CN111275115A - 一种基于生成对抗网络的对抗攻击样本的生成方法 - Google Patents

一种基于生成对抗网络的对抗攻击样本的生成方法 Download PDF

Info

Publication number
CN111275115A
CN111275115A CN202010067040.3A CN202010067040A CN111275115A CN 111275115 A CN111275115 A CN 111275115A CN 202010067040 A CN202010067040 A CN 202010067040A CN 111275115 A CN111275115 A CN 111275115A
Authority
CN
China
Prior art keywords
generator
training
sample
discriminator
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010067040.3A
Other languages
English (en)
Other versions
CN111275115B (zh
Inventor
孔锐
黄钢
曹后杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xh Smart Tech China Co ltd
Original Assignee
Xh Smart Tech China Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xh Smart Tech China Co ltd filed Critical Xh Smart Tech China Co ltd
Priority to CN202010067040.3A priority Critical patent/CN111275115B/zh
Publication of CN111275115A publication Critical patent/CN111275115A/zh
Application granted granted Critical
Publication of CN111275115B publication Critical patent/CN111275115B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明提出一种基于生成对抗网络的对抗攻击样本的生成办法,包括:S1.采集训练样本图像;S2.预处理和分类定义;S3.构建训练框架,训练框架包括生成器、判别器及目标攻击网络;S4.基于预处理和分类定义后的训练样本图像,生成随机噪声及生成随机条件向量;S5.将随机噪声及随机条件向量作为训练框架中生成器的输入,对训练框架的生成器和判别器进行训练,保存训练后的训练框架参数;S6.训练完成,生成对抗攻击样本。本发明提出的方法具有较强的数据学习能力,鲁棒性较高,克服了现有方法基于最优化方程和简单像素空间的矩阵度量,对数据分布缺乏学习能力的弊端,提高了对抗攻击样本的生成质量和效率。

Description

一种基于生成对抗网络的对抗攻击样本的生成方法
技术领域
本发明涉及对抗攻击样本生成的技术领域,更具体地,涉及一种基于生成对 抗网络的对抗攻击样本的生成方法。
背景技术
深度学习在当今飞速发展的机器学习和人工智能领域占据着核心地位,然而 现代视觉深度神经网络(DNN)却无法有效抵抗来自对抗攻击样本的攻击,深 度神经网络已经被证明,在添加了微小对抗扰动的输入样本面前非常脆弱,这种 对抗攻击样本可以误导深度神经网络产生错误的输出结果。
当前,学界已经提出了多种用于产生对抗攻击样本的攻击策略,在生成对抗 攻击样本的研究方面,已经提出了一系列可用且效果显著的攻击模型,这些模型 可归结为以下几类:
1.快速梯度攻击。快速梯度攻击(Fast Gradient Sign Method,FGSM)由GoodFellow提出,主要思想是寻找深度学习模型的梯度变化最大的方向,按照 此方法添加图像扰动,导致模型分类错误。根据此方法的衍生研究占据了对抗攻 击样本生成的主流,包括有:Basic Iterative Methods(BIM)、Carlini&Wagner (C&W)、Projected GradientDescent(PGD)等。
2.雅克比映射攻击。Papernot等人提出的雅可比映射攻击是对原图添加有限 个数像素点的扰动,从而构建对抗攻击样本的攻击方式(Jacobian-based Saliency MapAttack,JSMA)。JSMA通过分析评估模型的前向传播过程,计算模型的前 向导数,然后根据前向导数的梯度计算一个数值。每个像素点会对应算出一个数 值,这个值越大,说明对这个像素点的微小扰动能更大程度地产生输出误判,所 以只需要选择数值大的像素点进行扰动,就能在尽可能少地修改像素点的情况 下,实现对抗攻击。
3.深度欺骗攻击。深度欺骗攻击也是一种基于迭代的白盒攻击方式。 Moosavi-Dezfooli等人通过迭代计算的方法生成最小规范对抗扰动,将位于分类 边界内的图像逐步推到边界外,直到出现错误分类。
4.边界攻击。Brendel等人提出了一种基于边界的黑盒攻击方式,区别于大 多数依赖于梯度的攻击方式,该攻击需要的模型信息很少,只需要知道模型最终 的分类输出结果即可。在攻击分类中,其需要任意输入输出的能力,能实现源目 标误分类。该方法首先寻找到一个对抗攻击样本(不限制阈值大小),然后依据 一定策略将该对抗攻击样本沿着原样本的方向移动,直到该对抗攻击样本离原样 本最近,同时依然保持对抗性。
以上对抗攻击样本生成的研究现状表明,目前大多数的攻击方法仍然是基于 最优化方程和简单的像素空间的矩阵度量,而生成对抗网络(GAN,Generative AdversarialNetworks)作为生成模型之一,其表现出来的对数据分布的良好的学 习能力,使得GAN在对抗攻击样本生成方面具有很大的潜力。GAN基于博弈论 场景,其中生成器通过与对手竞争来学习变换由某些简单的输入分布(通常是标 准多变量正太分布或者均匀分布)到图像空间的分布;作为对手,判别器则试图 区分从训练数据抽取的样本和从生成器中生成的样本。整体来说,双方都试图最 小化各自的损失。训练结束后,生成器拟合了真实分布,习得了表达真实样本的 能力,同时,判别器也提取了真实样本的关键特征,能够对识别出样本的类别等 属性。
综上所述,如何基于生成对抗网络生成更高质量的对抗攻击样本以及如何更 高效地生成这些对抗攻击样本,成为当前各界研究对抗攻击样本的重点。
发明内容
为克服现有对抗攻击样本的生成方法大多数基于最优化方程和简单像素空 间的矩阵度量,对数据分布缺乏学习能力,且具有鲁棒性不高的缺陷,本发明提 供一种基于生成对抗网络的对抗攻击样本的生成方法,提高分类器的鲁棒性及对 抗攻击样本的生成质量、效率,促进对抗攻击研究领域的发展。
本发明旨在至少在一定程度上解决上述技术问题。
为了达到上述技术效果,本发明的技术方案如下:
一种基于生成对抗网络的对抗攻击样本的生成方法,包括:
S1.采集训练样本图像;
S2.对训练样本图像进行预处理和分类定义;
S3.基于生成对抗网络,构建训练框架,训练框架包括生成器、判别器及目 标攻击网络;
S4.基于预处理和分类定义后的训练样本图像,生成随机噪声Z及生成随机 条件向量Cfake
S5.将随机噪声Z及随机条件向量Cfake作为训练框架中生成器的输入,对训 练框架的生成器和判别器进行训练,保存训练后的训练框架参数。
S6.训练完成,生成对抗攻击样本。
优选地,步骤S1所述采集的训练样本图像为二维矩阵灰度图片或三维矩阵 彩色图片。
优选地,步骤S2所述的对训练样本图像进行的预处理包括:裁剪、拉伸、 旋转及镜像;步骤S2所述的分类定义表示:经过预处理之后,训练样本图像中 的真实样本图像定义为xreal,服从离散正态分布Preal,对应的真实样本类别定义 为creal,训练样本图像的种类总数定义为nclasses,对所述训练样本图像中真实样 本图像xreal的数据进行z-score标准化处理,公式为:
Figure BDA0002376285500000031
其中,
Figure BDA0002376285500000032
表示z-score标准化处理后的真实样本图像的数据,xreal表示 z-score标准化处理前的真实样本图像的数据,mean表示真实样本图像数据的均 值,std表示真实样本图像数据的方差。
优选地,步骤S3所述的训练框架包括用于生成逼真图像的生成器G1、用于 生成对抗扰动的生成器G2、用于训练生成器G1及生成器G2的判别器D1及目标 攻击网络F,生成器G1及生成器G2均为基于神经网络VGG、ResNet、GoogleNet、 AlexNet中的一种基本卷积单元设计而成的上采样卷积神经网络;判别器D1为基 于神经网络VGG、ResNet、GoogleNet、AlexNet中的一种基本卷积单元设计而 成的下采样卷积神经网络;目标攻击网络F由卷积神经网络组成,为VGG、 ResNet、GoogleNet、AlexNet中的一种或任意组合。
优选地,步骤S4所述的随机噪声Z从均值mean为0,标准差为1的离散正 态分布Pz中随机获取;随机条件向量Cfake从均匀分布为Pc=[0,nclasses)之间的整数 中随机获取。
在此,本法案正是基于生成对抗网络通过与对手竞争来学习变换由某些简单 的输入分布(如多变量正态分布或均匀分布)到图像空间的分布。
优选地,对训练框架的生成器G1、生成器G2和判别器D1进行训练的步骤 为:
S501.将随机噪声Z及随机条件向量Cfake作为训练框架中生成器G1的输入, 利用生成器G1生成假样本图像xfake
S502.将生成器G1生成的假样本图像xfake传输至判别器D1,利用判别器D1得到假样本图像xfake的真假判断损失Ltf(G1)和分类损失Lcls(G1);
S503.将z-score标准化处理后的真实样本图像数据
Figure BDA0002376285500000041
作为判别器D1的输 入,利用判别器D1得到
Figure BDA0002376285500000042
的真假判定损失
Figure BDA0002376285500000043
和分类损失Lcls(D1),将 生成器G1生成的假样本图像xfake作为判别器D1的输入,利用判别器D1得到假 图像xfake的真假判定损失
Figure BDA0002376285500000044
S504.将随机噪声Z作为生成器G2的输入,利用生成器G2生成对抗扰动xpb
S505.将对抗扰动xpb和生成器G1生成的假样本图像xfake叠加,得到对抗攻 击样本xadv,并设置边界损失Lhinge(G2);
S506.将对抗攻击样本xadv输入至目标攻击网络F,利用目标攻击网络F对对 抗攻击样本xadv进行分类预测,得到对抗攻击样本xadv对目标攻击网络F的对抗 损失Ladv(G2)。
优选地,对训练框架的生成器G1、生成器G2和判别器D1共进行Epoch轮 的训练,生成器G1、生成器G2及判别器D1为交替训练:
1)固定判别器D1的参数
Figure BDA00023762855000000410
不变,训练生成器G1,步骤如下:
步骤A、从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个 样本数据组成随机噪声Z;从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M 个样本数据组成随机条件向量cfake,随机噪声Z及随机条件向量cfake传输至生 成器G1,生成M个假样本图像xfake
步骤B、将假样本图像xfake传输至判别器D1,得到判别器D1对假样本图像 xfake的真假判定损失Ltf(G1)为:
Figure BDA0002376285500000045
分类预测损失Lcls(G1)为
Figure BDA0002376285500000046
其中,公式表示损失值的计算函数,
Figure BDA0002376285500000047
Figure BDA0002376285500000048
均表示期望值 的求解;下标字母参数为标识作用,对公式本身没有实际意义;
步骤C、反向传播并使用优化函数更新生成器G1的参数
Figure BDA0002376285500000049
总的损失函 数L(G1)的公式表示为:
L(G1)=Lcls(G1)+Ltf(G1)
其中,更新生成器G1参数
Figure BDA0002376285500000051
的优化函数为Adam、SGD、RMSProp、 Momentum中的一种;
2)固定生成器G1参数
Figure BDA0002376285500000052
不变,训练判别器D1
步骤1、从分布为离散正态分布Preal的图像中随机选取M个图像数据组成 真实样本图像xreal,并将其标准化处理之后得到真实样本图像数据
Figure BDA0002376285500000053
传输 至判别器D1,得到判别器D1
Figure BDA0002376285500000054
的真假判别损失
Figure BDA0002376285500000055
和分类损失 Lcls(D1),其中
Figure BDA0002376285500000056
损失函数公式表示为:
Figure BDA0002376285500000057
分类损失Lcls(D)为:
Figure BDA0002376285500000058
其中,公式表示损失值的计算函数;
Figure BDA0002376285500000059
为期望值的求解;下标字母参 数对数据的分布进行声明,为标识作用,对公式本身没有实际意义;
步骤2、从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个 数据组成随机噪声Z,从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M个数 据组成随机条件向量cfake,随机噪声Z及随机条件向量cfake传输至生成器G1, 生成M个假样本图像xfake;将假样本图像xfake传输至判别器D1,得到判别器D1对假样本图像xfake的真假判定损失
Figure BDA00023762855000000510
公式为:
Figure BDA00023762855000000511
步骤3、反向传播并使用优化函数更新判别器D1的参数
Figure BDA00023762855000000512
总的损失函数 L(D1)公式表示为:
Figure BDA00023762855000000513
其中,更新生成器G1参数
Figure BDA0002376285500000061
的优化函数为Adam、SGD、RMSProp、 Momentum中的一种;
3)固定生成器G1的参数
Figure BDA0002376285500000062
不变,固定判别器D1的参数
Figure BDA0002376285500000063
不变,训练判 别器G2,步骤如下:
步骤一、从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个 数据组成随机噪声Z,传输至判别器G2,利用判别器G2生成一组大小为M的对 抗扰动xpb,满足:
xpb=G2(z),z:Pz,|xpb|≤εpb
其中,εpb表示为扰动限制阈值,取值范围为[0,1];
步骤二、从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M个数据组成随 机条件向量cfake,随机噪声Z及随机条件向量cfake传输至生成器G1,生成M个 假样本图像xfake
步骤三、将对抗扰动xpb和假样本图像xfake叠加得到对抗攻击样本xadv,xadv取值范围为[-1,1],如果叠加之后xadv的值小于-1则将该值置为-1,如果叠加之 后xadv的值大于1则将该值置为1,最终满足:
xadv=xfake+xpb,|xadv|≤1
步骤四:将对抗攻击样本xadv传输至目标攻击网络F,得到目标攻击网络F 对对抗攻击样本xadv的对抗损失Ladv(G2):
Figure BDA0002376285500000064
设置边界损失Lhinge(G2);
Figure BDA0002376285500000065
其中,η表示允许的最大边界;
步骤五、反向传播并使用优化函数更新生成器G2的参数
Figure BDA0002376285500000066
总的损失函 数L(G2)的公式表示为:
L(G2)=λLadv(G2)+μLhinge(G2)
式中,λ、μ均表示重要度参数;优化函数为Adam、SGD、RMSProp、 Momentum中的一种;
4)重复交替执行1)、2)和3),直至训练框架的训练完成。
在此,对抗损失的目的是诱导生成器G2生成的对抗扰动xpb,让目标攻击网 络F对对抗攻击样本xadv的分类预测尽可能远离对抗攻击样本xadv的原始类别 随机条件向量cfake:设置边界损失Lhinge(G2)的目的是为了限制对抗扰动的大 小。训练结束后,生成器G1拟合了真实分布,习得了表达真实样本图像的能力, 生成器G2拟合了对抗空间,习得了欺骗判别器的能力。因此设计两个生成器进 行分工,其中一个生成器负责生成逼真的样本图像,另外一个生成器负责生成对 抗扰动,当训练完成的时候,两个生成器的输出叠加之后作为假图片,这个假图 片具有逼真的模样和让神经网络分类器分类失败的内在特性。最终,只需要输入 噪声,即可生成任意数量的对抗攻击样本。
优选地,步骤S3所述训练框架还包括用于指导生成器G2训练的判别器D2, 判别器D2为VGG、ResNet、GoogleNet、AlexNet卷积神经网络中的一种;真实 样本图像数据
Figure BDA0002376285500000071
及对抗攻击样本xadv作为判别器D2的输入,判别器D2输出对 对抗攻击样本xadv的真假判定损失
Figure BDA0002376285500000072
固定生成器G1的参数
Figure BDA0002376285500000073
不变,固定生成器G2的参数
Figure BDA0002376285500000074
不变,对判别器 D2的训练过程如下:
S301.从服从离散正态分布Preal中随机选取M个图像数据组成真实样本图 像xreal,并将其标准化处理之后得到真实样本图像数据
Figure BDA0002376285500000075
传输至判别器D2, 得到判别器D2
Figure BDA0002376285500000076
的真假判别损失
Figure BDA0002376285500000077
公式为:
Figure BDA0002376285500000078
其中,公式表示损失值的计算函数;
Figure BDA0002376285500000079
为期望值的求解;下标字母参 数对数据的分布进行声明,为标识作用,对公式本身没有实际意义;
S302.从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个图 像数据组成随机噪声Z,将随机噪声传输至生成器G2生成M个对抗扰动xpb; 从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M个图像数据组成随机条件向 量cfake,传输至生成器G1,生成大小为M的假样本图像xfake,将假样本图像 xfake和对抗扰动xpb叠加得到对抗攻击样本xadv
S303.利用判别器D2对对抗攻击样本xadv求解真假判别损失
Figure BDA00023762855000000710
公式 为:
Figure BDA0002376285500000081
S304.反向传播并使用优化函数更新D2的参数
Figure BDA0002376285500000082
其中总的损失函数公式 表示为:
Figure BDA0002376285500000083
其中,L(D2)表示总的损失函数;优化函数为Adam、SGD、RMSProp、 Momentum中的一种;训练完成,舍弃判别器D1和判别器D2,留下生成器G1和 生成器G2作为训练框架训练好的生成器。
优选地,训练框架训练完成的标志为:目标攻击网络F对对抗攻击样本xadv的分类预测准确率
Figure BDA0002376285500000084
最低,且人眼对对抗攻击样本xadv的识别准确率最高; 训练完成,舍弃判别器D1,选取此时对应的生成器G1的参数
Figure BDA0002376285500000085
和生成器G2的参数
Figure BDA0002376285500000086
作为训练框架生成器的参数。
优选地,目标攻击网络F对对抗攻击样本xadv的分类预测准确率
Figure BDA0002376285500000087
的 计算公式为:
Figure BDA0002376285500000088
其中,
Figure BDA0002376285500000089
表示目标攻击网络F对对抗攻击样本xadv的分类预测准确 率;
Figure BDA00023762855000000810
表示对抗攻击样本的个数;nacc表示目标攻击网络F对对抗攻击样本 xadv的分类预测类别等于对抗攻击样本xadv真正类别的个数;
人眼对对抗攻击样本xadv的识别准确率
Figure BDA00023762855000000811
的计算公式为:
Figure BDA00023762855000000812
其中,
Figure BDA00023762855000000813
表示人眼对对抗攻击样本xadv的识别准确率;
Figure BDA00023762855000000814
表示对对 抗攻击样本的个数;nT表示人眼识别正确的样本个数。
与现有技术相比,本发明技术方案的有益效果是:
(1)本发明提出的基于生成对抗网络的对抗攻击样本的生成方法,生成对 抗网络具有较强的数据学习能力,鲁棒性较高,克服了现有方法基于最优化方程 和简单像素空间的矩阵度量,对数据分布缺乏学习能力的弊端,提高了对抗攻击 样本的生成质量和效率。
(2)本发明提出的基于生成对抗网络的对抗攻击样本的生成方法中建立了 训练框架,只需输入随机噪声和随机条件向量对训练框架的生成器和判别器进行 训练,即可生成对抗攻击样本,本方案可以为当前神经网络分类器的对抗训练提 供源源不断的数据样本,促进对抗攻击研究领域的发展。
附图说明
图1为本发明提出的基于生成对抗网络的对抗攻击样本的生成方法的流程图。
图2为本发明提出的基于生成器对抗网络的第一训练框架。
图3为本发明提出的生成器的网络框架结构图。
图4为本发明提出的判别器的网络框架结构图。
图5为本发明实施例1中目标攻击网路F对攻击样本xadv的分类准确率示意图。
图6为本发明实施例1中第17轮生成的对抗攻击样本的示意图。
图7为本发明实施例1中第17轮生成假样本xfake的结果示意图。
图8为本发明提出的基于生成器对抗网络的第二训练框架。
图9为本发明实施例2中目标攻击网路F对攻击样本xadv的分类准确率示意图。
图10为本发明实施例2中第56轮生成的对抗攻击样本的示意图。
图11为本发明实施例2中第56轮生成假样本xfake的结果示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理 解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
图1表示基于生成对抗网络的对抗攻击样本的生成方法的流程图,图2表示 基于生成器对抗网络的第一训练框架,包括生成器G1、生成器G2、判别器D1和 目标攻击网络F。
其中,在本实施例中,生成器G1使用ResNet的基本残差模块作为反卷积神 经网络对张量进行上采样,随机噪声z和随机条件向量cfake作为生成器G1的输 入,经由反卷积网络上采样之后得到假样本图像xfake;生成器G2使用ResNet 的基本残差模块作为反卷积神经网络对张量进行上采样,随机噪声z作为生成器 G2的输入,经由反卷积网络上采样之后得到对抗扰动xpb;目标攻击网络F使用 VGG作为网络结构,对抗攻击样本xadv作为目标攻击网络F的输入,输出对抗 损失;判别器D1使用ResNet作为网络结构,真实样本图像
Figure BDA0002376285500000101
和假样本图像 xfake作为输入,输出真假判别损失和分类损失。
通过对生成器G1、生成器G2和判别器D1的训练,最终保留两个生成器的模 型参数,作为最终的生成网络训练框架,实验环境为:服务器处理器为32Intel(R) Xeon(R)CPU E5-2620 v4@2.10GHz,64GB运行内存(RAM),两个NVIDIA Tesla P4 GPU,PyTorch框架。训练步骤包括:
T1.使用MNIST手写训练样本图像集,对训练框架采用批次训练法,批大小 设定M=64,对MNIST训练样本图像集的每一个图像样本进行z-score标准化 处理,样本数据的取值范围为[-1,1],真实样本图像用
Figure BDA0002376285500000102
表示,每批次样本张 量的形状为64×1×28×28;对真实样本图像
Figure BDA0002376285500000103
进行分类标记并将标记设计为 条件向量creal,一个批次中,条件向量的形状为64×1。
本实施例选取的MNIST训练样本图像集是关于手写数字0-9的手写数字图 像的集合,因此在设定条件向量的过程中:将训练样本图像集以0-9的具体数字 分为10类,即nclasses=10;
T2.随机条件向量cfake生成,用作生成器G1的输入,指定从分布为 Pc=[0,10)之间的整数中随机采样,在一个批次中,cfake的张量形状为64×1;
T3.随机噪声z生成,用作生成器G1和G2的输入,采用PyTorch框架的内置 函数torch.Tensor.normal_(0,1)生成随机噪声向量,生成方式为:从均值为0,标 准差为1离散正态分布Pz中随机采样128次,在一个批次中z的张量形状为 64×128。
在本实施例中,目标攻击网络F使用VGG11作为模型框架,此预训练模型 识别MNIST手写数据集的分类预测准确率为99%以上。生成器G1和生成器G2的 结构由ResNet的基本残差模块组成,如图3所示,网络层顺序为:全连接层、 第一上采样残差块、第二上采样残差块、第一残差块、第二残差块、卷积层、Tanh 激活层,判别器D1的结构由ResNet组成,如图4所示,网络层顺序为:第一下 采样残差块、第二下采样残差块、第一残差块、第二残差块、ReLU层、全连接 层。
T3.设置判别器D1、生成器G1和生成器G2的迭代次数为1:1:3,扰动限制 εpb设置为0.7,训练G1的损失函数为:
Figure BDA0002376285500000111
Figure BDA0002376285500000112
L(G1)=Lcls(G1)+Ltf(G1)
训练判别器D1的损失函数为:
Figure BDA0002376285500000113
Figure BDA0002376285500000114
Figure BDA0002376285500000115
Figure BDA0002376285500000116
本实施例中,将λ和μ设置为10和1,η设定为0.1;训练生成器G2的损失 函数为:
Figure BDA0002376285500000117
Figure BDA0002376285500000118
L(G2)=λLadv(G2)+μLhinge(G2)
T4.使用Adam优化函数来更新生成器G1、生成器G2和判别器D1的参数, 并且学习率设定为0.0002,Adam优化函数一阶矩估计的指数衰减率为0.0,Adam 二阶矩估计的指数衰减率为0.9,总的训练集迭代轮数Epoch为18轮。
T5.训练完成之后,如图5所示的目标攻击网路F对攻击样本xadv的分类准 确率示意图,保留目标攻击网络F识别对抗攻击样本xadv准确率最低,对抗攻 击样本xadv的人眼识别准确率最高的那个轮次保存的生成器G2的参数
Figure RE-GDA0002440359960000121
和生 成器G1的参数
Figure RE-GDA0002440359960000122
作为效果最佳生成器的参数。经过上述步骤训练之后,得出结 果,对对抗攻击样本而言,在横坐标为1.7k对应的训练轮数,即在第17轮训练 中,目标攻击网络F对对抗攻击样本xadv的识别准确率仅3%,同时在第17轮训 练完毕之后,生成的对抗攻击样本中人眼识别准确率最高,这代表对抗攻击样本 的生成质量良好,部分生成的对抗攻击样本图6所示,图7表示第17轮生成假样本xfake的结果示意图,因此,保留第17轮训练参数生成器G2的参数
Figure RE-GDA0002440359960000123
和生 成器G1的参数
Figure RE-GDA0002440359960000124
作为最终训练结果。
实施例2
图8表示基于生成器对抗网络的第二训练框架,包括生成器G1、生成器G2、 判别器D1和判别器D2目标攻击网络F。
其中,在本实施例中,生成器G1使用ResNet的基本残差模块作为反卷积神 经网络对张量进行上采样,随机噪声z和随机条件向量cfake作为生成器G1的输 入,经由反卷积网络上采样之后得到假样本图像xfake;生成器G2使用ResNet 的基本残差模块作为反卷积神经网络对张量进行上采样,随机噪声z作为生成器 G2的输入,经由反卷积网络上采样之后得到对抗扰动xpb;目标攻击网络F使用 VGG作为网络结构,对抗攻击样本xadv作为目标攻击网络F的输入,输出对抗 损失;判别器D1使用ResNet作为网络结构,真实样本图像xreal和假样本图像 xfake,输出真假判别损失和分类损失;判别器D2使用ResNet作为网络结构, 真实样本图像xreal和对抗样本xadv,输出真假判别损失。
通过对生成器G1、生成器G2和判别器D1、判别器D2的训练,最终保留两 个生成器的模型参数,作为最终的生成网络训练框架,实验环境为:服务器处理 器为32Intel(R)Xeon(R)CPU E5-2620 v4@2.10GHz,64GB运行内存(RAM), 两个NVIDIA Tesla P4 GPU,PyTorch框架。训练步骤包括:
T1.使用MNIST手写训练样本图像集,对训练框架采用批次训练法,批大小 设定进行M批次训练,M=64,对MNIST训练样本图像集的每一个图像样本 进行z-score标准化处理,样本数据的取值范围为[-1,1],真实样本图像用
Figure BDA0002376285500000125
表 示,每批次样本张量的形状为64×1×28×28;对真实样本图像
Figure BDA0002376285500000131
进行分类标 记并将标记设计为条件向量creal,一个批次中,条件向量的形状为64×1。
本实施例选取的MNIST训练样本图像集是关于手写数字0-9的手写数字图 像的集合,因此在设定条件向量的过程中:将训练样本图像集以0-9的具体数字 分为10类,即nclasses=10;
T2.随机条件向量cfake生成,用作生成器G1的输入,指定从分布为 Pc=[0,10)之间的整数中随机采样,在一个批次中,cfake的张量形状为64×1;
在本实施例中,目标攻击网络F使用VGG11作为模型框架,此预训练模型 识别MNIST手写数据集的分类预测准确率为99%以上。生成器G1和生成器G2的 结构由ResNet的基本残差模块组成,如图3所示,网络层顺序为:全连接层、 第一上采样残差块、第二上采样残差块、第一残差块、第二残差块、卷积层、Tanh 激活层,判别器D1和判别器D2的结构由ResNet组成,如图4所示,网络层顺 序为:第一下采样残差块、第二下采样残差块、第一残差块、第二残差块、ReLU 层、全连接层。
T3.设置判别器D1、判别器D2、生成器G1和生成器G2的迭代次数为 1:1:1:1,扰动限制εpb设置为0.5,训练G1的损失函数为:
Figure BDA0002376285500000132
Figure BDA0002376285500000133
L(G1)=Lcls(G1)+Ltf(G1)
训练判别器D1的损失函数为:
Figure BDA0002376285500000134
Figure BDA0002376285500000135
Figure BDA0002376285500000136
Figure BDA0002376285500000137
本实施例中,将λ和μ设置为10和1,η设定为0.1;训练生成器G2的损失 函数为:
Figure BDA0002376285500000141
Figure BDA0002376285500000142
Figure BDA0002376285500000143
L(G2)=Ltf(G2)+λLadv(G2)+μLhinge(G2)
训练判别器D2的损失函数为:
Figure BDA0002376285500000144
Figure BDA0002376285500000145
Figure BDA0002376285500000146
T4.使用Adam优化函数来更新生成器G1、生成器G2和判别器D1、判别器 D2的参数,并且学习率设定为0.0002,Adam优化函数一阶矩估计的指数衰减率 为0.0,Adam二阶矩估计的指数衰减率为0.9,总的训练集迭代轮数Epoch为64 轮。
T5.训练完成之后,如图9所示的目标攻击网路F对攻击样本xadv的分类准 确率示意图,保留目标攻击网络F识别对抗攻击样本xadv准确率最低,对抗攻 击样本xadv的人眼识别准确率最高的那个轮次保存的生成器G2的参数
Figure RE-GDA0002440359960000147
和生 成器G1的参数
Figure RE-GDA0002440359960000148
作为效果最佳生成器的参数。经过上述步骤训练之后,得出结 果,对对抗攻击样本而言,在横坐标为5.6k对应的训练轮数,即在第56轮训练 中,目标攻击网络F对对抗攻击样本xadv的识别准确率仅11%,同时在第56轮 训练完毕之后,生成的对抗攻击样本中人眼识别准确率最高,这代表对抗攻击样 本的生成质量良好,按照T1-T5的步骤,在服务器处理器为32 Intel(R)Xeon(R) CPU E5-2620 v4@2.10GHz,64GB运行内存(RAM),两个NVIDIA Tesla P4 GPU,PyTorch框架的环境下得到部分生成的对抗攻击样本如图10所示,第56 轮生成假样本xfake的结果如图11所示,因此,保留第56轮训练参数生成器G2的 参数
Figure RE-GDA0002440359960000149
和生成器G1的参数
Figure RE-GDA00024403599600001410
作为最终训练结果。
附图中描述位置关系的用于仅用于示例性说明,不能理解为对本专利的限 制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非 是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明 的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施 方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进 等,均应包含在本发明权利要求的保护范围之内。

Claims (10)

1.一种基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,包括:
S1.采集训练样本图像;
S2.对训练样本图像进行预处理和分类定义;
S3.基于生成对抗网络,构建训练框架,训练框架包括生成器、判别器及目标攻击网络;
S4.基于预处理和分类定义后的训练样本图像,生成随机噪声Z及生成随机条件向量Cfake
S5.将随机噪声Z及随机条件向量Cfake作为训练框架中生成器的输入,对训练框架的生成器和判别器进行训练,保存训练后的训练框架参数;
S6.训练完成,生成对抗攻击样本。
2.根据权利要求1所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,步骤S1所述采集的训练样本图像为二维矩阵灰度图片或三维矩阵彩色图片。
3.根据权利要求1所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,步骤S2所述的对训练样本图像进行的预处理包括:裁剪、拉伸、旋转及镜像;步骤S2所述的分类定义表示:经过预处理之后,训练样本图像中的真实样本图像定义为xreal,服从离散正态分布Preal,对应的真实样本类别定义为creal,训练样本图像的种类总数定义为nclasses,对所述训练样本图像中真实样本图像xreal的数据进行z-score标准化处理,公式为:
Figure FDA0002376285490000011
其中,
Figure FDA0002376285490000012
表示z-score标准化处理后的真实样本图像的数据,xreal表示z-score标准化处理前的真实样本图像的数据,mean表示真实样本图像数据的均值,std表示真实样本图像数据的方差。
4.根据权利要求3所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,步骤S3所述的训练框架包括用于生成逼真图像的生成器G1、用于生成对抗扰动的生成器G2、用于训练生成器G1及生成器G2的判别器D1及目标攻击网络F,生成器G1及生成器G2均为基于神经网络VGG、ResNet、GoogleNet、AlexNet中的一种基本卷积单元设计而成的上采样卷积神经网络;判别器D1为基于神经网络VGG、ResNet、GoogleNet、AlexNet中的一种基本卷积单元设计而成的下采样卷积神经网络;目标攻击网络F由卷积神经网络组成,为VGG、ResNet、GoogleNet、AlexNet中的一种或任意组合。
5.根据权利要求4所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,步骤S4所述的随机噪声Z从均值mean为0,标准差为1的离散正态分布Pz中随机获取;随机条件向量Cfake从均匀分布为Pc=[0,nclasses)之间的整数中随机获取。
6.根据权利要求5所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,对训练框架的生成器G1、生成器G2和判别器D1进行训练的步骤为:
S501.将随机噪声Z及随机条件向量Cfake作为训练框架中生成器G1的输入,利用生成器G1生成假样本图像xfake
S502.将生成器G1生成的假样本图像xfake传输至判别器D1,利用判别器D1得到假样本图像xfake的真假判断损失Ltf(G1)和分类损失Lcls(G1);
S503.将z-score标准化处理后的真实样本图像数据
Figure FDA0002376285490000021
作为判别器D1的输入,利用判别器D1得到
Figure FDA0002376285490000022
的真假判定损失
Figure FDA0002376285490000023
和分类损失Lcls(D1),将生成器G1生成的假样本图像xfake作为判别器D1的输入,利用判别器D1得到假图像xfake的真假判定损失
Figure FDA0002376285490000024
S504.将随机噪声Z作为生成器G2的输入,利用生成器G2生成对抗扰动xpb
S505.将对抗扰动xpb和生成器G1生成的假样本图像xfake叠加,得到对抗攻击样本xadv,并设置边界损失Lhinge(G2);
S506.将对抗攻击样本xadv输入至目标攻击网络F,利用目标攻击网络F对对抗攻击样本xadv进行分类预测,得到对抗攻击样本xadv对目标攻击网络F的对抗损失Ladv(G2)。
7.根据权利要求6所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,对训练框架的生成器G1、生成器G2和判别器D1共进行Epoch轮的训练,生成器G1、生成器G2及判别器D1为交替训练:
1)固定判别器的参数
Figure FDA0002376285490000025
不变,训练生成器G1,步骤如下:
步骤A、从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个样本数据组成随机噪声Z;从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M个样本数据组成随机条件向量cfake,随机噪声Z及随机条件向量cfake传输至生成器G1,生成M个假样本图像xfake
步骤B、将假样本图像xfake传输至判别器D1,得到判别器D1对假样本图像xfake的真假判定损失Ltf(G1)为:
Figure FDA0002376285490000031
分类预测损失Lcls(G1)为
Figure FDA0002376285490000032
其中,公式表示损失值的计算函数,
Figure FDA0002376285490000033
Figure FDA0002376285490000034
均表示期望值的求解;下标字母参数为标识作用,对公式本身没有实际意义;
步骤C、反向传播并使用优化函数更新生成器G1的参数
Figure FDA0002376285490000035
总的损失函数L(G1)的公式表示为:
L(G1)=Lcls(G1)+Ltf(G1)
其中,更新生成器G1参数
Figure FDA0002376285490000036
的优化函数为Adam、SGD、RMSProp、Momentum中的一种;
2)固定生成器G1参数
Figure FDA0002376285490000037
不变,训练判别器D1
步骤1、从分布为离散正态分布Preal的图像中随机选取M个图像数据组成真实样本图像xreal,并将其标准化处理之后得到真实样本图像数据
Figure FDA0002376285490000038
传输至判别器D1,得到判别器D1
Figure FDA0002376285490000039
的真假判别损失
Figure FDA00023762854900000310
和分类损失Lcls(D1),其中
Figure FDA00023762854900000311
损失函数公式表示为:
Figure FDA00023762854900000312
分类损失Lcls(D)为:
Figure FDA00023762854900000313
其中,公式表示损失值的计算函数;
Figure FDA00023762854900000314
为期望值的求解;下标字母参数对数据的分布进行声明,为标识作用,对公式本身没有实际意义;
步骤2、从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个数据组成随机噪声Z,从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M个数据组成随机条件向量cfake,随机噪声Z及随机条件向量cfake传输至生成器G1,生成M个假样本图像xfake;将假样本图像xfake传输至判别器D1,得到判别器D1对假样本图像xfake的真假判定损失
Figure FDA0002376285490000041
公式为:
Figure FDA0002376285490000042
步骤3、反向传播并使用优化函数更新判别器D1的参数
Figure FDA0002376285490000043
总的损失函数L(D1)公式表示为:
Figure FDA0002376285490000044
其中,更新判别器D1的参数
Figure FDA0002376285490000045
的优化函数为Adam、SGD、RMSProp、Momentum中的一种;
3)固定生成器G1的参数
Figure FDA0002376285490000046
不变,固定判别器D1的参数
Figure FDA0002376285490000047
不变,训练判别器G2,步骤如下:
步骤一、从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个数据组成随机噪声Z,传输至判别器G2,利用判别器G2生成M个对抗扰动xpb,满足:
xpb=G2(z),z:Pz,|xpb|≤εpb
其中,εpb表示为扰动限制阈值,取值范围为[0,1];
步骤二、从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M个数据组成随机条件向量cfake,随机噪声Z及随机条件向量cfake传输至生成器G1,生成M个假样本图像xfake
步骤三、将对抗扰动xpb和假样本图像xfake叠加得到对抗攻击样本xadv,xadv取值范围为[-1,1],如果叠加之后xadv的值小于-1则将该值置为-1,如果叠加之后xadv的值大于1则将该值置为1,最终满足:
xadv=xfake+xpb,|xadv|≤1
步骤四:将对抗攻击样本xadv传输至目标攻击网络F,得到目标攻击网络F对对抗攻击样本xadv的对抗损失Ladv(G2):
Figure FDA0002376285490000048
设置边界损失Lhinge(G2),用来限制扰动的大小;
Figure FDA0002376285490000051
其中,η表示允许的最大边界;
步骤五、反向传播并使用优化函数更新生成器G2的参数
Figure FDA0002376285490000052
总的损失函数L(G2)的公式表示为:
L(G2)=λLadv(G2)+μLhinge(G2)
式中,λ、μ均表示重要度参数;优化函数为Adam、SGD、RMSProp、Momentum中的一种;
4)重复交替执行1)、2)和3),直至训练框架的训练完成。
8.根据权利要求5-7任意一项所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,步骤S3所述训练框架还包括用于指导生成器G2训练的判别器D2,判别器D2为VGG、ResNet、GoogleNet、AlexNet卷积神经网络中的一种;真实样本图像数据
Figure FDA0002376285490000053
及对抗攻击样本xadv作为判别器D2的输入,判别器D2输出对对抗攻击样本xadv的真假判定损失
Figure FDA0002376285490000054
固定生成器G1的参数
Figure FDA0002376285490000055
不变,固定生成器G2的参数
Figure FDA0002376285490000056
不变,对判别器D2的训练过程如下:
S301.从服从离散正态分布Preal中随机选取M个图像数据组成真实样本图像xreal,传输至判别器D2,得到判别器D2对真实样本图像
Figure FDA0002376285490000057
的真假判别损失
Figure FDA0002376285490000058
公式为:
Figure FDA0002376285490000059
其中,公式表示损失值的计算函数;
Figure FDA00023762854900000510
为期望值的求解;下标字母参数对数据的分布进行声明,为标识作用,对公式本身没有实际意义;
S302.从均值mean为0,标准差为1的离散正态分布Pz中随机获取M个图像数据组成随机噪声Z,将随机噪声传输至生成器G2生成M个对抗扰动xpb;从均匀分布为Pc=[0,nclasses)之间的整数中随机获取M个图像数据组成随机条件向量cfake,传输至生成器G1,生成M个假样本图像xfake,将假样本图像xfake和对抗扰动xpb叠加得到对抗攻击样本xadv
S303.利用判别器D2对对抗攻击样本xadv求解真假判别损失
Figure FDA0002376285490000061
公式为:
Figure FDA0002376285490000062
S304.反向传播并使用优化函数更新D2的参数
Figure FDA0002376285490000063
其中总的损失函数公式表示为:
Figure FDA0002376285490000064
其中,L(D2)表示总的损失函数;优化函数为Adam、SGD、RMSProp、Momentum中的一种;训练完成,舍弃判别器D1和判别器D2,留下生成器G1和生成器G2作为训练框架训练好的生成器。
9.根据权利要求8所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,训练框架训练完成的标志为:目标攻击网络F对对抗攻击样本xadv的分类预测准确率
Figure FDA0002376285490000065
最低,且人眼对对抗攻击样本xadv的识别准确率最高;训练完成,舍弃判别器D1,选取此时对应的生成器G1的参数
Figure FDA0002376285490000066
和生成器G2的参数
Figure FDA0002376285490000067
作为训练框架生成器的参数。
10.根据权利要求9所述的基于生成对抗网络的对抗攻击样本的生成方法,其特征在于,目标攻击网络F对对抗攻击样本xadv的分类预测准确率
Figure FDA0002376285490000068
的计算公式为:
Figure FDA0002376285490000069
其中,
Figure FDA00023762854900000610
表示目标攻击网络F对对抗攻击样本xadv的分类预测准确率;
Figure FDA00023762854900000611
表示对抗攻击样本的个数;nacc表示目标攻击网络F对对抗攻击样本xadv的分类预测类别等于对抗攻击样本xadv真正类别的个数;
人眼对对抗攻击样本xadv的识别准确率
Figure FDA0002376285490000071
的计算公式为:
Figure FDA0002376285490000072
其中,
Figure FDA0002376285490000073
表示人眼对对抗攻击样本xadv的识别准确率;
Figure FDA0002376285490000074
表示对对抗攻击样本的个数;nT表示人眼识别正确的样本个数。
CN202010067040.3A 2020-01-20 2020-01-20 一种基于生成对抗网络的对抗攻击样本的生成方法 Active CN111275115B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010067040.3A CN111275115B (zh) 2020-01-20 2020-01-20 一种基于生成对抗网络的对抗攻击样本的生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010067040.3A CN111275115B (zh) 2020-01-20 2020-01-20 一种基于生成对抗网络的对抗攻击样本的生成方法

Publications (2)

Publication Number Publication Date
CN111275115A true CN111275115A (zh) 2020-06-12
CN111275115B CN111275115B (zh) 2022-02-22

Family

ID=71003271

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010067040.3A Active CN111275115B (zh) 2020-01-20 2020-01-20 一种基于生成对抗网络的对抗攻击样本的生成方法

Country Status (1)

Country Link
CN (1) CN111275115B (zh)

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111325341A (zh) * 2020-02-18 2020-06-23 中国空间技术研究院 一种自适应对抗强度的对抗训练方法
CN111863025A (zh) * 2020-07-13 2020-10-30 宁波大学 一种音频来源反取证方法
CN111988277A (zh) * 2020-07-18 2020-11-24 郑州轻工业大学 一种基于双向生成对抗网络的攻击检测方法
CN112085069A (zh) * 2020-08-18 2020-12-15 中国人民解放军战略支援部队信息工程大学 基于集成注意力机制的多目标对抗补丁生成方法及装置
CN112116601A (zh) * 2020-08-18 2020-12-22 河南大学 一种基于线性采样网络及生成对抗残差网络的压缩感知采样重建方法及系统
CN112241532A (zh) * 2020-09-17 2021-01-19 北京科技大学 一种基于雅可比矩阵生成与检测恶性对抗样本的方法
CN112367291A (zh) * 2020-09-29 2021-02-12 国网宁夏电力有限公司电力科学研究院 一种应用于电力控制系统网络攻击的主动防御方法
CN112488294A (zh) * 2020-11-20 2021-03-12 北京邮电大学 一种基于生成对抗网络的数据增强系统、方法和介质
CN112508239A (zh) * 2020-11-22 2021-03-16 国网河南省电力公司电力科学研究院 一种基于vae-cgan的储能出力预测方法
CN112598029A (zh) * 2020-12-07 2021-04-02 中国建设银行股份有限公司 一种ocr识别对抗样本攻击的方法和装置
CN112613445A (zh) * 2020-12-29 2021-04-06 深圳威富优房客科技有限公司 人脸图像生成方法、装置、计算机设备和存储介质
CN112668529A (zh) * 2020-12-31 2021-04-16 神思电子技术股份有限公司 一种菜品样本图像增强识别方法
CN112766348A (zh) * 2021-01-12 2021-05-07 云南电网有限责任公司电力科学研究院 一种基于对抗神经网络生成样本数据的方法以及装置
CN112951214A (zh) * 2021-04-01 2021-06-11 山东大学 一种抗对抗样本攻击的语音识别模型训练方法
CN113159317A (zh) * 2021-04-22 2021-07-23 北京理工大学 一种基于动态残差侵蚀的对抗样本生成方法
CN113178255A (zh) * 2021-05-18 2021-07-27 西安邮电大学 一种基于gan的医学诊断模型对抗攻击方法
CN113255526A (zh) * 2021-05-28 2021-08-13 华中科技大学 基于动量的对人群计数模型的对抗样本生成方法及系统
CN113281998A (zh) * 2021-04-21 2021-08-20 浙江工业大学 基于生成对抗网络的工业信息物理系统多点fdi攻击检测方法
CN113407936A (zh) * 2021-06-30 2021-09-17 中国科学技术大学 基于生成对抗网络的侧信道防护方法
CN113469329A (zh) * 2021-06-24 2021-10-01 中国人民解放军陆军工程大学 一种无需样本数据的对抗贴片生成方法
CN113537381A (zh) * 2021-07-29 2021-10-22 大连海事大学 基于对抗样本的人体康复运动数据增强方法
CN113571067A (zh) * 2021-06-21 2021-10-29 浙江工业大学 一种基于边界攻击的声纹识别对抗样本生成方法
CN114241569A (zh) * 2021-12-21 2022-03-25 中国电信股份有限公司 人脸识别攻击样本的生成方法、模型训练方法及相关设备
CN114444075A (zh) * 2022-02-09 2022-05-06 深圳市前海新型互联网交换中心有限公司 一种生成躲避流量数据的方法
CN115937638A (zh) * 2022-12-30 2023-04-07 北京瑞莱智慧科技有限公司 模型训练方法、图像处理方法、相关装置及存储介质
CN116545767A (zh) * 2023-06-27 2023-08-04 北京天云海数技术有限公司 一种基于生成对抗网络的xss攻击载荷自动生成方法及系统
CN117253094A (zh) * 2023-10-30 2023-12-19 上海计算机软件技术开发中心 一种图像分类系统对抗性样本生成方法、系统及电子设备
CN117371541A (zh) * 2023-12-08 2024-01-09 齐鲁工业大学(山东省科学院) 一种零知识、免真实数据的模型推理攻击方法
CN117743719A (zh) * 2023-12-22 2024-03-22 北京京航计算通讯研究所 一种页面元素的识别方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107563283A (zh) * 2017-07-26 2018-01-09 百度在线网络技术(北京)有限公司 生成攻击样本的方法、装置、设备及存储介质
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
CN109584337A (zh) * 2018-11-09 2019-04-05 暨南大学 一种基于条件胶囊生成对抗网络的图像生成方法
CN110334806A (zh) * 2019-05-29 2019-10-15 广东技术师范大学 一种基于生成式对抗网络的对抗样本生成方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107563283A (zh) * 2017-07-26 2018-01-09 百度在线网络技术(北京)有限公司 生成攻击样本的方法、装置、设备及存储介质
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
CN109584337A (zh) * 2018-11-09 2019-04-05 暨南大学 一种基于条件胶囊生成对抗网络的图像生成方法
CN110334806A (zh) * 2019-05-29 2019-10-15 广东技术师范大学 一种基于生成式对抗网络的对抗样本生成方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CHAOWEI XIAO: "Generating Adversarial Examples with Adversarial Networks", 《PROCEEDINGS OF THE TWENTY-SEVENTH INTERNATIONAL JOINT CONFERENCE ON ARTIFICIAL INTELLIGENCE》 *

Cited By (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111325341B (zh) * 2020-02-18 2023-11-14 中国空间技术研究院 一种自适应对抗强度的对抗训练方法
CN111325341A (zh) * 2020-02-18 2020-06-23 中国空间技术研究院 一种自适应对抗强度的对抗训练方法
CN111863025A (zh) * 2020-07-13 2020-10-30 宁波大学 一种音频来源反取证方法
CN111988277A (zh) * 2020-07-18 2020-11-24 郑州轻工业大学 一种基于双向生成对抗网络的攻击检测方法
CN112085069A (zh) * 2020-08-18 2020-12-15 中国人民解放军战略支援部队信息工程大学 基于集成注意力机制的多目标对抗补丁生成方法及装置
CN112116601A (zh) * 2020-08-18 2020-12-22 河南大学 一种基于线性采样网络及生成对抗残差网络的压缩感知采样重建方法及系统
CN112085069B (zh) * 2020-08-18 2023-06-20 中国人民解放军战略支援部队信息工程大学 基于集成注意力机制的多目标对抗补丁生成方法及装置
CN112241532A (zh) * 2020-09-17 2021-01-19 北京科技大学 一种基于雅可比矩阵生成与检测恶性对抗样本的方法
CN112241532B (zh) * 2020-09-17 2024-02-20 北京科技大学 一种基于雅可比矩阵生成与检测恶性对抗样本的方法
CN112367291A (zh) * 2020-09-29 2021-02-12 国网宁夏电力有限公司电力科学研究院 一种应用于电力控制系统网络攻击的主动防御方法
CN112367291B (zh) * 2020-09-29 2022-07-29 国网宁夏电力有限公司电力科学研究院 一种应用于电力控制系统网络攻击的主动防御方法
CN112488294A (zh) * 2020-11-20 2021-03-12 北京邮电大学 一种基于生成对抗网络的数据增强系统、方法和介质
CN112508239A (zh) * 2020-11-22 2021-03-16 国网河南省电力公司电力科学研究院 一种基于vae-cgan的储能出力预测方法
CN112598029A (zh) * 2020-12-07 2021-04-02 中国建设银行股份有限公司 一种ocr识别对抗样本攻击的方法和装置
CN112613445A (zh) * 2020-12-29 2021-04-06 深圳威富优房客科技有限公司 人脸图像生成方法、装置、计算机设备和存储介质
CN112613445B (zh) * 2020-12-29 2024-04-30 深圳威富优房客科技有限公司 人脸图像生成方法、装置、计算机设备和存储介质
CN112668529A (zh) * 2020-12-31 2021-04-16 神思电子技术股份有限公司 一种菜品样本图像增强识别方法
CN112766348A (zh) * 2021-01-12 2021-05-07 云南电网有限责任公司电力科学研究院 一种基于对抗神经网络生成样本数据的方法以及装置
CN112951214A (zh) * 2021-04-01 2021-06-11 山东大学 一种抗对抗样本攻击的语音识别模型训练方法
CN113281998A (zh) * 2021-04-21 2021-08-20 浙江工业大学 基于生成对抗网络的工业信息物理系统多点fdi攻击检测方法
CN113159317A (zh) * 2021-04-22 2021-07-23 北京理工大学 一种基于动态残差侵蚀的对抗样本生成方法
CN113159317B (zh) * 2021-04-22 2022-10-21 北京理工大学 一种基于动态残差侵蚀的对抗样本生成方法
CN113178255B (zh) * 2021-05-18 2023-05-26 西安邮电大学 一种基于gan的医学诊断模型对抗攻击方法
CN113178255A (zh) * 2021-05-18 2021-07-27 西安邮电大学 一种基于gan的医学诊断模型对抗攻击方法
CN113255526A (zh) * 2021-05-28 2021-08-13 华中科技大学 基于动量的对人群计数模型的对抗样本生成方法及系统
CN113571067A (zh) * 2021-06-21 2021-10-29 浙江工业大学 一种基于边界攻击的声纹识别对抗样本生成方法
CN113571067B (zh) * 2021-06-21 2023-12-26 浙江工业大学 一种基于边界攻击的声纹识别对抗样本生成方法
CN113469329A (zh) * 2021-06-24 2021-10-01 中国人民解放军陆军工程大学 一种无需样本数据的对抗贴片生成方法
CN113407936A (zh) * 2021-06-30 2021-09-17 中国科学技术大学 基于生成对抗网络的侧信道防护方法
CN113407936B (zh) * 2021-06-30 2022-10-28 中国科学技术大学 基于生成对抗网络的侧信道防护方法
CN113537381A (zh) * 2021-07-29 2021-10-22 大连海事大学 基于对抗样本的人体康复运动数据增强方法
CN113537381B (zh) * 2021-07-29 2024-05-10 大连海事大学 基于对抗样本的人体康复运动数据增强方法
CN114241569B (zh) * 2021-12-21 2024-01-02 中国电信股份有限公司 人脸识别攻击样本的生成方法、模型训练方法及相关设备
CN114241569A (zh) * 2021-12-21 2022-03-25 中国电信股份有限公司 人脸识别攻击样本的生成方法、模型训练方法及相关设备
CN114444075A (zh) * 2022-02-09 2022-05-06 深圳市前海新型互联网交换中心有限公司 一种生成躲避流量数据的方法
CN115937638A (zh) * 2022-12-30 2023-04-07 北京瑞莱智慧科技有限公司 模型训练方法、图像处理方法、相关装置及存储介质
CN116545767A (zh) * 2023-06-27 2023-08-04 北京天云海数技术有限公司 一种基于生成对抗网络的xss攻击载荷自动生成方法及系统
CN116545767B (zh) * 2023-06-27 2024-01-09 北京天云海数技术有限公司 一种基于生成对抗网络的xss攻击载荷自动生成方法及系统
CN117253094A (zh) * 2023-10-30 2023-12-19 上海计算机软件技术开发中心 一种图像分类系统对抗性样本生成方法、系统及电子设备
CN117253094B (zh) * 2023-10-30 2024-05-14 上海计算机软件技术开发中心 一种图像分类系统对抗性样本生成方法、系统及电子设备
CN117371541A (zh) * 2023-12-08 2024-01-09 齐鲁工业大学(山东省科学院) 一种零知识、免真实数据的模型推理攻击方法
CN117371541B (zh) * 2023-12-08 2024-03-29 齐鲁工业大学(山东省科学院) 一种零知识、免真实数据的模型推理方法
CN117743719A (zh) * 2023-12-22 2024-03-22 北京京航计算通讯研究所 一种页面元素的识别方法

Also Published As

Publication number Publication date
CN111275115B (zh) 2022-02-22

Similar Documents

Publication Publication Date Title
CN111275115B (zh) 一种基于生成对抗网络的对抗攻击样本的生成方法
CN111310802B (zh) 一种基于生成对抗网络的对抗攻击防御训练方法
CN107358626B (zh) 一种利用条件生成对抗网络计算视差的方法
CN113554089B (zh) 一种图像分类对抗样本防御方法、系统及数据处理终端
CN111754596B (zh) 编辑模型生成、人脸图像编辑方法、装置、设备及介质
JP7013077B2 (ja) 生体検出方法及び装置、機器並びに記憶媒体
CN110941794B (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN113272827A (zh) 卷积神经网络中分类决策的验证
CN115100574A (zh) 基于融合图卷积网络与Transformer网络的动作识别方法及系统
CN113254927B (zh) 一种基于网络防御的模型处理方法、装置及存储介质
CN113408340B (zh) 基于增强型特征金字塔的双极化sar小型船只检测方法
CN111311702B (zh) 一种基于BlockGAN的图像生成和识别模块及方法
CN112052877A (zh) 一种基于级联增强网络的图片细粒度分类方法
Suzuki et al. Adversarial example generation using evolutionary multi-objective optimization
CN118020076A (zh) 用于图上的异常检测的方法和装置
CN115051929A (zh) 基于自监督目标感知神经网络的网络故障预测方法及装置
CN111950635A (zh) 一种基于分层特征对齐的鲁棒特征学习方法
Zhang et al. Multicontext 3D residual CNN for false positive reduction of pulmonary nodule detection
Hepburn et al. Enforcing perceptual consistency on generative adversarial networks by using the normalised laplacian pyramid distance
Pajares et al. Fuzzy cognitive maps applied to computer vision tasks
CN114842242A (zh) 一种基于生成模型的鲁棒对抗样本生成方法
CN115409776A (zh) 一种基于方位推理的输电线路金具图卷积检测方法及系统
CN116391193B (zh) 以基于能量的潜变量模型为基础的神经网络的方法和设备
CN113487506A (zh) 基于注意力去噪的对抗样本防御方法、装置和系统
CN114139601A (zh) 一种对电力巡检场景人工智能算法模型的评估方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant