CN111598210B - 面向基于人工免疫算法对抗攻击的对抗防御方法 - Google Patents
面向基于人工免疫算法对抗攻击的对抗防御方法 Download PDFInfo
- Publication number
- CN111598210B CN111598210B CN202010361159.1A CN202010361159A CN111598210B CN 111598210 B CN111598210 B CN 111598210B CN 202010361159 A CN202010361159 A CN 202010361159A CN 111598210 B CN111598210 B CN 111598210B
- Authority
- CN
- China
- Prior art keywords
- sample
- samples
- picture
- original picture
- objective function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种面向基于人工免疫算法对抗攻击的对抗防御方法,包括以下步骤:(1)获取原始图片样本集;以原始图片样本为基础,基于人工免疫算法生成对抗样本;将原始图片样本与对抗样本合并,分为训练集和测试集;(2)利用训练集和测试集对图片分类器进行训练,获得图片识别模型;(3)利用图片识别模型对待识别图片进行识别,实现图片识别的对抗防御。本发明可以解决在面对基于人工免疫算法对抗攻击时,现有技术的防御效果较差、分类器识别准确率较低的技术问题。
Description
技术领域
本发明涉及对抗防御领域,尤其涉及一种面向基于人工免疫算法对抗攻击的对抗防御方法。
背景技术
最近几年,深度神经网络在很多机器学习领域获得了巨大的突破,例如:图像分类、目标识别、目标检测、语音识别、语言翻译、语音合成等领域。然而,尽管深度神经网络在这些领域获得了极大的成功,但是,最近也有大量的研究证明,即便是性能最优秀的深度神经网络,它依然能被对抗样本攻破。这一发现对一些关键的安全应用程序构成了严重威胁,例如自动汽车、生物识别和监控系统。可以简单地试想,在一个自动汽车系统中,本来应该被识别为红灯停的图片因为受到了对抗样本的攻击,被识别成了绿灯通行,那会造成多么巨大的危害。这一现象也引起了深度学习领域学者们的广泛关注。
对抗样本是由对抗攻击生成,通过精心设计人的肉眼看不到的噪声扰动,再添加到干净的样本上,可以达到欺骗深度神经网络的效果,即极大地改变深度网络的输出,并且具有很高的置信度。目前,已经有很多关于对抗攻击的著作和文献。总的来说,对抗攻击可以大致分为两类:黑盒攻击和白盒攻击。分类的依据则是基于暴露给攻击者的目标模型的相关信息。例如,在白盒攻击中,攻击者可以得到完整的深度神经网络信息,这其中主要包含神经网络的架构和内部参数。与之相反,不能直接获取神经网络的相关信息,只能通过传递给神经网络的输入和与之对应的输出的相关信息来作为攻击的途径,就是黑盒攻击。在大部分应用领域,例如图像分类、目标检测等,因为白盒攻击可以获得更丰富的信息资料,所以一般情况下,白盒攻击对比黑盒攻击经常会获得更高的攻击成功率。
目前,针对已有文献中提出的各种对抗攻击,经过大量研究和尝试,有很多的防御方法被提出,用来设计在面对对抗样本时更鲁棒的深度神经网络模型。现有的对抗防御方法主要可以分为两类。第一种是监督策略:这些策略旨在通过将被噪声破坏的输入作为训练样本或将应用不同攻击产生的对抗样本注入到深度神经网络的训练阶段中来提高模型的泛化程度。这类方法的特点是非常适合于特定的扰动模式,并且只能部分地规避由其他攻击场景(例如,具有不同的扰动分布)生成的对抗样本。第二类对抗防御方法是无监督策略:这些策略的目的是通过在损失函数中加入平滑惩罚作为正则化项来平滑决策边界,或者通过去除不必要的变量来压缩神经网络模型。这些工作是基于一个隐含的假设发展起来的,即对抗性样本的存在是由在高维度的空间中的决策边界的分段线性行为决定的,这里的决策边界主要通过梯度下降法得到。因此,如果在输入空间中处考虑稍高的扰动去跨过平滑的决策边界,那么对抗样本的有效性就会受到影响。
然而,在上述提到的方法中,在面对基于人工免疫算法的对抗攻击时,防御的效果普遍较差,分类器的识别准确率较低。
发明内容
本发明提供了一种面向基于人工免疫算法对抗攻击的对抗防御方法,以解决在面对基于人工免疫算法对抗攻击时,现有技术的防御效果较差、分类器识别准确率较低的技术问题。
本发明的具体技术方案如下:
一种面向基于人工免疫算法对抗攻击的对抗防御方法,包括以下步骤:
(1)获取原始图片样本集;以原始图片样本为基础,基于人工免疫算法生成对抗样本;将原始图片样本与对抗样本合并,分为训练集和测试集;
(2)利用训练集和测试集对图片分类器进行训练,获得图片识别模型;
(3)利用图片识别模型对待识别图片进行识别,实现图片识别的对抗防御。
所述的原始图片样本集为cifar10数据集,包括60000张图片样本。
以原始图片样本为基础,基于人工免疫算法生成对抗样本,包括以下步骤:
(i)在每个原始图片样本上随机添加扰动块,构成N个不同的扰动样本,建立初始种群n0;N为25~50;
以如下公式在原始图片样本上添加扰动块:
式中,x表示原始图片样本横坐标,y表示原始图片样本纵坐标;当mxy等于0时,表明原始图片样本在该位置处不添加扰动,当mxy等于1时,表明样本在该位置处添加扰动;rand()表示在区间[0,1]上服从均匀分布的随机数。
(ii)依据适应度函数计算每个扰动样本的适应度值;依据适应度值成比例地生成扰动样本的克隆体,再对每个克隆体进行变异操作,生成子样本群n1;
所述的适应度函数为:
F=f(x′)y+||x′-x||0 (4)
式中,x′为扰动样本;x为x′对应的原始图片样本;y为x的目标标签;f(x′)y表示图片分类器将扰动样本x′识别成目标标签y的置信度;||x′-x||0表示x′与x差的0范式,即为增加的扰动个数。
对每个克隆体进行变异操作如下式所示;
x′=x+λ·N(0,1)·ef* (5)
式中,x′为扰动样本;x为x′对应的原始图片样本;f*是x的适应度经0~1标准化后的值,即f*∈[0,1];N(0,1)表示标准正太随机分布数,其中均值μ等于0,标准方差σ等于1;λ是比例常数,用于控制指数函数的衰减程度。优选的,λ取值为0.1。
(iii)将子样本群n1与初始种群n0合并形成新样本群n01,根据样本的适应度对新样本群n01中的样本进行帕累托排序,选取N个较优样本形成样本记忆集M;
根据样本的适应度对新样本群n01中的样本进行帕累托排序包括:对新样本群n01进行非支配排序,对所有样本进行分层;计算每层中样本的拥挤度,对同层中的样本进行排序;选择N个较优样本形成样本记忆集M。
对新样本群n01进行非支配排序包括:
a)计算每个样本的被支配度Np和支配度Sp;
支配度Np表示个体p被种群中多少其他样本支配,支配度Sp表示样本p支配种群中样本的总数量。
b)设置i=0,i表示层级;
c)挑出新样本群n01中支配度Np为i的个体,构成非支配样本群Fi;
d)遍历Fi中的每一个个体,在该过程中,遍历每个个体的Sp中的个体;当遍历到Sp中的某个体时,将该个体的Np减1;Fi遍历完成后,将Np为0的个体归入非支配样本群Fi+1;
e)i=i+1;
f)重复步骤d)~e),直到所有个体完成分级。
样本的拥挤度计算公式如下:
Ii=(f1,i+1-f1,i-1)/(f1max-f1min)+(f2,i+1-f2,i-1)/(f2max-f2min) (8)
其中,Ii表示第i个样本的拥挤度;f1,i+1表示第i+1个样本的第一个目标函数值;f1max表示该层所有个体中,第一个目标函数能取到的最大值;f2,i+1表示第i+1个样本的第二个目标函数值;f2max表示该层所有个体中,第二个目标函数能取到的最大值;f1,i-1表示第i-1个样本的第一个目标函数值;f1min表示该层所有个体中,第一个目标函数的最小值;f2,i-1表示第i-1个样本的第二个目标函数值;f2min表示该层所有个体中,第二个目标函数的最小值;第一目标函数为F1=minf(x′)y;第二目标函数为F2=||x′-x||0。
(iv)针对样本记忆集M,计算两样本之间的相似度,若相似度小于网络抑制阈值ζ,则删除两个样本中的一个;
两样本之间的相似度用两者之间的欧氏距离表示。两样本相距越近,表明它们越相似。
(v)根据步骤(i)的方法随机生成扰动样本并引入到样本记忆集M中,引入的扰动样本数目与步骤(iv)中删除的样本数目相同;
(vi)重复步骤(ii)~(v),直至迭代次数达到预设值,获得对抗样本集。
优选的,步骤(vi)中,迭代次数的预设值为50。
所述的图片分类器包括依次连接的两层卷积层和两层全连接层;第一层卷积层包含32个卷积核,卷积核大小为5*5,步长为2,激活函数采用relu函数;第二层卷积层包含64个卷积核,卷积核大小为5*5,步长为2,激活函数采用relu函数;第一层全连接层包含1024个神经元,激活函数采用relu函数;第二层全连接层包含10个神经元,激活函数采用softmax函数。
对所述的图片分类器进行训练时,采用的损失函数为
对所述的图片分类器进行训练时,学习率设置为0.001;优化算法采用Adadelta方法;迭代次数设置为20。
与现有技术相比,本发明的有益效果为:
本发明采用人工免疫算法进行多目标优化,人工免疫算法本身具有较强的多样性,调整性,算法中的克隆和变异操作也都有助于局部优化,这使得生成的对抗样本具有较强的攻击性能。本发明使用该对抗样本进行对抗训练,使得到的模型面对对抗攻击具有较强的防御效果。
附图说明
图1为本发明的面向基于人工免疫算法的对抗攻击进行对抗防御的方法流程示意图;
图2为实施例中基于人工免疫算法生成扰动的对抗攻击流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细描述,需要指出的是,以下所述实施例旨在便于对本发明的理解,而对其不起任何限定作用。
如图1和图2所示,本实施例提供了一种面向基于人工免疫算法的对抗攻击进行对抗防御的方法,包括以下步骤:
1)建立数据集,数据集由两部分组成:训练集和测试集,具体过程如下:
1.1)选取cifar10数据集作为正常样本数据集,其共有两个部分,训练集和测试集,其中训练集包含50000张图片,测试集包含10000张图片。
1.2)初始化种群。在正常的图像样本上随机添加扰动块,构成N(N=25~50)个不同的对抗样本,建立初始种群n0,种群大小为N,种群中每个个体都是一个对抗样本。每个正常样本都生成N个对抗样本。具体添加扰动公式为:
式中,x表示样本图片横坐标,y表示样本图片纵坐标,当mxy等于0时,表明样本在该位置处不添加扰动,反之,当mxy等于1时,表明样本在该位置处添加扰动。rand()表示在区间[0,1]上服从均匀分布的随机数。
1.3)计算适应度函数。为成功实现基于人工免疫算法的对抗攻击,本发明考虑关于对抗攻击的两个主要因素:实现攻击和扰动大小。实现攻击是指对抗样本成功欺骗分类器。扰动大小是指在一张干净的样本中添加的扰动个数,即扰动的总数。实现对抗攻击的表达式如公式(2)所示,该式为目标函数F1。扰动大小的表达式如公式(3)所示,该式作为目标函数F2。以上述两个主要因素作为多目标优化的目标函数。
minf(x′)y (2)
式中,x′表示对抗样本,y表示对抗样本未加扰动之前干净样本对应的目标标签。f表示分类器,f(x′)y则表示分类器将对抗样本x′识别成目标y的置信度,通过最小化分类器将对抗样本识别为标签y的置信度,即可达到攻击的目的。
s=||x′-x||0 (3)
式中,x表示干净的样本图片。x′表示对抗样本图片。s表示对抗样本与干净样本差的0范式,即为增加的扰动个数。
以F1和F2两个主要因素作为参考,设计适应度函数,适应度函数具体形式如公式(4):
F=f(x′)y+||x′-x||0 (4)
本发明中提出的适应度函数综合考虑了成功攻击和扰动的数目两个因素,以此来产生对抗样本。
1.4)克隆、变异样本
从步骤1.3)中根据适应度函数,计算得到适应度值。依据适应度值越小的样本生成的克隆体越多的规则,成比例地生成样本相应的克隆体,若总克隆体数目为N,(某个体适应度为am,其他个体适应度值为则该个体的克隆体个数为/>),然后每个克隆体进行变异操作,得到子样本群n1,并保留原父样本n0。原父样本n0即为初始种群n0。
样本的变异操作具体如式(5)所示:
x′=x+λ·N(0,1)·ef* (5)
式中,x表示干净的样本图片;x′表示为变异后的样本;f*是样本x的适应度经0~1标准化后的值,即f*∈[0,1];N(0,1)表示标准正太随机分布数,其中均值μ等于0,标准方差σ等于1;λ是比例常数(取值为0.1),用于控制指数函数的衰减程度。从公式中可明显看出,抗体适应度越小,其变异程序越小,这样可以有利于保持局部优化解的稳定。
已知变异后抗体x″,通过公式(6)求解出样本添加扰动的概率p(x′)。
根据抗体添加扰动的概率,由式(7)判断在样本(x,y)处是否添加扰动。
1.5)生成样本记忆集
克隆与变异后的子样本群n1与原父样本n0组合形成新的样本群n01,根据适应度进行帕累托排序,在新群体中选取N个较优样本形成样本记忆集M。个体优劣排序根据帕累托最优原则排序,其主要分为两个部分。第一部分是非支配排序:首先判断两个解的支配关系,对样本x1计算所有的目标函数,若其值都小于或等于样本x2相应的值时,则称样本x1支配了样本x2,否则x1和x2就是一个非支配的关系。通过非支配排序,可以对种群中的所有样本进行等级划分,同一等级的解在相同的层,等级越高的解在越靠前的层。具体步骤如下:
a)计算每个样本的被支配度Np和支配度Sp,Np表示个体p被种群中多少其他样本支配,Sp表示样本p支配种群中样本的总数量。
b)设置i=0,i表示层级;
c)挑出Np为0的个体,构成最优非支配曲面F0。
d)遍历Fi中的每一个个体,在该过程中,遍历每个个体的Sp中的个体,当遍历到Sp中的个体时,将该个体的Np减1。对于此时Np为0的个体,我们将其归入非支配曲面Fi+1。
e)i=i+1,开始进行下一等级的划分;
f)重复步骤d)和e),直到分级完所有个体。
第二部分是拥挤度排序,这一步的目的主要是为了判定同一个层中样本的优劣程度。这里定义,若样本的拥挤度越大,则该样本越优。样本的拥挤度计算方式如下:
Ii=(f1,i+1-f1,i-1)/(f1max-f1min)+(f2,i+1-f2,i-1)/(f2max-f2min) (8)
其中,Ii表示第i个样本的拥挤度;f1,i+1表示第i+1个样本的第一个目标函数值;f1max表示该层所有个体中,第一个目标函数能取到的最大值;f2,i+1表示第i+1个样本的第二个目标函数值;f2max表示该层所有个体中,第二个目标函数能取到的最大值;f1,i-1表示第i-1个样本的第一个目标函数值;f1min表示该层所有个体中,第一个目标函数的最小值;f2,i-1表示第i-1个样本的第二个目标函数值;f2min表示该层所有个体中,第二个目标函数的最小值。
1.6)自我识别并消灭样本
根据网络抑制阈值ζ(取值为0.01),对记忆集M中的样本进行自我识别,精简样本群。两个样本之间的相似度用两者之间的欧氏距离表示。两样本相距越近,表明它们越相似,当两者之间的距离小于网络抑制阈值ζ时,删除其中一个样本,以精简样本群,防止某类相似样本的过度聚集,影响群体的多样性。
1.7)加入随机产生的新样本
引入随机生成的样本,生成样本方法如式(1),引入数目等于步骤1.6)中删除的样本数目,和记忆集M形成新一代样本群C。
1.8)判断迭代次数是否达到50,没达到则回到步骤1.3)开始循环,达到则结束循环。
1.9)建立数据集,将产生的对抗样本与原cifar10数据集共同组成新的数据集。分为训练集和测试集两部分。
完整的基于人工免疫算法生成对抗样本的过程可参考图2。
2)设计损失函数
3)训练分类器
分类器共四层,前两层为卷积层,后两层为全连接层。第一层卷积层共有32个卷积核,卷积核大小为5*5,步长为2,激活函数采用relu函数。第二层卷积层包含64个卷积核,卷积核大小为5*5,步长为2,激活函数采用relu函数。第一层全连接层共有1024个神经元,激活函数采用relu函数。第二层全连接层仅10个神经元,激活函数采用softmax函数。
3.1)配置环境
本发明中,训练的全过程在一块GPU(TITAN Xp)上进行,操作系统采用Ubuntu16.04.5。深度模型框架选用tensorflow1.4.0。
3.2)设置参数
训练阶段,学习率设置为0.001,一次训练使用32张样本。迭代次数设置为20。优化算法采用Adadelta方法,损失函数使用步骤2)中提出的交叉熵损失函数。
3.3)训练模型
输入步骤1.9)中所建立数据集的训练集训练分类器。
以上所述的实施例对本发明的技术方案和有益效果进行了详细说明,应理解的是以上所述仅为本发明的具体实施例,并不用于限制本发明,凡在本发明的原则范围内所做的任何修改、补充和等同替换等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种面向基于人工免疫算法对抗攻击的对抗防御方法,其特征在于,包括以下步骤:
(1)获取原始图片样本集;以原始图片样本为基础,基于人工免疫算法生成对抗样本;将原始图片样本与对抗样本合并,分为训练集和测试集;
以原始图片样本为基础,基于人工免疫算法生成对抗样本,包括以下步骤:
(ⅰ)在每个原始图片样本上随机添加扰动块,构成N个不同的扰动样本,建立初始种群n0;
(ⅱ)依据适应度函数计算每个扰动样本的适应度值;依据适应度值成比例地生成扰动样本的克隆体,再对每个克隆体进行变异操作,生成子样本群n1;所述的适应度函数为:
F=f(x′)y+||x′-x||0 (4)
式中,x′为扰动样本;x为x′对应的原始图片样本;y为x的目标标签;f(x′)y表示图片分类器将扰动样本x′识别成目标标签y的置信度;||x′-x||0表示x′与x差的0范式,即为增加的扰动个数;
(ⅲ)将子样本群n1与初始种群n0合并形成新样本群n01,根据样本的适应度对新样本群n01中的样本进行帕累托排序,选取N个较优样本形成样本记忆集M;
(ⅳ)针对样本记忆集M,计算两样本之间的相似度,若相似度小于网络抑制阈值ζ,则删除两个样本中的一个;
(ⅴ)根据步骤(ⅰ)的方法随机生成扰动样本并引入到样本记忆集M中,引入的扰动样本数目与步骤(ⅳ)中删除的样本数目相同;
(ⅵ)重复步骤(ⅱ)~(ⅴ),直至迭代次数达到预设值,获得对抗样本集;
(2)利用训练集和测试集对图片分类器进行训练,获得图片识别模型;
(3)利用图片识别模型对待识别图片进行识别,实现图片识别的对抗防御。
3.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法,其特征在于,对每个克隆体进行变异操作如下式所示;
x′=x+λ·N(0,1)·ef* (5)
式中,x′为扰动样本;x为x′对应的原始图片样本;f*是x的适应度经0~1标准化后的值,即f*∈[0,1];N(0,1)表示标准正太随机分布数,其中均值μ等于0,标准方差σ等于1;λ是比例常数,用于控制指数函数的衰减程度。
4.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法,其特征在于,根据样本的适应度对新样本群n01中的样本进行帕累托排序包括:对新样本群n01进行非支配排序和计算拥挤度,选择N个较优样本形成样本记忆集M。
5.根据权利要求4所述的面向基于人工免疫算法对抗攻击的对抗防御方法,其特征在于,对新样本群n01进行非支配排序包括:
a)计算每个样本的被支配度Np和支配度Sp;
b)设置i=0,i表示层级;
c)挑出新样本群n01中支配度Np为i的个体,构成非支配样本群Fi;
d)遍历Fi中的每一个个体,在遍历Fi中的每一个个体的过程中,遍历每个个体的Sp中的个体;当遍历到Sp中的某个体Np时,将个体Np减1;Fi遍历完成后,将Np为0的个体归入非支配样本群Fi+1;
e)i=i+1;
f)重复步骤d)~e),直到所有个体完成分级。
6.根据权利要求4所述的面向基于人工免疫算法对抗攻击的对抗防御方法,其特征在于,样本的拥挤度计算公式如下:
Ii=(f1,i+1-f1,i-1)/(f1max-f1min)+(f2,i+1-f2,i-1)/(f2max-f2min) (8)
其中,Ii表示第i个样本的拥挤度;f1,i+1表示第i+1个样本的第一个目标函数值;f1max表示第i个样本所在层的所有个体中,第一个目标函数能取到的最大值;f2,i+1表示第i+1个样本的第二个目标函数值;f2max表示第i个样本所在层所有个体中,第二个目标函数能取到的最大值;f1,i-1表示第i-1个样本的第一个目标函数值;f1min表示第i个样本所在层所有个体中,第一个目标函数的最小值;f2,i-1表示第i-1个样本的第二个目标函数值;f2min表示第i个样本所在层所有个体中,第二个目标函数的最小值;第一目标函数为F1=minf(x′)y;第二目标函数为F2=||x′-x||0。
7.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法,其特征在于,步骤(ⅳ)中,两样本之间的相似度用两者之间的欧氏距离表示。
8.根据权利要求1所述的面向基于人工免疫算法对抗攻击的对抗防御方法,其特征在于,步骤(ⅵ)中,迭代次数的预设值为50。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010361159.1A CN111598210B (zh) | 2020-04-30 | 2020-04-30 | 面向基于人工免疫算法对抗攻击的对抗防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010361159.1A CN111598210B (zh) | 2020-04-30 | 2020-04-30 | 面向基于人工免疫算法对抗攻击的对抗防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111598210A CN111598210A (zh) | 2020-08-28 |
CN111598210B true CN111598210B (zh) | 2023-06-02 |
Family
ID=72183833
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010361159.1A Active CN111598210B (zh) | 2020-04-30 | 2020-04-30 | 面向基于人工免疫算法对抗攻击的对抗防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111598210B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113239469B (zh) * | 2021-06-15 | 2023-04-07 | 南方科技大学 | 一种车体零部件的结构优化方法、装置、设备及存储介质 |
CN113723536B (zh) * | 2021-09-02 | 2024-01-26 | 国网智能科技股份有限公司 | 一种电力巡检目标识别方法及系统 |
CN113780557B (zh) * | 2021-11-11 | 2022-02-15 | 中南大学 | 基于免疫理论的对抗图像攻击方法、装置、产品及介质 |
CN114510715B (zh) * | 2022-01-14 | 2022-10-14 | 中国科学院软件研究所 | 模型的功能安全测试方法、装置、存储介质及设备 |
CN115271067B (zh) * | 2022-08-25 | 2024-02-23 | 天津大学 | 基于特征关系评估的安卓对抗样本攻击方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003077062A2 (en) * | 2002-03-06 | 2003-09-18 | Trustees Of Boston University | Systems and methods for reverse engineering models of biological networks |
CN109818865A (zh) * | 2019-03-11 | 2019-05-28 | 江苏君英天达人工智能研究院有限公司 | 一种sdn增强路径装箱装置及方法 |
CN110991549A (zh) * | 2019-12-13 | 2020-04-10 | 成都网域复兴科技有限公司 | 一种针对图像数据的对抗样本生成方法及系统 |
CN111209192A (zh) * | 2019-12-30 | 2020-05-29 | 山东科技大学 | 一种基于双混沌鲸鱼优化算法的测试用例自动生成方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719315B (zh) * | 2009-12-23 | 2011-06-01 | 山东大学 | 一种基于中间件的动态交通信息采集方法 |
CN104392269B (zh) * | 2014-11-19 | 2017-04-19 | 天津大学 | 一种基于人工免疫的微电网分布式电源竞价方法 |
CN108710892B (zh) * | 2018-04-04 | 2020-09-01 | 浙江工业大学 | 面向多种对抗图片攻击的协同免疫防御方法 |
CN109490661A (zh) * | 2018-10-23 | 2019-03-19 | 国网江苏省电力有限公司检修分公司 | 基于pso-svm和人工免疫算法的油浸式电抗器故障诊断方法、装置及系统 |
CN110175513B (zh) * | 2019-04-15 | 2021-01-08 | 浙江工业大学 | 一种基于多目标路优化的路牌识别攻击防御方法 |
CN110175611B (zh) * | 2019-05-24 | 2020-12-11 | 浙江工业大学 | 面向车牌识别系统黑盒物理攻击模型的防御方法及装置 |
-
2020
- 2020-04-30 CN CN202010361159.1A patent/CN111598210B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003077062A2 (en) * | 2002-03-06 | 2003-09-18 | Trustees Of Boston University | Systems and methods for reverse engineering models of biological networks |
CN109818865A (zh) * | 2019-03-11 | 2019-05-28 | 江苏君英天达人工智能研究院有限公司 | 一种sdn增强路径装箱装置及方法 |
CN110991549A (zh) * | 2019-12-13 | 2020-04-10 | 成都网域复兴科技有限公司 | 一种针对图像数据的对抗样本生成方法及系统 |
CN111209192A (zh) * | 2019-12-30 | 2020-05-29 | 山东科技大学 | 一种基于双混沌鲸鱼优化算法的测试用例自动生成方法 |
Non-Patent Citations (2)
Title |
---|
POBA-GA: Perturbation Optimized Black-Box Adversarial Attacks via Genetic Algorithm;Jinyin Chen等;《Computers and Security 》;全文 * |
基于 PSO 的路牌识别模型黑盒对抗攻击方法;陈晋音 等;《软件学报》;第31卷(第9期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111598210A (zh) | 2020-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111598210B (zh) | 面向基于人工免疫算法对抗攻击的对抗防御方法 | |
Song et al. | Membership inference attacks against adversarially robust deep learning models | |
CN110941794B (zh) | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 | |
CN111753881B (zh) | 一种基于概念敏感性量化识别对抗攻击的防御方法 | |
US12008471B2 (en) | Robustness assessment for face recognition | |
CN113704758B (zh) | 一种黑盒攻击对抗样本生成方法及系统 | |
CN113283599B (zh) | 基于神经元激活率的对抗攻击防御方法 | |
CN112349281A (zh) | 基于StarGAN的语音识别模型的防御方法 | |
CN111047054A (zh) | 一种基于两阶段对抗知识迁移的对抗样例防御方法 | |
CN114626042B (zh) | 一种人脸验证攻击方法和装置 | |
CN114387449A (zh) | 一种应对神经网络对抗性攻击的图像处理方法及系统 | |
CN113033822A (zh) | 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统 | |
CN112085050A (zh) | 基于pid控制器的对抗性攻击与防御方法及系统 | |
CN112733458A (zh) | 一种基于自适应变分模态分解的工程结构信号处理方法 | |
CN111737688B (zh) | 基于用户画像的攻击防御系统 | |
CN116824232A (zh) | 一种数据填充式的深度神经网络图像分类模型对抗训练方法 | |
CN111950635A (zh) | 一种基于分层特征对齐的鲁棒特征学习方法 | |
CN116938542A (zh) | 基于逆向工程与遗忘的深度学习后门攻击防御方法 | |
CN115510986A (zh) | 一种基于AdvGAN的对抗样本生成方法 | |
CN116484274A (zh) | 一种针对神经网络算法投毒攻击的鲁棒训练方法 | |
CN113627404B (zh) | 基于因果推断的高泛化人脸替换方法、装置和电子设备 | |
CN115033850A (zh) | 基于可解释固有特征的深度神经网络版权保护方法 | |
CN115238271A (zh) | 基于生成学习的ai安全性检测方法 | |
CN113837360B (zh) | 一种基于关系图的dnn鲁棒模型加固方法 | |
Ye et al. | C2FMI: Corse-to-Fine Black-Box Model Inversion Attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |