CN111461307B - 一种基于生成对抗网络的通用扰动生成方法 - Google Patents

一种基于生成对抗网络的通用扰动生成方法 Download PDF

Info

Publication number
CN111461307B
CN111461307B CN202010254686.2A CN202010254686A CN111461307B CN 111461307 B CN111461307 B CN 111461307B CN 202010254686 A CN202010254686 A CN 202010254686A CN 111461307 B CN111461307 B CN 111461307B
Authority
CN
China
Prior art keywords
network
attack
sample
disturbance
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010254686.2A
Other languages
English (en)
Other versions
CN111461307A (zh
Inventor
何琨
陈晶
郑宏毅
杜瑞颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN202010254686.2A priority Critical patent/CN111461307B/zh
Publication of CN111461307A publication Critical patent/CN111461307A/zh
Application granted granted Critical
Publication of CN111461307B publication Critical patent/CN111461307B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于生成对抗网络的通用扰动生成方法,首先生成网络生成通用扰动得到对抗样本;然后判别网络判别对抗样本与原始样本,并计算判别网络目标函数并反向传播进行优化;最后深度学习模型预测对抗样本分类,判别网络判别对抗样本,并计算生成网络目标函数并反向传播进行优化;本发明所提供的基于GAN的通用扰动生成方法能够在计算机视觉及深度学习等领域,为使用者提供机器学习模型安全性研究的思路。

Description

一种基于生成对抗网络的通用扰动生成方法
技术领域
本发明属于深度学习技术领域,具体涉及一种基于生成对抗网络的黑盒场景下的通用扰动生成方法。
背景技术
2012年,在ImageNet大规模视觉识别挑战赛中,深度神经网络(Deep NeuralNetworks,DNNs)获得当时最好的图像分类结果,开始获得工业界的广泛关注。近年来,随着大数据技术和计算性能提升,深度学习发展迅速,现实生活中越来越多的应用开始使用深度学习模型应用。例如,自动驾驶技术使用深度学习来完成物体检测、增强学习、多模态学习等;苹果公司使用深度学习完成基于面部识别的生物认证技术;基于行为的恶意软件检测使用深度学习发现语义特征。
在深度学习模型代替人类完成多项任务的同时,人们逐渐开始关注模型带来的安全问题,对抗样本(Adversarial Examples)就是针对模型抗干扰能力研究。对于一个分类正确的原始图片样本,在加入人类难以识别的扰动之后,神经网络会以极高的置信度得出错误的分类结果。这些被错误分类的样本被称为对抗样本。对抗样本扰动是根据某种算法生成得针对特定模型、特定数据集的特殊噪声。现有的深度学习模型非常容易受到对抗样本影响,他可以使深度学习模型分类错误,甚至导致各种基于深度模型的异常检测系统失效,给深度学习在实际应用领域带来了很大的安全性挑战。
目前,对抗样本从对抗攻击所需知识(Adversary’s Knowledge)可分为白盒攻击和黑盒攻击:白盒攻击假设攻击者知道模型的所有知识,例如训练数据集、模型架构、训练超参数、层数、激活函数、模型权重值等,对抗样本通过计算模型梯度生成;黑盒攻击假设攻击者无权访问模型内部结构,攻击者和其他模型使用者一样,只具备模型输出(标签和置信度)访问权限。目前大多数对抗样本的研究都集中在白盒攻击的应用场景下:少数黑盒攻击的研究也普遍基于对抗样本的可迁移性,无法攻击鲁棒性较高的模型。
另一方面,对抗样本从扰动范围(Perturbation Scope)亦可分为个体攻击和通用攻击:个体攻击针对单一输入生成特定的对抗样本扰动,对不同的输入样本都需要生成新的扰动以欺骗模型;通用攻击对数据集生成通用的对抗样本扰动,数据集内任意输入加上改扰动后都可导致深度模型输出结果错误。大多数对抗样本研究方案都基于单个样本生成攻击扰动,对于不同的样本需要重新训练优化扰动。而通用扰动(Universalperturbation)则省去了对抗样本生成阶段的训练过程,可以直接得到样本攻击深度学习模型,减少了对抗样本的攻击时间。目前通用扰动的生成方式都要求攻击者具有模型的白盒访问权限,而在现实场景中,攻击者往往权限受限,仅能访问深度学习模型最终的输出值。因此,具有黑盒攻击能力的通用扰动是更适合于现实场景的深度模型攻击策略,这类种场景下的通用扰动问题是亟待解决的。
发明内容
鉴于以上提及的黑盒场景下的通用攻击方法研究的不足,本发明提供了一种在黑盒攻击场景下的通用扰动生成方案。
本发明所采用的技术方案是:一种基于生成对抗网络的通用扰动生成方法,其特征在于,包括以下步骤:
步骤1:使用生成网络生成通用扰动,将扰动与任意图片数据集结合得到对抗样本;
步骤2:将数据集中原始样本与步骤1中得到的对抗样本输入判别网络得到输入样本为真实样本的概率值,根据判别网络目标函数计算损失值,并进行反向传播,优化判别网络判别对抗样本能力;
步骤3:将步骤1中得到的对抗样本输入被攻击模型和判别网络,分别得到分类概率值和对抗样本概率值,根据生成网络目标函数计算损失值,并进行反向传播,优化生成网络生成通用扰动能力;
步骤4:重复步骤1到步骤3预定次数后,生成网络即可生成攻击成功率达到预定要求的通用扰动攻击被攻击模型。
本发明相比现有技术,其优点和积极效果主要体现在以下几个方面:
(1)本发明提供了一种基于GAN的通用扰动生成方法,基于我们的设计,使用任意图片数据集即可在黑盒攻击场景下训练针对攻击模型的通用扰动;
(2)本发明设计了一种通用扰动生成网络结构和判别网络,其好处在于能够生成扰动范围更小的通用扰动,得到人眼不宜察觉的对抗样本;
附图说明
图1为本发明实施例的整体框架图。
图2为本发明实施例中生成网络结构图。
具体实施方式
为了便于本领域普遍技术人员的理解和实施本发明,下面结合附图及实施例对本发明作为进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
本发明提供的基于生成对抗网络(Generative Adversarial Net,GAN)的黑盒场景下的通用扰动生成方法,包括通用扰动生成网络实现随机噪声图片到通用扰动的函数映射、对抗样本判别网络预测网络输入为真实样本的概率、目标函数用于训练生成网络和判别网络提高对抗样本攻击成功率;通用扰动生成网络由卷积层构成下采样,反卷积层构成上采样,上采样和下采样层间具有共享特征的连接;判别网络预测输入样本为真实样本的概率值,其结构由反卷积层构成,将图片分为多块,并输出每一块图片为真实样本的预测值,用于计算损失值优化通用扰动大小;目标函数计算生成网络和判别网络的损失值,用于反向传播优化网络,其中生成网络损失值包括类别约束损失值、对抗约束损失值、像素级约束损失值,根据部署在目标攻击和非目标攻击场景下可选择不同的类别约束目标函数,根据不同的扰动测量方式可以选择选择不同像素级目标函数。
本发明提供的一种基于GAN的黑盒场景下的通用扰动生成方法,包括生成网络生成通用扰动得到对抗样本,判别网络判别对抗样本与原始样本,计算判别网络目标函数并反向传播进行优化,深度学习模型预测对抗样本分类,判别网络判别对抗样本,计算生成网络目标函数并反向传播进行优化,整体架构图请见图1。具体包括以下步骤:
步骤1:生成网络生成通用扰动,将扰动与任意图片数据集结合得到对抗样本;
具体包括以下子步骤:
步骤1.1:获取任意图片样本数据集Xraw并进行数据扩充,随机选择其中部分样本进行翻转、0值填充生成新的图片加入数据集中,再将Xraw中的样本随机裁剪像素值为深度学习模型输入大小,得到样本数为m的训练数据集X;
步骤1.2:使用卷积层、反卷积层构建生成网络G,网络结构如图2所示,其中每个方框顶部的数字表示提取特征的通道数,左侧下方数字表示提取特征的大小,上采样部分每一层的输入都为下采样的特征加上一层特征输出,该结构可以生成扰动范围更小、人眼不易识别的对抗样本,网络参数如表1所示,使用使用LeakyReLU(Leaky Rectified LinearUnit)代替普通的线性整流函数(Rectified Linear Unit,ReLU)作为激活函数防止梯度消失,加速模型收敛,使用InstanceNormalization归一化方法替换BatchNormalization归一化方法,提高生成器模型生成扰动的质量,上采样阶段每一层进行Dropout,防止生成网络出现模型塌陷;
表1
Figure BDA0002436829080000041
步骤1.3:生成与数据集X相同像素大小的噪声图片数据集Z,噪声图片每一像素的数值为符合N(0,0.5)正态分布的随机数,将数据集
Figure BDA0002436829080000042
输入生成网络,得到样本数为m的通用扰动
Figure BDA0002436829080000043
选择噪声系数α,将通用扰动
Figure BDA0002436829080000044
与图片样本
Figure BDA0002436829080000045
结合得到对抗样本
Figure BDA0002436829080000046
其计算公式如下:
x′=α×μ+x
步骤2:将数据集中原始样本与步骤1中得到的对抗样本输入判别网络得到输入样本为真实样本的概率值,根据判别网络目标函数计算损失值,并进行反向传播,优化判别网络;
具体包括以下子步骤:
步骤2.1:构建判别网络D,网络参数如表2所示,用LeakyReLU作为激活函数,不使用池化层,使用Instance Normalization归一化方法;
表2
Figure BDA0002436829080000051
步骤2.2:将图片样本
Figure BDA0002436829080000052
与对抗样本
Figure BDA0002436829080000053
输入判别网络计算损失函数Ld,其计算公式如下:
Figure BDA0002436829080000054
其中,D(x(j))表示判别网络输出结果,G(z(j))表示生成网络输出结果。
步骤2.3:反向传播更新判别网络权重
Figure BDA0002436829080000055
其中,
Figure BDA0002436829080000056
表示ωd的梯度;
步骤3:将步骤1中得到的对抗样本输入被攻击模型和判别网络,分别得到分类概率值和对抗样本概率值,根据生成网络目标函数计算损失值,并进行反向传播,优化生成网络;
具体包括以下子步骤:
步骤3.1:将对抗样本
Figure BDA0002436829080000057
输入深度学习模型f得到分类的概率向量
Figure BDA0002436829080000058
步骤3.2:计算生成网络类别约束损失值Lc、对抗样本判别网络损失值LGAN、像素级约束损失值Lpix,得到生成网络损失值Lg=Lc+βLGAN+γLpix,其中β、γ为权重值,Lc根据目标攻击和非目标攻击可选择不同目标函数。
通用扰动生成可以部署在目标攻击和非目标攻击场景下,也可基于攻击成功对抗样本计算损失值Ls,进一步优化生成网络性能;
非目标攻击下,对于数据集X中的样本x,被攻击模型f(x)的预测结果标签为c0,对抗样本只需被分类为非原始标签即可,其目标就是使除c0外任意标签的置信度大于c0,此时类别约束的损失函数定义为:
Figure BDA0002436829080000061
在学习过程中,模型将不断降低标签c0的置信度,直到任意分类的置信度高于c0的置信度为止,同时也可以引入阈值κ提高攻击的可靠性,使错误分类置信度高于c0分类置信度一定程度之后再停止优化,即满足以下情况时停止优化:
Figure BDA0002436829080000062
引入阈值κ之后的损失函数变为:
Figure BDA0002436829080000063
目标攻击下,先选定攻击标签c,通用扰动的目的是使标签c的置信度大于其他标签,此时类别约束损失函数定义为:
Figure BDA0002436829080000064
在学习过程中,生成网络生成的通用扰动将不断提高标签c的置信度,直到c的置信度高于其他标签的置信度为止,同样我们可以引入阈值κ提高攻击的可靠性,即满足以下情况时停止优化:
Figure BDA0002436829080000065
引入阈值κ之后的损失函数则变为:
Figure BDA0002436829080000066
即类别约束损失值Lc可取目标攻击下的Lc=Lt+Ls,或非目标攻击下的Lc=Lnt+Ls
所述基于攻击成功对抗样本计算损失值Ls,对于攻击成功的对抗样本数据集
Figure BDA0002436829080000067
Ls损失函数定义如下:
Figure BDA0002436829080000071
LGAN为对抗样本判别网络损失值,用于优化扰动大小,定义为:
LGAN=log(D(x(j)+G(z(j))))
Lpix根据攻击扰动测量方式不同可选择不同目标函数;
像素级约束损失值Lpix根据攻击扰动测量方式不同可选择不同目标函数;
所述扰动测量方式可选择
Figure BDA0002436829080000072
三种方式,分别对应三种不同范式距离,对于
Figure BDA0002436829080000073
范式,Lpix损失函数定义如下:
Figure BDA0002436829080000074
其中
Figure BDA0002436829080000075
范式为扰动像素值之和,
Figure BDA0002436829080000076
为扰动平方和的平方根,
Figure BDA0002436829080000077
为扰动最大像素值;μ(j)表示生成网络生成的通用扰动,p表示不同范式距离
Figure BDA0002436829080000078
的取值;
步骤3.3:使用生成网络损失值Lg反向传播更新生成网络权重
Figure BDA0002436829080000079
其中,
Figure BDA00024368290800000710
表示ωd的梯度。
步骤4:重复步骤1到步骤3预定次数后,生成网络即可生成攻击成功率达到预定要求的通用扰动攻击被攻击模型f(x)。
本发明能够提供:
1.黑盒场景下的通用扰动生成方法:使用任意图片样本数据集,在仅访问攻击模型预测结果的条件下即可生成针对模型数据集的通用扰动;
2.人眼不易识别的对抗样本生成方案:生成网络上采样层与下采样层进行特征共享,并使用强判别能力的判别网络优化生成网络,可以生成更小的通用扰动,使对抗样本更加接近原始样本。
本发明所提供的基于GAN的通用扰动生成方法能够在计算机视觉及深度学习等领域,为使用者提供机器学习模型安全性研究的思路。
应当理解的是,本说明书为详细阐述的部分均属于现有技术。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。

Claims (6)

1.一种基于生成对抗网络的通用扰动生成方法,其特征在于,包括以下步骤:
步骤1:使用生成网络生成通用扰动,将扰动与任意图片数据集结合得到对抗样本;
步骤2:将数据集中原始样本与步骤1中得到的对抗样本输入判别网络得到输入样本为真实样本的概率值,根据判别网络目标函数计算损失值,并进行反向传播,优化判别网络判别对抗样本能力;
步骤3:将步骤1中得到的对抗样本输入被攻击模型得到样本分类概率值,输入判别网络得到对抗样本概率值,根据生成网络目标函数计算损失值,并进行反向传播,优化生成网络生成通用扰动能力;
其中,计算生成网络类别约束损失值Lc、判别网络损失值LGAN、像素级约束损失值Lpix,得到生成网络损失值Lg=Lc+βLGAN+γLpix,其中β、γ为权重值;
Lc根据目标攻击和非目标攻击可选择不同目标函数;非目标攻击下,对于数据集X中的样本x,被攻击模型f(x)的预测结果标签为c0,对抗样本只需被分类为非原始标签即可,其目标就是使除c0外任意标签的置信度大于c0,此时类别约束的损失函数定义为Lnt;目标攻击下,先选定攻击标签c,通用扰动的目的是使标签c的置信度大于其他标签,此时类别约束损失函数定义为Lt;则类别约束损失值Lc取目标攻击下的Lc=Lt+Ls,或非目标攻击下的Lc=Lnt+Ls;Ls为基于攻击成功对抗样本计算的损失值;
像素级约束损失值Lpix根据攻击扰动测量方式不同选择不同目标函数;
步骤4:重复步骤1到步骤3预定次数后,生成网络即可生成攻击成功率达到预定要求的通用扰动攻击被攻击模型。
2.根据权利要求1所述的基于生成对抗网络的通用扰动生成方法,其特征在于,步骤1的具体实现包括以下子步骤:
步骤1.1:获取任意图片样本数据集Xraw并进行数据扩充,随机选择其中部分样本进行翻转、0值填充生成新的图片加入数据集中,再将Xraw中的样本随机裁剪为深度学习模型输入大小,得到样本数为m的训练数据集X;
步骤1.2:使用卷积层、反卷积层构建通用扰动生成网络G,网络中上采样部分每一层的输入都为下采样的特征加上一层特征输出,网络参数为表1;
表1
Figure FDA0003558500760000021
步骤1.3:生成与训练数据集X相同像素大小的噪声图片数据集Z,噪声图片
Figure FDA0003558500760000022
每一像素的数值为符合N(0,0.5)正态分布的随机数,将数据集
Figure FDA0003558500760000023
输入生成网络,得到样本数为m的通用扰动
Figure FDA0003558500760000024
选择噪声系数α,将通用扰动
Figure FDA0003558500760000025
与图片样本
Figure FDA0003558500760000026
得到对抗样本
Figure FDA0003558500760000027
其结合公式如下:
x′=α×μ+x。
3.根据权利要求2所述的基于生成对抗网络的通用扰动生成方法,其特征在于,步骤2的具体实现包括以下子步骤:
步骤2.1:构建判别网络D,判别网络D将样本分为N×N块,预测每一块为真实样本的概率值,网络参数为表2;
表2
Figure FDA0003558500760000028
Figure FDA0003558500760000031
步骤2.2:将图片样本
Figure FDA0003558500760000032
与对抗样本
Figure FDA0003558500760000033
输入判别网络计算损失函数Ld
Figure FDA0003558500760000034
其中,D(x(j))表示判别网络输出结果,G(z(j))表示生成网络输出结果;
步骤2.3:反向传播更新判别网络权重
Figure FDA0003558500760000035
其中,
Figure FDA0003558500760000036
表示ωd的梯度。
4.根据权利要求2所述的基于生成对抗网络的通用扰动生成方法,其特征在于:步骤3中,深度学习模型预测对抗样本分类,判别网络预测对抗样本概率,计算生成网络目标函数并反向传播进行优化;
具体实现包括以下子步骤:
步骤3.1:将对抗样本
Figure FDA0003558500760000037
输入被攻击模型f得到分类的概率向量
Figure FDA0003558500760000038
步骤3.2:计算生成网络类别约束损失值Lc、对抗样本判别网络损失值LGAN、像素级约束损失值Lpix,得到生成网络损失值Lg=Lc+βLGAN+γLpix,其中β、γ为权重值,Lc根据目标攻击和非目标攻击可选择不同目标函数,LGAN为对抗样本判别网络损失值,用于优化扰动大小,定义为:
LGAN=log(D(x(j)+G(z(j))))
Lpix根据攻击扰动测量方式不同可选择不同目标函数;
步骤3.3:使用生成网络损失值Lg反向传播更新生成网络权重
Figure FDA0003558500760000039
其中,
Figure FDA00035585007600000310
表示ωg梯度。
5.根据权利要求4所述的基于生成对抗网络的通用扰动生成方法,其特征在于:步骤3中,通用扰动生成能部署在目标攻击和非目标攻击场景下,也能基于攻击成功对抗样本计算损失值Ls,进一步优化生成网络性能;
所述非目标攻击,对于数据集X中的样本x,被攻击模型f(x)的预测结果标签为c0,对抗样本只需被分类为非原始标签即可,其训练目标是使除c0外任意标签的置信度大于c0,此时类别约束的损失函数定义为:
Figure FDA0003558500760000041
其中,i表示除c0外其他标签;
在学习过程中,生成网络生成的通用扰动将不断降低标签c0的置信度,直到任意分类的置信度高于c0的置信度为止,同时也能引入阈值κ提高攻击的可靠性,使错误分类置信度高于c0分类置信度一定程度之后再停止优化,即满足以下情况时停止优化:
Figure FDA0003558500760000042
引入阈值κ之后的损失函数变为:
Figure FDA0003558500760000043
所述目标攻击,先选定攻击标签c,通用扰动的目的是使标签c的置信度大于其他标签,此时类别约束损失函数定义为:
Lt=maxi≠clog[f(x′)]i-log[f(x′)]c
在学习过程中,模型将不断提高标签c的置信度,直到c的置信度高于其他标签的置信度为止,同样能引入阈值κ提高攻击的可靠性,即满足以下情况时停止优化:
κ>log[f(x′)]c-maxi≠clog[f(x′)]i
引入阈值κ之后的损失函数则变为:
Figure FDA0003558500760000044
所述基于攻击成功对抗样本计算损失值Ls,对于攻击成功的对抗样本数据集
Figure FDA0003558500760000045
Ls损失函数定义如下:
Figure FDA0003558500760000046
6.根据权利要求4所述的基于生成对抗网络的通用扰动生成方法,其特征在于:步骤3中,像素级约束损失值Lpix根据攻击扰动测量方式不同选择不同目标函数;
所述扰动测量方式能选择
Figure FDA0003558500760000051
三种方式,分别对应三种不同范式距离,对于
Figure FDA0003558500760000052
范式,Lpix损失函数定义如下:
Figure FDA0003558500760000053
其中
Figure FDA0003558500760000054
范式为扰动像素值之和,
Figure FDA0003558500760000055
为扰动平方和的平方根,
Figure FDA0003558500760000056
为扰动最大像素值;μ(j)表示生成网络生成的通用扰动,p表示不同范式距离
Figure FDA0003558500760000057
的取值。
CN202010254686.2A 2020-04-02 2020-04-02 一种基于生成对抗网络的通用扰动生成方法 Active CN111461307B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010254686.2A CN111461307B (zh) 2020-04-02 2020-04-02 一种基于生成对抗网络的通用扰动生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010254686.2A CN111461307B (zh) 2020-04-02 2020-04-02 一种基于生成对抗网络的通用扰动生成方法

Publications (2)

Publication Number Publication Date
CN111461307A CN111461307A (zh) 2020-07-28
CN111461307B true CN111461307B (zh) 2022-04-29

Family

ID=71684366

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010254686.2A Active CN111461307B (zh) 2020-04-02 2020-04-02 一种基于生成对抗网络的通用扰动生成方法

Country Status (1)

Country Link
CN (1) CN111461307B (zh)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111950629A (zh) * 2020-08-11 2020-11-17 精英数智科技股份有限公司 对抗样本的检测方法、装置及设备
CN112000578B (zh) * 2020-08-26 2022-12-13 支付宝(杭州)信息技术有限公司 人工智能系统的测试方法和装置
CN111738374B (zh) * 2020-08-28 2020-11-24 北京智源人工智能研究院 多样本对抗扰动生成方法、装置、存储介质和计算设备
CN111738373B (zh) * 2020-08-28 2022-09-02 北京瑞莱智慧科技有限公司 多样本对抗扰动生成方法、装置、存储介质和计算设备
CN112751828B (zh) * 2020-12-14 2022-10-14 北京中电飞华通信有限公司 对网络攻击事件的损失评估方法、装置和电子设备
CN112541557B (zh) * 2020-12-25 2024-04-05 北京百度网讯科技有限公司 生成式对抗网络的训练方法、装置及电子设备
CN112766315B (zh) * 2020-12-31 2024-03-29 湖南大学 一种用于测试人工智能模型鲁棒性的方法和系统
CN112766430B (zh) * 2021-01-08 2022-01-28 广州紫为云科技有限公司 基于黑盒通用人脸检测对抗攻击的方法、装置及存储介质
CN112818783B (zh) * 2021-01-22 2022-08-02 南京邮电大学 一种基于交通标志目标检测器改进的对抗样本生成方法
CN113076557B (zh) * 2021-04-02 2022-05-20 北京大学 一种基于对抗攻击的多媒体隐私保护方法、装置及设备
CN113507429B (zh) * 2021-04-16 2022-04-05 华东师范大学 一种基于生成式对抗网络的入侵流量的生成方法
CN113159317B (zh) * 2021-04-22 2022-10-21 北京理工大学 一种基于动态残差侵蚀的对抗样本生成方法
CN113111963B (zh) * 2021-04-23 2023-06-02 清华大学深圳国际研究生院 一种黑盒攻击行人重识别系统的方法
CN113469329B (zh) * 2021-06-24 2023-03-24 中国人民解放军陆军工程大学 一种无需样本数据的对抗贴片生成方法
CN113469873B (zh) * 2021-06-25 2023-04-25 中国人民解放军陆军工程大学 对抗智能侦察识别系统的伪装贴片生成方法
CN113256621B (zh) * 2021-06-25 2021-11-02 腾讯科技(深圳)有限公司 图像处理方法、装置、计算机设备及存储介质
CN113407936B (zh) * 2021-06-30 2022-10-28 中国科学技术大学 基于生成对抗网络的侧信道防护方法
CN113505886A (zh) * 2021-07-08 2021-10-15 深圳市网联安瑞网络科技有限公司 基于模糊测试的对抗样本生成方法、系统、终端及介质
CN113313132B (zh) * 2021-07-30 2021-11-09 中国科学院自动化研究所 对抗样本图像的确定方法、装置、电子设备及存储介质
CN114036503B (zh) * 2021-10-28 2024-04-30 广州大学 一种迁移攻击方法、装置、电子设备及存储介质
CN114023312B (zh) * 2021-11-26 2022-08-23 杭州涿溪脑与智能研究所 基于元学习的语音声纹识别通用对抗扰动构建方法及系统
CN115115905B (zh) * 2022-06-13 2023-06-27 苏州大学 基于生成模型的高可迁移性图像对抗样本生成方法
CN115496924A (zh) * 2022-09-29 2022-12-20 北京瑞莱智慧科技有限公司 一种数据处理方法、相关设备及存储介质
CN115859220B (zh) * 2022-12-23 2023-08-25 北京瑞莱智慧科技有限公司 数据处理方法、相关装置及存储介质
CN116843985B (zh) * 2023-09-01 2023-11-17 中国地质调查局武汉地质调查中心 一种基于多重一致性约束的矿区图像半监督分类方法
CN116991075B (zh) * 2023-09-26 2023-12-19 中国石油大学(华东) 一种针对故障诊断模型的通用对抗扰动生成方法
CN117523342B (zh) * 2024-01-04 2024-04-16 南京信息工程大学 一种高迁移性对抗样本生成方法、设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109272031A (zh) * 2018-09-05 2019-01-25 宽凳(北京)科技有限公司 一种训练样本生成方法及装置、设备、介质
CN110554602A (zh) * 2018-05-30 2019-12-10 罗伯特·博世有限公司 生成鲁棒的自动化学习系统并测试经训练自动化学习系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110554602A (zh) * 2018-05-30 2019-12-10 罗伯特·博世有限公司 生成鲁棒的自动化学习系统并测试经训练自动化学习系统
CN109272031A (zh) * 2018-09-05 2019-01-25 宽凳(北京)科技有限公司 一种训练样本生成方法及装置、设备、介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Adversarially robust generalization just requires more unlabeled data;Zhai, Runtian, et al;《arXiv preprint arXiv:1906.00555》;20191231;全文 *
Learning universal adversarial perturbations with generative models;Hayes J,et.al;《2018 IEEE Security and Privacy Workshops (SPW)》;20181231;全文 *
一种面向图像识别的神经网络通用扰动生成算法;李祥坤等;《系统科学与数学》;20191215(第12期);全文 *

Also Published As

Publication number Publication date
CN111461307A (zh) 2020-07-28

Similar Documents

Publication Publication Date Title
CN111461307B (zh) 一种基于生成对抗网络的通用扰动生成方法
CN113554089B (zh) 一种图像分类对抗样本防御方法、系统及数据处理终端
CN108549940B (zh) 基于多种对抗样例攻击的智能防御算法推荐方法及系统
CN110941794B (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN112364915B (zh) 一种不可察觉的对抗补丁生成方法及应用
CN113627543B (zh) 一种对抗攻击检测方法
CN113283599B (zh) 基于神经元激活率的对抗攻击防御方法
CN113744262B (zh) 一种基于GAN和YOLO-v5的目标分割检测方法
CN115860112B (zh) 基于模型反演方法的对抗样本防御方法和设备
CN113033822A (zh) 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统
CN111783845A (zh) 一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法
Liu et al. APSNet: Toward adaptive point sampling for efficient 3D action recognition
CN114724189A (zh) 一种目标识别的对抗样本防御模型训练方法、系统及应用
CN111047658B (zh) 面向深度神经网络的抗压缩对抗性图像生成方法
CN113935396A (zh) 基于流形理论的对抗样本攻击方法及相关装置
CN114626042A (zh) 一种人脸验证攻击方法和装置
CN114120401A (zh) 一种基于跨域特征对齐网络的人脸反欺诈方法
CN112149500B (zh) 一种部分遮挡的人脸识别小样本学习方法
CN116258867A (zh) 一种基于关键区域低感知性扰动的对抗样本生成方法
CN113673581B (zh) 硬标签黑盒深度模型对抗样本的生成方法、存储介质
CN115238271A (zh) 基于生成学习的ai安全性检测方法
CN114595336A (zh) 一种基于高斯混合模型的多关系语义解决模型
CN113487506A (zh) 基于注意力去噪的对抗样本防御方法、装置和系统
CN112836716B (zh) 一种可解释区域引导的对抗样本检测方法
CN113657448B (zh) 一种基于生成对抗网络和梯度解释的对抗样本防御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant