CN111507384A - 一种黑盒深度模型对抗样本生成方法 - Google Patents
一种黑盒深度模型对抗样本生成方法 Download PDFInfo
- Publication number
- CN111507384A CN111507384A CN202010259240.9A CN202010259240A CN111507384A CN 111507384 A CN111507384 A CN 111507384A CN 202010259240 A CN202010259240 A CN 202010259240A CN 111507384 A CN111507384 A CN 111507384A
- Authority
- CN
- China
- Prior art keywords
- amplitude
- frequency
- delta
- dimension
- black box
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Image Analysis (AREA)
Abstract
本发明涉及一种黑盒深度模型对抗样本生成方法,其能够有效减少对模型的查询次数。其针对传统黑盒攻击方法由于解空间巨大、优化困难、查询次数多的问题。对于输入的图片,随机选取低频频率基对抗噪声空间,将对对抗噪声的高维优化问题转化为对相应振幅的低维优化问题,从而达到有效减少对模型的查询次数的目的。
Description
技术领域
本发明涉及黑盒攻击领域,具体涉及一种黑盒深度模型对抗样本生成方法。
背景技术
近年来,随着硬件GPU快速发展及大数据时代的来临,深度学习得到了迅猛发展,已席卷人工智能各个领域,包括语音识别、图像识别、视频跟踪、自然语音处理等在内的图、文、视频领域。深度学习技术突破了传统技术方法,大大提高各领域的识别性能。然而深度神经网络已经被证实容易受到微小的扰动的干扰,这引起了诸如自动驾驶、人脸验证等许多领域的安全担忧。
黑盒攻击是指攻击者在不清楚被攻击模型的诸如网络架构、模型参数等内部信息,只能通过输入来获取对应输出结果的情形下的攻击场景。一些攻击尝试通过在已有的模型上进行白盒攻击生成对抗噪声,然后迁移到目标模型上的方式来进行黑盒攻击。这种攻击方式可以很快地生成对抗样本,但是攻击成功率较低。
一些基于查询的方式通过反复输入图片,得到反馈,来更新对抗噪声。这类方式通常能达到很高的攻击成功率,但是需要对模型进行上千次的查询。这在实际场景中开销巨大,并且很容易被线上系统通过限制频率来防御。
因此,一种更高效的黑盒对抗生成样本方法将成为研究和应用的重点。
发明内容
针对现有技术存在的问题,本发明的目的在于提供一种黑盒深度模型对抗样本生成方法,其能够有效减少对模型的查询次数。
为实现上述目的,本发明采用的技术方案是:
一种黑盒深度模型对抗样本生成方法,其通过将待求取的对抗噪声δ采用频率分解的形式表示,即
δ=∑jαjwj=αW,
其中,αj表示频率j的幅度,向量α表示振幅,其维度等同于频率数量m;wj表示频率j的基,W为降维投影矩阵;
从而将对抗噪声δ的求取转化为构建降维投影矩阵W和优化相应的振幅。
所述方法具体如下:
步骤1、输入图像x的维度d,设置频率数量m、低频限制参数r和最大查询次数max_iter;
步骤2、构建降维投影矩阵W;
步骤2.1、全零初始化降维投影矩阵W,初始化频率j=0;
步骤2.2、若频率j小于频率数量m,从Ir×d中随机挑选一个基vj,令W[j,:]=DCT(vj),j=j+1;
步骤2.3、重复步骤2.2,直至频率j等于频率数量m;此时,输出降维投影矩阵W;
步骤3、优化振幅α;
步骤3.1、初始化振幅α=0,查询次数t=0;
步骤3.2、随机采样向量Δα,如果Δα使得所攻击的神经网络模型的目标函数下降,则更新α=α+Δα;
如果此时攻击成功,进入步骤4;否则,令t=t+1,若t小于最大查询次数max_iter,重复步骤3.2;若t等于最大查询次数max_iter,进入步骤4;
步骤4、输出对抗噪声δ=αW。
所述步骤3在进行优化振幅时,将振幅约束到离散的三值空间,即
Δαi∈{-ρ,0,ρ},
其中,Δαi表示向量Δα的第i维,-ρ表示减少振幅,0表示保持振幅,ρ表示增加振幅;ρ的大小为改变的幅度大小。
所述步骤3在进行优化振幅时,采用了概率驱动的优化方法,具体如下:
步骤3.1、初始化α=0,查询次数t=0;
步骤3.2、求取采样概率;
步骤3.2.1、将振幅约束到离散的三值空间,即
Δαi∈{-ρ,0,ρ},
其中,Δαi表示向量Δα的第i维,-ρ表示减少振幅,0表示保持振幅,ρ表示增加振幅;ρ的大小为改变的幅度大小。
步骤3.2.2、计算Δα每一维度在不同离散值上的混淆矩阵,如下:
Δα<sub>i</sub> | -ρ | 0 | ρ |
有效次数 | e<sub>-ρ</sub> | e<sub>0</sub> | e<sub>ρ</sub> |
无效次数 | i<sub>-ρ</sub> | i<sub>0</sub> | i<sub>ρ</sub> |
步骤3.2.3、根据混淆矩阵计算采样概率P(Δαi=v):
其中,P(有效|Δαi=v)为δi在每一个值上的有效概率,其计算如下:
步骤3.3、根据步骤3.2得到的采样概率采样Δα,Δαx∈{-ρ,0,ρ};如果Δα使得目标函数下降,则更新α=α+Δα;如果此时攻击成功,进入步骤4;否则,令t=t+1,若t小于最大查询次数max_iter,更新混淆矩阵,进入步骤3.2;若t等于最大查询次数max_iter,进入步骤4。
本发明针对传统黑盒攻击方法由于解空间巨大、优化困难、查询次数多的问题。对于输入的图片,随机选取低频频率基对抗噪声空间,将对对抗噪声的高维优化问题转化为对相应振幅的低维优化问题,从而达到有效减少对模型的查询次数的目的。
此外,本发明在上述基础上,采用简化随机游走策略用于对抗噪声的更新,每次随机采样一步,如果该步使得目标函数下降,则更新噪声。为了更快优化,本发明将每次采样的空间约束到离散的三值上,并对每个可能值计算成功概率,基于此做采样。进而从而在有效减少对模型的查询次数的基础上,进一步提高了黑盒攻击的成功率。
附图说明
图1为本发明实施例二和实施例三及现有方法在ResNet-50网络模型下的攻击效果对比图;
图2为本发明实施例二和实施例三及现有方法在VGG-16网络模型下的攻击效果对比图;
图3为本发明实施例二和实施例三及现有方法在Inception-V3网络模型下的攻击效果对比图。
具体实施方式
本发明揭示了一种黑盒深度模型对抗样本生成方法,通过将待求取的对抗噪声δ采用频率分解的形式表示,即δ=∑jαjwj=αW,其中,αj表示频率j的幅度,α表示振幅,其维度等同于频率数量m;wj表示频率j的基,W为降维投影矩阵;从而将对抗噪声δ的求取转化为构建降维投影矩阵W和优化相应的振幅。
本发明针对传统黑盒攻击方法由于解空间巨大、优化困难、查询次数多的问题。对于输入的图片,随机选取低频频率基对抗噪声空间,将对对抗噪声的高维优化问题转化为对相应振幅的低维优化问题,从而达到有效减少对模型的查询次数的目的。
为详尽本发明技术方案,以下将列举三个实施例对黑盒深度模型对抗样本生成方法进行详述。
实施例一
本实施例一种黑盒深度模型对抗样本生成方法,具体如下:
步骤1、输入图像x的维度d,设置频率数量m、低频限制参数r和最大查询次数max_iter;
步骤2、构建降维投影矩阵W;
步骤2.1、全零初始化降维投影矩阵W,初始化频率j=0;
步骤2.2、若频率j小于频率数量m,从矩阵Ir×d中随机挑选一个基vj,令W[j,:]=DCT(vj),j=j+1;
步骤2.3、重复步骤2.2,直至频率j等于频率数量m;此时,输出降维投影矩阵W;
步骤3、优化振幅α;
步骤3.1、初始化振幅α=0,查询次数t=0;
步骤3.2、在一定的区间[-ρ,ρ]内随机采样向量Δα。如果Δα使得所攻击的神经网络模型的目标函数下降,则更新α=α+Δα;
如果此时攻击成功,进入步骤4;否则,令t=t+1,若t小于最大查询次数max_iter,重复步骤3.2;若t等于最大查询次数max_iter,进入步骤4;
步骤4、输出对抗噪声δ=αW。
实施例二
本实施例一的基础上,将在进行优化振幅时,将振幅约束到离散的三值空间。本实施例一种黑盒深度模型对抗样本生成方法具体如下:
步骤1、输入图像x的维度d,设置频率数量m、低频限制参数r和最大查询次数max_iter;
步骤2、构建降维投影矩阵W;
步骤2.1、全零初始化降维投影矩阵W,初始化频率j=0;
步骤2.2、若频率j小于频率数量m,从Ir×d中随机挑选一个基vj,令W[j,:]=DCT(vj),j=j+1;
步骤2.3、重复步骤2.2,直至频率j等于频率数量m;此时,输出降维投影矩阵W;
步骤3、优化振幅α;
步骤3.1、初始化振幅α=0,查询次数t=0;
步骤3.2、随机采样向量Δα,Δαi∈{-ρ,0,ρ},其中,Δαi表示向量Δα的第i维,-ρ表示减少振幅,0表示保持振幅,ρ表示增加振幅;ρ的大小为改变的幅度大小;
如果Δα使得所攻击的神经网络模型的目标函数下降,则更新α=α+Δα;如果此时攻击成功,进入步骤4;否则,令t=t+1,若t小于最大查询次数max_iter,重复步骤3.2;若t等于最大查询次数max_iter,进入步骤4;
步骤4、输出对抗噪声δ=αW。
实施例三
本实施例在实施例一的基础上,将在进行优化振幅时,将振幅约束到离散的三值空间,且采用概率驱动的优化采样方法。本实施例的一种黑盒深度模型对抗样本生成方法具体如下:
步骤1、输入图像x的维度d,设置频率数量m、低频限制参数r和最大查询次数max_iter;
步骤2、构建降维投影矩阵W;
步骤2.1、全零初始化降维投影矩阵W,初始化频率j=0;
步骤2.2、若频率j小于频率数量m,从Ir×d中随机挑选一个基vj,令W[j,:]=DCT(vj),j=j+1;
步骤2.3、重复步骤2.2,直至频率j等于频率数量m;此时,输出降维投影矩阵W;
步骤3、优化振幅α;
步骤3.1、初始化α=0,查询次数t=0;
步骤3.2、求取采样概率;
步骤3.2.1、将振幅约束到离散的三值空间,即
Δαi∈{-ρ,0,ρ},
其中,Δαi表示向量Δα的第i维,-ρ表示减少振幅,0表示保持振幅,ρ表示增加振幅;ρ的大小为改变的幅度大小。
步骤3.2.2、计算Δα每一维度在不同离散值上的混淆矩阵,如下:
Δα<sub>i</sub> | -ρ | 0 | ρ |
有效次数 | e<sub>-ρ</sub> | e<sub>0</sub> | e<sub>ρ</sub> |
无效次数 | i<sub>-ρ</sub> | i<sub>0</sub> | i<sub>ρ</sub> |
步骤3.2.3、根据混淆矩阵计算采样概率P(Δαi=v):
其中,P(有效|Δαi=v)为δi在每一个值上的有效概率,其计算如下:
步骤3.3、根据步骤3.2得到的采样概率采样Δα,Δαi∈{-ρ,0,ρ};
如果Δα使得目标函数下降,则更新α=α+Δα;如果此时攻击成功,进入步骤4;否则,令t=t+1,若t小于最大查询次数max_iter,更新混淆矩阵,进入步骤3.2;若t等于最大查询次数max_iter,进入步骤4。
步骤4、输出对抗噪声δ=αW。
本发明在经典网络模型上进行了测试,包括VGG-16,ResNet-50和Inception-V3。对抗噪声的采用了L-2范数约束,数据集为通用的ImageNet数据集。测试结果如表1和表2所示:
表1
表2
表1为现有方法及现有方法结合实施例一的攻击效果对比,现有方法结合实施例一表示在实施例一的优化振幅部分采用现有的优化方法,例如NES+OURS表示,在实施例一的优化振幅部分采用NES优化方法。其中,ASR表示攻击成功率(越高越好),Queries下的两个数值分别表示在成功攻击的样本上和在全部样本上的攻击查询次数(越低越好)。NES和Bandits为现有的两种黑盒攻击方法,Gaussian和Bandits_TD为两种降维的基准测试。
从中表1可以看出:本发明的黑盒深度模型对抗样本生成方法在大大提高了攻击成功率的同时,能有效减少至少24%的查询次数。这表明了本发明的高效性。
表2为本发明与现有方法的攻击效果对比。其中,ASR表示攻击成功率(越高越好),Queries下的两个数值分别表示在成功攻击的样本上和在全部样本上的攻击查询次数(越低越好)。表2中,NES、Bandits、SimBA-DCT为现有方法,PRBA为采用了降维但是未采用概率驱动的优化采样方法(即实施例二),PPBA为本发明提出的基于投影降维和概率驱动的黑盒深度模型对抗样本生成方法(即实施例三)。而表2中AUC为图1-3曲线下方的面积,越大越好。
结合表2和图1-3可知,实施例二提出的方法相比较现有的方法,在保持差不多或者更高的攻击成功率的情形下,花费更少的查询次数。而实施例三的方法在较少的查询次数下能取得较高的攻击成功率,表明了本发明的优越性。
以上所述,仅是本发明实施例而已,并非对本发明的技术范围作任何限制,故凡是依据本发明的技术实质对以上实施例所作的任何细微修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (4)
1.一种黑盒深度模型对抗样本生成方法,其特征在于:通过将待求取的对抗噪声δ采用频率分解的形式表示,即
δ=∑jαjwj=αW,
其中,αj表示频率j的幅度,向量α表示振幅,其维度等同于频率数量m;wj表示频率j的基,W为降维投影矩阵;
从而将对抗噪声δ的求取转化为构建降维投影矩阵W和优化相应的振幅。
2.根据权利要求1所述的一种黑盒深度模型对抗样本生成方法,其特征在于:所述方法具体如下:
步骤1、输入图像x的维度d,设置频率数量m、低频限制参数r和最大查询次数max_iter;
步骤2、构建降维投影矩阵W;
步骤2.1、全零初始化降维投影矩阵W,初始化频率j=0;
步骤2.2、若频率j小于频率数量m,从矩阵Ir×d中随机挑选一个基vj,令W[j,:]=DCT(vj),j=j+1;
步骤2.3、重复步骤2.2,直至频率j等于频率数量m;此时,输出降维投影矩阵W;
步骤3、优化振幅α;
步骤3.1、初始化振幅α=0,查询次数t=0;
步骤3.2、随机采样向量Δα,如果Δα使得所攻击的神经网络模型的目标函数下降,则更新α=α+Δα;
如果此时攻击成功,进入步骤4;否则,令t=t+1,若t小于最大查询次数max_iter,重复步骤3.2;若t等于最大查询次数max_iter,进入步骤4;
步骤4、输出对抗噪声δ=αW。
3.根据权利要求2所述的一种黑盒深度模型对抗样本生成方法,其特征在于:所述步骤3在进行优化振幅时,将振幅约束到离散的三值空间,即
Δαi∈{-ρ,0,ρ},
其中,Δαi表示向量Δα的第i维,-ρ表示减少振幅,0表示保持振幅,ρ表示增加振幅;ρ的大小为改变的幅度大小。
4.根据权利要求2所述的一种黑盒深度模型对抗样本生成方法,其特征在于:所述步骤3在进行优化振幅时,采用了概率驱动的优化方法,具体如下:
步骤3.1、初始化α=0,查询次数t=0;
步骤3.2、求取采样概率;
步骤3.2.1、将振幅约束到离散的三值空间,即
Δαi∈{-ρ,0,ρ},
其中,Δαi表示向量Δα的第i维,-ρ表示减少振幅,0表示保持振幅,ρ表示增加振幅;ρ的大小为改变的幅度大小。
步骤3.2.2、计算Δα每一维度在不同离散值上的混淆矩阵,如下:
步骤3.2.3、根据混淆矩阵计算采样概率P(Δαi=v):
其中,P(有效|Δαi=v)为δi在每一个值上的有效概率,其计算如下:
步骤3.3、根据步骤3.2得到的采样概率采样Δα,Δαi∈{-ρ,0,ρ};
如果Δα使得目标函数下降,则更新α=α+Δα;如果此时攻击成功,进入步骤4;否则,令t=t+1,若t小于最大查询次数max_iter,更新混淆矩阵,进入步骤3.2;若t等于最大查询次数max_iter,进入步骤4。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010259240.9A CN111507384B (zh) | 2020-04-03 | 2020-04-03 | 一种黑盒深度模型对抗样本生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010259240.9A CN111507384B (zh) | 2020-04-03 | 2020-04-03 | 一种黑盒深度模型对抗样本生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111507384A true CN111507384A (zh) | 2020-08-07 |
CN111507384B CN111507384B (zh) | 2022-05-31 |
Family
ID=71875939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010259240.9A Active CN111507384B (zh) | 2020-04-03 | 2020-04-03 | 一种黑盒深度模型对抗样本生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111507384B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113111731A (zh) * | 2021-03-24 | 2021-07-13 | 浙江工业大学 | 基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统 |
CN113128616A (zh) * | 2021-05-07 | 2021-07-16 | 清华大学 | 确定黑盒攻击算法的方法、装置、计算机存储介质及终端 |
CN113326356A (zh) * | 2021-08-03 | 2021-08-31 | 北京邮电大学 | 针对文本分类器的自然对抗样本生成方法及相关装置 |
CN113673581A (zh) * | 2021-07-29 | 2021-11-19 | 厦门路桥信息股份有限公司 | 硬标签黑盒深度模型对抗样本的生成方法、存储介质 |
CN114661940A (zh) * | 2022-01-28 | 2022-06-24 | 宁波大学 | 一种适用于黑盒攻击下快速获取语音对抗样本的方法 |
CN115510440A (zh) * | 2022-09-21 | 2022-12-23 | 中国工程物理研究院计算机应用研究所 | 一种基于nes算法的黑盒模型反演攻击方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108520268A (zh) * | 2018-03-09 | 2018-09-11 | 浙江工业大学 | 基于样本选择和模型进化的黑盒对抗性攻击防御方法 |
CN109961145A (zh) * | 2018-12-21 | 2019-07-02 | 北京理工大学 | 一种针对图像识别模型分类边界敏感的对抗样本生成方法 |
CN109992931A (zh) * | 2019-02-27 | 2019-07-09 | 天津大学 | 一种基于噪声压缩的可迁移的非黑盒攻击对抗方法 |
CN110276377A (zh) * | 2019-05-17 | 2019-09-24 | 杭州电子科技大学 | 一种基于贝叶斯优化的对抗样本生成方法 |
CN110941794A (zh) * | 2019-11-27 | 2020-03-31 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
-
2020
- 2020-04-03 CN CN202010259240.9A patent/CN111507384B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108520268A (zh) * | 2018-03-09 | 2018-09-11 | 浙江工业大学 | 基于样本选择和模型进化的黑盒对抗性攻击防御方法 |
CN109961145A (zh) * | 2018-12-21 | 2019-07-02 | 北京理工大学 | 一种针对图像识别模型分类边界敏感的对抗样本生成方法 |
CN109992931A (zh) * | 2019-02-27 | 2019-07-09 | 天津大学 | 一种基于噪声压缩的可迁移的非黑盒攻击对抗方法 |
CN110276377A (zh) * | 2019-05-17 | 2019-09-24 | 杭州电子科技大学 | 一种基于贝叶斯优化的对抗样本生成方法 |
CN110941794A (zh) * | 2019-11-27 | 2020-03-31 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
Non-Patent Citations (3)
Title |
---|
HONG LIU ET AL.: "Universal Adversarial Perturbation via Prior Driven Uncertainty Approximation", 《2019 IEEE/CVF INTERNATIONAL CONFERENCE ON COMPUTER VISION (ICCV)》 * |
JIE LI ET AL.: "Projection & Probability-Driven Black-Box Attack", 《2020 IEEE/CVF CONFERENCE ON COMPUTER VISION AND PATTERN RECOGNITION (CVPR)》 * |
孟东宇: "黑盒威胁模型下深度学习对抗样本的生成", 《电子设计工程》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113111731A (zh) * | 2021-03-24 | 2021-07-13 | 浙江工业大学 | 基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统 |
CN113128616A (zh) * | 2021-05-07 | 2021-07-16 | 清华大学 | 确定黑盒攻击算法的方法、装置、计算机存储介质及终端 |
CN113673581A (zh) * | 2021-07-29 | 2021-11-19 | 厦门路桥信息股份有限公司 | 硬标签黑盒深度模型对抗样本的生成方法、存储介质 |
CN113673581B (zh) * | 2021-07-29 | 2023-08-01 | 厦门路桥信息股份有限公司 | 硬标签黑盒深度模型对抗样本的生成方法、存储介质 |
CN113326356A (zh) * | 2021-08-03 | 2021-08-31 | 北京邮电大学 | 针对文本分类器的自然对抗样本生成方法及相关装置 |
CN113326356B (zh) * | 2021-08-03 | 2021-11-02 | 北京邮电大学 | 针对文本分类器的自然对抗样本生成方法及相关装置 |
CN114661940A (zh) * | 2022-01-28 | 2022-06-24 | 宁波大学 | 一种适用于黑盒攻击下快速获取语音对抗样本的方法 |
CN114661940B (zh) * | 2022-01-28 | 2023-08-08 | 宁波大学 | 一种适用于黑盒攻击下快速获取语音对抗样本的方法 |
CN115510440A (zh) * | 2022-09-21 | 2022-12-23 | 中国工程物理研究院计算机应用研究所 | 一种基于nes算法的黑盒模型反演攻击方法及系统 |
CN115510440B (zh) * | 2022-09-21 | 2023-09-08 | 中国工程物理研究院计算机应用研究所 | 一种基于nes算法的黑盒模型反演攻击方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111507384B (zh) | 2022-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111507384B (zh) | 一种黑盒深度模型对抗样本生成方法 | |
CN110941794A (zh) | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 | |
CN113704758B (zh) | 一种黑盒攻击对抗样本生成方法及系统 | |
CN112085050A (zh) | 基于pid控制器的对抗性攻击与防御方法及系统 | |
CN113033822A (zh) | 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统 | |
CN115510440B (zh) | 一种基于nes算法的黑盒模型反演攻击方法及系统 | |
CN110674836A (zh) | 一种基于生成网络的稀疏对抗样本生成方法 | |
CN114444690B (zh) | 一种基于任务扩增的迁移攻击方法 | |
CN112733458A (zh) | 一种基于自适应变分模态分解的工程结构信号处理方法 | |
CN113361611B (zh) | 一种众包任务下的鲁棒分类器训练方法 | |
Xu et al. | Sparse adversarial attack for video via gradient-based keyframe selection | |
Xu et al. | Sparse black-box inversion attack with limited information | |
CN113221388A (zh) | 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法 | |
CN113570493A (zh) | 一种图像生成方法及装置 | |
CN112270367A (zh) | 一种基于语义信息的深度学习模型对抗鲁棒性增强方法 | |
CN111950635A (zh) | 一种基于分层特征对齐的鲁棒特征学习方法 | |
CN113379593B (zh) | 一种图像生成方法、系统及相关设备 | |
CN115984667A (zh) | 一种基于Fisher信息的对抗训练泛化能力提升方法 | |
Wang et al. | Criss-Cross Attentional Siamese Networks for Object Tracking. | |
CN114970858A (zh) | 基于平滑神经网络模型权重损失地形的鲁棒性提升方法 | |
CN115238271A (zh) | 基于生成学习的ai安全性检测方法 | |
CN114584337A (zh) | 一种基于遗传算法的语音攻击伪造方法 | |
CN114428954A (zh) | 一种基于动态化网络结构学习的黑盒攻击系统 | |
CN113673581A (zh) | 硬标签黑盒深度模型对抗样本的生成方法、存储介质 | |
CN114898168B (zh) | 基于条件标准流模型的黑盒对抗样本生成方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |