CN111291828A - 一种基于深度学习的hrrp对抗样本黑盒攻击方法 - Google Patents
一种基于深度学习的hrrp对抗样本黑盒攻击方法 Download PDFInfo
- Publication number
- CN111291828A CN111291828A CN202010138300.1A CN202010138300A CN111291828A CN 111291828 A CN111291828 A CN 111291828A CN 202010138300 A CN202010138300 A CN 202010138300A CN 111291828 A CN111291828 A CN 111291828A
- Authority
- CN
- China
- Prior art keywords
- target
- sample
- model
- black box
- disturbance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000013135 deep learning Methods 0.000 title claims abstract description 28
- 238000006467 substitution reaction Methods 0.000 claims abstract description 23
- 238000003062 neural network model Methods 0.000 claims abstract description 16
- 238000012549 training Methods 0.000 claims abstract description 11
- 238000013527 convolutional neural network Methods 0.000 claims description 7
- 238000006116 polymerization reaction Methods 0.000 claims description 5
- 230000004931 aggregating effect Effects 0.000 claims description 3
- 230000002776 aggregation Effects 0.000 claims description 3
- 238000004220 aggregation Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 abstract description 2
- 230000007246 mechanism Effects 0.000 abstract description 2
- 238000013528 artificial neural network Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 5
- 238000013145 classification model Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000003042 antagnostic effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 241000408659 Darpa Species 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000012847 principal component analysis method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V2201/00—Indexing scheme relating to image or video recognition or understanding
- G06V2201/07—Target detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Image Analysis (AREA)
- Machine Translation (AREA)
Abstract
本发明属于雷达图像识别领域,为基于深度学习的HRRP对抗样本黑盒攻击方法。包括:一、选择替代模型用于生成有/无目标通用对抗扰动并获得对抗样本。首先,选取一个深度神经网络模型作为替代模型进行训练,并将其作为HRRP的分类器;接着,采用生成有/无目标通用对抗扰动的方法对数据集生成通用对抗扰动;然后,将该扰动分别添加至数据集每一个原始样本中,得到有/无目标对抗样本。二、利用替代模型生成的对抗样本攻击黑盒模型。首先,对黑盒模型进行训练。接着,将步骤一得到的对抗样本对黑盒模型进行有/无目标攻击。本发明能有效提高雷达目标识别的安全性,为对抗样本的生成机理和防御方法提供思路和帮助,具有重要的现实应用价值。
Description
技术领域
本发明属于雷达图像识别领域,具体为一种基于深度学习的HRRP对抗样本黑盒攻击方法。
背景技术
基于深度学习的雷达目标识别算法,具有端对端特征学习的优势,能有效地提高目标识 别率,成为雷达目标识别的一类重要方法。但是,最近的研究表明,基于深度学习的光学图 像识别方法容易受到对抗样本的对抗攻击。对抗样本的存在表明深度学习方法存在极大的安 全隐患。
深度学习具有端到端和自动特征学习的优势,为基于HRRP的目标识别提供了一类方法, 同时也广泛应用于各个领域。深度学习方法很容易受到对抗攻击,Szegedy等人在2013年发 表论文《Intriguing properties of neural networks》,首次发现了一个“反直觉”的现 象,攻击者通过人为设计一种在视觉上不易于察觉的干扰信息注入输入样本,使输入样本具 有攻击性。它可以使基于深度学习方法的目标识别系统,以高置信度输出攻击者想要的任意 错误结果。
Moosavi-Dezfooli S M等人在2017年的IEEE conference on computer visionand pattern recognition会议上发表了论文《Universal adversarial perturbations》,提出 了一种计算普遍扰动的系统算法,证明了深度神经网络在这种扰动下是高度脆弱的。Sadeghi M等人在2018年的IEEE Wireless Communications Letters期刊上发表了论文《Adversarial Attacks on Deep-Learning Based Radio Signal Classification》,提出了利用主成分分 析法生成通用黑盒对抗样本的方法,证明了对抗样本对模型分类性能的破坏性很大,表明了 在无线电信号领域上,深度学习算法是非常容易受到攻击的。由此引起了深度学习技术其他 应用领域的关注,况且,基于雷达一维距离像的目标识别是否存在对抗样本是一个开放性的 问题。
发明内容
为了解决现有技术所存在的问题,本发明提供一种基于深度学习的HRRP对抗样本黑盒攻 击方法,采用生成对抗扰动的方法,利用替代模型分别生成无目标、有目标通用扰动,然后 生成相应的对抗样本,攻击黑盒模型,能有效提高雷达目标识别的安全性,为对抗样本的生 成机理和防御方法提供思路和帮助,具有重要的现实应用价值。
本发明采用以下技术方案来实现,基于深度学习的HRRP对抗样本黑盒攻击方法,包括以 下步骤:
S1、选取一个深度神经网络模型作为替代模型,并利用数据集对替代模型进行训练;
S2、选取样本,采用无目标或有目标通用扰动生成方法,以训练好的替代模型作为分类 器,对数据集生成通用的无目标或有目标对抗扰动,并对数据集的每个样本生成无目标或有 目标对抗样本;
S3、利用数据集对要攻击的黑盒模型进行训练;
S4、将步骤S2得到的无目标或有目标对抗样本对黑盒模型进行无目标或有目标攻击。
当对黑盒模型进行无目标攻击时,步骤S2中,首先根据聚合法,设定生成通用无目标对 抗扰动选取的样本数为n,从数据集中随机选取n个样本,设定通用无目标对抗扰动的约束 条件;根据二分法,基于FGSM算法,利用替代模型对这n个样本依次生成无目标对抗扰动; 最后,根据聚合法将n个无目标对抗扰动聚合并约束到给定的约束条件下,获得通用无目标 对抗扰动,并将这个通用无目标对抗扰动分别添加到数据集的每一个样本中获得无目标对抗 样本。
当对黑盒模型进行有目标攻击时,步骤S2中,首先根据迭代法,从数据集中随机选取一 个样本,基于FGSM算法生成该样本对目标类别具有高置信度的有目标扰动;根据缩放法,设 定通用有目标对抗扰动的约束条件,将扰动缩放到设定的扰动大小,获得通用有目标对抗扰 动,并将这个通用有目标对抗扰动分别添加到数据集的每一个样本中获得有目标对抗样本。
本发明设计替代模型对HRRP生成通用扰动获得对抗样本,之后用得到的对抗样本攻击黑 盒模型。与现有技术相比,本发明具有如下优点和有益效果:
1、本发明在基于深度学习的一维雷达距离像目标识别下,基于现有生成扰动的方法,利 用替代模型生成有/无目标的对抗样本,用以设计黑盒攻击;根据攻击者的目的,可以导致模 型输出任意的错误结果或给定的错误结果。本发明可以为提高雷达目标识别安全性提供思路 和帮助,具有重要的研究意义和迫切的实际需求。
2、由于本发明采用替代模型的方法生成通用对抗扰动而获得对抗样本,再进行黑盒攻击, 可以很容易迁移到现有的生成通用扰动的方法,具有普遍适用性。
3、本发明采用替代模型生成的对抗样本,攻击者可以对各种结构、参数等信息未知的模 型进行有效的攻击;其中,替代模型可选取深度神经网络模型,并将其作为HRRP的分类器。
附图说明
图1是本发明生成HRRP对抗样本进行黑盒攻击的流程图;
图2是本发明用作替代模型的深度神经网络模型结构图;
图3是本发明用作黑盒模型的深度神经网络模型结构图;
图4是本发明进行无目标黑盒攻击的实验效果图;
图5是本发明进行有目标黑盒攻击的实验效果图。
具体实施方式
为使本发明的目的、技术方案更加清楚明白,以下结合附图及实施例对本发明进行详细 说明;所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的 实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属 于本发明保护的范围。
实施例1
基于深度学习的HRRP目标识别方法是一种简便有效的使用方案。本实施例针对深度学习 方法存在的无目标对抗样本攻击的问题,提出一种基于深度学习的HRRP对抗样本无目标的黑 盒攻击方法。其中,采用二分法和聚合法,基于FGSM算法,利用替代模型生成无目标通用扰 动获得对抗样本,从而用这些对抗样本攻击黑盒模型。本实施例相关的一些基本概念为:
1.深度神经网络:深度神经网络是指多层的神经网络,它是机器学习领域中一种技术。 它的特点是,隐藏层节点的输入是上一层网络的输出加上偏置,各个隐藏层节点计算它的带 权输入均值,隐藏层节点的输出是非线性激活函数的运算结果,同时,多层神经网络的好处 是能够用较少的参数表示复杂的函数。
2.对抗样本:对抗样本指的是攻击者在输入样本中注入一些微小的、难以察觉的扰乱, 从而导致深度学习方法给出一个错误输出的一类样本。
3.无目标攻击:无目标攻击指的是攻击者生成一类对抗样本,能够导致分类模型输出任 意错误类别。
4.FGSM算法:FGSM的全称是Fast Gradient Sign Method(快速梯度符号法),它通过求 出模型对输入的梯度,然后用符号函数得到其具体的梯度方向,接着乘以一个步长,得到的 “扰动”加在原来的输入上就得到了FGSM攻击下的对抗样本。其攻击表达式如下:
式中,ε为FGSM算法的扰动缩放因子,sign(·)为符号函数,J(·)为损失函数。
5.二分查找方法:通过设定待定参数的最大值、最小值以及期望精度,在未满足期望精 度的条件下,不断通过二分法缩小范围,直到达到期望精度的值。
6.聚合法:在给定约束条件下,通过将多个微小的无目标对抗扰动,聚合成设定扰动大 小的通用扰动。
针对采用深度学习的对HRRP进行的目标识别方法,存在着深度学习方法的神经网络分类 模型易受到对抗攻击的鲁棒性与安全问题,在无目标对抗样本生成方法的基础上,本实施例 提出了利用替代模型对HRRP生成无目标对抗样本攻击黑盒模型的方法,能够有效攻击模型结 构、参数未知的深度神经网络模型,使其输出任意的错误结果。被攻击模型的模型结构和参 数对攻击者来说是未知的;而攻击者需要选取一个模型作为替代模型,用来生成对抗扰动。
如图1所示,本实施例包括以下步骤:
S1、选取一个深度神经网络模型作为替代模型,并利用数据集对替代模型进行训练;
本实施例的深度神经网络模型可以为MLP模型,如图2所示,利用数据集对MLP模型进 行训练,获得模型参数,将该模型作为替代模型,用来生成对抗扰动。
S2、选取样本,采用无目标通用扰动生成方法,以训练好的替代模型作为分类器,对数 据集生成通用的无目标对抗扰动;接着,对数据集的每个样本生成无目标对抗样本;
本实施例采用美国DARPA/AFRL提供的实测地面静止与运动目标(MSTAR)数据作数据 集。首先,根据聚合法,设定生成通用无目标对抗扰动选取的样本数n为10,从数据集中随 机选取n个样本{x1,x2,……,xn},设定通用无目标对抗扰动的约束条件PSR[dB];接着,根据 二分法,基于FGSM算法,利用MLP模型对这n个样本依次生成无目标对抗扰动{p1,p2,……,pn}; 最后,根据聚合法将n个无目标对抗扰动聚合并约束到给定的约束条件下,获得通用无目标 对抗扰动UAP,并将这个通用扰动分别添加到数据集的每一个样本中获得无目标对抗样本。
S3、利用数据集对要攻击的黑盒模型进行训练;
本步骤中黑盒模型所采用的深度神经网络模型为CNN模型,如图3所示;利用数据集训 练CNN模型之后,用步骤S2所得到的无目标对抗样本攻击CNN模型,实验效果如图4所示。
S4、将步骤S2得到的无目标对抗样本对黑盒模型进行无目标攻击。
实施例2
本实施例针对深度学习方法存在的有目标对抗样本攻击问题,提出一种基于深度学习的 HRRP对抗样本有目标的黑盒攻击方法。与实施例1生成通用扰动方法不同的是,本实施例采 用迭代法和缩放法,基于FGSM算法,利用替代模型生成有目标通用扰动,然后利用通用扰动 生成对抗样本,最后利用对抗样本攻击黑盒模型。本实施例相关的一些基本概念为:
1.深度神经网络:深度神经网络是指多层的神经网络,它是机器学习领域中一种技术。 它的特点是,隐藏层节点的输入是上一层网络的输出加上偏置,各个隐藏层节点计算它的带 权输入均值,隐藏层节点的输出是非线性激活函数的运算结果,同时,多层神经网络的好处 是能够用较少的参数表示复杂的函数。
2.对抗样本:对抗样本指的是攻击者在输入样本中注入一些微小的、难以察觉的扰乱, 从而导致深度学习方法给出一个错误输出的一类样本。
3.有目标攻击:有目标攻击指的是攻击者生成一类对抗样本,能够导致分类模型输出指 定错误类别。
4.迭代法:基于FGSM算法,设定一个较小的缩放因子,迭代计算每一轮的扰动,并不断 叠加,获得具有攻击性的有目标扰动。
5.缩放法:在给定约束条件下,通过对具有目标类别高置信度的微小的有目标对抗扰动 进行等比例缩放,生成设定扰动大小的通用扰动。
针对采用深度学习的对HRRP进行的目标识别方法,存在着深度学习方法的神经网络分类 模型易受到对抗攻击的鲁棒性与安全问题,在有目标对抗样本生成方法的基础上,本实施例 提出了利用替代模型对HRRP生成有目标对抗样本攻击黑盒模型的方法,能够有效攻击模型结 构、参数未知的深度神经网络模型,使其输出指定的错误结果。如图1所示,本实施例包括 以下步骤:
S1、选取一个深度神经网络模型作为替代模型,并利用数据集对替代模型训练;
本实施例的深度神经网络模型可以为MLP模型,如图2所示,利用数据集对MLP模型进 行训练,获得模型参数,将该模型作为替代模型,用来生成对抗扰动。
S2、选取样本,采用有目标通用扰动生成方法,以训练好的替代模型作为分类器,对数 据集生成通用的有目标对抗扰动;接着,对数据集的每个样本生成有目标对抗样本;
本步骤采用美国DARPA/AFRL提供的实测地面静止与运动目标(MSTAR)数据作数据集。 首先,根据迭代法,从数据集中随机选取一个样本x,基于FGSM算法生成该样本对目标类别 具有高置信度的有目标扰动;接着,根据缩放法,设定通用有目标对抗扰动的约束条件PSR[dB], 将扰动缩放到设定的扰动大小,获得通用有目标对抗扰动UAP,并将这个通用有目标对抗扰 动分别添加到数据集的每一个样本中获得有目标对抗样本。
S3、利用数据集对要攻击的黑盒模型进行训练;
本步骤中黑盒模型所采用的深度神经网络模型为CNN模型,如图3所示;利用数据集训 练CNN模型之后,用步骤S2所得到的有目标对抗样本攻击CNN模型,实验效果如图5所示。
S4、将步骤S2得到的有目标对抗样本对黑盒模型进行有目标攻击。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制, 其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应 为等效的置换方式,都包含在本发明的保护范围之内。
Claims (5)
1.一种基于深度学习的HRRP对抗样本黑盒攻击方法,其特征在于,包括以下步骤:
S1、选取一个深度神经网络模型作为替代模型,并利用数据集对替代模型进行训练;
S2、选取样本,采用无目标或有目标通用扰动生成方法,以训练好的替代模型作为分类器,对数据集生成通用的无目标或有目标对抗扰动,并对数据集的每个样本生成无目标或有目标对抗样本;
S3、利用数据集对要攻击的黑盒模型进行训练;
S4、将步骤S2得到的无目标或有目标对抗样本对黑盒模型进行无目标或有目标攻击。
2.根据权利要求1所述的HRRP对抗样本黑盒攻击方法,其特征在于,步骤S1中的替代模型为MLP模型。
3.根据权利要求1所述的HRRP对抗样本黑盒攻击方法,其特征在于,步骤S3中黑盒模型采用的深度神经网络模型,为CNN模型。
4.根据权利要求1所述的HRRP对抗样本黑盒攻击方法,其特征在于,步骤S2中,首先根据聚合法,设定生成通用无目标对抗扰动选取的样本数为n,从数据集中随机选取n个样本,设定通用无目标对抗扰动的约束条件;根据二分法,基于FGSM算法,利用替代模型对这n个样本依次生成无目标对抗扰动;最后,根据聚合法将n个无目标对抗扰动聚合并约束到给定的约束条件下,获得通用无目标对抗扰动,并将这个通用无目标对抗扰动分别添加到数据集的每一个样本中获得无目标对抗样本。
5.根据权利要求1所述的HRRP对抗样本黑盒攻击方法,其特征在于,步骤S2中,首先根据迭代法,从数据集中随机选取一个样本,基于FGSM算法生成该样本对目标类别具有高置信度的有目标扰动;根据缩放法,设定通用有目标对抗扰动的约束条件,将扰动缩放到设定的扰动大小,获得通用有目标对抗扰动,并将这个通用有目标对抗扰动分别添加到数据集的每一个样本中获得有目标对抗样本。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010138300.1A CN111291828B (zh) | 2020-03-03 | 2020-03-03 | 一种基于深度学习的hrrp对抗样本黑盒攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010138300.1A CN111291828B (zh) | 2020-03-03 | 2020-03-03 | 一种基于深度学习的hrrp对抗样本黑盒攻击方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111291828A true CN111291828A (zh) | 2020-06-16 |
CN111291828B CN111291828B (zh) | 2023-10-27 |
Family
ID=71020640
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010138300.1A Active CN111291828B (zh) | 2020-03-03 | 2020-03-03 | 一种基于深度学习的hrrp对抗样本黑盒攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111291828B (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111858343A (zh) * | 2020-07-23 | 2020-10-30 | 深圳慕智科技有限公司 | 一种基于攻击能力的对抗样本生成方法 |
CN112149609A (zh) * | 2020-10-09 | 2020-12-29 | 中国人民解放军空军工程大学 | 一种针对电能质量信号神经网络分类模型的黑盒对抗样本攻击方法 |
CN112329931A (zh) * | 2021-01-04 | 2021-02-05 | 北京智源人工智能研究院 | 基于代理模型的对抗样本生成方法和装置 |
CN113111731A (zh) * | 2021-03-24 | 2021-07-13 | 浙江工业大学 | 基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统 |
CN113222047A (zh) * | 2021-05-26 | 2021-08-06 | 素泰智能科技(上海)有限公司 | 一种sar对抗样本生成方法及终端设备 |
CN113298238A (zh) * | 2021-06-28 | 2021-08-24 | 上海观安信息技术股份有限公司 | 使用定向攻击探索黑盒神经网络的方法、装置、处理设备、存储介质 |
CN113408650A (zh) * | 2021-07-12 | 2021-09-17 | 厦门大学 | 基于一致性训练的半监督三维形状识别方法 |
CN113407939A (zh) * | 2021-06-17 | 2021-09-17 | 电子科技大学 | 面向黑盒攻击的替代模型自动选取方法、存储介质及终端 |
CN113704758A (zh) * | 2021-07-29 | 2021-11-26 | 西安交通大学 | 一种黑盒攻击对抗样本生成方法及系统 |
CN114240951A (zh) * | 2021-12-13 | 2022-03-25 | 电子科技大学 | 一种基于查询的医学图像分割神经网络的黑盒攻击方法 |
CN114254275A (zh) * | 2021-11-16 | 2022-03-29 | 浙江大学 | 一种基于对抗样本指纹的黑盒深度学习模型版权保护方法 |
CN114663946A (zh) * | 2022-03-21 | 2022-06-24 | 中国电信股份有限公司 | 对抗样本生成方法、装置、设备及介质 |
CN115174147A (zh) * | 2022-06-01 | 2022-10-11 | 中国科学院信息工程研究所 | 基于对抗扰动的实时网络连接隐私保护方法和系统 |
CN115277065A (zh) * | 2022-06-15 | 2022-11-01 | 北京信息科技大学 | 一种物联网异常流量检测中的对抗攻击方法及装置 |
CN116071797A (zh) * | 2022-12-29 | 2023-05-05 | 北华航天工业学院 | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN109961444A (zh) * | 2019-03-01 | 2019-07-02 | 腾讯科技(深圳)有限公司 | 图像处理方法、装置及电子设备 |
CN110175611A (zh) * | 2019-05-24 | 2019-08-27 | 浙江工业大学 | 面向车牌识别系统黑盒物理攻击模型的防御方法及装置 |
CN110837637A (zh) * | 2019-10-16 | 2020-02-25 | 华中科技大学 | 一种脑机接口系统黑盒攻击方法 |
-
2020
- 2020-03-03 CN CN202010138300.1A patent/CN111291828B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN109961444A (zh) * | 2019-03-01 | 2019-07-02 | 腾讯科技(深圳)有限公司 | 图像处理方法、装置及电子设备 |
CN110175611A (zh) * | 2019-05-24 | 2019-08-27 | 浙江工业大学 | 面向车牌识别系统黑盒物理攻击模型的防御方法及装置 |
CN110837637A (zh) * | 2019-10-16 | 2020-02-25 | 华中科技大学 | 一种脑机接口系统黑盒攻击方法 |
Non-Patent Citations (1)
Title |
---|
宋蕾;马春光;段广晗;: "机器学习安全及隐私保护研究进展.", 网络与信息安全学报, no. 08, pages 5 - 15 * |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111858343A (zh) * | 2020-07-23 | 2020-10-30 | 深圳慕智科技有限公司 | 一种基于攻击能力的对抗样本生成方法 |
CN112149609A (zh) * | 2020-10-09 | 2020-12-29 | 中国人民解放军空军工程大学 | 一种针对电能质量信号神经网络分类模型的黑盒对抗样本攻击方法 |
CN112329931A (zh) * | 2021-01-04 | 2021-02-05 | 北京智源人工智能研究院 | 基于代理模型的对抗样本生成方法和装置 |
CN113111731A (zh) * | 2021-03-24 | 2021-07-13 | 浙江工业大学 | 基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统 |
CN113222047A (zh) * | 2021-05-26 | 2021-08-06 | 素泰智能科技(上海)有限公司 | 一种sar对抗样本生成方法及终端设备 |
CN113407939A (zh) * | 2021-06-17 | 2021-09-17 | 电子科技大学 | 面向黑盒攻击的替代模型自动选取方法、存储介质及终端 |
CN113298238A (zh) * | 2021-06-28 | 2021-08-24 | 上海观安信息技术股份有限公司 | 使用定向攻击探索黑盒神经网络的方法、装置、处理设备、存储介质 |
CN113408650A (zh) * | 2021-07-12 | 2021-09-17 | 厦门大学 | 基于一致性训练的半监督三维形状识别方法 |
CN113408650B (zh) * | 2021-07-12 | 2023-07-18 | 厦门大学 | 基于一致性训练的半监督三维形状识别方法 |
CN113704758B (zh) * | 2021-07-29 | 2022-12-09 | 西安交通大学 | 一种黑盒攻击对抗样本生成方法及系统 |
CN113704758A (zh) * | 2021-07-29 | 2021-11-26 | 西安交通大学 | 一种黑盒攻击对抗样本生成方法及系统 |
CN114254275A (zh) * | 2021-11-16 | 2022-03-29 | 浙江大学 | 一种基于对抗样本指纹的黑盒深度学习模型版权保护方法 |
CN114254275B (zh) * | 2021-11-16 | 2024-05-28 | 浙江大学 | 一种基于对抗样本指纹的黑盒深度学习模型版权保护方法 |
CN114240951A (zh) * | 2021-12-13 | 2022-03-25 | 电子科技大学 | 一种基于查询的医学图像分割神经网络的黑盒攻击方法 |
CN114663946A (zh) * | 2022-03-21 | 2022-06-24 | 中国电信股份有限公司 | 对抗样本生成方法、装置、设备及介质 |
CN115174147A (zh) * | 2022-06-01 | 2022-10-11 | 中国科学院信息工程研究所 | 基于对抗扰动的实时网络连接隐私保护方法和系统 |
CN115174147B (zh) * | 2022-06-01 | 2024-05-07 | 中国科学院信息工程研究所 | 基于对抗扰动的实时网络连接隐私保护方法和系统 |
CN115277065A (zh) * | 2022-06-15 | 2022-11-01 | 北京信息科技大学 | 一种物联网异常流量检测中的对抗攻击方法及装置 |
CN115277065B (zh) * | 2022-06-15 | 2024-01-23 | 北京信息科技大学 | 一种物联网异常流量检测中的对抗攻击方法及装置 |
CN116071797A (zh) * | 2022-12-29 | 2023-05-05 | 北华航天工业学院 | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 |
CN116071797B (zh) * | 2022-12-29 | 2023-09-26 | 北华航天工业学院 | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111291828B (zh) | 2023-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111291828A (zh) | 一种基于深度学习的hrrp对抗样本黑盒攻击方法 | |
Huang et al. | Adversarial attacks on deep-learning-based SAR image target recognition | |
CN111368725B (zh) | 一种基于深度学习的hrrp有目标对抗样本生成方法 | |
Lin et al. | Threats of adversarial attacks in DNN-based modulation recognition | |
Wang et al. | Wavelet neural network using multiple wavelet functions in target threat assessment | |
Sharma et al. | Anomaly detection framework to prevent DDoS attack in fog empowered IoT networks | |
Liu et al. | Attacking spectrum sensing with adversarial deep learning in cognitive radio-enabled internet of things | |
CN111178504B (zh) | 基于深度神经网络的鲁棒压缩模型的信息处理方法及系统 | |
Xiao et al. | Optimization of robustness of network controllability against malicious attacks | |
Sun et al. | Labelled multi‐Bernoulli filter with amplitude information for tracking marine weak targets | |
Zhang et al. | Research on modern radar emitter modelling technique under complex electromagnetic environment | |
Wei et al. | Detection of direct sequence spread spectrum signals based on deep learning | |
CN111368908A (zh) | 一种基于深度学习的hrrp无目标对抗样本生成方法 | |
Wan et al. | Automatic LPI radar signal sensing method using visibility graphs | |
CN115620100A (zh) | 一种基于主动学习的神经网络黑盒攻击方法 | |
Malekian Herab et al. | Extended input estimation method for tracking non‐linear manoeuvring targets with multiplicative noises | |
Singh et al. | Transformed cubature quadrature Kalman filter | |
Mukherjee et al. | Real-time adaptation of decision thresholds in sensor networks for detection of moving targets | |
Turkmen et al. | Genetic tracker with neural network for single and multiple target tracking | |
Shamilov et al. | Generalized maximum fuzzy entropy methods with applications on wind speed data | |
Sinthuja et al. | DDoS attack detection using enhanced long-short term memory with hybrid machine learning algorithms | |
Kumar Singh et al. | New algorithm for continuous‐discrete filtering with randomly delayed measurements | |
Gong et al. | Model stealing defense with hybrid fuzzy models: Work-in-progress | |
CN105007057A (zh) | 一种针对有限集跟踪滤波器的均匀密集杂波稀疏方法 | |
Farnane et al. | Sidelobe improvement of Golay set sequences by using SA for radar applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |