CN112182576A - 一种基于深度学习中特征碰撞的投毒攻击方法 - Google Patents

一种基于深度学习中特征碰撞的投毒攻击方法 Download PDF

Info

Publication number
CN112182576A
CN112182576A CN202011095534.9A CN202011095534A CN112182576A CN 112182576 A CN112182576 A CN 112182576A CN 202011095534 A CN202011095534 A CN 202011095534A CN 112182576 A CN112182576 A CN 112182576A
Authority
CN
China
Prior art keywords
sample
virus
backdoor
data
throwing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011095534.9A
Other languages
English (en)
Inventor
李龙
杨韵豪
古天龙
李笠
常亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guilin University of Electronic Technology
Original Assignee
Guilin University of Electronic Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guilin University of Electronic Technology filed Critical Guilin University of Electronic Technology
Priority to CN202011095534.9A priority Critical patent/CN112182576A/zh
Publication of CN112182576A publication Critical patent/CN112182576A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Abstract

本发明提供的一种基于深度学习中特征碰撞的投毒攻击方法,涉及人工智能领域,包括建立识别模型;获取健康数据集,将所述健康数据集分割为训练集和测试集,从所述测试集中选取一数据,作为目标样本,从后门类别中选取一类别,作为后门样本;将所述后门样本初始化,作为投毒样本,将所述投毒样本进行预处理;将所述投毒样本和所述目标样本拟合,获得所述识别模型的神经网络中瓶颈层的欧几里得距离;将所述投毒样本和所述后门样本拟合,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离;所述投毒样本拟合到最优时,获取最终的所述投毒数据。即使对数据进行扩增操作,攻击方也能实现投毒攻击。

Description

一种基于深度学习中特征碰撞的投毒攻击方法
技术领域
本发明涉及人工智能技术领域,尤其涉及基于深度学习中特征碰撞的投毒攻击方法。
背景技术
人工智能技术被越来越广泛的使用,随着人工智能技术在各行各业落地应用,在现实场景中,人工智能应用都有被攻击的隐患。各个组织都致力在研究攻击技术,进而制定出预防措施。
大部分攻击行为是投毒攻击,投毒攻击对神经网络有着灾难性的打击,但投毒攻击实现的条件比较苛刻,被攻击方对数据进行扩增操作后,就不能达到投毒攻击的目的。
发明内容
本发明的目的在于提供一种基于深度学习中特征碰撞的投毒攻击方法,通过制作足够真实的投毒样本攻击特定的目标,并能解决现有技术中被攻击方对数据进行扩增操作后,就不能达到投毒攻击的目的技术问题。
为实现上述目的,本发明采用的一种基于深度学习中特征碰撞的投毒攻击方法,包括:
选择Inception-V3作为识别模型;
获取健康数据集,将所述健康数据集分割为训练集和测试集,从所述测试集中选择想要攻击的一个数据,作为目标样本,从后门类别中选取一个样本,作为后门样本;
将所述后门样本,作为初始的投毒样本,将所述投毒样本进行数据扩增预处理;
将所述投毒样本和所述目标样本拟合,获得所述识别模型的神经网络中瓶颈层的欧几里得距离;
将所述投毒样本和所述后门样本拟合,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离;
所述投毒样本拟合到最优时,获取最终的所述投毒数据。
其中,在所述投毒样本拟合到最优的步骤中,重复缩小神经网络中输入层的弗罗贝尼乌斯距离的步骤,直至损失函数收敛,所述损失函数为:
Figure BDA0002724542060000021
Figure BDA0002724542060000022
其中,Mp(x)为投毒样本和后门样本在输入层特征之间的损失函数,通过求弗罗贝尼乌斯距离得到,θ为调节收敛程度的参数,x为投毒样本在输入层的特征向量。
其中,在最小化神经网络中瓶颈层的欧几里得距离步骤中,具体获取方法为采用梯度优化算法。
其中,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离的步骤中,缩小所述目标函数使得投毒样本在特征空间中不断向所述目标样本移动,不断缩小b和x在输入层特征之间的损失函数,通过求弗罗贝尼乌斯距离得到,用以训练出在人类视觉上和所述后门样本相似的投毒样本。
其中,所述投毒数据与所述目标样本在高维神经层的特征空间使模型混合,用以在被数据扩增处理后的分为同一后门类别。
本发明提供的一种基于深度学习中特征碰撞的投毒攻击方法,通过选择Inception-V3作为识别模型;获取健康数据集,将所述健康数据集分割为训练集和测试集,从所述测试集中选择想要攻击的一个样本,作为目标样本,从后门类别中选取一个样本,作为后门样本;将所述后门样本初始化,作为投毒样本,将所述投毒样本进行数据扩增预处理;将所述投毒样本和所述目标样本拟合,获得所述识别模型的神经网络中瓶颈层的欧几里得距离;将所述投毒样本和所述后门样本拟合,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离;所述投毒样本拟合到最优时,获取最终的所述投毒数据,被攻击方对数据进行扩增操作后,也能实现投毒攻击。
本发明的有益效果:
所提出的发明可实现对交通标志数据扩增之后仍能完成投毒攻击。在训练识别模型的时候,数据扩增是必不可少的环节,数据扩增会大大降低投毒攻击的效果。通过在制作投毒样本的过程中添加投毒样本对数据扩增的适应性训练,可使投毒攻击在数据扩增后仍有较好的攻击效果。
本发明会制作带有“隐蔽后门”的投毒样本,只需向样本添加不明显的噪声便可欺骗被攻击者。这样的样本很难引起被攻击者怀疑,注入训练集的投毒样本会被审核人员当作健康样本,但是它会在训练过程中改变识别系统的决策边界。
本发明可实现指定目标的投毒攻击,即攻击者可以操纵识别模型将目标样本分入到攻击者想要使它分入的类别,因为只是攻击特定的目标很难被模型训练者检测出。
本发明利用迁移学习模型制作出的投毒数据具有迁移性,即用此投毒数据便有了实现黑盒攻击的可能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的基于深度学习中特征碰撞的投毒攻击方法的流程图。
图2为本发明投毒攻击的逻辑图。
图3为本发明投毒数据的制作流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
请参阅图1至图3,本发明采用的一种基于深度学习中特征碰撞的投毒攻击方法,包括:
选取Inception-V3作为识别模型,该模型属于迁移学习模型,即用原来的权重参数进行特征提取,在最后的瓶颈层后重新训练一个分类层(softmax layer),正好契合了本制作投毒样本方案中对瓶颈层中特征空间拟合的要求;
获取健康数据集,将所述健康数据集分割为训练集和测试集,从所述测试集中选择想要攻击的一个样本,作为目标样本,从后门类别中选取一个样本,作为后门样本;
将所述后门样本,作为初始的投毒样本,将所述投毒样本进行数据扩增预处理;
将所述投毒样本和所述目标样本拟合,获得所述识别模型的神经网络中瓶颈层的欧几里得距离;
将所述投毒样本和所述后门样本拟合,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离;
所述投毒样本拟合到最优时,获取最终的所述投毒数据。
其中,在所述投毒样本拟合到最优的步骤中,重复获取神经网络中输入层的弗罗贝尼乌斯距离的步骤,直至目标函数收敛,所述目标函数为:
Figure BDA0002724542060000041
Figure BDA0002724542060000042
其中,Mp(x)为投毒样本和后门样本在输入层特征之间的损失函数,通过求弗罗贝尼乌斯距离得到,θ为调节收敛程度的参数,x为投毒样本在输入层的特征向量。在获取神经网络中瓶颈层的欧几里得距离步骤中,具体获取方法为采用梯度优化算法。获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离的步骤中,缩小所述目标函数使得投毒样本在特征空间中不断向所述目标样本移动,不断缩小b和x在输入层特征的弗罗贝尼乌斯距离,用以训练出在人类视觉上和所述后门样本相似的投毒样本。所述投毒数据与所述目标样本在高维神经层的特征空间使模型混合,用以在被数据扩增处理后的分为同一后门类别。
在本实施方式中,本发明的基于深度学习中特征碰撞的投毒攻击方法选取基于Inception-V3的识别模型,该模型高效地增大了网络,即通过适当的分解卷积和有效的正则化尽可能有效地利用所增加的计算。更重要的是Inception-V3属于迁移学习模型,即用原来的权重参数进行特征提取,在最后的瓶颈层后重新训练一个分类层(softmax layer),正好契合了投毒攻击中对瓶颈层中特征空间拟合的要求。利用迁移学习制作的投毒样本具有迁移性,即该模型制作的投毒样本会导致不同的分类器将样本错误分类。例如存在两个分类模型,一个基于VGG,一个基于Inception-V3,利用基于Inception-V3模型生成了投毒样本,然后发现该投毒样本同样可以欺骗VGG迁移学习模型(OxfordVisual GeometryGroup,牛津超分辨率测试序列),使其对目标交通标志分类出现错误。这就为黑盒投毒攻击提供了可能性,攻击者即使对所要攻击的自动驾驶系统所使用的网络模型一无所知,仍然可以生成投毒样本。
在本实施方式的实施例中,“干净标签”投毒攻击,先定义制作该投毒样本的几种符号。p表示投毒样本,t表示目标样本,b表示后门样本,x表示投毒样本的在输入层的特征,f(x)表示在瓶颈层(神经网络结构中的倒数第二层)的特征,φ(x)表示数据预处理过程。
步骤一,挑选t和b,攻击者的目的是使中毒后的模型将t分在b的类别中。攻击原理就是制作出的p人们看不出和b有任何差别,p在训练过程就会被标记为b的标签;但是由于t和b的高层特征空间相似,模型会把t和b始终分在一块,于是便将t错误分入后门类别。
步骤二,将b作为初始的投毒数据,接着用数据扩增技术预处理初始的投毒数据,并得到处理后投毒数据输入层特征φ(x),例如对初始的投毒数据做添加噪声、图像翻转、随机裁取等操作。
步骤三,计算f(t)和f(φ(x))的欧几里得距离,再利用Adam梯度下降法欧几里得距离。
可以理解的是,Adam梯度下降法本质上是RMSProp与Momentum结合,实现简单、计算高效、对内存需求少。并且Adam算法的偏差修正令其在梯度变得稀疏时要比RMSProp算法更优秀更快速。Adam梯度下降法和随机梯度下降法不同在于,随机梯度下降保持单一的学习率更新所有的权重,学习率的训练过程中并不会改变。而Adam通过随机梯度的的一阶矩估计和二阶矩估计而为不同的参数设计独立的自适应学习率。本发明技术方案之所以选择Adam优化算法,是因为它需要的资源更少并且使模型收敛更快,从根本上加速了机器的学习速度和效果。
可以理解的是在使用Adam梯度下降法前,需要配置相关参数,定义学习率为α、神经网络的参数θ、矩估计的指数衰减率β1和β2、用于数值稳定的常数δ,初始化一阶变量s=0、二阶变量r=0、时间步k=0、梯度更新的步长∈=0.001。
Adam优化算法计算方法如下,
(1)首先计算梯度:
Figure BDA0002724542060000061
k=k+1
其中,g是梯度,k是时间步,θ是神经网络参数,Lp(x)是损失函数,
Figure BDA0002724542060000062
是损失函数关于参数的求导。
(2)更新有偏一阶矩估计:
s=β1g+(1-β1)g
其中,s是一阶矩变量,β1是矩估计的指数衰减率,g是梯度。
(3)更新有偏二阶矩估计:
r=β2g+(1-β2)g
其中,r是一阶矩变量,β2是矩估计的指数衰减率,g是梯度。
(4)修正一阶矩的偏差:
Figure BDA0002724542060000063
其中,s是一阶矩变量,β1是矩估计的指数衰减率,k是时间步长,
Figure BDA0002724542060000068
是修正后的一阶矩变量。
(5)修正二阶矩的偏差:
Figure BDA0002724542060000064
其中,r是二阶矩变量,β2是矩估计的指数衰减率,k是时间步长,
Figure BDA0002724542060000069
是修正后的二阶矩变量。
(6)参数更新:
Figure BDA0002724542060000065
θ=θ+Δθ
其中,θ是神经网络的参数,δ是用于数值稳定的常数,∈是步长,
Figure BDA00027245420600000610
是修正后的一阶矩变量,
Figure BDA0002724542060000067
是修正后的二阶矩变量。
利用上述Adam优化如下损失函数即可拟合目标样本和投毒样本在瓶颈层的特征值为:
Figure BDA0002724542060000066
其中,f(t)是指目标样本在瓶颈层(神经网络结构中的倒数第二层)的特征分布,φ(x)表示对投毒样本进行数据扩增处理,f(φ(x))是指经过数据扩增后的投毒样本在瓶颈层的特征分布。
缩小该目标函数可使得投毒样本在特征空间中不断向目标样本移动(高层特征逐渐接近),并且使其被嵌入目标类别分布中。
步骤四,不断缩小b和x在输入层特征的弗罗贝尼乌斯距离,就是为了训练出在人类视觉上和后门样本相似的投毒样本。损失函数为:
Figure BDA0002724542060000071
其中,x为投毒样本在输入层的特征向量,Mp(x)为投毒样本和后门样本在输入层特征之间的损失函数,通过求弗罗贝尼乌斯距离得到,θ为调节收敛程度的参数。
该目标函数表示投毒样本和后门样本的低层特征的损失,最小化损失意味着在物理表面上无限接近,参数θ则控制优化的程度。可采用近端算法(proximal algorithm)优化MP(x),如下公式:
Figure BDA0002724542060000072
即可不断缩小MP(x)弗罗贝尼乌斯距离。其中,θ是调节优化程度的参数,λ是学习率。
步骤五,同时优化LP(x)和MP(x)可以制作出投毒样本,投毒样本即为:
Figure BDA0002724542060000073
其中,p表示投毒样本,t表示目标样本,x为投毒样本在输入层的特征向量,b表示后门样本,θ为调节收敛程度的参数,f(t)是指目标样本在瓶颈层的特征分布,φ(x)表示对投毒样本进行数据扩增处理,f(φ(x))是指经过数据扩增的投毒样本在瓶颈层的特征分布。
可以理解的,利用前向后向切分法(Forward-Backward Splitting)可有效优化投毒数据,该算法将梯度的更新分为两个步骤,即先更新一次损失函数LP(x)的梯度,接着更新一次损失函数MP(x)的梯度,然后判断梯度是否收敛,如果没有收敛就接着更新梯度。这样既保证了两个损失函数可以同步优化,又会减少整个优化过程的计算量。
步骤六,重复步骤三到步骤五,直到训练过程收敛,即制作出投毒样本。
和传统的投毒攻击方法不同,本方法在此基础上作了改进,在模型训练者对训练集用数据增广操作预处理之后,也能准确地将目标样本分类到攻击者想要使它分入的类别中。从理论的角度上看,本方法将通过最小化被数据扩增处理后的投毒样本和目标样本在高维神经层的特征空间使模型始终将被数据扩增处理后的投毒样本和目标样本分为同一类,并且同时保证投毒样本和后门样本在输入层的特征相似(即人眼看着两样本并无差别)。因此,将投毒样本注入训练集中(即使模型训练者对训练集用数据扩增方法处理后)便会被标记为后门标签,于是在测试阶段模型就会将投毒样本和目标样本同时分入后门类别中,如此目标样本便从后门类别中获得“后门”。
本发明提供的一种基于深度学习中特征碰撞的投毒攻击方法,通过建立识别模型;获取健康数据集,将所述健康数据集分割为训练集和测试集,从所述测试集中选取一个数据,作为目标样本,从后门类别中选取一个类别,作为后门样本;将所述后门样本初始化,作为投毒样本,将所述投毒样本进行数据扩增预处理;将所述投毒样本和所述目标样本拟合,获得所述识别模型的神经网络中瓶颈层的欧几里得距离;将所述投毒样本和所述后门样本拟合,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离;所述投毒样本拟合到最优时,获取最终的所述投毒数据,被攻击方对数据进行扩增操作后,也能实现投毒攻击。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。

Claims (6)

1.一种基于深度学习中特征碰撞的投毒攻击方法,其特征在于,包括:
建立识别模型;
获取健康数据集,将所述健康数据集分割为训练集和测试集,从所述测试集中选择想要攻击的一个数据,作为目标样本,从后门类别中选取一个样本,作为后门样本;
将所述后门样本初始化,作为投毒样本,将所述投毒样本进行预处理;
将所述投毒样本和所述目标样本拟合,获得所述识别模型的神经网络中瓶颈层的欧几里得距离;
将所述投毒样本和所述后门样本拟合,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离;
所述投毒样本拟合到最优时,获取最终的所述投毒数据。
2.如权利要求1所述的基于深度学习中特征碰撞的投毒攻击方法,其特征在于,在所述投毒样本拟合到最优的步骤中,
重复获取神经网络中输入层的弗罗贝尼乌斯距离的步骤,直至目标函数收敛,所述目标函数为:
Figure FDA0002724542050000011
其中,Mp(x)为投毒样本和后门样本在输入层特征之间的损失函数,通过求弗罗贝尼乌斯距离得到,θ为调节收敛程度的参数,x为投毒样本在输入层的特征向量。
3.如权利要求2所述的基于深度学习中特征碰撞的投毒攻击方法,其特征在于,在获取神经网络中瓶颈层的欧几里得距离步骤中,具体获取方法为采用梯度优化算法。
4.如权利要求3所述的基于深度学习中特征碰撞的投毒攻击方法,其特征在于,获得所述识别模型的神经网络中输入层的弗罗贝尼乌斯距离的步骤中,
缩小所述目标函数使得投毒样本在特征空间中不断向所述目标样本移动,不断缩小b和x在输入层特征之间的损失函数,通过求弗罗贝尼乌斯距离得到,用以训练出在人类视觉上和所述后门样本相似的投毒样本。
5.如权利要求1~4任一项所述的基于深度学习中特征碰撞的投毒攻击方法,其特征在于,
所述投毒数据与所述目标样本在高维神经层的特征空间使模型混合,用以在被数据扩增处理后的分为同一后门类别。
6.一种基于深度学习中特征碰撞的投毒攻击方法,其特征在于,包括如权利要求1~5任一项方法的单元。
CN202011095534.9A 2020-10-14 2020-10-14 一种基于深度学习中特征碰撞的投毒攻击方法 Pending CN112182576A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011095534.9A CN112182576A (zh) 2020-10-14 2020-10-14 一种基于深度学习中特征碰撞的投毒攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011095534.9A CN112182576A (zh) 2020-10-14 2020-10-14 一种基于深度学习中特征碰撞的投毒攻击方法

Publications (1)

Publication Number Publication Date
CN112182576A true CN112182576A (zh) 2021-01-05

Family

ID=73950889

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011095534.9A Pending CN112182576A (zh) 2020-10-14 2020-10-14 一种基于深度学习中特征碰撞的投毒攻击方法

Country Status (1)

Country Link
CN (1) CN112182576A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113111349A (zh) * 2021-04-25 2021-07-13 浙江大学 基于热力图、逆向工程和模型剪枝的后门攻击防御方法
CN113255909A (zh) * 2021-05-31 2021-08-13 北京理工大学 基于通用对抗触发器的干净标签神经网络后门植入系统
CN113269308A (zh) * 2021-05-31 2021-08-17 北京理工大学 基于通用对抗触发器的干净标签神经网络后门植入方法
CN113380255A (zh) * 2021-05-19 2021-09-10 浙江工业大学 一种基于迁移训练的声纹识别中毒样本生成方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113111349A (zh) * 2021-04-25 2021-07-13 浙江大学 基于热力图、逆向工程和模型剪枝的后门攻击防御方法
CN113111349B (zh) * 2021-04-25 2022-04-29 浙江大学 基于热力图、逆向工程和模型剪枝的后门攻击防御方法
CN113380255A (zh) * 2021-05-19 2021-09-10 浙江工业大学 一种基于迁移训练的声纹识别中毒样本生成方法
CN113380255B (zh) * 2021-05-19 2022-12-20 浙江工业大学 一种基于迁移训练的声纹识别中毒样本生成方法
CN113255909A (zh) * 2021-05-31 2021-08-13 北京理工大学 基于通用对抗触发器的干净标签神经网络后门植入系统
CN113269308A (zh) * 2021-05-31 2021-08-17 北京理工大学 基于通用对抗触发器的干净标签神经网络后门植入方法
CN113269308B (zh) * 2021-05-31 2022-11-18 北京理工大学 基于通用对抗触发器的干净标签神经网络后门植入方法
CN113255909B (zh) * 2021-05-31 2022-12-13 北京理工大学 基于通用对抗触发器的干净标签神经网络后门植入系统

Similar Documents

Publication Publication Date Title
CN112182576A (zh) 一种基于深度学习中特征碰撞的投毒攻击方法
CN109948658B (zh) 面向特征图注意力机制的对抗攻击防御方法及应用
CN109639710B (zh) 一种基于对抗训练的网络攻击防御方法
CN111881935B (zh) 一种基于内容感知gan的对抗样本生成方法
CN112364885B (zh) 一种基于深度神经网络模型可解释性的对抗样本防御方法
CN111507469B (zh) 对自动标注装置的超参数进行优化的方法和装置
CN109961145A (zh) 一种针对图像识别模型分类边界敏感的对抗样本生成方法
CN111783551B (zh) 基于贝叶斯卷积神经网络的对抗样本防御方法
CN110929848B (zh) 基于多挑战感知学习模型的训练、跟踪方法
CN109583379A (zh) 一种基于随机擦除行人对齐网络的行人重识别方法
CN110941794A (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN110688968B (zh) 基于多示例深度卷积记忆网络的高光谱目标检测方法
CN111047054A (zh) 一种基于两阶段对抗知识迁移的对抗样例防御方法
CN113255816B (zh) 定向攻击对抗补丁生成方法及装置
CN112580728B (zh) 一种基于强化学习的动态链路预测模型鲁棒性增强方法
CN111160400A (zh) 一种基于修正边界攻击的对抗攻击方法
CN112329832A (zh) 一种基于深度卷积生成对抗网络的无源定位目标轨迹数据增强方法及系统
CN114387476A (zh) 一种提高对抗样本在防御机制上迁移性的方法
Chen et al. Patch selection denoiser: An effective approach defending against one-pixel attacks
CN114359672B (zh) 基于Adam的迭代快速梯度下降对抗攻击方法
CN111753884A (zh) 基于网络特征强化的深度图卷积模型防御方法及装置
CN110837818A (zh) 一种基于卷积神经网路的中华白海豚背鳍识别方法
CN117011508A (zh) 一种基于视觉变换和特征鲁棒的对抗训练方法
CN115510986A (zh) 一种基于AdvGAN的对抗样本生成方法
CN116721343A (zh) 一种基于深度卷积神经网络的跨域田间棉铃识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210105

RJ01 Rejection of invention patent application after publication