CN111104982B - 一种标签无关的跨任务对抗样本生成方法 - Google Patents
一种标签无关的跨任务对抗样本生成方法 Download PDFInfo
- Publication number
- CN111104982B CN111104982B CN201911322822.0A CN201911322822A CN111104982B CN 111104982 B CN111104982 B CN 111104982B CN 201911322822 A CN201911322822 A CN 201911322822A CN 111104982 B CN111104982 B CN 111104982B
- Authority
- CN
- China
- Prior art keywords
- sample
- sample set
- confrontation
- pure
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Image Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种标签无关的跨任务对抗样本生成方法,包括如下步骤:步骤1,构建替代模型:获取纯净样本集的标签集,并利用纯净样本集和标签集训练得到目标模型的替代模型;步骤2,生成对抗样本:将纯净样本集输入替代模型中,获取纯净样本集中每个样本在替代模型中的特征表示,并利用特征表示通过计算标准差计算得到每个样本的对抗损失,再利用对抗损失通过计算梯度更新每个样本,对纯净样本集中的每个样本在重复执行步骤2若干次后得到纯净样本集的对抗样本集。通过本发明的标签无关的跨任务对抗样本生成方法,生成的对抗样本具有可转移性、高对抗性、任务无关性。
Description
技术领域
本发明涉及机器学习技术领域,尤其是一种标签无关的跨任务对抗样本生成方法。
背景技术
近年来,深度神经网络被证明容易受到对抗样本的攻击,即具有微小、不可察觉的噪声的样本可以导致网络输出错误结果,这逐渐引起了大量研究者们的关注。已有研究证明,对抗样本具有可转移性。目前,研究者们已经对对抗样本在不同模型间的可转移性进行了大量的研究,然而,对对抗样本在不同任务间的可转移性的研究却还处于起步阶段。
目前,基于计算机视觉(Computer Vision,CV)的检测机制已经在安全关键的应用中广泛部署,如:内容审查和使用面部生物识别技术进行身份验证;并且,通过云服务提供商提供的API,可随时访问这些服务,如:Google Cloud Vision。为了克服单个领域中的深度学习方法的不足、更好地防御规避攻击,在现实世界中的CV系统中,通常集成了多种不同的检测机制,例如:一些不法分子将带有促销信息的URL嵌入到带有色情内容的图片中,以进行非法的在线宣传或网络钓鱼,结合了光学字符识别(Optical CharacterRecognition,OCR)和基于图像的显式内容检测机制的检测系统则能够很好的将包含可疑URL或色情内容的图像过滤出来。同样,为了更好地防御欺骗性照片的攻击,已有的大多数人脸识别系统通常包含活体检测机制,有时甚至包含目标检测等其他算法,在这些情况下,攻击者制作的对抗样本则需要具备同时绕过人脸识别算法、活体检测算法、目标检测算法等机制的检测的能力。
对抗样本在不同任务间的可转移性为现实世界中攻击者能够同时规避集成在一起的多个不同的检测或防御机制提供了支撑。为了规避具有不确定机制的检测系统,攻击者们逐渐开始研究在计算机视觉任务之间可转移的对抗样本的生成方法,一些研究者们提出了提高可转移性的对抗技术。然而,这些方法大多是针对图像分类任务而设计的,并且依赖于特定于任务的损失函数(如交叉熵损失),虽然这些方法生成的对抗样本可以在一定程度上转移到其他计算机视觉任务上,但攻击的有效性却受到了很大程度上的限制。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种标签无关的跨任务对抗样本生成方法。
本发明采用的技术方案如下:
一种标签无关的跨任务对抗样本生成方法,包括如下步骤:
步骤1,构建替代模型:获取纯净样本集的标签集,并利用纯净样本集和标签集训练得到目标模型的替代模型;
步骤2,生成对抗样本:将纯净样本集输入替代模型中,获取纯净样本集中每个样本在替代模型中的特征表示,并利用特征表示通过计算标准差计算得到每个样本的对抗损失,再利用对抗损失通过计算梯度更新每个样本,对纯净样本集中的每个样本在重复执行步骤2若干次后得到纯净样本集的对抗样本集。
进一步,步骤1的方法包括如下子步骤:
步骤1.4,将数据集S作为训练数据集,训练得到目标模型的替代模型。
进一步,步骤2的方法包括如下子步骤:
步骤2.1,将纯净样本集X作为输入,输入到替代模型F中;
步骤2.2,对纯净样本集X中的一个样本xi,获取该样本经过替代模型F的第k层网络后的特征表示:
由此得到样本xi经过前k层网络后,每层网络的特征表示的列表:
步骤2.3,计算qk(xi)的标准差为:
步骤2.4,根据步骤2.3,分别计算步骤2.2中得到的列表Q(xi)中的每个元素qk(xi)的标准差,得到标准差列表:
步骤2.5计算得到样本xi的对抗损失:
其中,
步骤2.8,对步骤2.7中更新得到的xi进行下述计算:
xi=clip(xi,x-ε,x+ε)
其中,ε是一个足够小的正数,clip(·)将xi的特征值约束在[x-ε,x+ε]范围内;
步骤2.9,对纯净样本集X中的每个样本xi,分别执行步骤2.2-2.8;
步骤2.10,重复执行步骤2.9W次,得到纯净样本集X的对抗样本集:
其中,x′i是xi的对抗样本,且1≤i≤n,n为样本总数。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
通过本发明的标签无关的跨任务对抗样本生成方法,生成的对抗样本具有可转移性、高对抗性、任务无关性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明的标签无关的跨任务对抗样本生成方法的流程框图。
图2为利用本发明生成的对抗样本攻击多任务目标模型的流程框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种标签无关的跨任务对抗样本生成方法,包括如下步骤:
步骤1,构建替代模型:获取纯净样本集的标签集,并利用纯净样本集和标签集训练得到目标模型的替代模型;
步骤2,生成对抗样本:将纯净样本集输入替代模型中,获取纯净样本集中每个样本在替代模型中的特征表示,并利用特征表示通过计算标准差计算得到每个样本的对抗损失,再利用对抗损失通过计算梯度更新每个样本,对纯净样本集中的每个样本在重复执行步骤2若干次后得到纯净样本集的对抗样本集。
以下结合实施例对本发明的特征和性能作进一步的详细描述。在本实施例中,假设,目标模型K中集成了3个子任务,分别是T1、T2、T3,但这些任务对攻击者是不可知的。当一个样本x输入模型后,三个任务分别对样本进行检测,并分别给出检测结果r1、r2、r3,然后,目标模型K对r1、r2、r3进行整合计算,如通过投票方式等,最终输出检测标签y,如图2所示,其中,输出标签y是可访问的。
所述标签无关的跨任务对抗样本生成方法,具体过程如下:
步骤1,构建替代模型:
步骤1.4,将数据集S作为训练数据集,训练得到目标模型K的替代模型F。替代模型F是一个具有与目标模型K功能相似、网络总层数相同的深度神经网络模型。
步骤2生成对抗样本:
步骤2.1,将纯净样本集X作为输入,输入到替代模型F中;
步骤2.2,对纯净样本集X中的一个样本xi,获取该样本经过替代模型F的第k层网络后的特征表示:
由此得到样本xi经过前k层网络后,每层网络的特征表示的列表:
步骤2.3,计算qk(xi)的标准差为:
步骤2.4,根据步骤2.3,分别计算步骤2.2中得到的列表Q(xi)中的每个元素qk(xi)的标准差,得到标准差列表:
步骤2.5计算得到样本xi的对抗损失:
其中,
步骤2.8,对步骤2.7中更新得到的xi进行下述计算:
xi=clip(xi,x-ε,x+ε)
其中,ε是一个足够小的正数,clip(·)将xi的特征值约束在[x-ε,x+ε]范围内;
步骤2.9,对纯净样本集X中的每个样本xi,分别执行步骤2.2-2.8;
步骤2.10,重复执行步骤2.9W次,得到纯净样本集X的对抗样本集:
其中,x′i是xi的对抗样本,且1≤i≤n,n为样本总数。
步骤3,攻击目标模型
通过步骤1-2生成纯净样本集X中纯净样本x的对抗样本x′,将对抗样本x′输入到目标模型K中,目标模型K中的子任务T1、T2、T3分别对x′进行检,然后,目标模型K通过对T1、T2、T3的检测结果进行整合,得到目标模型K对对抗样本x′的最终检测结果y′,并且,y′≠y,这样,攻击者攻击目标模型K成功。
通过上述内容可知,本发明具有的有益效果如下:
1、可转移性,本发明针对替代模型生成的对抗样本,可以用来攻击目标模型
2、高对抗性,本发明通过同时在多层特征表示上的计算得到对抗损失,再更新样本,这样得到的对抗样本能更成功地攻击目标模型;
3、任务无关,本发明在生成对抗样本的过程中不需要使用标签,而标签是和具体任务相关的,所以是任务无关的。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种标签无关的跨任务对抗样本生成方法,其特征在于,包括如下步骤:
步骤1,构建替代模型:获取纯净样本集的标签集,所述纯净样本集中的样本为图像样本,并利用纯净样本集和标签集训练得到目标模型的替代模型;
步骤2,生成对抗样本:将纯净样本集输入替代模型中,获取纯净样本集中每个样本在替代模型中的特征表示,并利用特征表示通过计算标准差计算得到每个样本的对抗损失,再利用对抗损失通过计算梯度更新每个样本,对纯净样本集中的每个样本在重复执行步骤2若干次后得到纯净样本集的对抗样本集,所述对抗样本集应用于计算机视觉任务;步骤2的方法包括如下子步骤:
步骤2.1,将纯净样本集X作为输入,输入到替代模型F中;
步骤2.2,对纯净样本集X中的一个样本xi,获取该样本经过替代模型F的第k层网络后的特征表示:
由此得到样本xi经过前k层网络后,每层网络的特征表示的列表:
步骤2.3,计算qk(xi)的标准差为:
步骤2.4,根据步骤2.3,分别计算步骤2.2中得到的列表Q(xi)中的每个元素qk(xi)的标准差,得到标准差列表:
步骤2.5计算得到样本xi的对抗损失:
其中,
步骤2.8,对步骤2.7中更新得到的xi进行下述计算:
xi=clip(xi,x-ε,x+ε)
其中,ε是一个足够小的正数,clip(·)将xi的特征值约束在[x-ε,x+ε]范围内;
步骤2.9,对纯净样本集X中的每个样本xi,分别执行步骤2.2-2.8;
步骤2.10,重复执行步骤2.9W次,得到纯净样本集X的对抗样本集:
其中,x′i是xi的对抗样本,且1≤i≤n,n为样本总数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911322822.0A CN111104982B (zh) | 2019-12-20 | 2019-12-20 | 一种标签无关的跨任务对抗样本生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911322822.0A CN111104982B (zh) | 2019-12-20 | 2019-12-20 | 一种标签无关的跨任务对抗样本生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111104982A CN111104982A (zh) | 2020-05-05 |
CN111104982B true CN111104982B (zh) | 2021-09-24 |
Family
ID=70423037
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911322822.0A Active CN111104982B (zh) | 2019-12-20 | 2019-12-20 | 一种标签无关的跨任务对抗样本生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111104982B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111882055B (zh) * | 2020-06-15 | 2022-08-05 | 电子科技大学 | 一种基于CycleGAN与伪标签的目标检测自适应模型的构建方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108257116A (zh) * | 2017-12-30 | 2018-07-06 | 清华大学 | 一种生成对抗图像的方法 |
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN108710892A (zh) * | 2018-04-04 | 2018-10-26 | 浙江工业大学 | 面向多种对抗图片攻击的协同免疫防御方法 |
CN109036389A (zh) * | 2018-08-28 | 2018-12-18 | 出门问问信息科技有限公司 | 一种对抗样本的生成方法及装置 |
CN109117482A (zh) * | 2018-09-17 | 2019-01-01 | 武汉大学 | 一种面向中文文本情感倾向性检测的对抗样本生成方法 |
CN109214408A (zh) * | 2018-07-10 | 2019-01-15 | 武汉科技大学 | 基于生成对抗模型识别肝肿瘤的方法及装置 |
CN109299342A (zh) * | 2018-11-30 | 2019-02-01 | 武汉大学 | 一种基于循环生成式对抗网络的跨模态检索方法 |
CN109902709A (zh) * | 2019-01-07 | 2019-06-18 | 浙江大学 | 一种基于对抗学习的工业控制系统恶意样本生成方法 |
CN109948693A (zh) * | 2019-03-18 | 2019-06-28 | 西安电子科技大学 | 基于超像素样本扩充和生成对抗网络高光谱图像分类方法 |
CN110245598A (zh) * | 2019-06-06 | 2019-09-17 | 北京瑞莱智慧科技有限公司 | 对抗样本生成方法、装置、介质和计算设备 |
CN110334808A (zh) * | 2019-06-12 | 2019-10-15 | 武汉大学 | 一种基于对抗样本训练的对抗攻击防御方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10007866B2 (en) * | 2016-04-28 | 2018-06-26 | Microsoft Technology Licensing, Llc | Neural network image classifier |
US10210631B1 (en) * | 2017-08-18 | 2019-02-19 | Synapse Technology Corporation | Generating synthetic image data |
-
2019
- 2019-12-20 CN CN201911322822.0A patent/CN111104982B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108257116A (zh) * | 2017-12-30 | 2018-07-06 | 清华大学 | 一种生成对抗图像的方法 |
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN108710892A (zh) * | 2018-04-04 | 2018-10-26 | 浙江工业大学 | 面向多种对抗图片攻击的协同免疫防御方法 |
CN109214408A (zh) * | 2018-07-10 | 2019-01-15 | 武汉科技大学 | 基于生成对抗模型识别肝肿瘤的方法及装置 |
CN109036389A (zh) * | 2018-08-28 | 2018-12-18 | 出门问问信息科技有限公司 | 一种对抗样本的生成方法及装置 |
CN109117482A (zh) * | 2018-09-17 | 2019-01-01 | 武汉大学 | 一种面向中文文本情感倾向性检测的对抗样本生成方法 |
CN109299342A (zh) * | 2018-11-30 | 2019-02-01 | 武汉大学 | 一种基于循环生成式对抗网络的跨模态检索方法 |
CN109902709A (zh) * | 2019-01-07 | 2019-06-18 | 浙江大学 | 一种基于对抗学习的工业控制系统恶意样本生成方法 |
CN109948693A (zh) * | 2019-03-18 | 2019-06-28 | 西安电子科技大学 | 基于超像素样本扩充和生成对抗网络高光谱图像分类方法 |
CN110245598A (zh) * | 2019-06-06 | 2019-09-17 | 北京瑞莱智慧科技有限公司 | 对抗样本生成方法、装置、介质和计算设备 |
CN110334808A (zh) * | 2019-06-12 | 2019-10-15 | 武汉大学 | 一种基于对抗样本训练的对抗攻击防御方法 |
Non-Patent Citations (2)
Title |
---|
On Generation of Adversarial Examples using Convex Programming;Emilio Rafael Balda et al;《2018 52nd Asilomar Conference on Signals, Systems, and Computers》;20181031;第60-65页 * |
深度学习中的对抗样本问题;张思思等;《计算机学报》;20190831;第1886-1904页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111104982A (zh) | 2020-05-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhang et al. | Improving adversarial transferability via neuron attribution-based attacks | |
WO2019152983A2 (en) | System and apparatus for face anti-spoofing via auxiliary supervision | |
Al_Azrak et al. | An efficient method for image forgery detection based on trigonometric transforms and deep learning | |
Rostami et al. | Detection and continual learning of novel face presentation attacks | |
WO2016201938A1 (zh) | 一种多阶段钓鱼网站检测方法与系统 | |
Dash et al. | Are ChatGPT and deepfake algorithms endangering the cybersecurity industry? A review | |
Mohan et al. | Spoof net: syntactic patterns for identification of ominous online factors | |
Khosravy et al. | Model inversion attack: analysis under gray-box scenario on deep learning based face recognition system | |
US10581883B1 (en) | In-transit visual content analysis for selective message transfer | |
Liu et al. | D2MIF: A malicious model detection mechanism for federated learning empowered artificial intelligence of things | |
Zhang et al. | Fooled by imagination: Adversarial attack to image captioning via perturbation in complex domain | |
Hao et al. | Face liveness detection based on client identity using siamese network | |
Kumagai et al. | Zero-shot domain adaptation without domain semantic descriptors | |
Li et al. | DeepBlur: A simple and effective method for natural image obfuscation | |
CN115640609A (zh) | 一种特征隐私保护方法及装置 | |
Irfan et al. | Towards deep learning: A review on adversarial attacks | |
CN111104982B (zh) | 一种标签无关的跨任务对抗样本生成方法 | |
Saied et al. | A Novel Approach for Improving Dynamic Biometric Authentication and Verification of Human Using Eye Blinking Movement | |
Thaler et al. | Deep learning in information security | |
Chen et al. | Using adversarial examples to bypass deep learning based url detection system | |
Agrawal et al. | A Review of Generative Models in Generating Synthetic Attack Data for Cybersecurity | |
Meena et al. | Image splicing forgery detection techniques: A review | |
Hsiao et al. | More accurate and robust PRNU-based source camera identification with 3-step 3-class approach | |
CN111159588B (zh) | 一种基于url成像技术的恶意url检测方法 | |
Schardosim et al. | Detection of presentation attacks using imaging and liveness attributes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |