CN111754519B - 一种基于类激活映射的对抗防御方法 - Google Patents

一种基于类激活映射的对抗防御方法 Download PDF

Info

Publication number
CN111754519B
CN111754519B CN202010465617.6A CN202010465617A CN111754519B CN 111754519 B CN111754519 B CN 111754519B CN 202010465617 A CN202010465617 A CN 202010465617A CN 111754519 B CN111754519 B CN 111754519B
Authority
CN
China
Prior art keywords
image
detected
pixels
layer
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010465617.6A
Other languages
English (en)
Other versions
CN111754519A (zh
Inventor
陈晋音
上官文昌
沈诗婧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University of Technology ZJUT
Original Assignee
Zhejiang University of Technology ZJUT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University of Technology ZJUT filed Critical Zhejiang University of Technology ZJUT
Priority to CN202010465617.6A priority Critical patent/CN111754519B/zh
Publication of CN111754519A publication Critical patent/CN111754519A/zh
Application granted granted Critical
Publication of CN111754519B publication Critical patent/CN111754519B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/10Segmentation; Edge detection
    • G06T7/11Region-based segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/10Segmentation; Edge detection
    • G06T7/194Segmentation; Edge detection involving foreground-background segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/90Determination of colour characteristics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T2207/00Indexing scheme for image analysis or image enhancement
    • G06T2207/20Special algorithmic details
    • G06T2207/20024Filtering details
    • G06T2207/20032Median filtering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T2207/00Indexing scheme for image analysis or image enhancement
    • G06T2207/20Special algorithmic details
    • G06T2207/20048Transform domain processing
    • G06T2207/20056Discrete and fast Fourier transform, [DFT, FFT]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于类激活映射的对抗防御方法,包括如下步骤:S1、通过梯度上升方法建立使预测模型中神经元激活值最大化的对比图像集;S2、基于待测图像的类激活映射图定位判定区域;S3、基于二值化算法计算待测图像判定区域和相同标签对比图像判定区域的不一致度;S4、判断待测图像是否带有扰动,若不一致度大于阈值则待测图像带有对抗扰动,反之,为正常图像;S5、移除待测图像中的对抗扰动。本发明所述对抗防御方法通用性高,可抵抗不同的对抗攻击,数据处理成本低,提高了防御效率。

Description

一种基于类激活映射的对抗防御方法
技术领域
本发明属于对抗防御领域,具体涉及一种基于类激活映射的对抗防御方法。
背景技术
近几年来,深度学习在计算机视觉、语音识别、强化学习等机器学习领域取得了重大突破,在视频识别、图像分类、视频抓取等视觉领域中有极高的性能。但在取得这些成功的同时,深度神经网络被发现容易受到对抗扰动(被恶意设计并添加到输入数据中)的攻击,这种攻击被称为对抗攻击。深度神经网络容易受到对抗攻击的这一特点引起了广泛的担忧。根据研究结果表明,即使是一个很小的、在人的视觉感知上难以区分的扰动也很容易导致模型出现灾难性的错误预测。例如,在自动驾驶中,停车标志可能会被深度神经网络误认为是限速标志。恶意软件可能会躲避过深度神经网络的检测。在使用人脸识别进行身份验证时,未经授权的人可以通过欺骗深度神经网络来完成身份验证。
对抗攻击是通过生成对抗样本来实现的,即在良性样本上添加复杂的扰动,以使深度神经网络将对抗样本分类为目标标签(目标攻击)或是错误标签(非目标攻击),而不是良性样本的正确标签。对抗攻击根据攻击者能否获取深度神经网络的相关信息被分为两类:黑盒攻击和白盒攻击。在黑盒攻击中,攻击者不能获取深度神经网络的结构和参数等相关信息,只能通过查询和观察网络的输出来进行攻击。在白盒攻击中,攻击者可以得到深度神经网络的完整信息(例如,网络的结构和权重参数)。白盒方法根据对抗性梯度的方向,迭代地改变扰动,将一个干净的测试样本变成对抗性样本。对抗性梯度是损失函数的梯度,其定义通常是为了最大化深度模型的分类错误。但是,在黑盒环境下,攻击者无法获取对抗性梯度。在这种情况下,攻击者需要通过攻击本地代理模型,然后将这些攻击转移到目标模型从而实现对抗攻击。或者,他们可以使用诸如有限差分或自然进化策略等黑盒优化方法来估计梯度,从而实现对抗攻击。
为了减轻对抗性攻击的影响,最近已经提出了各种防御方法。这些可以大致分为两类:(1)被动防御,在测试期间修改输入,使用图像变换等方法来降低对抗性扰动的影响。(2)主动防御,通过改变深度模型的基础架构或学习过程,例如通过添加更多的层、集成/对抗训练或改变损失/激活函数。主动防御通常更受重视,因为在白盒攻击中,它们提供了相对更好的健壮性。但是,目前大多数提出的方法主要都是针对电子攻击,没有涉及到现实世界的物理攻击。另外,他们只专注于消除来自输入的显式扰动图片,或者他们只是应用了多个CNN进行交叉验证。所有这些方法都有一些缺点:他们找不到一种通用的防御方法论,不能抵抗不同的对抗攻击,缺乏多样性。另外,他们在消除干扰时引入了大量的数据处理成本,这大大增加了方法的计算成本,严重影响了防御效率。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于类激活映射的对抗防御方法,通过比较待测图像与同类标签对比图像的主要激活源的不一致度,以此判断待测图像是否为对抗样本。
本发明解决所述技术问题所采用的技术方案是:
一种基于类激活映射的防御方法,包括以下步骤:
S1、通过梯度上升方法建立使预测模型中神经元激活值最大化的对比图像集;
S2、基于待测图像的类激活映射图定位判定区域;
S3、基于二值化算法计算待测图像判定区域和相同标签对比图像判定区域的不一致度;
S4、判断待测图像是否带有扰动,若不一致度大于阈值则待测图像带有对抗扰动,反之,为正常图像;
S5、移除待测图像中的对抗扰动。
所述基于待测图像的类激活映射图定位判定区域,具体如下:
S21、建立定位模型,所述定位模型与预测模型的区别在于将预测模型中softmax层的上一层改为大小为(1,1,c)的全局平均池化层;
S22、将全局平均池化层的上一卷积层输出的特征图记为(h,w,c),全局平均池化层的各通道权重wn分别等于特征图中各通道特征的平均数,其中h,w,c分别表示特征图的长度,宽度和通道总数;
S23、将特征图(h,w,c)对应的热力图经过全局平均池化层池化后,得到该待测图像的类激活映射图CAM,计算公式如(3)所示:
式中,wn表示全局平均池化层第n层的权重值,fn表示第n通道特征图的热力图;
S24、将类激活映射图叠加到待测图像上,选取高亮区域为判定区域。
步骤S2解决了卷积层输出的特征图大小与待测图像大小不同这一问题,因为经过深度模型的图像经过卷积层不可避免地会出现长度宽度变小,通道数增加的情况,为了准确定位激活源,故在这里通过类激活映射图,使其与输入图像的大小相等,再进行叠加,确定待测图像的判定区域,即哪块区域决定了预测模型的预测结果。
将激活值按照由低到高通过固定映射关系映射到颜色由蓝到红组成的热力图,其中,固定映射关系为激活值与颜色的波长形成的对应关系,颜色由蓝到花是指按照光谱颜色分布的蓝、青、绿、黄、橙、红。所述高亮区域为热力图中除了蓝色之外的所有区域。
与现有技术相比,本发明具有如下有益效果:
(1)本发明所述对抗防御方法通用性高,可抵抗不同的对抗攻击。
(2)本发明所述对抗防御方法数据处理成本低,提高了防御效率。
附图说明
图1为本发明所述对抗防御方法的流程图。
图2为本发明的所述对图像进行2D快速傅里叶变换和二值化示例图,图2中2D FFT为2D快速傅里叶变换。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
S1、通过梯度上升方法建立使预测模型中神经元激活值最大化的对比图像集。
S11、选取图像集,从图像集中随机选取标签为l的图像x;
S12、将图像x输入预测模型,计算图像x在预测模型第i层中第j个神经元的激活值ai,j和激活值梯度并根据式(1)对图像x进行像素迭代更新;
公式中,x′为迭代更新后的图像,x为输入的图像,η为迭代步长;
S13、重复执行S12,直到迭代次数达到预设值得到最终图像x*,此时神经元激活值ai,j达到最大,并将该最终图像x*作为标签为l的对比图像,以此构建对比图像集。
本实例中所述的预测模型为依次连接的卷积层、池化层、卷积层、池化层、全连接层、softmax层。
S2、基于待测图像的类激活映射图定位判定区域。
判定区域是对预测模型输出的预测结果起到关键作用的像素位置。
S21、建立定位模型,所述定位模型与预测模型的区别在于将预测模型中softmax层的上一层改为大小为(1,1,c)的全局平均池化层;
S22、将全局平均池化层的上一卷积层输出的特征图记为(h,w,c),全局平均池化层的各通道权重wn分别等于特征图中各通道特征的平均数,其中h,w,c分别表示特征图的长度,宽度和通道总数;
S23、将特征图的热力图每一层与其对应的权重相乘后再相加,即可得到该输入图像的类激活映射图CAM,计算公式如(3)所示:
式中,wn表示全局平均池化层第n层的权重值,fn表示第n通道特征图的热力图;
S24、将类激活映射图叠加到待测图像上,选取高亮区域为判定区域。
S3、基于二值化算法计算待测图像判定区域和相同标签对比图像判定区域的不一致度。
理论上,若二者有很大的相似性,那么基本可以判定该待测图像为正常图像,反之,若二者具有较大的不一致度,可以判定待测图像带有对抗扰动的。
S31、将待测图像输入预测模型,输出为标签为l;
S32、裁剪待测图像的判定区域作为图像Itest;裁剪标签为l的对比图像的判定区域作为图像Icreat
快速傅里叶变换是离散傅里叶变换应用在计算机中的一种快速算法。整个过程可以简单概括为:首先对图像的每一行做一维快速傅里叶变换,然后对每一列做一维快速傅里叶变换。具体来说,先对第0行的每个像素点做快速傅里叶变换,将变换后输出的实部放回原来第0行的实部,输出的虚部放回第0行的虚部。这样计算玩全部行之后,用相同的方法进行列方向上的快速傅里叶变换。经过上述2D快速傅里叶变换后,原来的输入图像会变为一张傅里叶频谱图像,是一张灰度图像,这里通过频谱图像来比较两张图像的相似性。
S33、将图像Itest和图像Icreat进行2D快速傅里叶变换得到傅里叶频谱灰度图像;
本实施例采用大律法二值化,通过统计整个图像的直方图特性来实现全局阈值的自动选取,主要是利用最大类间方差,将图像分为前景和背景两个部分。因方差是灰度分布均匀性的一种度量,方差值越大,说明构成图像的两部分差别越大,当部分目标错分为背景或部分背景错分为目标都会导致两部分差别变小,因此使类间方差最大的分割意味着错分概率最小。具体步骤如下:
a)首先计算待测图像和对比图像的直方图,将图像所有的像素点按照0-255共256个像素等级,统计落在每个等级的像素点数量;
b)归一化直方图;
c)设置T表示分类的阈值,从0开始迭代,像素值在0-T灰度级范围的像素叫做前景像素,像素值在T-255灰度级范围的像素叫做背景像素;
d)通过归一化的直方图,统计前景像素所占整幅图像的比例a0,并统计前景像素的平均灰度u0;统计背景像素所占整幅图像的比例a1,并统计背景像素的平均灰度u1
e)计算前景像素和背景像素的方差,计算公式如式(4)所示:
g=a0*a1*(u0-u1)2 (4);
式中,a0表示前景像素所占整幅图像的比例,a1表示背景像素所占整幅图像的比例,u0表示前景像素的平均灰度,u1表示背景像素的平均灰度;
f)将灰度级阈值T的等级加1,转到步骤d)直到T为256时结束迭代;
g)将前景像素和背景像素的方差最大时对应的灰度级阈值T作为全局阈值二值化图像。
S34、对步骤S33中得到的傅里叶频谱灰度图像进行二值化操作得到二值化图像;
S35、计算两张二值化图像的不一致度。计算公式如式(5)所示:
其中,Ptest表示待测图像的二值图像,Pcreat表示与待测图像同一标签的对比图像的二值图像,|Ptest∩Pcreat|表示Pcreat和Ptest中像素值都为1的像素个数;|Ptest∪Pcreat|表示Pcreat像素值为1和Ptest像素值为1的并集中的像素个数。
图2中分别展示了图像Itest和Icreat经过快速傅里叶变换后和二值化后的效果图。
S4、判断待测图像是否带有扰动,若不一致度大于阈值则待测图像带有对抗扰动,反之,为正常图像。
S41、人为设定一个阈值λ,通过比较λ和不一致度,判断输入图像是否为对抗样本;
S42、将步骤S3中得到的不一致度与阈值λ比较,若不一致度大于阈值则待测图像带有对抗扰动,反之,为正常图像。
S5、移除待测图像中的对抗扰动。
S51、获取步骤S4中检测到的带有对抗扰动的待测图像,良性样本无需进行图像恢复,直接输入模型预测即可;
S52、移除对抗扰动,为减轻计算复杂度,节省时间成本,在对抗扰动处进行中值滤波。对抗扰动中的每个像素会被以其为中心的九宫格中所有像素的中值替换。
本实施例中选取cifar10数据集,分为训练集与测试集,建立对比图像集。训练集50000张图像,测试集20000张图像,其中10000张为用LanCe攻击生成的对抗样本。通过最大化神经元激活值来生成图像。迭代步长设置为0.001,迭代次数设置为20,Cifar10数据集中所有的类都用来生成一张图像组成对比图像集。然后利用类激活映射定位输入图像的激活源(判定区域)。输入图像输入预测模型,预测结果为l。从对比图像集中选取标签l的图像。将两张图像进行2D快速傅里叶变换和大律法进行二值化,计算两张图像的不一致度。设置不一致度阈值为λ为0.5,将不一致度与阈值比较,判断输入图像是否为对抗样本。若为对抗样本,则通过中值滤波,采用3*3模板对对抗扰动处像素进行滤波。
该防御方法的性能评价指标为对抗样本的检测准确率accD和分类模型的分类准确率accR,具体公式如下:
式(6)中,在检测输入图像是否为对抗样本时,nD表示检测正确的样本,ND表示检测的样本量。式(7)中,恢复图像后,nR表示分类模型分类正确的样本数量,NR表示分类的样本量。

Claims (8)

1.一种基于类激活映射的对抗防御方法,其特征在于,包括如下步骤:
S1、通过梯度上升方法建立使预测模型中神经元激活值最大化的对比图像集;
S2、基于待测图像的类激活映射图定位判定区域,包括:
S21、建立定位模型,所述定位模型与预测模型的区别在于将预测模型中softmax层的上一层改为大小为(1,1,c)的全局平均池化层;
S22、将全局平均池化层的上一卷积层输出的特征图记为(h,w,c),全局平均池化层的各通道权重wn分别等于特征图中各通道特征的平均数,其中h,w,c分别表示特征图的长度,宽度和通道总数;
S23、将特征图(h,w,c)对应的热力图经过全局平均池化层池化后,得到该待测图像的类激活映射图CAM,计算公式如(1)所示:
式中,wn表示全局平均池化层第n层的权重值,fn表示第n通道特征图的热力图;
S24、将类激活映射图叠加到待测图像上,选取高亮区域为判定区域;
S3、基于二值化算法计算待测图像判定区域和相同标签对比图像判定区域的不一致度;
S4、判断待测图像是否带有扰动,若不一致度大于阈值则待测图像带有对抗扰动,反之,为正常图像;
S5、移除待测图像中的对抗扰动。
2.根据权利要求1所述的基于类激活映射的对抗防御方法,其特征在于,所述的预测模型包括卷积层,池化层、全连接层和softmax层。
3.根据权利要求2所述的基于类激活映射的对抗防御方法,其特征在于,所述的预测模型包括依次连接的m个特征提取层、全连接层和softmax层依次连接,所述的特征提取层为依次连接的卷积层和池化层。
4.根据权利要求1所述的基于类激活映射的对抗防御方法,其特征在于,所述通过梯度上升方法建立使预测模型中神经元激活值最大化的对比图像集,具体如下:
S11、选取图像集,从图像集中随机选取标签为l的图像x;
S12、将图像x输入预测模型,计算图像x在预测模型第i层中第j个神经元的激活值ai,j和激活值梯度并根据式(2)对图像x进行像素迭代更新;
公式中,x′为迭代更新后的图像,x为输入的图像,η为迭代步长;
S13、重复执行S12,直到迭代次数达到预设值得到最终图像x*,此时神经元激活值ai,j达到最大,并将该最终图像x*作为标签为l的对比图像,以此构建对比图像集。
5.根据权利要求1~4任意一项所述的基于类激活映射的对抗防御方法,其特征在于,所述基于二值化算法计算待测图像判定区域和相同标签对比图像判定区域的不一致度,具体如下:
S31、将待测图像输入预测模型,输出为标签为l;
S32、裁剪待测图像的判定区域作为图像Itest;裁剪标签为l的对比图像的判定区域作为图像Icreat
S33、将图像Itest和图像Icreat进行2D快速傅里叶变换得到傅里叶频谱灰度图像;
S34、对步骤S33中得到的傅里叶频谱灰度图像进行二值化操作得到二值化图像;
S35、计算两张二值化图像的不一致度,计算公式如式(3)所示:
其中,Ptest表示待测图像的二值图像,Pcreat表示与待测图像同一标签的对比图像的二值图像,|Ptest∩Pcreat|表示Pcreat和Ptest中像素值都为1的像素个数;|Ptest∪Pcreat|表示Pcreat像素值为1和Ptest像素值为1的并集中的像素个数。
6.根据权利要求5所述的基于类激活映射的对抗防御方法,其特征在于,所述二值化算法为大律法二值化、灰度平局值法或百分比阈值法。
7.根据权利要求6所述的基于类激活映射的对抗防御方法,其特征在于,所述大律法二值化包括如下步骤:
a)首先计算待测图像和对比图像的直方图,将图像所有的像素点按照0-255共256个像素等级,统计落在每个等级的像素点数量;
b)归一化直方图;
c)设置T表示分类的阈值,从0开始迭代,像素值在0-T灰度级范围的像素叫做前景像素,像素值在T-255灰度级范围的像素叫做背景像素;
d)通过归一化的直方图,统计前景像素所占整幅图像的比例a0,并统计前景像素的平均灰度u0;统计背景像素所占整幅图像的比例a1,并统计背景像素的平均灰度u1
e)计算前景像素和背景像素的方差,计算公式如式(4)所示:
g=a0*a1*(u0-u1)2 (4)
式中,u0表示前景像素的平均灰度;
f)将灰度级阈值T的等级加1,转到步骤d)直到T为256时结束迭代;
g)将前景像素和背景像素的方差最大时对应的灰度级阈值T作为全局阈值二值化图像。
8.根据权利要求1所述的基于类激活映射的对抗防御方法,其特征在于,所述移除对抗扰动为在对抗扰动处进行中值滤波。
CN202010465617.6A 2020-05-27 2020-05-27 一种基于类激活映射的对抗防御方法 Active CN111754519B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010465617.6A CN111754519B (zh) 2020-05-27 2020-05-27 一种基于类激活映射的对抗防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010465617.6A CN111754519B (zh) 2020-05-27 2020-05-27 一种基于类激活映射的对抗防御方法

Publications (2)

Publication Number Publication Date
CN111754519A CN111754519A (zh) 2020-10-09
CN111754519B true CN111754519B (zh) 2024-04-30

Family

ID=72673630

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010465617.6A Active CN111754519B (zh) 2020-05-27 2020-05-27 一种基于类激活映射的对抗防御方法

Country Status (1)

Country Link
CN (1) CN111754519B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113128505A (zh) * 2021-04-29 2021-07-16 河北工程大学 局部可视对抗样本的检测方法、装置、设备和存储介质
CN113240028A (zh) * 2021-05-24 2021-08-10 浙江大学 一种基于类激活图的对抗样本块攻击检测方法
CN113436114A (zh) * 2021-07-26 2021-09-24 北京富通东方科技有限公司 一种面向医学图像的数据增强方法
CN115908296B (zh) * 2022-11-10 2023-09-22 深圳大学 医学图像类激活映射评价方法、装置、计算机设备及存储介质
CN116452923B (zh) * 2023-06-16 2023-09-01 安徽大学 一种针对对抗攻击的协同防御策略和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
CN110009679A (zh) * 2019-02-28 2019-07-12 江南大学 一种基于多尺度特征卷积神经网络的目标定位方法
CN110852363A (zh) * 2019-10-31 2020-02-28 大连理工大学 一种基于欺骗攻击者的对抗样本防御方法
CN110866287A (zh) * 2019-10-31 2020-03-06 大连理工大学 一种基于权重谱生成对抗样本的点攻击方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
CN110009679A (zh) * 2019-02-28 2019-07-12 江南大学 一种基于多尺度特征卷积神经网络的目标定位方法
CN110852363A (zh) * 2019-10-31 2020-02-28 大连理工大学 一种基于欺骗攻击者的对抗样本防御方法
CN110866287A (zh) * 2019-10-31 2020-03-06 大连理工大学 一种基于权重谱生成对抗样本的点攻击方法

Also Published As

Publication number Publication date
CN111754519A (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
CN111754519B (zh) 一种基于类激活映射的对抗防御方法
Zhang et al. Deep-IRTarget: An automatic target detector in infrared imagery using dual-domain feature extraction and allocation
Cozzolino et al. Splicebuster: A new blind image splicing detector
CN108446700B (zh) 一种基于对抗攻击的车牌攻击生成方法
CN110866287B (zh) 一种基于权重谱生成对抗样本的点攻击方法
CN109785366B (zh) 一种针对遮挡的相关滤波目标跟踪方法
CN110853074B (zh) 一种利用光流增强目标的视频目标检测网络系统
Gragnaniello et al. Perceptual quality-preserving black-box attack against deep learning image classifiers
CN113066002A (zh) 对抗样本的生成方法、神经网络的训练方法、装置及设备
CN112417931B (zh) 一种基于视觉显著性的水面物体检测和分类的方法
CN112396129A (zh) 一种对抗样本检测方法及通用对抗攻击防御系统
CN112529065B (zh) 一种基于特征对齐和关键点辅助激励的目标检测方法
CN113269228B (zh) 一种图网络分类模型的训练方法、装置、系统及电子设备
CN113139536A (zh) 一种基于跨域元学习的文本验证码识别方法、设备及存储介质
CN111783853A (zh) 一种基于可解释性的检测并恢复神经网络对抗样本方法
CN113111731A (zh) 基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统
CN111210018A (zh) 一种提升深度神经网络模型鲁棒性的方法及装置
Khan et al. A hybrid defense method against adversarial attacks on traffic sign classifiers in autonomous vehicles
Li et al. SA-ES: Subspace activation evolution strategy for black-box adversarial attacks
CN114220097A (zh) 一种基于对抗攻击的图像语义信息敏感像素域的筛选方法及应用方法与系统
CN112581502A (zh) 一种基于孪生网络的目标跟踪方法
CN111950635A (zh) 一种基于分层特征对齐的鲁棒特征学习方法
CN113486736B (zh) 一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法
CN114638356A (zh) 一种静态权重引导的深度神经网络后门检测方法及系统
CN114579777A (zh) 一种改进的符号优化对抗攻击方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant