CN112200243A - 一种基于低问询图像数据的黑盒对抗样本生成方法 - Google Patents
一种基于低问询图像数据的黑盒对抗样本生成方法 Download PDFInfo
- Publication number
- CN112200243A CN112200243A CN202011074406.6A CN202011074406A CN112200243A CN 112200243 A CN112200243 A CN 112200243A CN 202011074406 A CN202011074406 A CN 202011074406A CN 112200243 A CN112200243 A CN 112200243A
- Authority
- CN
- China
- Prior art keywords
- image data
- box
- current image
- sample
- antagonism
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种基于低问询图像数据的黑盒对抗样本生成方法,属于对抗样本生成方法技术领域,解决现有得到有效的黑盒对抗样本迭代次数多的问题。本发明在图像识别应用中,获取当前图像数据;随机选择任一已知模型,基于已知模型设置白盒对抗样本生成参数,再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本;将白盒对抗样本减去当前图像数据,并进行归一化操作后,生成对抗性向量;将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中,得到输出后使用ADAM算法对当前图像数据进行更新,更新后,若满足要求,得到黑盒对抗样本,若不满足要求,将更新后的图像数据重复执行。本发明用于生成黑盒对抗样本。
Description
技术领域
一种基于低问询图像数据的黑盒对抗样本生成方法,用于生成黑盒对抗样本,属于对抗样本生成方法技术领域。
背景技术
近年来,以深度学习为代表的人工智能技术得到了高速发展,在各个领域都得到了广泛的应用。无人化、智能化势必是今后一个重要的趋势。与此同时,深度学习也面临着严重的可靠性问题,近来的研究发现,无论是在实验环境还是真实的物理世界中,以深度学习为代表的人工智能算法都可能遭到恶意攻击。在人工智能应用日益广泛的今天,面临的安全性漏洞威胁也日益严峻。因此,人工智能算法的安全性是其应用过程中亟待解决的关键问题。
根据对模型参数的已知状况,对抗样本的生成方法分为白盒生成与黑盒生成方法。白盒生成方法是攻击者能够掌握模型的参数与结构,以及模型的输入与输出,这样便能轻易地取得模型的梯度。而黑盒生成方法是攻击者只能获取模型的输入与输出。近来的研究表明,白盒攻击能够通过梯度的方向传播,得以高效快速的实现,同时能将添加的对抗性扰动限制在很小的范围。然而对于真实的攻击场景往往更贴近于黑盒场景,而黑盒场景由于能利用的信息更少,有着更高的攻击难度,近年来成为了学术研究的热点。
目前,已有的黑盒攻击主要分为基于迁移的方法、基于优化的方法以及基于决策的方法来实现。基于迁移的方法利用了执行相同任务的不同模型具有相似的决策边界的思路,因此,执行相同任务的不同模型有很大概率共享同一个对抗样本,这种方法的问题是在像ImageNet这类的大型数据集上攻击成功率较低。基于优化的方法是通过不断对输入进行微小改动,通过观测输入与输出之间的关系,进而估计出模型的梯度,这类方法的优点是拥有较高的成功率,缺点则是需要大量的问询次数,而大量的问询次数意味着更高的成本以及更容易被受攻击者发现。基于决策的方法是在模型两类决策的边界上进行游走,进而发现最接近原始图像的边界,该方法有着较小的扰动添加,然而依然会受其问询次数的限制。
发明内容
针对上述研究的问题,本发明的目的在于提供一种基于低问询图像数据的对抗样本黑盒生成方法,解决现有技术中得到有效的黑盒对抗样本迭代次数多,且成功率低的问题。
为了达到上述目的,本发明采用如下技术方案:
一种基于低问询图像数据的黑盒对抗样本生成方法,包括如下步骤:
S1:在图像识别应用中,计算机获取一副待生成黑盒对抗样本的图像数据,作为当前图像数据;
S2:随机选择任一已知模型,基于已知模型设置白盒对抗样本生成参数,再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本;
S3:将白盒对抗样本减去当前图像数据,并进行归一化操作后,生成对抗性向量;
S4:将对抗性向量直接加到当前图像数据,再送入与已知模型的任务类型相同、参数和结构未知的未知模型中,并将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中,再对添加了对抗性向量前后、未知模型的输出进行零阶优化,之后使用ADAM算法对当前图像数据进行更新,即得到有效的黑盒对抗样本,若有效的黑盒对抗样本满足要求,即得到黑盒对抗样本,若不满足要求,将更新后的图像数据作为当前图像数据,再重复执行步骤S2-S4。
进一步,所述已知模型为Resnet-50、VGG-16、Xception、Densenet、InceptionResnet-V2或NASnet中的一种,已知模型都由ImageNet数据集训练得到。
进一步,所述步骤S2中白盒生成方法为C&W方法;
其生成的超参数为置信度k、扰动系数c,置信度值设置为150,扰动系数为随机生成,范围为10-100,其目标函数为:
s.t.x+η∈[0,1]n
其中,n为图像数据的维度,η为扰动的范数值,p为采用的范数类别,x为当前图像数据,g为判断白盒对抗样本生成是否成功的一个阈值函数,s.t为subject to,表示受限制于,c越大,则扰动大小对该目标函数的影响越小,该目标函数的目的在于,在保障攻击成功的同时,让扰动尽可能小,阈值函数g(x′)如下为:
其中,x′为白盒生成过程中正在修改的白盒图像数据,是指白盒迭代中的中间数据,初始值为当前图像数据,最终值为白盒对抗样本,x′与当前图像数据x之间的关系是x′=x+η;
Z(x′)为白盒图像数据所对应的输出,该输出为一个1000维的向量;Z(x′)i为第i维输出,代表着分类为第i类的置信度,i代表除了待生成类别t之外的其它类别;Z(x′)t为第t类的置信度;k为置信度,只有待生成类别大于除待生成类别加上置信度之和时,阈值函数才会等于0。
进一步,所述步骤S4的具体步骤为:
将归一化后生成的对抗性向量a除以1000后与当前图像数据相加,得到梯度估计样本xa,即加入了对抗性向量的当前图像数据,将梯度估计样本和当前图像数据问询未知模型f,分别得到添加对抗性向量后梯度估计样本的未知模型预测置信度f(xa)与当前图像数据的未知模型预测置信度f(x),得到f(xa)和f(x)后,基于零阶优化对a方向的梯度值大小进行估计,即估计出对抗性向量方向的梯度值,零阶优化的公式为:
零阶优化后,使用ADAM算法利用该梯度值,对当前图像数据进行更新,更新后,若为有效的对抗样本,则得到黑盒对抗样本,否则,再次进行优化,直至得到对未知模型有效的对抗样本。
进一步,所述未知模型为Inception-V3,由ImageNet数据集训练得到。
本发明同现有技术相比,其有益效果表现在:
一、本发明将对抗性向量添加到当前图像数据中,使得每次问询的数据更有可能是黑盒对抗样本,提高每次迭代的效率,从而减少迭代次数,即通过改进现有的攻击方法,解决黑盒攻击的高问询次数(现有技为了达到相应的攻击成功率,需要迭代上万次)、低准确率和高扰动的问题,本发明在ImageNet数据集上,生成对抗样本的问询次数、扰动、成功率如下表所示,参与对比的均为近两年发表在CCF A类会议上的黑盒对抗样本生成方法(Autozoom-AE 2019AAAI、Hop Skip Jump 2020 IEEE Symposium on Security andPrivacy(SP)、Hybird batch attack 2020USENIX Security)
其中,hop skip jump由于初次对抗样本生成的扰动依赖于所选择目标图像于待攻击图像的差异,其初次攻击所需要的问询次数与扰动并没有参考性,上表并没有进行罗列。
可以看出我们的算法虽然不能以100%的成功率生成对抗样本,但98.5%仍是很高的成功率。并且我们的算法能以最少的问询次数,最低的扰动生成对抗样本。
二、本发明随机选择已知的模型,并设置白盒对抗样本生成参数以白盒生成方法生成对抗样本,提高了对抗性向量的随机性,避免对抗性向量过于相似,导致对抗性向量评估效率降低,即出现问询效率低下,陷入局部最优,难以优化的问题;
三、本发明结合了零阶优化与迁移结合的方法以黑盒的方式生成对抗样本,两者的结合改善了基于迁移方法成功率较低的问题与基于优化的方法迭代次数过多,且生成对抗样本所造成的扰动过大的问题;
四、本发明中的目标函数在保障攻击成功的同时,让扰动尽可能小;
五、本发明采用对抗性向量而不是随机向量添加到数据上进行梯度估计,由于相同任务的模型具有相似的决策边界,因此对抗性向量方向对当前图像数据进行改动会更有可能提升模型针对未知模型对抗性可能性,这样便能提高评估效率。
附图说明
图1是本发明的总体架构图;
具体实施方式
下面将结合附图及具体实施方式对本发明作进一步的描述。
在图像识别的相关应用中,本发明融合了基于迁移与基于优化的生成方法的优势,在确保生成黑盒对抗样本成功率的同时减少了迭代次数,即减少问询次数。本发明主要改进的手段在于,将传统方法中每次迭代所添加的随机向量,修改为了对抗性向量,同时在对抗性向量生成的过程中,增加了随机性,避免陷入局部最优,进一步提升了生成效率。
本实验采用的图像数据集为来自http://www.image-net.org/,数据集采用ImageNet,本实验的数据从该数据集中随机获取,每次的输入为一副图像,即一副图像数据。
实验所使用的未知模型为Inception-V3,该模型由ImageNet数据集训练而来,已知模型采用了Resnet-50、VGG-16、Xception、Densenet、InceptionResnet-V2、NASnet,这些模型都是由ImageNet数据集训练而来,但它们的正确率与分类边界有着较大的差异。
根据论文《Delving into transferable adversarial examples and black-boxattacks》,以上通过ImageNet训练得到的模型,使用白盒对抗样本生成方法(即白盒生成方法)生成的对抗样本,其目标攻击迁移成功率低于5%。
在获取一副图像数据后,本发明的实验分为4个阶段,4个阶段循环迭代进行,直至生成对未知模型有效的对抗样本。
(1)白盒对抗样本生成阶段
从以上已知模型中随机1个模型用于生成白盒对抗样本,选取已知模型后,对已知模型进行参数设置,基于设置参数后的已知模型、白盒对抗样本生成方法和和图像数据生成已知模型有效的白盒对抗样本,其中,白盒对抗样本生成方法采用C&W方法,C&W方法生成的超参数为置信度k、扰动系数c,置信度值设置为150,扰动系数为随机生成,范围为10-100,最大迭代步数为100步,其目标函数如下所示:
s.t.x+η∈[0,1]n
其中,n为图像数据的维度,η为扰动的范数值,p为采用的范数类别,如L0、L2、L∞范数,本实例选用L2范数,x为当前图像数据,g为判断白盒对抗样本生成是否成功的一个阈值函数,c为扰动系数,c越大,则扰动大小对该目标函数的影响越小。该目标函数的目的在于,在保障攻击成功的同时,让扰动尽可能地小。阈值函数g(x′)如下所示
其中,x′为白盒生成过程中正在修改的白盒图像数据,是指白盒迭代中的中间数据,初始值为当前图像数据,最终值为白盒对抗样本,x′与当前图像数据x之间的关系是x′=x+η;
Z(x′)为白盒图像数据所对应的输出,该输出为一个1000维的向量;Z(x′)i为第i维输出,代表着分类为第i类的置信度,i代表除了待生成类别t之外的其它类别;Z(x′)t为第t类的置信度;k为置信度,此时为20,只有待生成类别大于除待生成类别加上置信度之和时,阈值函数才会等于0。
(2)对抗性向量生成
将(1)中生成的白盒生成样本减去当前图像数据,得到扰动的范数值η;将扰动的范数值进行归一化操作后,生成对抗性向量。
(3)黑盒对抗样本优化
将归一化后生成的对抗性向量a除以1000后与当前图像数据相加,得到梯度估计样本xa,将梯度估计样本和当前图像数据问询未知模型f,分别得到添加对抗性向量后梯度估计样本的未知模型预测置信度f(xa)与当前图像数据的未知模型预测置信度f(x),得到f(xa)和f(x)后,基于零阶优化对a方向的梯度值大小进行估计,即估计出对抗性向量方向的梯度值,零阶优化的公式为:
零阶优化后,使用ADAM算法利用该梯度值,对当前图像数据进行更新,即对当前图像数据做出改动。
(4)判决阶段
将改动后的当前图像数据送入未知模型,得到其输出。当待生成类别为输出中所有向量最大值时,循环结束,若不为最大值,则循环继续,并将改动后的当前图像数据作为(1)中的当前图像数据。
以上仅是本发明众多具体应用范围中的代表性实施例,对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案,均落在本发明权利保护范围之内。
Claims (5)
1.一种基于低问询图像数据的黑盒对抗样本生成方法,其特征在于,包括如下步骤:
S1:在图像识别应用中,计算机获取一副待生成黑盒对抗样本的图像数据,作为当前图像数据;
S2:随机选择任一已知模型,基于已知模型设置白盒对抗样本生成参数,再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本;
S3:将白盒对抗样本减去当前图像数据,并进行归一化操作后,生成对抗性向量;
S4:将对抗性向量直接加到当前图像数据,再送入与已知模型的任务类型相同、参数和结构未知的未知模型中,并将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中,再对添加了对抗性向量前后、未知模型的输出进行零阶优化,之后使用ADAM算法对当前图像数据进行更新,即得到有效的黑盒对抗样本,若有效的黑盒对抗样本满足要求,即得到黑盒对抗样本,若不满足要求,将更新后的图像数据作为当前图像数据,再重复执行步骤S2-S4。
2.根据权利要求1所述的一种基于低问询图像数据的黑盒对抗样本生成方法,其特征在于,所述已知模型为Resnet-50、VGG-16、Xception、Densenet、InceptionResnet-V2或NASnet中的一种,已知模型都由ImageNet数据集训练得到。
3.根据权利要求2所述的一种基于低问询图像数据的黑盒对抗样本生成方法,其特征在于,所述步骤S2中白盒生成方法为C&W方法;
其生成的超参数为置信度k、扰动系数c,置信度值设置为150,扰动系数为随机生成,范围为10-100,其目标函数为:
s.t.x+η∈[0,1]n
其中,n为图像数据的维度,η为扰动的范数值,p为采用的范数类别,x为当前图像数据,g为判断白盒对抗样本生成是否成功的一个阈值函数,s.t为subject to,表示受限制于,c越大,则扰动大小对该目标函数的影响越小,该目标函数的目的在于,在保障攻击成功的同时,让扰动尽可能小,阈值函数g(x′)如下为:
其中,x′为白盒生成过程中正在修改的白盒图像数据,是指白盒迭代中的中间数据,初始值为当前图像数据,最终值为白盒对抗样本,x′与当前图像数据x之间的关系是x′=x+η;
Z(x′)为白盒图像数据所对应的输出,该输出为一个1000维的向量;Z(x′)i为第i维输出,代表着分类为第i类的置信度,i代表除了待生成类别t之外的其它类别;Z(x′)t为第t类的置信度;k为置信度,只有待生成类别大于除待生成类别加上置信度之和时,阈值函数才会等于0。
4.根据权利要求3所述的一种基于低问询图像数据的黑盒对抗样本生成方法,其特征在于,所述步骤S4的具体步骤为:
将归一化后生成的对抗性向量a除以1000后与当前图像数据相加,得到梯度估计样本xa,即加入了对抗性向量的当前图像数据,将梯度估计样本和当前图像数据问询未知模型f,分别得到添加对抗性向量后梯度估计样本的未知模型预测置信度f(xa)与当前图像数据的未知模型预测置信度f(x),得到f(xa)和f(x)后,基于零阶优化对a方向的梯度值大小进行估计,即估计出对抗性向量方向的梯度值,零阶优化的公式为:
零阶优化后,使用ADAM算法利用该梯度值,对当前图像数据进行更新,更新后,若为有效的对抗样本,则得到黑盒对抗样本,否则,再次进行优化,直至得到对未知模型有效的对抗样本。
5.根据权利要求1-4任意一项所述的一种基于低问询图像数据的黑盒对抗样本生成方法,其特征在于,所述未知模型为Inception-V3,由ImageNet数据集训练得到。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011074406.6A CN112200243B (zh) | 2020-10-09 | 2020-10-09 | 一种基于低问询图像数据的黑盒对抗样本生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011074406.6A CN112200243B (zh) | 2020-10-09 | 2020-10-09 | 一种基于低问询图像数据的黑盒对抗样本生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112200243A true CN112200243A (zh) | 2021-01-08 |
CN112200243B CN112200243B (zh) | 2022-04-26 |
Family
ID=74013286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011074406.6A Active CN112200243B (zh) | 2020-10-09 | 2020-10-09 | 一种基于低问询图像数据的黑盒对抗样本生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112200243B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112819109A (zh) * | 2021-04-19 | 2021-05-18 | 中国工程物理研究院计算机应用研究所 | 针对黑盒对抗样本攻击的视频分类系统安全性增强方法 |
CN112990357A (zh) * | 2021-04-16 | 2021-06-18 | 中国工程物理研究院计算机应用研究所 | 一种基于稀疏扰动的黑盒视频对抗样本生成方法 |
CN113486736A (zh) * | 2021-06-21 | 2021-10-08 | 南京航空航天大学 | 一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法 |
CN113537494A (zh) * | 2021-07-23 | 2021-10-22 | 江南大学 | 一种基于黑盒场景的图像对抗样本生成方法 |
CN116991075A (zh) * | 2023-09-26 | 2023-11-03 | 中国石油大学(华东) | 一种针对故障诊断模型的通用对抗扰动生成方法 |
CN117972375A (zh) * | 2024-02-01 | 2024-05-03 | 中国工程物理研究院计算机应用研究所 | 访问受限条件下的深度学习分类模型的知识产权验证方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190238568A1 (en) * | 2018-02-01 | 2019-08-01 | International Business Machines Corporation | Identifying Artificial Artifacts in Input Data to Detect Adversarial Attacks |
CN110245598A (zh) * | 2019-06-06 | 2019-09-17 | 北京瑞莱智慧科技有限公司 | 对抗样本生成方法、装置、介质和计算设备 |
CN110276377A (zh) * | 2019-05-17 | 2019-09-24 | 杭州电子科技大学 | 一种基于贝叶斯优化的对抗样本生成方法 |
CN110516812A (zh) * | 2019-07-19 | 2019-11-29 | 南京航空航天大学 | 基于对抗样本的抗成员推理攻击的ai模型隐私保护方法 |
EP3591586A1 (en) * | 2018-07-06 | 2020-01-08 | Capital One Services, LLC | Data model generation using generative adversarial networks and fully automated machine learning system which generates and optimizes solutions given a dataset and a desired outcome |
CN111027060A (zh) * | 2019-12-17 | 2020-04-17 | 电子科技大学 | 基于知识蒸馏的神经网络黑盒攻击型防御方法 |
CN111242166A (zh) * | 2019-12-30 | 2020-06-05 | 南京航空航天大学 | 一种通用对抗扰动生成方法 |
CN111563590A (zh) * | 2020-04-30 | 2020-08-21 | 华南理工大学 | 一种基于生成对抗模型的主动学习方法 |
US20200311481A1 (en) * | 2019-03-28 | 2020-10-01 | GM Global Technology Operations LLC | Adversarial attack on black box object detection algorithm |
-
2020
- 2020-10-09 CN CN202011074406.6A patent/CN112200243B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190238568A1 (en) * | 2018-02-01 | 2019-08-01 | International Business Machines Corporation | Identifying Artificial Artifacts in Input Data to Detect Adversarial Attacks |
EP3591586A1 (en) * | 2018-07-06 | 2020-01-08 | Capital One Services, LLC | Data model generation using generative adversarial networks and fully automated machine learning system which generates and optimizes solutions given a dataset and a desired outcome |
US20200311481A1 (en) * | 2019-03-28 | 2020-10-01 | GM Global Technology Operations LLC | Adversarial attack on black box object detection algorithm |
CN110276377A (zh) * | 2019-05-17 | 2019-09-24 | 杭州电子科技大学 | 一种基于贝叶斯优化的对抗样本生成方法 |
CN110245598A (zh) * | 2019-06-06 | 2019-09-17 | 北京瑞莱智慧科技有限公司 | 对抗样本生成方法、装置、介质和计算设备 |
CN110516812A (zh) * | 2019-07-19 | 2019-11-29 | 南京航空航天大学 | 基于对抗样本的抗成员推理攻击的ai模型隐私保护方法 |
CN111027060A (zh) * | 2019-12-17 | 2020-04-17 | 电子科技大学 | 基于知识蒸馏的神经网络黑盒攻击型防御方法 |
CN111242166A (zh) * | 2019-12-30 | 2020-06-05 | 南京航空航天大学 | 一种通用对抗扰动生成方法 |
CN111563590A (zh) * | 2020-04-30 | 2020-08-21 | 华南理工大学 | 一种基于生成对抗模型的主动学习方法 |
Non-Patent Citations (5)
Title |
---|
XIAOLEI LIU等: "A Black-Box Attack on Neural Networks Based on Swarm Evolutionary Algorithm", 《AUSTRALASIAN CONFERENCE ON INFORMATION SECURITY AND PRIVACY》 * |
YIREN ZHAO等: "Blackbox Attacks on Reinforcement Learning Agents Using Approximated Temporal Information", 《2020 50TH ANNUAL IEEE/IFIP INTERNATIONAL CONFERENCE ON DEPENDABLE SYSTEMS AND NETWORKS WORKSHOPS (DSN-W)》 * |
佘飞燕: "组合测试用例优先级技术的实证研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
王晓萌等: "基于深度学习的对抗样本生成技术研究综述", 《广州大学学报( 自然科学版)》 * |
陈慧敏: "基于对抗训练的文本情感分析研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112990357A (zh) * | 2021-04-16 | 2021-06-18 | 中国工程物理研究院计算机应用研究所 | 一种基于稀疏扰动的黑盒视频对抗样本生成方法 |
CN112990357B (zh) * | 2021-04-16 | 2021-07-27 | 中国工程物理研究院计算机应用研究所 | 一种基于稀疏扰动的黑盒视频对抗样本生成方法 |
CN112819109A (zh) * | 2021-04-19 | 2021-05-18 | 中国工程物理研究院计算机应用研究所 | 针对黑盒对抗样本攻击的视频分类系统安全性增强方法 |
CN113486736A (zh) * | 2021-06-21 | 2021-10-08 | 南京航空航天大学 | 一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法 |
CN113486736B (zh) * | 2021-06-21 | 2024-04-02 | 南京航空航天大学 | 一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法 |
CN113537494A (zh) * | 2021-07-23 | 2021-10-22 | 江南大学 | 一种基于黑盒场景的图像对抗样本生成方法 |
CN113537494B (zh) * | 2021-07-23 | 2022-11-11 | 江南大学 | 一种基于黑盒场景的图像对抗样本生成方法 |
CN116991075A (zh) * | 2023-09-26 | 2023-11-03 | 中国石油大学(华东) | 一种针对故障诊断模型的通用对抗扰动生成方法 |
CN116991075B (zh) * | 2023-09-26 | 2023-12-19 | 中国石油大学(华东) | 一种针对故障诊断模型的通用对抗扰动生成方法 |
CN117972375A (zh) * | 2024-02-01 | 2024-05-03 | 中国工程物理研究院计算机应用研究所 | 访问受限条件下的深度学习分类模型的知识产权验证方法 |
CN117972375B (zh) * | 2024-02-01 | 2024-08-02 | 中国工程物理研究院计算机应用研究所 | 访问受限条件下的深度学习分类模型的知识产权验证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112200243B (zh) | 2022-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112200243B (zh) | 一种基于低问询图像数据的黑盒对抗样本生成方法 | |
Cui et al. | Class-balanced loss based on effective number of samples | |
CN111709435B (zh) | 一种基于离散小波变换的对抗样本生成方法 | |
Wang et al. | A lightweight approach for network intrusion detection in industrial cyber-physical systems based on knowledge distillation and deep metric learning | |
CN109961145B (zh) | 一种针对图像识别模型分类边界敏感的对抗样本生成方法 | |
Kawai et al. | Improved malgan: Avoiding malware detector by leaning cleanware features | |
CN114066912A (zh) | 基于优化算法和不变性的智能对抗样本生成方法及系统 | |
CN112200257B (zh) | 对抗样本的生成方法及装置 | |
CN114399630A (zh) | 基于信念攻击和显著区域扰动限制的对抗样本生成方法 | |
CN113591975A (zh) | 基于Adam算法的对抗样本生成方法及系统 | |
Chen et al. | CCFS: a confidence-based cost-effective feature selection scheme for healthcare data classification | |
JP7392707B2 (ja) | 画像処理の方法、デバイス及びコンピュータ可読記憶媒体 | |
Pauling et al. | A tutorial on adversarial learning attacks and countermeasures | |
CN112861759A (zh) | 一种对抗样本生成方法及装置 | |
CN116011558B (zh) | 一种高迁移性的对抗样本生成方法和系统 | |
WO2021012220A1 (zh) | 一种针对集成树分类器的逃避攻击方法及装置 | |
Wang et al. | Feature selection using feature ranking, correlation analysis and chaotic binary particle swarm optimization | |
CN115034363B (zh) | 一种基于梯度先验的高效黑盒对抗攻击方法 | |
CN115270891A (zh) | 一种信号对抗样本的生成方法、装置、设备及存储介质 | |
Li et al. | A network attack detection method using SDA and deep neural network based on internet of things | |
Li et al. | Theoretically Guaranteed Policy Improvement Distilled from Model-Based Planning | |
CN114398977A (zh) | 一种基于对抗样本的网络欺骗流量生成方法 | |
CN114580527A (zh) | 一种基于拉丁超立方体抽样估计梯度的边界对抗攻击方法 | |
CN110351241B (zh) | 一种基于GWA优化的工业网络DDoS入侵检测系统分类方法 | |
Pavate et al. | Machine learning under attack: literature survey |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |