力。
Description
技术领域
本发明涉及机器学习安全技术领域,尤其涉及一种面向深度图像识别系统的非黑盒对抗迭代攻击的方法。
背景技术
近年来,随着机器学习理论和技术的不断进步与发展,尤其是在计算机视觉和多媒体领域的突破性进展,医疗图像处理、生物图像识别、人脸识别等技术得到了广泛的应用。然而,机器学习领域火速发展也带来了许多安全问题。在自动驾驶、健康系统、财政系统等与安全与隐私密切相关的系统中,机器学习的安全性对人们的切身利益甚至生活构成了潜在的威胁。因此,如何维护机器学习系统的安全以及如何保护用户隐私成为机器学习发展的基础。已有人提出深度神经网络易受对抗样本攻击的特性,即通过对输入进行不可察觉的细微的噪声,可以使得深度神经网络以较高的信任度输出任意想要的分类,这样的输入称为对抗样本,这对基于深度学习的应用领域安全性构成了一定威胁。
对抗攻击的类型可分为黑盒攻击和非黑盒攻击。其中,黑盒攻击指攻击者得不到目标模型的内部结构和参数,但是可以访问和查询目标模型;而非黑盒攻击指攻击者已知目标模型的结构和参数,攻击者可以通过分析目标模型结构来构造对抗样本进行对抗攻击。根据添加对抗噪声的过程的不同,非黑盒攻击被分为单步攻击、迭代攻击和优化攻击三种。其中,(1)单步攻击方法最经典的算法是快速梯度符号法,主要向目标模型损失函数对于原图的梯度方向添加噪声来实现错误分类。(2)迭代攻击方法的算法是迭代快速梯度符号法,将改变幅度分为了若干小的步长,并在每个步长上分别实施攻击。迭代快速梯度符号法的攻击效果是当前迭代攻击当中最高的,但主要的缺陷在于无法对步长进行适应性的调整。该方法的另一个改进是包含动量的迭代快速梯度符号法,通过引入一个动量项来提升对抗样本在模型间的迁移能力。(3)基于优化的攻击方法,通过最小化原始图像与对抗样本之间的距离,并最大化目标模型的对抗损失来提升攻击效果。但基于优化的攻击方法普遍需要多于迭代攻击的查询次数,这就限制了优化攻击在真实场景中的应用。因此,迭代攻击是当前最为实用的一类对抗攻击方法。然而,当前所有迭代攻击的添加噪声的步长都是固定的。由于在迭代过程中的每一步对抗噪声的步长对最终攻击效果的贡献不是等价的,每一步对抗噪声的步长也不应该平均分配。同时,现有方法对每一步对模型抽取得到的梯度信息的利用仅限于计算梯度值的符号。而事实上,梯度信息包含了目标模型的结构细节,反映了损失函数上升最快的方向,对模型抽取所获的梯度信息的利用不应是一次性的,而是在整个迭代过程中指引对抗攻击。
发明内容
针对以上现有存在的问题,本发明提出一种基于模型抽取的步长自适应的对抗攻击方法,将迭代过程中每一步抽取得到的梯度值与梯度的历史信息进行比对,从剩余的对抗预算中为当前噪声分配合理的步长,构建适应性调整噪声步长的对抗样本,得到最终的迭代攻击对抗样本。
本发明的一种基于模型抽取的步长自适应的对抗攻击方法,该方法包括以下步骤:
步骤1、将收集的图片及标签信息形成<图像,类别>对,这里的类别为0~n-1,即所有图像总共有n个类别,具体包括以下处理:
使用ImageNet大规模图像分类数据集构成图像集合IMG:
其中,xi表示一张图像,Nd表示图像集合IMG中的图像总数;
构建图像集合IMG中每个图像对应的图像描述集合GroundTruth:
其中,yi表示每一个图像所对应的类别编号,Nd表示图像集合IMG中的图像总数;
由图像集合IMG以及每个图像对应的图像描述集合GroundTruth组成最终的数据集DataSet={IMG,GroundTruth};
步骤2、以图像分类作为任务对图像集合IMG训练卷积神经网络,作为待攻击的目标模型,具体包括以下处理:
加载并归一化ImageNet训练和测试数据集、定义卷积神经网络(选择Inception-v3深度神经模型)、定义损失函数为交叉熵损失函数、利用训练数据来训练网络、利用测试数据来测试网络;
步骤3、将数据集DataSet中原始图像输入到步骤2训练好的卷积神经网络中,得到原始图像的网络输出分类结果,并将分类结果与图像描述比对,计算交叉熵损失函数,利用复合函数的求导法则进行反向传播,以实现上述对卷积神经网络的模型抽取过程;接着初始化迭代攻击的第一步的步长s1和第一步的梯度值g1,步长s1和梯度值g1,所有计算公式如下:
其中,x0表示原始图像矩阵,yT表示x0的正确类别即标签类别,T表示迭代的次数,ε表示总的对抗预算,即允许添加的对抗噪声的幅度上限,J(x,y)表示输入表示原始图像x与标签类别y的交叉熵损失函数,yk与Nk(x)分别表示正确类别独热编码(独热编码是一个长度为类别数目向量,且下标为正确类别的位置为1,其余为0)中第k类的置信度与目标模型对图像x分类结果中第k类的置信度,h(z,yT)表示对向量z中第yT个元素的softmax归一化结果,exp()表示以e为底的指数函数,zi表示目标模型的输出向量的第i个位置的值,表示目标模型的输出向量的第yT个位置的值;
步骤4、利用步骤3得到的初始梯度g1矩阵和初始步长值s1得到初始对抗噪声矩阵s1·sign(g1),与原图矩阵x0直接相加,形成新的对抗样本x1:
x1=x0+s1·sign(g1)
其中,sign()表示符号函数;
步骤5、将新的对抗样本x1输入卷积神经网络模型,重新计算交叉熵损失函数,具体公式见步骤3中,然后计算当前梯度值除以之前所有梯度值的平均值,得到ρ,且计算中使用了sigmoid函数限制了对抗预算的震荡,该ρ用于更新下一步添加对抗噪声的步长;具体过程为:
xt=xt+st+1·sign(gt+1)
其中,和分别表示前t步的梯度与步长的均值;ρ表示根据gt相对于的比例计算得到的st-1相对于的放大倍率,在第t+1步,从剩余的对抗预算中分配ρ/(ρ+T-t-1))给当前步的对抗噪声;
步骤6、将步骤5重复操作T-1次,得到最终的迭代攻击对抗样本x′i,并将对抗样本输入到目标模型中进行分类,得出分类结果N(x′i)。
与现有技术相比,本发明相比较其他固定步长的迭代攻击方法,在每一步迭代时,使用通过模型抽取获得的梯度信息来自适应地调整对抗预算;通过实验表明,在相同的迭代步数T和噪声幅度ε下分配与梯度值正相关的对抗性预算可以实现更好的攻击效果,这种适应性调整噪声步长的对抗样本构建方法相比当前的迭代方法具备更强的非黑盒攻击能力。
附图说明
图1、2为三种基于迭代的攻击方法的攻击轨迹可视化效果示意图;
图3、4为对抗样本示例图;
图5为本发明的一种基于模型抽取的步长自适应的对抗攻击方法整体流程图。
具体实施方式
下面将结合附图对本发明的实施方式作进一步的详细描述。
这里选取Inception-v3作为目标模型,使用适应性调整噪声步长的对抗样本构建方法对目标模型进行攻击。
步骤1、将收集的图片及标签信息形成<图像,类别>对,这里的类别为0~n-1,即所有图像总共有n个类别,具体包括以下处理:
(1-1)使用ImageNet大规模图像分类数据集构成图像集合IMG:
其中,xi表示一张图像,Nd表示图像集合IMG中的图像总数;
(1-2)构建图像集合IMG中每个图像对应的图像描述集合GroundTruth:
其中,yi表示每一个图像所对应的类别编号,Nd表示图像集合IMG中的图像总数;
(1-3)由图像集合IMG以及每个图像对应的图像描述集合GroundTruth组成最终的数据集DataSet={IMG,GroundTruth};
步骤2、以图像分类作为任务对图像集合IMG训练卷积神经网络,作为待攻击的目标模型,具体包括以下处理:
加载并归一化ImageNet训练和测试数据集、定义卷积神经网络(选择Inception-v3深度神经模型,网络结构可任意选择)、定义损失函数表示交叉熵损失函数、利用训练数据来训练网络、利用测试数据来测试网络;
步骤3、将数据集DataSet中原始图像输入到步骤2训练好的卷积神经网络中,得到原始图像的网络输出分类结果,并将分类结果与图像描述比对,计算交叉熵损失函数,利用复合函数的求导法则进行反向传播,以实现上述对卷积神经网络的模型抽取过程;接着初始化迭代攻击的第一步的步长s1和第一步的梯度值g1,步长s1和梯度值g1,所有计算公式如下:
其中,x0表示原始图像矩阵,yT表示x0的正确类别即标签类别,T表示迭代的次数,ε表示总的对抗预算,即允许添加的对抗噪声的幅度上限,J(x,y)表示输入为原始图像x与标签类别y的交叉熵损失函数,yk与Nk(x)分别表示正确类别独热编码(独热编码是一个长度为类别数目向量,且下标为正确类别的位置为1,其余为0)中第k类的置信度与目标模型对图像x分类结果中第k类的置信度,h(z,yT)表示对向量z中第yT个元素的softmax归一化结果,exp()表示以e为底的指数函数,zi表示目标模型的输出向量的第i个位置的值,表示目标模型的输出向量的第yT个位置的值;
步骤4、利用步骤3得到的初始梯度g1矩阵和初始步长值s1得到初始对抗噪声矩阵s1·sign(g1),与原图矩阵x0直接相加,形成新的对抗样本x1:
x1=x0+s1·sign(g1)
其中,sign()表示符号函数;
步骤5、将新的对抗样本x1输入卷积神经网络模型,重新计算交叉熵损失函数,具体公式见步骤3中;然后计算当前梯度值除以之前所有梯度值的平均值,得到ρ,且计算中使用了sigmoid函数限制了对抗预算的震荡,该ρ用于更新下一步添加对抗噪声的步长,具体过程为:
xt=xt+st+1·sign(gt+1)
其中,和分别表示前t步的梯度与步长的均值;ρ表示根据gt相对于的比例计算得到的st-1相对于的放大倍率,在第t+1步,从剩余的对抗预算中分配ρ/(ρ+T-t-1))给当前步的对抗噪声;
步骤6、将步骤5重复操作T-1次,得到最终的迭代攻击对抗样本x′i,并将对抗样本输入到目标模型中进行分类,得出分类结果N(x′i),并在对抗样本上测试目标模型的分类准确率,计算对抗噪声的幅度,达到对抗攻击的目的。攻击成功率(即攻击效果通过攻击的成功率)以及目标模型准确率下降的计算公式如下:
其中,M表示测试集的图像总数,表示指示函数,N表示目标模型,表示验证集第i张图片的真实标签。目标模型准确率下降衡量了攻击方法对原本被正确分类的图像的攻击效果,而攻击的成功率则衡量了对抗样本对目标模型原始分类结果的改变状况。
如图1、图2包括迭代快速梯度符号法(白色实线),包含动量的迭代快速梯度符号法(黑色虚线)和本发明使用的适应性调整噪声步长的对抗样本构建方法(黑色实线);图中每个像素表示一张图像,不同的区域表示目标模型不同的分类结果,图中左侧中心位置表示原图。左上角的图片为原始图像,三种攻击生成的对抗噪声分别由相应的圆圈标识。由于适应性分配了对抗预算,适应性调整噪声步长的对抗样本构建方法相比于其他两种方法在相同的对抗预算下成功实现了错分;可以看出适应性调整噪声步长的对抗样本构建方法在迭代过程的前期为噪声分配较大的步长,快速逼近对抗样例附近,从而为迭代后期节省查询次数,实现对噪声的微调。
如图3所示,是比较不同攻击方法产生的对抗样本,其中对抗预算ε=1/16总迭代步数T=10。每行的最左边是原始图像,对比了快速梯度符号法(FGSM)、迭代的快速梯度符号法(I-FGSM)和包含动量的迭代快速梯度符号法(MI-FGSM),最右边是本发明的适应性调整噪声步长的对抗样本构建方法攻击生成的对抗样本。在添加由适应性调整噪声步长的对抗样本构建方法生成的对抗性噪声之后,Inception-v3模型上的分类结果由上到下从(木鞋,面包车,树蛙)变为(吉普车,救护车,河马)。请注意,在第二行中,面包车上的标志不是红叉,因此将分类结果从“面包车”转换为“救护车”是成功的对抗攻击。
如图4所示,仍然是比较不同攻击方法产生的对抗样本,参数与图3一致。在添加由适应性调整噪声步长的对抗样本构建方法生成的对抗性噪声之后,Inception-v3模型上的分类结果由上到下从(猎狗,灯塔,贝叶多孔菌)变为(臼炮,水瓶,珊瑚礁)。
Claims (1)
1.一种基于模型抽取的步长自适应的对抗攻击方法,其特征在于,该方法包括以下步骤:
步骤1、将收集的图片及标签信息形成<图像,类别>对,这里的类别为0~n-1,即所有图像总共有n个类别,具体包括以下处理:
使用ImageNet大规模图像分类数据集构成图像集合IMG:
其中,xi表示一张图像,Nd表示图像集合IMG中的图像总数;
构建图像集合IMG中每个图像对应的图像描述集合GroundTruth:
其中,yi表示每一个图像所对应的类别编号,Nd表示图像集合IMG中的图像总数;
由图像集合IMG以及每个图像对应的图像描述集合GroundTruth组成最终的数据集DataSet={IMG,GroundTruth};
步骤2、以图像分类作为任务对图像集合IMG训练卷积神经网络,作为待攻击的目标模型,具体包括以下处理:
选择Inception-v3深度神经模型作为目标模型;
经过以下五个步骤完成图像分类器卷积神经网络的训练:加载并归一化ImageNet训练和测试数据集、定义卷积神经网络作为待攻击的目标模型、定义损失函数、利用训练数据来训练网络、利用测试数据来测试网络;
步骤3、将数据集DataSet中原始图像输入到步骤2训练好的卷积神经网络中,得到原始图像的网络输出分类结果,并将分类结果与图像描述比对,计算交叉熵损失函数,利用复合函数的求导法则进行反向传播,以实现上述对卷积神经网络的模型抽取过程;接着初始化迭代攻击的第一步的步长s1和第一步的梯度值g1,步长s1和梯度值g1,所有计算公式如下:
其中,x0表示原始图像矩阵,yT表示x0的正确类别即标签类别,T表示迭代的次数,ε表示总的对抗预算,即允许添加的对抗噪声的幅度上限,J(x,y)表示输入表示原始图像x与标签类别y的交叉熵损失函数,yk与Nk(x)分别表示正确类别独热编码中第k类的置信度与目标模型对图像x分类结果中第k类的置信度,h(z,yT)表示对向量z中第yT个元素的softmax归一化结果,exp()表示以e表示底的指数函数,zi表示目标模型的输出向量的第i个位置的值,表示目标模型的输出向量的第yT个位置的值;
步骤4、利用步骤3得到的初始梯度矩阵g1和初始步长值s1得到初始对抗噪声矩阵s1·sign(g1),与原图矩阵x0直接相加,形成新的对抗样本x1:
x1=x0+s1·sign(g1)
其中,sign()表示符号函数;
步骤5、将新的对抗样本x1输入卷积神经网络模型,重新计算交叉熵损失函数,具体公式见步骤3中;然后计算得到相对于的放大倍率ρ,用于更新下一步添加对抗噪声的步长,具体计算过程为:
xt=xt+st+1·sign(gt+1)
其中,和分别表示前t步的梯度与步长的均值;ρ表示根据gt相对于的比例计算得到的st-1相对于的放大倍率,在第t+1步,从剩余的对抗预算中分配ρ/(ρ+T-t-1))给当前步的对抗噪声;
步骤6、将步骤5重复操作T-1次,得到最终的迭代攻击对抗样本x′i,并将对抗样本输入到目标模型中进行分类,得出分类结果N(x′i)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910147799.XA CN109948663B (zh) | 2019-02-27 | 2019-02-27 | 一种基于模型抽取的步长自适应的对抗攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910147799.XA CN109948663B (zh) | 2019-02-27 | 2019-02-27 | 一种基于模型抽取的步长自适应的对抗攻击方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109948663A true CN109948663A (zh) | 2019-06-28 |
CN109948663B CN109948663B (zh) | 2022-03-15 |
Family
ID=67008058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910147799.XA Expired - Fee Related CN109948663B (zh) | 2019-02-27 | 2019-02-27 | 一种基于模型抽取的步长自适应的对抗攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109948663B (zh) |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110489661A (zh) * | 2019-07-24 | 2019-11-22 | 武汉大学 | 一种基于生成对抗网络和迁移学习的社交关系预测方法 |
CN110717522A (zh) * | 2019-09-18 | 2020-01-21 | 平安科技(深圳)有限公司 | 图像分类网络的对抗防御方法及相关装置 |
CN110941794A (zh) * | 2019-11-27 | 2020-03-31 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
CN111027717A (zh) * | 2019-12-11 | 2020-04-17 | 支付宝(杭州)信息技术有限公司 | 一种模型训练方法和系统 |
CN111160400A (zh) * | 2019-12-06 | 2020-05-15 | 天津大学 | 一种基于修正边界攻击的对抗攻击方法 |
CN111260059A (zh) * | 2020-01-23 | 2020-06-09 | 复旦大学 | 视频分析神经网络模型的后门攻击方法 |
CN111382837A (zh) * | 2020-02-05 | 2020-07-07 | 鹏城实验室 | 一种基于深度乘积量化的对抗样本生成方法 |
CN111783551A (zh) * | 2020-06-04 | 2020-10-16 | 中国人民解放军军事科学院国防科技创新研究院 | 基于贝叶斯卷积神经网络的对抗样本防御方法 |
CN111898645A (zh) * | 2020-07-03 | 2020-11-06 | 贵州大学 | 基于注意力机制的可迁移的对抗样本攻击方法 |
CN111932646A (zh) * | 2020-07-16 | 2020-11-13 | 电子科技大学 | 一种用于对抗攻击的图像处理方法 |
CN112200234A (zh) * | 2020-09-30 | 2021-01-08 | 支付宝(杭州)信息技术有限公司 | 模型分类的过程中防止模型窃取的方法及装置 |
CN112766430A (zh) * | 2021-01-08 | 2021-05-07 | 广州紫为云科技有限公司 | 基于黑盒通用人脸检测对抗攻击的方法、装置及存储介质 |
CN112836764A (zh) * | 2021-03-02 | 2021-05-25 | 中山大学 | 一种面向目标分类系统的通用目标攻击方法及装置 |
CN113311429A (zh) * | 2021-04-26 | 2021-08-27 | 清华大学 | 一种基于对抗样本的1比特雷达成像方法 |
CN113449783A (zh) * | 2021-06-17 | 2021-09-28 | 广州大学 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
CN113642427A (zh) * | 2021-07-29 | 2021-11-12 | 中国人民解放军战略支援部队信息工程大学 | 一种针对人工智能伪造的图像保护方法 |
CN113674140A (zh) * | 2021-08-20 | 2021-11-19 | 燕山大学 | 一种物理对抗样本生成方法及系统 |
CN113807400A (zh) * | 2021-08-17 | 2021-12-17 | 西安理工大学 | 一种基于对抗攻击的高光谱图像分类方法、系统和设备 |
CN113837253A (zh) * | 2021-09-15 | 2021-12-24 | 广州大学 | 一种单步对抗训练方法、系统、设备、存储介质及产品 |
CN114036503A (zh) * | 2021-10-28 | 2022-02-11 | 广州大学 | 一种迁移攻击方法、装置、电子设备及存储介质 |
CN114067184A (zh) * | 2022-01-17 | 2022-02-18 | 武汉大学 | 一种基于噪声模式分类的对抗样本检测方法及系统 |
CN114359672A (zh) * | 2022-01-06 | 2022-04-15 | 云南大学 | 基于Adam的迭代快速梯度下降对抗攻击方法 |
CN114531274A (zh) * | 2022-01-13 | 2022-05-24 | 西安电子科技大学 | 通信信号调制识别的智能对抗方法、系统、介质及设备 |
CN114612689A (zh) * | 2022-05-16 | 2022-06-10 | 中国科学技术大学 | 对抗样本生成方法、模型训练方法、处理方法及电子设备 |
CN114663665A (zh) * | 2022-02-28 | 2022-06-24 | 华南理工大学 | 基于梯度的对抗样本生成方法与系统 |
CN114694222A (zh) * | 2022-03-28 | 2022-07-01 | 马上消费金融股份有限公司 | 图像处理方法、装置、计算机设备及存储介质 |
CN114882312A (zh) * | 2022-05-13 | 2022-08-09 | 北京百度网讯科技有限公司 | 对抗图像样本的生成方法、装置、电子设备以及存储介质 |
CN115270891A (zh) * | 2022-08-22 | 2022-11-01 | 苏州大学 | 一种信号对抗样本的生成方法、装置、设备及存储介质 |
US11568282B2 (en) | 2019-09-24 | 2023-01-31 | International Business Machines Corporation | Mitigating adversarial effects in machine learning systems |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106296692A (zh) * | 2016-08-11 | 2017-01-04 | 深圳市未来媒体技术研究院 | 基于对抗网络的图像显著性检测方法 |
US20170249535A1 (en) * | 2014-09-15 | 2017-08-31 | Temasek Life Sciences Laboratory Limited | Image recognition system and method |
US20170372193A1 (en) * | 2016-06-23 | 2017-12-28 | Siemens Healthcare Gmbh | Image Correction Using A Deep Generative Machine-Learning Model |
CN108257116A (zh) * | 2017-12-30 | 2018-07-06 | 清华大学 | 一种生成对抗图像的方法 |
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN108564611A (zh) * | 2018-03-09 | 2018-09-21 | 天津大学 | 一种基于条件生成对抗网络的单目图像深度估计方法 |
CN109165735A (zh) * | 2018-07-12 | 2019-01-08 | 杭州电子科技大学 | 基于生成对抗网络与自适应比例生成新样本的方法 |
CN109214973A (zh) * | 2018-08-24 | 2019-01-15 | 中国科学技术大学 | 针对隐写分析神经网络的对抗安全载体生成方法 |
-
2019
- 2019-02-27 CN CN201910147799.XA patent/CN109948663B/zh not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170249535A1 (en) * | 2014-09-15 | 2017-08-31 | Temasek Life Sciences Laboratory Limited | Image recognition system and method |
US20170372193A1 (en) * | 2016-06-23 | 2017-12-28 | Siemens Healthcare Gmbh | Image Correction Using A Deep Generative Machine-Learning Model |
CN106296692A (zh) * | 2016-08-11 | 2017-01-04 | 深圳市未来媒体技术研究院 | 基于对抗网络的图像显著性检测方法 |
CN108257116A (zh) * | 2017-12-30 | 2018-07-06 | 清华大学 | 一种生成对抗图像的方法 |
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN108564611A (zh) * | 2018-03-09 | 2018-09-21 | 天津大学 | 一种基于条件生成对抗网络的单目图像深度估计方法 |
CN109165735A (zh) * | 2018-07-12 | 2019-01-08 | 杭州电子科技大学 | 基于生成对抗网络与自适应比例生成新样本的方法 |
CN109214973A (zh) * | 2018-08-24 | 2019-01-15 | 中国科学技术大学 | 针对隐写分析神经网络的对抗安全载体生成方法 |
Non-Patent Citations (7)
Title |
---|
ALEKSANDER MĄDRY等: ""Towards deep learning models resistant to adversarial attacks"", 《HTTPS://ARXIV.ORG/ABS/1706.06083V3》 * |
ALEXANDRU CONSTANTIN SERBAN等: ""Adversarial Examples-A Complete Characterisation of the Phenomenon"", 《HTTPS://ARXIV.ORG/ABS/1810.01185V2》 * |
ALEXEY KURAKIN等: ""Adversarial examples in the physical world"", 《HTTPS://ARXIV.ORG/PDF/1607.02533V4.PDF》 * |
YINPENG DONG等: ""Boosting adversarial attacks with momentum"", 《2018 IEEE/CVF CONFERENCE ON COMPUTER VISION AND PATTERN RECOGNITION》 * |
林晓骏: ""恶意链接在线检测的鲁棒性研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
胡育铭: ""基于深度残差学习去噪的D-D模型对抗样本防御的研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
马玉琨等: ""一种面向人脸活体检测的对抗样本生成算法"", 《软件学报》 * |
Cited By (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110489661B (zh) * | 2019-07-24 | 2022-04-26 | 武汉大学 | 一种基于生成对抗网络和迁移学习的社交关系预测方法 |
CN110489661A (zh) * | 2019-07-24 | 2019-11-22 | 武汉大学 | 一种基于生成对抗网络和迁移学习的社交关系预测方法 |
CN110717522A (zh) * | 2019-09-18 | 2020-01-21 | 平安科技(深圳)有限公司 | 图像分类网络的对抗防御方法及相关装置 |
US11568282B2 (en) | 2019-09-24 | 2023-01-31 | International Business Machines Corporation | Mitigating adversarial effects in machine learning systems |
CN110941794A (zh) * | 2019-11-27 | 2020-03-31 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
CN110941794B (zh) * | 2019-11-27 | 2023-08-22 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
CN111160400A (zh) * | 2019-12-06 | 2020-05-15 | 天津大学 | 一种基于修正边界攻击的对抗攻击方法 |
CN111027717A (zh) * | 2019-12-11 | 2020-04-17 | 支付宝(杭州)信息技术有限公司 | 一种模型训练方法和系统 |
CN111260059B (zh) * | 2020-01-23 | 2023-06-02 | 复旦大学 | 视频分析神经网络模型的后门攻击方法 |
CN111260059A (zh) * | 2020-01-23 | 2020-06-09 | 复旦大学 | 视频分析神经网络模型的后门攻击方法 |
CN111382837A (zh) * | 2020-02-05 | 2020-07-07 | 鹏城实验室 | 一种基于深度乘积量化的对抗样本生成方法 |
CN111783551A (zh) * | 2020-06-04 | 2020-10-16 | 中国人民解放军军事科学院国防科技创新研究院 | 基于贝叶斯卷积神经网络的对抗样本防御方法 |
CN111783551B (zh) * | 2020-06-04 | 2023-07-25 | 中国人民解放军军事科学院国防科技创新研究院 | 基于贝叶斯卷积神经网络的对抗样本防御方法 |
CN111898645A (zh) * | 2020-07-03 | 2020-11-06 | 贵州大学 | 基于注意力机制的可迁移的对抗样本攻击方法 |
CN111932646A (zh) * | 2020-07-16 | 2020-11-13 | 电子科技大学 | 一种用于对抗攻击的图像处理方法 |
CN111932646B (zh) * | 2020-07-16 | 2022-06-21 | 电子科技大学 | 一种用于对抗攻击的图像处理方法 |
CN112200234B (zh) * | 2020-09-30 | 2022-04-12 | 支付宝(杭州)信息技术有限公司 | 模型分类的过程中防止模型窃取的方法及装置 |
CN112200234A (zh) * | 2020-09-30 | 2021-01-08 | 支付宝(杭州)信息技术有限公司 | 模型分类的过程中防止模型窃取的方法及装置 |
US11461701B2 (en) | 2020-09-30 | 2022-10-04 | Alipay (Hangzhou) Information Technology Co., Ltd. | Method and apparatus for preventing model theft during model-based classification |
CN112766430A (zh) * | 2021-01-08 | 2021-05-07 | 广州紫为云科技有限公司 | 基于黑盒通用人脸检测对抗攻击的方法、装置及存储介质 |
CN112836764A (zh) * | 2021-03-02 | 2021-05-25 | 中山大学 | 一种面向目标分类系统的通用目标攻击方法及装置 |
CN112836764B (zh) * | 2021-03-02 | 2023-07-28 | 中山大学 | 一种面向目标分类系统的通用目标攻击方法及装置 |
CN113311429B (zh) * | 2021-04-26 | 2023-11-14 | 清华大学 | 一种基于对抗样本的1比特雷达成像方法 |
CN113311429A (zh) * | 2021-04-26 | 2021-08-27 | 清华大学 | 一种基于对抗样本的1比特雷达成像方法 |
CN113449783A (zh) * | 2021-06-17 | 2021-09-28 | 广州大学 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
CN113449783B (zh) * | 2021-06-17 | 2022-11-08 | 广州大学 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
CN113642427A (zh) * | 2021-07-29 | 2021-11-12 | 中国人民解放军战略支援部队信息工程大学 | 一种针对人工智能伪造的图像保护方法 |
CN113807400B (zh) * | 2021-08-17 | 2024-03-29 | 西安理工大学 | 一种基于对抗攻击的高光谱图像分类方法、系统和设备 |
CN113807400A (zh) * | 2021-08-17 | 2021-12-17 | 西安理工大学 | 一种基于对抗攻击的高光谱图像分类方法、系统和设备 |
CN113674140B (zh) * | 2021-08-20 | 2023-09-26 | 燕山大学 | 一种物理对抗样本生成方法及系统 |
CN113674140A (zh) * | 2021-08-20 | 2021-11-19 | 燕山大学 | 一种物理对抗样本生成方法及系统 |
CN113837253B (zh) * | 2021-09-15 | 2024-01-19 | 广州大学 | 一种单步对抗训练方法、系统、设备、存储介质及产品 |
CN113837253A (zh) * | 2021-09-15 | 2021-12-24 | 广州大学 | 一种单步对抗训练方法、系统、设备、存储介质及产品 |
CN114036503B (zh) * | 2021-10-28 | 2024-04-30 | 广州大学 | 一种迁移攻击方法、装置、电子设备及存储介质 |
CN114036503A (zh) * | 2021-10-28 | 2022-02-11 | 广州大学 | 一种迁移攻击方法、装置、电子设备及存储介质 |
CN114359672A (zh) * | 2022-01-06 | 2022-04-15 | 云南大学 | 基于Adam的迭代快速梯度下降对抗攻击方法 |
CN114531274B (zh) * | 2022-01-13 | 2022-11-04 | 西安电子科技大学 | 通信信号调制识别的智能对抗方法、系统、介质及设备 |
CN114531274A (zh) * | 2022-01-13 | 2022-05-24 | 西安电子科技大学 | 通信信号调制识别的智能对抗方法、系统、介质及设备 |
CN114067184B (zh) * | 2022-01-17 | 2022-04-15 | 武汉大学 | 一种基于噪声模式分类的对抗样本检测方法及系统 |
CN114067184A (zh) * | 2022-01-17 | 2022-02-18 | 武汉大学 | 一种基于噪声模式分类的对抗样本检测方法及系统 |
CN114663665A (zh) * | 2022-02-28 | 2022-06-24 | 华南理工大学 | 基于梯度的对抗样本生成方法与系统 |
CN114663665B (zh) * | 2022-02-28 | 2024-04-05 | 华南理工大学 | 基于梯度的对抗样本生成方法与系统 |
CN114694222B (zh) * | 2022-03-28 | 2023-08-18 | 马上消费金融股份有限公司 | 图像处理方法、装置、计算机设备及存储介质 |
CN114694222A (zh) * | 2022-03-28 | 2022-07-01 | 马上消费金融股份有限公司 | 图像处理方法、装置、计算机设备及存储介质 |
CN114882312A (zh) * | 2022-05-13 | 2022-08-09 | 北京百度网讯科技有限公司 | 对抗图像样本的生成方法、装置、电子设备以及存储介质 |
CN114612689A (zh) * | 2022-05-16 | 2022-06-10 | 中国科学技术大学 | 对抗样本生成方法、模型训练方法、处理方法及电子设备 |
CN115270891A (zh) * | 2022-08-22 | 2022-11-01 | 苏州大学 | 一种信号对抗样本的生成方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109948663B (zh) | 2022-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109948663A (zh) | 一种基于模型抽取的步长自适应的对抗攻击方法 | |
CN108322349B (zh) | 基于对抗式生成网络的深度学习对抗性攻击防御方法 | |
CN103871029B (zh) | 一种图像增强及分割方法 | |
CN104182772B (zh) | 一种基于深度学习的手势识别方法 | |
CN105512289B (zh) | 基于深度学习和哈希的图像检索方法 | |
CN109190707A (zh) | 一种基于对抗学习的域自适应图像语义分割方法 | |
CN110175513B (zh) | 一种基于多目标路优化的路牌识别攻击防御方法 | |
CN108492258A (zh) | 一种基于生成对抗网络的雷达图像去噪方法 | |
CN108846323A (zh) | 一种面向水下目标识别的卷积神经网络优化方法 | |
CN108257116A (zh) | 一种生成对抗图像的方法 | |
CN109639710A (zh) | 一种基于对抗训练的网络攻击防御方法 | |
CN111753881B (zh) | 一种基于概念敏感性量化识别对抗攻击的防御方法 | |
CN107229904A (zh) | 一种基于深度学习的目标检测与识别方法 | |
CN109583379A (zh) | 一种基于随机擦除行人对齐网络的行人重识别方法 | |
Cheng et al. | Sign: Spatial-information incorporated generative network for generalized zero-shot semantic segmentation | |
CN110163093A (zh) | 一种基于遗传算法的路牌识别对抗防御方法 | |
CN109961145A (zh) | 一种针对图像识别模型分类边界敏感的对抗样本生成方法 | |
CN112766089B (zh) | 一种基于全局-局部对抗学习框架的跨域道路提取方法 | |
CN113269228B (zh) | 一种图网络分类模型的训练方法、装置、系统及电子设备 | |
CN112818755B (zh) | 一种基于主动学习的步态识别方法 | |
CN110021049B (zh) | 一种面向深度神经网络的基于空间约束的高隐蔽性对抗性图像攻击方法 | |
CN106203373B (zh) | 一种基于深度视觉词袋模型的人脸活体检测方法 | |
Liu et al. | Adversaries or allies? Privacy and deep learning in big data era | |
Williams et al. | Black-box sparse adversarial attack via multi-objective optimisation | |
CN110956684A (zh) | 基于残差网络的人群运动疏散仿真方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220315 |
|
CF01 | Termination of patent right due to non-payment of annual fee |