CN111950628A - 人工智能图像分类模型的鲁棒性评估与增强系统 - Google Patents
人工智能图像分类模型的鲁棒性评估与增强系统 Download PDFInfo
- Publication number
- CN111950628A CN111950628A CN202010799032.8A CN202010799032A CN111950628A CN 111950628 A CN111950628 A CN 111950628A CN 202010799032 A CN202010799032 A CN 202010799032A CN 111950628 A CN111950628 A CN 111950628A
- Authority
- CN
- China
- Prior art keywords
- model
- robustness
- evaluation
- unit
- enhancement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 91
- 238000013145 classification model Methods 0.000 title claims abstract description 11
- 238000013473 artificial intelligence Methods 0.000 title claims abstract description 9
- 230000007123 defense Effects 0.000 claims abstract description 50
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000005516 engineering process Methods 0.000 claims abstract description 4
- 230000006872 improvement Effects 0.000 claims abstract description 4
- 238000012545 processing Methods 0.000 claims description 11
- 238000011478 gradient descent method Methods 0.000 claims description 9
- 238000012549 training Methods 0.000 claims description 8
- 238000013508 migration Methods 0.000 claims description 7
- 230000005012 migration Effects 0.000 claims description 7
- 238000005457 optimization Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 6
- 230000002708 enhancing effect Effects 0.000 claims description 5
- 238000004821 distillation Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 4
- 230000009466 transformation Effects 0.000 claims description 4
- 238000013135 deep learning Methods 0.000 claims description 3
- 238000013459 approach Methods 0.000 claims description 2
- 238000013528 artificial neural network Methods 0.000 claims description 2
- 230000008901 benefit Effects 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000010276 construction Methods 0.000 claims description 2
- 238000000844 transformation Methods 0.000 claims description 2
- 230000004304 visual acuity Effects 0.000 claims description 2
- 239000005557 antagonist Substances 0.000 claims 1
- 238000012854 evaluation process Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 241001074639 Eucalyptus albens Species 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/217—Validation; Performance evaluation; Active pattern learning techniques
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种人工智能图像分类模型的鲁棒性评估与增强系统,包括:白盒评估模块、黑盒评估模块和防御增强模块,白盒评估模块从用户处获得待评估模型及所选的评估指标,根据多个不同指标从各方面评估模型抵抗攻击的能力,并计算出所有指标的分数以及鲁棒性总分;黑盒评估模块从用户处获得待评估模型的输出结果,与正确标签相比较得到评估结果。提供了多种黑盒评估手段,从黑盒的角度评估模型的鲁棒性;防御增强模块内置多种鲁棒性提升手段。从用户处获得待增强的模型及所选的防御增强方法信息,使用相应的防御增强方法对使用者上传的模型进行鲁棒性增强。本发明通过多种鲁棒性评估指标优化整个模型鲁棒性评估流程,使得不同的方法之间可以更方便、准确和全面的进行比较和评估的同时,通过内置的多种技术对模型进行防御,提升模型的鲁棒性。
Description
技术领域
本发明涉及的是人工智能安全领域的技术,具体是一种人工智能图像分类模型的鲁棒性评估与增强系统。
背景技术
现阶段基于深度学习的图像分类模型已经可以达到较高的准确性,但近期研究表明,通过对正常样本添加人为构造的微小扰动,就可以有很大概率使得模型产生误判,这类样本被称为对抗样本。对抗样本及其所具有的迁移性使得保证模型在对抗环境下的鲁棒性变得尤为重要。然而现阶段对于模型的鲁棒性依然没有一个标准的评估方式,模型鲁棒性的不同研究之间常常因使用完全不同的评估指标,而无法进行互相比较评判,从而阻碍这个研究方向的快速发展。
发明内容
本发明针对现阶段图像分类模型的鲁棒性评估存在的无标准评估方式、指标多样、不同评估之间无法进行互相比较评判问题,提出了一种人工智能图像分类模型的鲁棒性评估与增强系统,通过多种鲁棒性评估指标优化整个模型鲁棒性评估流程,使得不同的方法之间可以更方便、准确和全面的进行比较和评估的同时,通过内置的多种技术对模型进行防御,提升模型的鲁棒性。
本发明是通过以下技术方案实现的:
本发明涉及一种人工智能图像分类模型的鲁棒性评估与增强系统,包括:白盒评估模块、黑盒评估模块和防御增强模块,其中:白盒评估模块从用户处获得待评估模型及所选的评估指标,根据多个不同指标从各方面评估模型抵抗攻击的能力,并计算出所有指标的分数以及鲁棒性总分;黑盒评估模块从用户处获得待评估模型的输出结果,与正确标签相比较得到评估结果。提供了多种黑盒评估手段,从黑盒的角度评估模型的鲁棒性;防御增强模块内置多种鲁棒性提升手段。从用户处获得待增强的模型及所选的防御增强方法信息,使用相应的防御增强方法对使用者上传的模型进行鲁棒性增强。
技术效果
本发明整体解决了现阶段对于图像分类模型的鲁棒性缺少标准的评估方式,业界在进行模型鲁棒性评估时常常会因使用完全不同的评估方法和指标,而无法进行互相比较评判。
与现有技术相比,本发明集成了现有的多种图像分类模型鲁棒性的评估方法与防御方法,通过多个评估指标、从不同角度较为全面地考察一个模型的鲁棒性,使得不同模型之间可以方便、准确和全面的进行鲁棒性的比较和评估。
附图说明
图1为本发明系统示意图;
图2为白盒评估模块的结构示意图;
图3为黑盒评估模块的结构示意图;
图4为防御增强模块的结构示意图;
图5为实施例白盒评估模块的实施流程框图;
图6为实施例黑盒评估模块的实施流程框图;
图7为实施例防御增强模块的实施流程框图。
具体实施方式
如图1所示,为本实施例涉及的一种人工智能模型的鲁棒性评估与增强系统,包括:白盒评估模块、黑盒评估模块、防御增强模块,其中:白盒评估模块可根据多个不同指标从各方面评估此模型抵抗攻击的能力,并计算出所有指标的分数以及鲁棒性总分;黑盒评估模块提供多种黑盒评估手段,从黑盒的角度评估模型的鲁棒性;防御增强模块内置了多种鲁棒性提升手段,可对使用者上传的模型进行鲁棒性增强。
所述的白盒评估模块包括:模型上传单元、评估指标与攻击方法选择单元、白盒评估单元以及结果查看单元,其中:模型上传单元与白盒评估单元相连并传输待评估的模型,评估指标与攻击方法选择单元与白盒评估单元相连并传输评估指标与攻击方法信息,白盒评估单元与结果查看单元相连并传输模型的评估结果信息。
所述的黑盒评估模块包括:样本集下载单元、输出结果上传单元、黑盒评估单元以及结果查看单元,其中:样本集下载单元与黑盒评估单元相连并接受通用对抗样本测试集,输出结果上传单元与黑盒评估单元相连并传输待评估模型的噪声处理准确性差异,黑盒评估单元与结果查看单元相连并传输模型的黑盒迁移攻击成功率。
所述的防御增强模块包括:模型上传单元、防御方法选择单元、防御增强单元以及模型下载单元,其中:模型上传单元与防御增强单元相连并传输待防御增强的模型,防御方法选择单元与防御增强单元相连并传输防御方法信息,防御增强单元与模型下载单元相连并传输防御增强后的模型。
所述的白盒评估中使用的攻击算法包括:基于优化的对抗样本距离计算方法(C&W)、快速梯度下降算法(FGSM)、迷惑深度学习方法(Deepfool)、投影梯度下降法(PGD)、基于EM距离的投影梯度下降法(WPGD)。
所述的基于EM距离的投影梯度下降法,通过在寻找对抗样本的梯度中添加一个额外的EM距离正则项来优化扰动的构造方向、限制构造对抗样本时对抗样本和正常样本之间的分布差异,从而构造出更接近正常样本分布的对抗样本,该方法的目标是限制对抗样本和正常样本之间的EM距离,于是优化的损失函数可以表述为:J(Xadv,y)-β·W(Xnorm,Xadv),其中Xnorm是正常样本,Xadv是对抗样本,W(Xnorm,Xadv)是正常样本与对抗样本之间的EM距离,β是一个调节系数,通过调节β可以构造出更接近正常样本分布的对抗样本,并且对于大部分现有的对抗样本检测算法都具有较低的检出率。
所述的白盒评估指标包括:聪明指数(CLEVER Score,CS)、最小平均Lp扰动(MLD)、EM距离分布差异(ADD)、噪声处理准确性差异(NAV)、正确分类准确率(CA)、集成对抗准确率(EAA),其中:CS指标寻找对抗距离下边界,攻击无关,通用性强,有完善的理论基础;MLD指标寻找最小的对抗距离上边界,一类广泛使用的评估指标;ADD指标评估正常分布于对抗样本分布的差异,从分布的角度来评估鲁棒性;NAV指标评估目标模型对于随机噪声扰动与对抗扰动的分辨能力的鲁棒性;CA指标评估目标模型的正常样本分类的准确率,作为一个基线指标;EAA指标评估目标模型对于对抗样本的分类准确率,综合衡量其对于对抗攻击的抵御能力。
所述的黑盒评估包括:通用对抗样本测试集、噪声处理准确性差异、黑盒迁移攻击成功率,其中:通用对抗样本测试集评估是指:运用统一的攻击样本,得到普遍意义上的鲁棒性;噪声处理准确性差异评估是指:评估目标模型对于随机噪声扰动与对抗扰动的分辨能力的鲁棒性;黑盒迁移攻击成功率评估是指:与黑盒模型的识别结果相关,能构造出和模型更加适合的对抗样本。
所述的鲁棒性提升手段包括:梯度掩码方面的防御性蒸馏(DD)、决策器方面的基于EM距离的防御性提升手段(WAT)、基于数据处理方面的集成输入变换(EIT),其中:防御性蒸馏是指:将原模型输出的概率分布向量再次输入相同的模型中进行学习,从而使得最终学习到的模型的分类边界更加平滑,从而防御常见的对抗攻击方法;基于EM距离的防御性提升手段是指:将使用WPGD攻击生成的对抗样本与正常样本进行混合之后,对目标模型进行对抗训练从而达到提高模型鲁棒性的目的;集成输入变换是指:将图像样本送入神经网络进行对抗训练之前,对样本应用各种图像变换。优点在于其不可区分性和固有的随机性。
所述的基于EM距离优化的模型鲁棒性训练的优化目标为:其中:θ表示模型的参数,L(θ,x+δ,y)表示原始任务的损失函数,x表示原始样本,y表示真实分类标签,δ表示引入的对抗扰动,这里指的是WPGD攻击算法引入的扰动。因为WPGD对抗样本的分布更靠近正常样本,因此它可以为对抗训练提供高质量的对抗样本从而很好地提升模型的鲁棒性。
本实施例涉及上述系统的鲁棒性优化方法,具体包括以下步骤:
步骤1)白盒评估,如图2所示,具体包括如下步骤:
1.1)使用者将待评估的模型上传至系统;
1.2)使用者选择评估指标与攻击方法;
1.3)系统根据使用者选择的攻击方法对上传的模型进行白盒攻击。根据攻击的结果,依据所选的指标对模型的鲁棒性进行评分;
1.4)将评估结果提供给使用者查看;
步骤2)黑盒评估,如图3所示,具体包括如下步骤:
1)使用者选择通用对抗样本测试集或噪声处理准确性差异的评估方式时:
2.1.1)首先下载相应的样本集;
2.1.2)将样本集输入待评估的模型,将输出结果上传至系统;
2.1.3)系统将模型的输出结果与样本集的正确标签相比较,得出准确率。依据准确率对模型的鲁棒性进行评估;
2.1.4)将评估结果提供给使用者查看;
2.2)使用者选择黑盒迁移攻击的评估方式时:
2.2.1)使用者下载正常样本集;
2.2.2)将样本集输入待评估的模型,将输出结果上传至系统;
2.2.3)系统根据使用者的输出结果新训练出一个模型,对新模型进行白盒攻击并生成对抗样本集;
2.2.4)使用者下载对抗样本集,将对抗样本输入待评估的模型,并将输出结果上传至系统;
2.2.5)系统将输出结果与对抗样本集的正确标签相比较,得到准确率。依据准确率对模型的鲁棒性进行评估;
2.2.6)将评估结果提供给使用者查看;
步骤3)防御增强,如图4所示,具体包括如下步骤:
3.1)使用者将待增强的模型上传至系统;
3.2)使用者选择防御增强手段;
3.3)系统使用所选的防御增强技术对模型进行防御增强;
3.4)将防御增强后的模型提供给使用者下载。
经过具体实际实验,在软件环境为python3.6,硬件环境为GeForce GTX 1080的设置下,针对ResNet、DenseNet、SqueezeNet、AlexNet、VGG16、LeNet这六种常见的网络结构、分别在MNIST和CIFAR10数据集上进行正常训练,最终使得各模型都能达到较高的识别准确率。之后使用基于EM距离的投影梯度下降法(WPGD)对各模型进行攻击,计算模型发生误判的概率。能够得到的实验数据是:
基于EM距离的投影梯度下降法对正常模型具有很强的攻击效果,可以很大地提升模型的发生误判的概率。
经过具体实际实验,在软件环境为python3.6,硬件环境为GeForce GTX 1080的设置下,使用基于EM距离的防御性提升手段(WAT)对上述各模型进行防御增强。分别对正常模型与防御后的模型进行Deepfool攻击,计算各模型发生误判的概率。能够得到的实验数据是:
经过基于EM距离的防御性提升手段的模型面对DeepFool攻击有较好的防御性能,相比正常模型,在大部分网络结构下都可以有效降低DEEPFOOL攻击的误判率。
与现有技术相比,本发明将多个不同的白盒评估指标有机的结合在一起,其中所用的基于EM距离的投影梯度下降法可以构造出与正常样本在分布上更为相近的对抗样本,提升对模型的攻击效果。本发明提供了多种防御增强手段,其中基于EM距离的防御性提升手段可以有效的提升模型面对对抗攻击时的鲁棒性。
上述具体实施可由本领域技术人员在不背离本发明原理和宗旨的前提下以不同的方式对其进行局部调整,本发明的保护范围以权利要求书为准且不由上述具体实施所限,在其范围内的各个实现方案均受本发明之约束。
Claims (9)
1.一种人工智能图像分类模型的鲁棒性评估与增强系统,其特征在于,包括:白盒评估模块、黑盒评估模块和防御增强模块,其中:白盒评估模块从用户处获得待评估模型及所选的评估指标,根据多个不同指标从各方面评估模型抵抗攻击的能力,并计算出所有指标的分数以及鲁棒性总分;黑盒评估模块从用户处获得待评估模型的输出结果,与正确标签相比较得到评估结果,提供了多种黑盒评估手段,从黑盒的角度评估模型的鲁棒性;防御增强模块内置多种鲁棒性提升手段,从用户处获得待增强的模型及所选的防御增强方法信息,使用相应的防御增强方法对使用者上传的模型进行鲁棒性增强。
2.根据权利要求1所述的鲁棒性评估与增强系统,其特征是,所述的白盒评估模块包括:模型上传单元、评估指标与攻击方法选择单元、白盒评估单元以及结果查看单元,其中:模型上传单元与白盒评估单元相连并传输待评估的模型,评估指标与攻击方法选择单元与白盒评估单元相连并传输评估指标与攻击方法信息,白盒评估单元与结果查看单元相连并传输模型的评估结果信息;
所述的攻击方法包括:基于优化的对抗样本距离计算方法(C&W)、快速梯度下降算法(FGSM)、迷惑深度学习方法(Deepfool)、投影梯度下降法(PGD)、基于EM距离的投影梯度下降法(WPGD)。
3.根据权利要求1所述的鲁棒性评估与增强系统,其特征是,所述的黑盒评估模块包括:样本集下载单元、输出结果上传单元、黑盒评估单元以及结果查看单元,其中:样本集下载单元与黑盒评估单元相连并接受通用对抗样本测试集,输出结果上传单元与黑盒评估单元相连并传输待评估模型的噪声处理准确性差异,黑盒评估单元与结果查看单元相连并传输模型的黑盒迁移攻击成功率;
所述的噪声处理准确性差异是指:评估目标模型对于随机噪声扰动与对抗扰动的分辨能力的鲁棒性;
所述的黑盒迁移攻击成功率评估是指:与黑盒模型的识别结果相关,能构造出和模型更加适合的对抗样本。
4.根据权利要求1所述的鲁棒性评估与增强系统,其特征是,所述的防御增强模块包括:模型上传单元、防御方法选择单元、防御增强单元以及模型下载单元,其中:模型上传单元与防御增强单元相连并传输待防御增强的模型,防御方法选择单元与防御增强单元相连并传输防御方法信息,防御增强单元与模型下载单元相连并传输防御增强后的模型。
5.根据权利要求2所述的鲁棒性评估与增强系统,其特征是,所述的基于EM距离的投影梯度下降法,通过在寻找对抗样本的梯度中添加一个额外的EM距离正则项来优化扰动的构造方向、限制构造对抗样本时对抗样本和正常样本之间的分布差异,从而构造出更接近正常样本分布的对抗样本,该方法的目标是限制对抗样本和正常样本之间的EM距离,于是优化的损失函数可以表述为:J(Xadv,y)-β·W(Xnorm,Xadv),其中:Xnorm为正常样本,Xadv为对抗样本,W(Xnorm,Xadv)为正常样本与对抗样本之间的EM距离,β为调节系数。
6.根据权利要求1或2所述的鲁棒性评估与增强系统,其特征是,所述的评估指标包括:聪明指数(CLEVER Score,CS)、最小平均Lp扰动(MLD)、EM距离分布差异(ADD)、噪声处理准确性差异(NAV)、正确分类准确率(CA)、集成对抗准确率(EAA)。
7.根据权利要求5所述的鲁棒性评估与增强系统,其特征是,所述的鲁棒性提升手段包括:梯度掩码方面的防御性蒸馏(DD)、决策器方面的基于EM距离的防御性提升手段(WAT)、基于数据处理方面的集成输入变换(EIT);
所述的防御性蒸馏是指:将原模型输出的概率分布向量再次输入相同的模型中进行学习,从而使得最终学习到的模型的分类边界更加平滑,从而防御常见的对抗攻击方法;
所述的基于EM距离的防御性提升手段是指:将使用WPGD攻击生成的对抗样本与正常样本进行混合之后,对目标模型进行对抗训练从而达到提高模型鲁棒性的目的;集成输入变换是指:将图像样本送入神经网络进行对抗训练之前,对样本应用各种图像变换,优点在于其不可区分性和固有的随机性。
9.根据上述任一权利要求所述系统的鲁棒性优化方法,其特征在于,包括以下步骤:
步骤1)白盒评估,具体包括如下步骤:
1.1)使用者将待评估的模型上传至系统;
1.2)使用者选择评估指标与攻击方法;
1.3)系统根据使用者选择的攻击方法对上传的模型进行白盒攻击,根据攻击的结果,依据所选的指标对模型的鲁棒性进行评分;
1.4)将评估结果提供给使用者查看;
步骤2)黑盒评估,具体包括如下步骤:
2.1)使用者选择通用对抗样本测试集或噪声处理准确性差异的评估方式时:
2.1.1)首先下载相应的样本集;
2.1.2)将样本集输入待评估的模型,将输出结果上传至系统;
2.1.3)系统将模型的输出结果与样本集的正确标签相比较,得出准确率,依据准确率对模型的鲁棒性进行评估;
2.1.4)将评估结果提供给使用者查看;
2.2)使用者选择黑盒迁移攻击的评估方式时:
2.2.1)使用者下载正常样本集;
2.2.2)将样本集输入待评估的模型,将输出结果上传至系统;
2.2.3)系统根据使用者的输出结果新训练出一个模型,对新模型进行白盒攻击并生成对抗样本集;
2.2.4)使用者下载对抗样本集,将对抗样本输入待评估的模型,并将输出结果上传至系统;
2.2.5)系统将输出结果与对抗样本集的正确标签相比较,得到准确率,依据准确率对模型的鲁棒性进行评估;
2.2.6)将评估结果提供给使用者查看;
步骤3)防御增强,具体包括如下步骤:
3.1)使用者将待增强的模型上传至系统;
3.2)使用者选择防御增强手段;
3.3)系统使用所选的防御增强技术对模型进行防御增强;
3.4)将防御增强后的模型提供给使用者下载。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010799032.8A CN111950628B (zh) | 2020-08-11 | 2020-08-11 | 人工智能图像分类模型的鲁棒性评估与增强系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010799032.8A CN111950628B (zh) | 2020-08-11 | 2020-08-11 | 人工智能图像分类模型的鲁棒性评估与增强系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111950628A true CN111950628A (zh) | 2020-11-17 |
CN111950628B CN111950628B (zh) | 2023-10-24 |
Family
ID=73332191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010799032.8A Active CN111950628B (zh) | 2020-08-11 | 2020-08-11 | 人工智能图像分类模型的鲁棒性评估与增强系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111950628B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112464245A (zh) * | 2020-11-26 | 2021-03-09 | 重庆邮电大学 | 一种面向深度学习图像分类模型的泛化的安全性评估方法 |
CN112905494A (zh) * | 2021-05-07 | 2021-06-04 | 北京银联金卡科技有限公司 | 一种融合多维信息的人工智能测评方法及系统 |
CN113139618A (zh) * | 2021-05-12 | 2021-07-20 | 电子科技大学 | 一种基于集成防御的鲁棒性增强的分类方法及装置 |
CN114419346A (zh) * | 2021-12-31 | 2022-04-29 | 北京瑞莱智慧科技有限公司 | 一种模型的鲁棒性检测方法、装置、设备及介质 |
CN114531283A (zh) * | 2022-01-27 | 2022-05-24 | 西安电子科技大学 | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 |
CN115018729A (zh) * | 2022-06-17 | 2022-09-06 | 重庆米弘科技有限公司 | 一种面向内容的白盒图像增强方法 |
CN115643056A (zh) * | 2022-09-30 | 2023-01-24 | 支付宝(杭州)信息技术有限公司 | 一种网络模型的防攻击能力测试方法及装置 |
WO2023019456A1 (en) * | 2021-08-18 | 2023-02-23 | Robert Bosch Gmbh | Method and apparatus for evaluation of adversarial robustness |
CN117236704A (zh) * | 2023-11-16 | 2023-12-15 | 中钢集团武汉安全环保研究院有限公司 | 一种钢铁生产线区域动态安全风险评估量化方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110222831A (zh) * | 2019-06-13 | 2019-09-10 | 百度在线网络技术(北京)有限公司 | 深度学习模型的鲁棒性评估方法、装置及存储介质 |
CN110363243A (zh) * | 2019-07-12 | 2019-10-22 | 腾讯科技(深圳)有限公司 | 分类模型的评估方法和装置 |
US20200082097A1 (en) * | 2018-09-12 | 2020-03-12 | Aleksandr Poliakov | Combination of Protection Measures for Artificial Intelligence Applications Against Artificial Intelligence Attacks |
-
2020
- 2020-08-11 CN CN202010799032.8A patent/CN111950628B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200082097A1 (en) * | 2018-09-12 | 2020-03-12 | Aleksandr Poliakov | Combination of Protection Measures for Artificial Intelligence Applications Against Artificial Intelligence Attacks |
CN110222831A (zh) * | 2019-06-13 | 2019-09-10 | 百度在线网络技术(北京)有限公司 | 深度学习模型的鲁棒性评估方法、装置及存储介质 |
CN110363243A (zh) * | 2019-07-12 | 2019-10-22 | 腾讯科技(深圳)有限公司 | 分类模型的评估方法和装置 |
Non-Patent Citations (1)
Title |
---|
王科迪;易平;: "人工智能对抗环境下的模型鲁棒性研究综述", 信息安全学报, no. 03 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112464245A (zh) * | 2020-11-26 | 2021-03-09 | 重庆邮电大学 | 一种面向深度学习图像分类模型的泛化的安全性评估方法 |
CN112464245B (zh) * | 2020-11-26 | 2022-05-03 | 重庆邮电大学 | 一种面向深度学习图像分类模型的泛化的安全性评估方法 |
CN112905494A (zh) * | 2021-05-07 | 2021-06-04 | 北京银联金卡科技有限公司 | 一种融合多维信息的人工智能测评方法及系统 |
CN113139618B (zh) * | 2021-05-12 | 2022-10-14 | 电子科技大学 | 一种基于集成防御的鲁棒性增强的分类方法及装置 |
CN113139618A (zh) * | 2021-05-12 | 2021-07-20 | 电子科技大学 | 一种基于集成防御的鲁棒性增强的分类方法及装置 |
WO2023019456A1 (en) * | 2021-08-18 | 2023-02-23 | Robert Bosch Gmbh | Method and apparatus for evaluation of adversarial robustness |
CN114419346A (zh) * | 2021-12-31 | 2022-04-29 | 北京瑞莱智慧科技有限公司 | 一种模型的鲁棒性检测方法、装置、设备及介质 |
CN114531283A (zh) * | 2022-01-27 | 2022-05-24 | 西安电子科技大学 | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 |
CN114531283B (zh) * | 2022-01-27 | 2023-02-28 | 西安电子科技大学 | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 |
CN115018729A (zh) * | 2022-06-17 | 2022-09-06 | 重庆米弘科技有限公司 | 一种面向内容的白盒图像增强方法 |
CN115018729B (zh) * | 2022-06-17 | 2024-04-02 | 重庆米弘科技有限公司 | 一种面向内容的白盒图像增强方法 |
CN115643056A (zh) * | 2022-09-30 | 2023-01-24 | 支付宝(杭州)信息技术有限公司 | 一种网络模型的防攻击能力测试方法及装置 |
CN117236704A (zh) * | 2023-11-16 | 2023-12-15 | 中钢集团武汉安全环保研究院有限公司 | 一种钢铁生产线区域动态安全风险评估量化方法和装置 |
CN117236704B (zh) * | 2023-11-16 | 2024-02-06 | 中钢集团武汉安全环保研究院有限公司 | 一种钢铁生产线区域动态安全风险评估量化方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111950628B (zh) | 2023-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111950628B (zh) | 人工智能图像分类模型的鲁棒性评估与增强系统 | |
Guo et al. | Low frequency adversarial perturbation | |
Zhang et al. | Deep-IRTarget: An automatic target detector in infrared imagery using dual-domain feature extraction and allocation | |
CN110941794B (zh) | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 | |
CN111753881B (zh) | 一种基于概念敏感性量化识别对抗攻击的防御方法 | |
CN112464245B (zh) | 一种面向深度学习图像分类模型的泛化的安全性评估方法 | |
CN112396129B (zh) | 一种对抗样本检测方法及通用对抗攻击防御系统 | |
Gorokhovatskyi | IMAGE CLASSIFICATION METHODS IN THE SPACE OF DESCRIPTIONS IN THE FORM OF A SET OF THE KEY POINT | |
CN113822328B (zh) | 防御对抗样本攻击的图像分类方法、终端设备及存储介质 | |
CN111325324A (zh) | 一种基于二阶方法的深度学习对抗样本生成方法 | |
CN111754519B (zh) | 一种基于类激活映射的对抗防御方法 | |
CN112784768A (zh) | 一种基于视角引导多重对抗注意力的行人重识别方法 | |
Ye et al. | Detection defense against adversarial attacks with saliency map | |
CN113011487B (zh) | 一种基于联合学习与知识迁移的开放集图像分类方法 | |
He et al. | Transferable sparse adversarial attack | |
CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
CN113505855A (zh) | 一种对抗攻击模型的训练方法 | |
Li et al. | Toward visual distortion in black-box attacks | |
CN113361611B (zh) | 一种众包任务下的鲁棒分类器训练方法 | |
Xiao et al. | IHEM loss: Intra-class hard example mining loss for robust face recognition | |
Xu et al. | Adversarial robustness in graph-based neural architecture search for edge ai transportation systems | |
CN114565106A (zh) | 基于孤立森林的联邦学习中毒攻击的防御方法 | |
Li et al. | SA-ES: Subspace activation evolution strategy for black-box adversarial attacks | |
Liu et al. | Defend Against Adversarial Samples by Using Perceptual Hash. | |
Deng et al. | Detecting C&W adversarial images based on noise addition-then-denoising |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |