CN112016686A - 一种基于深度学习模型的对抗性训练方法 - Google Patents

一种基于深度学习模型的对抗性训练方法 Download PDF

Info

Publication number
CN112016686A
CN112016686A CN202010814467.5A CN202010814467A CN112016686A CN 112016686 A CN112016686 A CN 112016686A CN 202010814467 A CN202010814467 A CN 202010814467A CN 112016686 A CN112016686 A CN 112016686A
Authority
CN
China
Prior art keywords
deep learning
learning model
training
antagonism
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010814467.5A
Other languages
English (en)
Other versions
CN112016686B (zh
Inventor
刘宁
廖泳贤
黄立峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN202010814467.5A priority Critical patent/CN112016686B/zh
Publication of CN112016686A publication Critical patent/CN112016686A/zh
Application granted granted Critical
Publication of CN112016686B publication Critical patent/CN112016686B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/082Learning methods modifying the architecture, e.g. adding, deleting or silencing nodes or connections
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/06Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons
    • G06N3/063Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons using electronic means
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Neurology (AREA)
  • Image Analysis (AREA)
  • Image Processing (AREA)

Abstract

本发明公开了一种基于深度学习模型的对抗性训练方法,包括:通过自然进化策略生成第一对抗性示例以及通过平移不变攻击方法生成第二对抗性示例,将所述第一对抗性示例和所述第二对抗性示例作为扰动图像;获取干净图像,并将所述干净图像与所述扰动图像按照不同的比例进行混合,得到不同图像比例的训练集;将所述不同图像比例的训练集分别传输至深度学习模型中进行训练,确定使得深度学习模型鲁棒性最优的训练集;将所述使得深度学习模型鲁棒性最优的训练集作为训练数据输入至神经网络微调特定层中,对深度学习模型进行优化,得到对应的对抗性微调模型;本发明实现提高深度学习模型对于对抗样本的鲁棒性并减少运算负担,提高模型运算效率。

Description

一种基于深度学习模型的对抗性训练方法
技术领域
本发明涉及深度学习领域,尤其涉及一种基于深度学习模型的对抗性训练方法。
背景技术
尽管深度学习已显示出在处理计算机视觉,安全和司法方面的非凡能力,但它具有缺乏鲁棒性的缺点。神经网络容易受到对抗攻击,即输入数据添加不可察觉的扰动,可能会严重误导分类器以输出完全错误的结果。
对抗性例子的发现也引起了对抗性攻击防御方法的研究。一些方法尝试在推理过程中应用非线性和随机变换。此外,一些研究试图在训练阶段提高深度学习模型的鲁棒性,这增加了一些扰动图像作为训练神经网络的额外数据集。传统的对抗性训练有两个特点:一方面,其目的是找到使预测结果损失最大的对抗性例子。另一方面,优化器将搜索使整个干净数据和扰动数据的总损失期望值降至最低的参数。但是,当遇到黑匣子攻击时,传统的训练方法就没有那么有用了。为了解决这个问题,有人提出了集成对抗训练,该训练利用由不同攻击者生成的许多扰动数据来训练防御模型。尽管这些对抗训练方法是有效的,但由于反复生成对抗示例并考虑神经网络所有的层,所以要消耗巨大的计算成本。
因此,目前市面上亟需一种基于深度学习模型的对抗性训练策略,实现提高深度学习模型对于对抗样本的鲁棒性并减少运算负担,提高模型运算效率。
发明内容
本发明提供了一种基于深度学习模型的对抗性训练方法,实现提高深度学习模型对于对抗样本的鲁棒性并减少运算负担,提高模型运算效率。
为了解决上述技术问题,本发明实施例提供了一种基于深度学习模型的对抗性训练方法,包括:
通过自然进化策略生成第一对抗性示例以及通过平移不变攻击方法生成第二对抗性示例,将所述第一对抗性示例和所述第二对抗性示例作为扰动图像;
获取干净图像,并将所述干净图像与所述扰动图像按照不同的比例进行混合,得到不同图像比例的训练集;
将所述不同图像比例的训练集分别传输至深度学习模型中进行训练,确定使得深度学习模型鲁棒性最优的训练集;
将所述使得深度学习模型鲁棒性最优的训练集作为训练数据输入至神经网络微调特定层中,对深度学习模型进行优化,得到对应的对抗性微调模型。
作为优选方案,所述通过自然进化策略生成第一对抗性示例的公式为:
Figure BDA0002632183370000021
其中,xt代表对抗样本;
Figure BDA0002632183370000022
代表对对抗样本进行求梯度运算;
Figure BDA0002632183370000023
代表数据点xt服从方差为σ2的标准正态分布;E表示自然进化策略;f(z)代表神经网络传达的信息。
作为优选方案,在所述生成第一对抗性示例之后,还包括:对所述第一对抗性示例进行更新;其中,更新公式为:
xt+1=xt+α·sign(g);
其中,sign()为符号函数;α为小步长;xt+1为更新的对抗性示例。
作为优选方案,所述通过平移不变攻击方法生成第二对抗性示例的公式为:
Figure BDA0002632183370000024
其中,Wi,j是高斯核矩阵W的权重元素,k是内核大小,标准偏差
Figure BDA0002632183370000025
e的(-i2-j2)/(2σ2)次幂再乘以系数1/(2πσ2)得到(i,j)位置上的高斯核权重;i,j代表平移的横坐标和纵坐标,取值范围为[0,k],k为常数。
作为优选方案,在所述生成第二对抗性示例之后,还包括:对所述第二对抗性示例进行更新;其中,更新公式为:
Figure BDA0002632183370000031
其中,xt代表对抗样本,y代表干净样本x的分类标签,J(xt,y)是白盒攻击情况下神经网络的损失函数,
Figure BDA0002632183370000032
是对未进行变换的对抗性示例进行求梯度运算,由于神经网络的平移不变性,对各种平移和填充变换后的图像求梯度的和近似于经过高斯核矩阵W乘以
Figure BDA0002632183370000033
得到的值;sign()为符号函数;α为小步长;xt+1为更新的对抗性示例。
作为优选方案,所述干净图像与所述扰动图像混合的比例包括:0%,25%,50%,75%,100%。
作为优选方案,所述对深度学习模型进行优化的公式为:
Figure BDA0002632183370000034
其中,对(x+,y+)从混合分布D+中采样,D+结合了干净数据分布D和相应的对抗数据分布D*;其中S是包括特定层索引的集合,θs表示将对局部参数进行微调,θ是目标模型的全局参数,f(x)是其输出预测。
作为优选方案,所述微调特定层包括:
所述微调特定层选定为logit层;
所述微调特定层选定为logit层的前一层pre-logit层;
所述微调特定层选定为深度学习模型的后面一半层;
所述微调特定层选定为深度学习模型的所有层。
相比于现有技术,本发明实施例具有如下有益效果:
本发明技术方案利用基于查询和迁移的攻击方法来生成一组对抗样本,然后将干净的数据和添加了扰动的数据作为训练集混合到特定的微调模型层;基于这种训练方式,生成的模型不仅可以提高抵抗对抗性实例的鲁棒性,而且由于只需要重新训练部分参数,因此可以降低计算成本。
附图说明
图1:为本发明实施例提供的一种基于深度学习模型的对抗性训练方法的原理流程图;
图2:为本发明实施例中不同模型对对抗样本的预测结果示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
请参照图1,本发明实施例提供的一种基于深度学习模型的对抗性训练方法的原理流程图,本发明方法包括步骤101至步骤104,各步骤具体如下:
步骤101,通过自然进化策略生成第一对抗性示例以及通过平移不变攻击方法生成第二对抗性示例,将所述第一对抗性示例和所述第二对抗性示例作为扰动图像。
具体地,本步骤利用两个黑匣子攻击者:基于查询的方法和基于迁移攻击的方法来首先生成一组对抗性示例。
一方面,用自然进化策略(NES)实现的基于查询的攻击方法,以估计更严格条件下的神经网络梯度,来生成黑匣子攻击的对抗样本。自然进化策略估计梯度的公式如下:
Figure BDA0002632183370000041
xt+1=xt+α·sign(g)
攻击者随机以标准正态分布对向量进行局部扰动采样,并计算损失函数的值以计算模型的梯度方向。其中xt代表对抗样本;
Figure BDA0002632183370000042
代表对对抗样本进行求梯度运算;
Figure BDA0002632183370000043
代表数据点xt服从方差为σ2的标准正态分布;E表示自然进化策略。f(z)代表神经网络传达的有限信息,例如有限查询次数或仅预测的前几个分类标签。它是一种多步攻击方法,通过符号函数sign()乘以小步长α来迭代更新对抗性示例xt+1。每次更新后,需要对
Figure BDA0002632183370000044
进行裁剪操作,以将生成的对抗性示例限制在xreal的∈-近邻中。
xt+l=Clip{xt+1,0,255}
另一方面,用基于神经网络平移不变特性的平移不变攻击方法(TIM),来生成迁移攻击的对抗样本。用以下公式对各种平移和填充变换后的图像集合进行求梯度运算:
Figure BDA0002632183370000051
Figure BDA0002632183370000052
Wi,j是高斯核矩阵W的权重元素,k是内核大小,标准偏差
Figure BDA0002632183370000053
e的(-i2-j2)/(2σ2)次幂再乘以系数1/(2πσ2)得到(i,j)位置上的高斯核权重。对对抗性示例进行平移和填充变换,i,j代表平移的横坐标和纵坐标,取值范围为[0,k]。xt代表对抗样本,y代表干净样本x的分类标签,J(xt,y)是白盒攻击情况下神经网络的损失函数,
Figure BDA0002632183370000054
是对未进行变换的对抗性示例进行求梯度运算,由于神经网络的平移不变性,对各种平移和填充变换后的图像求梯度的和近似于经过高斯核矩阵W乘以
Figure BDA0002632183370000055
得到的值。
同样,通过小步长α来迭代更新对抗性示例xt+1,每次更新后,需要对
Figure BDA0002632183370000056
进行裁剪操作。
步骤102,获取干净图像,并将所述干净图像与所述扰动图像按照不同的比例进行混合,得到不同图像比例的训练集。
具体地,分别用含有0%,25%,50%,75%,100%扰动图像的训练集进行训练,以使步骤103可以选择使得模型鲁棒性最好的扰动图像比例。
步骤103,将所述不同图像比例的训练集分别传输至深度学习模型中进行训练,确定使得深度学习模型鲁棒性最优的训练集。
步骤104,将所述使得深度学习模型鲁棒性最优的训练集作为训练数据输入至神经网络微调特定层中,对深度学习模型进行优化,得到对应的对抗性微调模型。
具体地,通过结合了干净的数据分布D和相应的对抗性数据分布D*的混合分布D+中的数据微调特定层(即局部参数),并冻结目标模型的其他层并保持不变。受传统的经验性风险最小化(ERM)培训策略的启发,其优化目标可以表述为:
Figure BDA0002632183370000065
训练对(x+,y+)从混合分布D+中采样,D+结合了干净数据分布D和相应的对抗数据分布D*。其中S是包括特定层索引的集合,θs表示将对局部参数进行微调,θ是目标模型的全局参数,f(x)是其输出预测。通过最小化上式,我们可以获得合理的近似函数f,即具有较强鲁棒性的神经网络防御模型。
步骤1041,微调的层选定为logit层。
Figure BDA0002632183370000061
步骤1042,微调的层选定为logit层的前一层pre-logit层。
Figure BDA0002632183370000062
步骤1043,微调的层选定为模型的后面一半层。
Figure BDA0002632183370000063
步骤1044,微调的层选定为模型的所有层。
Figure BDA0002632183370000064
最后得到对应的微调训练后的模型。
如图2所示,展示了不同模型对对抗样本的预测结果。攻击者给干净的图像(左轮手枪和小刀)加上一些微小的扰动,以产生欺骗性的示例来欺骗(标记为横线)普通模型Inc-v3和防御模型AdvInc。相反,经过对抗性微调训练的模型AdvInc*可以抵抗这些攻击并正确识别图像(标记为竖线)。
本发明技术方案侧重于利用从黑盒攻击者生成的对抗性示例来提高模型对基于查询或基于迁移的黑盒攻击方法的鲁棒性。考虑到从头开始使用高维图像数据训练对抗防御模型需要大量的计算资源,本技术方案只训练深度神经网络的特定层。仅训练特定层有助于减少计算负担;使得防御模型具有更高的鲁棒性和更少的计算要求,其性能优于最新的防御方法。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围。特别指出,对于本领域技术人员来说,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于深度学习模型的对抗性训练方法,其特征在于,包括:
通过自然进化策略生成第一对抗性示例以及通过平移不变攻击方法生成第二对抗性示例,将所述第一对抗性示例和所述第二对抗性示例作为扰动图像;
获取干净图像,并将所述干净图像与所述扰动图像按照不同的比例进行混合,得到不同图像比例的训练集;
将所述不同图像比例的训练集分别传输至深度学习模型中进行训练,确定使得深度学习模型鲁棒性最优的训练集;
将所述使得深度学习模型鲁棒性最优的训练集作为训练数据输入至神经网络微调特定层中,对深度学习模型进行优化,得到对应的对抗性微调模型。
2.如权利要求1所述的基于深度学习模型的对抗性训练方法,其特征在于,所述通过自然进化策略生成第一对抗性示例的公式为:
Figure FDA0002632183360000011
其中,xt代表对抗样本;
Figure FDA0002632183360000012
代表对对抗样本进行求梯度运算;
Figure FDA0002632183360000013
代表数据点xt服从方差为σ2的标准正态分布;E表示自然进化策略;f(z)代表神经网络传达的信息。
3.如权利要求2所述的基于深度学习模型的对抗性训练方法,其特征在于,在所述生成第一对抗性示例之后,还包括:对所述第一对抗性示例进行更新;其中,更新公式为:
xt+1=xt+α·sign(g);
其中,sign()为符号函数;α为小步长;xt+1为更新的对抗性示例。
4.如权利要求1所述的基于深度学习模型的对抗性训练方法,其特征在于,所述通过平移不变攻击方法生成第二对抗性示例的公式为:
Figure FDA0002632183360000021
其中,Wi,j是高斯核矩阵W的权重元素,k是内核大小,标准偏差
Figure FDA0002632183360000022
e的(-i2-j2)/(2σ2)次幂再乘以系数1/(2πσ2)得到(i,j)位置上的高斯核权重;i,j代表平移的横坐标和纵坐标,取值范围为[0,k],k为常数。
5.如权利要求4所述的基于深度学习模型的对抗性训练方法,其特征在于,在所述生成第二对抗性示例之后,还包括:对所述第二对抗性示例进行更新;其中,更新公式为:
Figure FDA0002632183360000023
其中,xt代表对抗样本,y代表干净样本x的分类标签,J(xt,y)是白盒攻击情况下神经网络的损失函数,
Figure FDA0002632183360000024
是对未进行变换的对抗性示例进行求梯度运算,由于神经网络的平移不变性,对各种平移和填充变换后的图像求梯度的和近似于经过高斯核矩阵W乘以
Figure FDA0002632183360000025
得到的值;sign()为符号函数;α为小步长;xt+1为更新的对抗性示例。
6.如权利要求1所述的基于深度学习模型的对抗性训练方法,其特征在于,所述干净图像与所述扰动图像混合的比例包括:0%,25%,50%,75%,100%。
7.如权利要求1所述的基于深度学习模型的对抗性训练方法,其特征在于,所述对深度学习模型进行优化的公式为:
Figure FDA0002632183360000026
其中,对(x+,y+)从混合分布D+中采样,D+结合了干净数据分布D和相应的对抗数据分布D*;其中S是包括特定层索引的集合,θs表示将对局部参数进行微调,θ是目标模型的全局参数,f(x)是其输出预测。
8.如权利要求1所述的基于深度学习模型的对抗性训练方法,其特征在于,所述微调特定层包括:
所述微调特定层选定为logit层;
所述微调特定层选定为logit层的前一层pre-logit层;
所述微调特定层选定为深度学习模型的后面一半层;
所述微调特定层选定为深度学习模型的所有层。
CN202010814467.5A 2020-08-13 2020-08-13 一种基于深度学习模型的对抗性训练方法 Active CN112016686B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010814467.5A CN112016686B (zh) 2020-08-13 2020-08-13 一种基于深度学习模型的对抗性训练方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010814467.5A CN112016686B (zh) 2020-08-13 2020-08-13 一种基于深度学习模型的对抗性训练方法

Publications (2)

Publication Number Publication Date
CN112016686A true CN112016686A (zh) 2020-12-01
CN112016686B CN112016686B (zh) 2023-07-21

Family

ID=73504326

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010814467.5A Active CN112016686B (zh) 2020-08-13 2020-08-13 一种基于深度学习模型的对抗性训练方法

Country Status (1)

Country Link
CN (1) CN112016686B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113343025A (zh) * 2021-08-05 2021-09-03 中南大学 基于加权梯度哈希激活热力图的稀疏对抗攻击方法
CN113392396A (zh) * 2021-06-11 2021-09-14 浙江工业大学 面向深度强化学习的策略保护防御方法
CN113537466A (zh) * 2021-07-12 2021-10-22 广州杰纳医药科技发展有限公司 实时生成对抗样本的深度学习训练数据增广方法、装置、电子设备及介质
CN113935481A (zh) * 2021-10-12 2022-01-14 中国人民解放军国防科技大学 针对自然语言处理模型在有限次数条件下的对抗测试方法
CN115496924A (zh) * 2022-09-29 2022-12-20 北京瑞莱智慧科技有限公司 一种数据处理方法、相关设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180373979A1 (en) * 2017-06-22 2018-12-27 Adobe Systems Incorporated Image captioning utilizing semantic text modeling and adversarial learning
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
US20190295302A1 (en) * 2018-03-22 2019-09-26 Northeastern University Segmentation Guided Image Generation With Adversarial Networks
CN111178527A (zh) * 2019-12-31 2020-05-19 北京航空航天大学 一种渐进式的对抗训练方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180373979A1 (en) * 2017-06-22 2018-12-27 Adobe Systems Incorporated Image captioning utilizing semantic text modeling and adversarial learning
US20190295302A1 (en) * 2018-03-22 2019-09-26 Northeastern University Segmentation Guided Image Generation With Adversarial Networks
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
CN111178527A (zh) * 2019-12-31 2020-05-19 北京航空航天大学 一种渐进式的对抗训练方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李雪晴;杨杨;王勤;代光发;杨祯琳;: "基于深度学习的通信信号鲁棒识别算法", 信息与电脑(理论版), no. 04, pages 37 - 39 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113392396A (zh) * 2021-06-11 2021-09-14 浙江工业大学 面向深度强化学习的策略保护防御方法
CN113537466A (zh) * 2021-07-12 2021-10-22 广州杰纳医药科技发展有限公司 实时生成对抗样本的深度学习训练数据增广方法、装置、电子设备及介质
CN113343025A (zh) * 2021-08-05 2021-09-03 中南大学 基于加权梯度哈希激活热力图的稀疏对抗攻击方法
CN113343025B (zh) * 2021-08-05 2021-11-02 中南大学 基于加权梯度哈希激活热力图的稀疏对抗攻击方法
CN113935481A (zh) * 2021-10-12 2022-01-14 中国人民解放军国防科技大学 针对自然语言处理模型在有限次数条件下的对抗测试方法
CN115496924A (zh) * 2022-09-29 2022-12-20 北京瑞莱智慧科技有限公司 一种数据处理方法、相关设备及存储介质

Also Published As

Publication number Publication date
CN112016686B (zh) 2023-07-21

Similar Documents

Publication Publication Date Title
CN112016686A (zh) 一种基于深度学习模型的对抗性训练方法
Choudhuri et al. Distribution alignment using complement entropy objective and adaptive consensus-based label refinement for partial domain adaptation
Barbalau et al. Black-box ripper: Copying black-box models using generative evolutionary algorithms
CN113780461B (zh) 基于特征匹配的鲁棒神经网络训练方法
CN111242157A (zh) 联合深度注意力特征和条件对抗的无监督域自适应方法
CN111709435A (zh) 一种基于离散小波变换的对抗样本生成方法
CN115115905A (zh) 基于生成模型的高可迁移性图像对抗样本生成方法
CN112200257A (zh) 对抗样本的生成方法及装置
CN113435264A (zh) 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置
CN113935396A (zh) 基于流形理论的对抗样本攻击方法及相关装置
Cai et al. Blackbox attacks via surrogate ensemble search
Ye et al. Reducing bias to source samples for unsupervised domain adaptation
Liu et al. Towards transferable unrestricted adversarial examples with minimum changes
Zhang et al. Thief, beware of what get you there: Towards understanding model extraction attack
Yuan et al. SecretGen: Privacy Recovery on Pre-trained Models via Distribution Discrimination
CN113033410B (zh) 基于自动数据增强的域泛化行人重识别方法、系统及介质
Williams et al. Sparse adversarial attack via bi-objective optimization
Sun et al. A Deep Model for Partial Multi-label Image Classification with Curriculum-based Disambiguation
Ran et al. Black-box adversarial attacks against image quality assessment models
Xie et al. GAME: Generative-based adaptive model extraction attack
CN115620100A (zh) 一种基于主动学习的神经网络黑盒攻击方法
Liu et al. Query-efficient hard-label black-box attacks using biased sampling
Kazoom et al. Improving the Robustness of Object Detection and Classification AI models against Adversarial Patch Attacks
CN117496118B (zh) 一种目标检测模型的窃取脆弱性分析方法和系统
Zhang et al. Perception-driven Imperceptible Adversarial Attack against Decision-based Black-box Models

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant