CN112465015A - 面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法 - Google Patents

面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法 Download PDF

Info

Publication number
CN112465015A
CN112465015A CN202011346295.XA CN202011346295A CN112465015A CN 112465015 A CN112465015 A CN 112465015A CN 202011346295 A CN202011346295 A CN 202011346295A CN 112465015 A CN112465015 A CN 112465015A
Authority
CN
China
Prior art keywords
algorithm
sample
gradient
generalized
machine learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011346295.XA
Other languages
English (en)
Inventor
罗文俊
李梦琪
陈自刚
蒋静
曾宇
王建菲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202011346295.XA priority Critical patent/CN112465015A/zh
Publication of CN112465015A publication Critical patent/CN112465015A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computing Systems (AREA)
  • Evolutionary Biology (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Medical Informatics (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Machine Translation (AREA)

Abstract

本发明公开了一种面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,属于对抗性机器学习技术领域。目前对抗性机器学习技术领域所要解决的关键技术问题是提高机器学习模型抵御对抗性攻击的能力。基于静态广义非负矩阵分解算法(General Non‑negative Matrix Factorization,GNMF)的机器学习功能,提出基于大批量的自适应梯度攻击算法;基于动态增量广义非负矩阵分解算法(Incremental GNMF,IGNMF)的机器学习功能,提出基于动量迭代的自适应梯度攻击算法;在黑盒攻击环境下,构建与基于广义非负矩阵分解算法的机器学习模型近似相同的替代模型训练对抗样本;最后对提出的黑盒攻击策略进一步优化,N次迭代集成多个预训练的GNMF替代模型以构造对抗样本,进而探究性能较优的黑盒攻击方法。

Description

面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击 方法
技术领域
本发明涉及对抗性机器学习技术,尤其涉及一种面向广义非负矩阵分解算法的对抗性攻击技术。
背景技术
随着机器学习技术在人工智能和模式识别等领域的广泛应用,机器学习技术在训练或测试时极易受到对抗样本攻击,致使其产生错误输出。例如,对于图像分类机器学习技术,通过在给定图像中添加一些扰动来生成对抗样本,这些对抗性图像从人眼中看不出与原图像的差异,但会被已知性能良好的机器学习分类器错误分类,类似的攻击也会用于恶意软件检测、语音文本转换和人脸识别等领域,严重威胁到与人们生活和国家稳定息息相关的各领域的正常发展。近几年,非负矩阵分解算法已广泛运用于机器学习技术,面向不同的应用需求,基于非负矩阵分解算法的机器学习模型不断被改进和拓展,其应用范围也更加广泛,同时也面临各种安全威胁,一些恶意的攻击者根据机器学习模型存在的安全漏洞,试图通过各种手段绕过或直接对机器学习模型进行攻击。已有的对抗样本生成算法能否适用于基于广义非负矩阵分解算法的对抗性机器学习攻击,以及研究全新的面向广义非负矩阵分解算法的有效对抗样本生成算法/模型,是面向广义非负矩阵分解算法的对抗性机器学习攻击研究的核心问题。
鉴于此,亟待系统地研究面向广义非负矩阵分解算法的对抗性攻击方法,挖掘对抗样本生成机理和构造方法,从攻击角度深入研究基于广义非负矩阵分解算法的对抗性机器学习模型,提升对抗性攻击的攻击性能,进而探索更安全的机器学习算法。
发明内容
本发明提出了一种面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法。旨在从攻击的角度探索对抗性机器学习攻击算法并生成对抗样本的方法,进而系统化、全方位提高机器学习模型抵御对抗性攻击的能力。
鉴于此,本发明采用的技术方案是:面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,包括以下步骤:
S1,基于大批量的自适应梯度攻击算法生成对抗样本Ⅰ,然后通过基于静态广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅰ进行训练;
S2,基于动量迭代的自适应梯度攻击算法生成对抗样本Ⅱ,然后通过基于动态增量广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅱ进行训练;
S3,在黑盒攻击环境下,构建与基于广义非负矩阵分解算法的机器学习模型近似的替代模型,对已生成的对抗样本Ⅰ和对抗样本Ⅱ进行训练;
S4,对黑盒攻击策略进一步优化,N次迭代集成多个所述GNMF替代模型,构造最终的对抗样本。
具体地,步骤S1中生成对抗样本Ⅰ具体包括以下步骤:
步骤1)通过增加样本采集所需的批量数目大小,生成由t个样本组成的大批量输入样本集;
步骤2)每次随机采样大批量输入样本集来计算生成对抗样本所需的梯度,通过最大化损失函数J(x*,y)寻找扰动矩阵,并使用符号函数对其进行处理,将其添加到干净输入x中以生成满足条件的对抗样本Ⅰ。
更进一步,在所述梯度下降过程中自适应性地在上一个输入样本集梯度计算的基础上调整下一次输入样本集梯度,通过自适应系数对每个输入样本集的梯度下降过程进行参数更新,每次执行都进行一次更新。
具体地,步骤S2所述生成对抗样本Ⅱ,具体包括以下步骤:
步骤1)引入衰减因子μ,通过增量地更新衰减因子,使每一轮迭代的梯度方向都在上一轮迭代的梯度方向的基础上发生轻微改变;
步骤2)在迭代训练过程中每次的权值和阈值改变量中加入前一次的改变量以计算对抗样本所需的梯度;
步骤3)使用指数移动加权平均,根据自变量当前所在位置,沿着当前位置的梯度更新自变量,自适应性地调整梯度项的叠加。
更具体地,所述步骤S3具体包括:
步骤1)通过已知的机器学习模型的决策边界情况生成综合数据集;
步骤2)由于未知样本具体参数,在综合数据集中选择模拟参数,利用对抗性示例制作的综合数据,对抗性示例可以采用步骤S1和步骤S2获得的对抗样本,构造一个面向广义非负矩阵分解算法的替代模型;
步骤3)采用基于梯度的攻击算法对面向广义非负矩阵分解算法的替代模型进行训练,构造测试样本集X查询目标机器学习模型D,得到一个标签作为响应结果y;
步骤4)使用这些查询-响应的综合数据集训练一个基于广义非负矩阵分解算法的替代模型结构S;
步骤5)最后对基于广义非负矩阵分解算法的替代模型S进行测试,生成有效的对抗样本和反馈标签对。
所述步骤S4具体包括对上一个GNMF替代模型生成的对抗样本xk-1微调扰动影响后,作为下一个GNMF替代模型的输入以构造新的对抗样本xk,通过N次迭代结束之后第n个GNMF替代模型的输出
Figure BDA0002800029390000021
将作为最终的对抗样本。
采用以上技术方案,本发明具有以下有益效果:
(1)基于静态广义非负矩阵分解算法(GNMF)的机器学习模型通常为批量学习模式,本发明提出在对抗样本生成的过程中采用基于大批量输入的梯度下降攻击算法,引入自适应机制,在梯度下降过程中自适应性地调整梯度项的改变,在每一次执行过程中添加误导基于静态广义非负矩阵分解算法的机器学习模型输出的微小扰动,使预测结果朝机器学习模型输出的目标类别偏移,生成对抗样本后,通过基于静态广义非负矩阵分解算法的机器学习模型对其进行训练,采用GNMF算法对对抗样本进行特征提取构建矩阵V,并对其进行近似分解为两个非负矩阵的乘积V≈WH,获得表示对抗样本的特征矩阵W和权值矩阵H。最终,分类器对面向基于静态广义非负矩阵分解算法的机器学习模型生成的对抗样本识别出错误的目标类。
(2)针对动态增量广义非负矩阵分解算法(IGNMF)的数据规模不断增加,数据更新速度加快,本发明提出基于动量迭代的自适应梯度攻击算法构造面向动态增量广义非负矩阵算法的对抗样本,对干净样本添加扰动时引入动量项用于调整梯度项的改变,每一轮迭代的梯度方向都在上一轮迭代的梯度方向的基础上发生轻微改变,使攻击能力在损失函数的梯度方向快速迭代,引入自适应机制,自适应性地对梯度项进行叠加,从而稳定更新的过程,增强在梯度下降过程中的有效性,避免了局部最优。生成对抗样本后,基于动态增量广义非负矩阵分解算法的机器学习模型对其进行训练,采用IGNMF算法对对抗样本进行特征提取构建矩阵V,并对其进行近似分解为两个非负矩阵的乘积V≈WH,获得表示对抗样本的特征矩阵W和权值矩阵H。当样本数据在线更新时,获得增量后新的权值矩阵H′和新的特征矩阵W′,最终,分类器对面向基于动态增量广义非负矩阵分解算法的机器学习模型生成的对抗样本识别出错误的目标类。
(3)在黑盒攻击环境下,构建基于广义非负矩阵分解算法的机器学习模型近似相同的替代模型,鉴于未知目标模型的训练数据与具体参数,传统上仅能通过查询反馈的输入与输出信息构造替代模型,但本发明提出生成一个非传统意义的替代模型,构建基于广义非负矩阵分解算法(GNMF)的替代模型,基于梯度的对抗性攻击算法对干净样本添加扰动生成对抗样本,将对抗样本送入到GNMF替代模型对其进行训练。
(4)传统黑盒攻击策略训练的单替代模型迁移性较弱,攻击性能较差,鉴于此本发明在第三方面提出的黑盒攻击策略进行优化,提出对黑盒攻击中基于广义非负矩阵分解算法的多替代模型进行训练,将上一个GNMF替代模型生成的对抗样本,采用基于梯度的对抗性攻击算法再次微调扰动约束,作为下一个GNMF替代模型的输入以构造新的对抗样本,最终N次迭代集成多个预训练的GNMF替代模型以构造较优的对抗样本。
本发明提出的面向广义非负矩阵分解算法的对抗性机器学习攻击方法,相较于传统的对抗样本生成算法,面向广义非负矩阵分解算法生成的对抗样本在攻击方面更具有普适性和全面性。广义非负矩阵分解算法不仅完全兼容传统的非负矩阵分解算法,而且提取的特征具有部分的、局部化的等独特优势,大大地提高了机器学习模型的分类识别效率,且准确度较高。作为构建机器学习模型的经典算法,将基于广义非负矩阵分解算法的机器学习模型合理运用于对抗样本生成过程中,将生成的对抗样本映射到一个低维的特征空间,使低维特征空间反映的数据内部结构和类别信息更显著,更有助于分类器区分不同的样本类别。将传统梯度下降攻击算法与自适应机制结合,探索出一种自适应性的对抗样本攻击机制,针对广义非负矩阵分解算法的静态/动态两种形式的不同,探究对抗样本的构造方法、揭示对抗性机理,对于提高对抗性攻击算法的普适性和指导对抗性机器学习防御具有理论和实践意义。
附图说明
图1为本发明实施例提供的面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法示意图;
图2为本发明实施例提供的面向基于GNMF的机器学习模型生成对抗样本示意图;
图3为本发明实施例提供的面向基于IGNMF的机器学习模型生成对抗样本示意图;
图4为本发明实施例提供的基于黑盒的对抗样本生成及攻击流程示意图;
图5为本发明实施例提供的基于GNMF的替代模型训练方案示意图;
图6为本发明实施例提供的N次迭代集成GNMF多替代模型生成对抗样本示意图。
具体实施方式
图1为本发明实施例提供的一种面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法。针对广义非负矩阵分解算法的数据更新分为静态和动态增量两种形式,研究全新的面向广义非负矩阵分解算法的有效对抗样本生成算法/模型,并基于黑盒攻击环境下构建与基于广义非负矩阵分解算法的机器学习模型近似相同的替代模型训练对抗样本,最后对提出的黑盒攻击策略进一步优化。本发明适用于处理多类型对抗样本,以图像对抗样本为例,利用对抗样本可提高图像识别准确率,进而提升机器学习模型的泛化性,起到数据增强的作用。图1所示方法具体可以包括:
S101,面向静态广义非负矩阵分解算法的对抗性机器学习攻击生成对抗样本。
具体地,可以将基于大批量的自适应梯度攻击算法生成的对抗样本,通过基于广义非负矩阵分解算法的机器学习模型对其进行训练。
图2为本发明实施例提供的面向基于静态广义非负矩阵分解算法的机器学习模型生成对抗样本示意图。在对抗样本生成的过程中,增加批量数目的大小,由t个样本构成原始输入样本集,因此,t个子损失函数共同组成最终的损失函数,具体公式为:
L1+L2+L3+...+Lt (1)
其中t表示样本的数目大小,Li表示第i个样本的损失函数。
随机采样大批量的输入样本集以计算生成对抗样本所需的梯度,通过最大化损失函数J(x*,y)寻找合适的扰动矩阵v,并使用符号函数对其进行处理,将其添加到干净输入x中以生成满足条件的对抗样本x*,具体公式为:
Figure BDA0002800029390000051
其中x表示干净样本,x*表示对抗样本,y表示分类器上干净样本输入x的预测结果,ε表示扰动约束,
Figure BDA0002800029390000052
表示梯度,θ表示GNMF目标模型的参数,sign表示符号函数。
在计算梯度项的过程中引入自适应机制,着重寻找输入样本集的前一梯度,引用自适应系数pi,调整执行过程中对抗扰动的更新速率。引用其他研究学者提出的公式为:
Figure BDA0002800029390000053
其中pi表示自适应系数,调整生成对抗样本的速率。参数α表示控制移动更新速率。
进而提升模型的收敛速度以及为模型的收敛提供更好的梯度方向,探究生成较优的对抗样本的方法。具体公式为:
Figure BDA0002800029390000054
其中λ=10e-8。
基于大批量的自适应梯度攻击算法生成对抗样本后,构建基于广义非负矩阵分解算法(GNMF)的机器学习模型对其进行训练。采用GNMF算法自动提取对抗样本特征转化为一个列向量,所有特征向量构成一个大矩阵设为V,利用GNMF算法对其进行近似分解为两个非负矩阵的乘积V≈WH,其中W表示特征矩阵,H表示权值矩阵。然后利用分类器根据提取的特征向量进行分类。最终,分类器对面向基于静态广义非负矩阵分解算法的机器学习模型生成的对抗样本识别出错误的目标类证明此方法具有有效性。相较于传统的模型,基于静态广义非负矩阵分解算法的机器学习模型可发现并存储数据特征,分析各样本数据间存在的相关度,识别更具有准确性和有效性。
S102,面向动态广义非负矩阵分解算法的对抗性机器学习攻击生成对抗样本。
具体地,可以将基于动量迭代的自适应梯度攻击算法生成的对抗样本,通过基于动态增量广义非负矩阵分解算法的机器学习模型对其进行训练。
图3为本发明实施例提供的面向基于动态增量广义非负矩阵分解算法的机器学习模型生成对抗样本示意图。在对抗样本生成的过程中,引入动量项来满足增量式广义非负矩阵分解算法的数据更新速度不断加快的要求,将动量法中的衰减因子引入对抗样本生成过程中,增量地更新其因子,使每一轮迭代的梯度方向都在上一轮迭代的梯度方向的基础上发生轻微改变,在每次的权值和阈值改变量中加入前一次的改变量以计算生成对抗样本所需的梯度,使用指数移动加权平均的思想,根据自变量当前所在位置,沿着当前位置的梯度更新自变量,自适应性地调整梯度项的叠加,采用图2所提的自适应策略对基于动量迭代的
梯度攻击算法进行优化,L1范数有界的公式为:
Figure BDA0002800029390000061
其中动量项gt加速扰动实体的积累,μ表示衰减因子,y*分类器上对抗样本x*的预测结果。
基于动量迭代的梯度攻击算法的自适应性,gt引入衰减因子μ收集前一次迭代的梯度,直到第n次迭代扰动积累到与具有步长α的gt梯度方向一致。在每次执行迭代的过程中自适应性地调整下一次迭代过程的梯度项,动量项只针对相关样本进行参数动态更新,减少了不必要的参数更新,从而得到更快且稳定的收敛,也减少了振荡过程,以满足基于动态增量广义非负矩阵分解算法的机器学习模型训练样本数据在线更新的需求。
基于动量迭代的自适应梯度攻击算法生成对抗样本后,构建基于动态增量广义非负矩阵分解算法(IGNMF)的机器学习模型对其进行训练,采用IGNMF算法自动提取对抗样本特征转化为一个列向量,所有特征向量构成一个大矩阵设为V,利用IGNMF算法对其进行近似分解为两个非负矩阵的乘积V≈WH,其中W表示特征矩阵,H表示权值矩阵。当样本数据在线更新时,获得增量后新的权值矩阵H′和新的特征矩阵W′,然后利用分类器根据提取的特征向量进行分类。最终,分类器对面向基于动态增量广义非负矩阵分解算法的机器学习模型生成的对抗样本识别出错误的目标类证明此方法具有有效性。基于动态增量广义非负矩阵分解算法的机器学习模型具有特征提取与分类识别的特点,自动提取对抗样本数据内部潜在的特征,使其仍然准确、完整地描述原始样本数据集,避免大规模的重复运算。
S103,探究黑盒攻击环境下基于广义非负矩阵分解算法的替代模型。
具体地,在黑盒攻击场景下,构造基于广义非负矩阵分解算法的机器学习模型近似相同的替代模型。结合图2与图3所提出的方法生成基于黑盒的对抗样本。
图4为本发明实施例提供的基于黑盒的对抗样本生成及攻击流程示意图。在黑盒环境中,由于未知样本具体参数,在综合数据集中选择模拟参数,利用对抗性示例制作的综合数据,构造一个面向广义非负矩阵分解算法的替代模型,采用基于梯度的攻击算法对替代模型进行训练,构造测试样本集X查询目标机器学习模型D,得到一个标签作为响应结果y。然后使用这些查询-响应的综合数据集训练一个替代模型结构S。最后进行替代模型S的测试,生成有效的对抗样本和反馈标签对。
图5为本发明实施例提供的基于GNMF算法的替代模型训练方案示意图。初始GNMF替代模型收集输入数据模拟真实的决策边界,选择较优的GNMF替代模型架构,将所得到的输出信息生成一个GNMF替代模型训练数据集,进行GNMF替代模型训练,并将数据发送到目标模型,目标模型不断修改参数,进行GNMF替代模型训练,最终GNMF替代模型对基于梯度攻击算法生成的对抗样本进行训练,并将数据反馈回GNMF替代模型训练数据集,进行下一次的GNMF替代模型训练,最终经过反复的训练获得更逼近目标模型的GNMF替代模型。
S104,N次迭代集成GNMF多模型生成对抗样本。
具体地,将上一个面向GNMF替代模型生成的对抗样本xk-1微调扰动影响后,作为下一个GNMF替代模型的输入以构造新的对抗样本xk,N次迭代结束之后第n个面向GNMF替代模型的输出
Figure BDA0002800029390000071
将作为最终的对抗样本。
图6为本发明实施例提供的一种N次迭代集成GNMF多模型生成对抗样本的方法。结合图4与图5所提出的方法,进行N次迭代,集成多个预训练的GNMF替代模型以构造对抗样本,从而解决传统黑盒攻击策略训练的单替代模型迁移性较弱、攻击性能较差的难题。将干净样本x添加扰动,采用图2和图3所提出的自适应梯度攻击算法计算梯度项,生成对抗样本
Figure BDA0002800029390000072
作为最初的输入。在构造GNMF替代模型过程中进行N次迭代生成n个GNMF替代模型,对上一个GNMF替代模型Xk-1生成的对抗样本
Figure BDA0002800029390000073
再次微调扰动影响记为
Figure BDA0002800029390000074
使其作为下一个GNMF替代模型Xk的输入以构造新的对抗样本
Figure BDA0002800029390000075
在每一轮迭代过程中,为第k个GNMF替代模型生成的对抗样本
Figure BDA0002800029390000076
微调扰动影响记为
Figure BDA0002800029390000077
又将作为第一个GNMF替代模型的输入x1以生成对抗样本
Figure BDA0002800029390000078
通过N次迭代结束之后第n个GNMF替代模型的输出
Figure BDA0002800029390000079
将作为最终的对抗样本。

Claims (8)

1.面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于,包括以下步骤:
S1,基于大批量的自适应梯度攻击算法生成对抗样本Ⅰ,然后通过基于静态广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅰ进行训练;
S2,基于动量迭代的自适应梯度攻击算法生成对抗样本Ⅱ,然后通过基于动态增量广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅱ进行训练;
S3,在黑盒攻击环境下,构建与基于广义非负矩阵分解算法的机器学习模型近似的替代模型,对已生成的对抗样本Ⅰ和对抗样本Ⅱ进行训练;
S4,对黑盒攻击策略进一步优化,N次迭代集成多个所述GNMF替代模型,构造最终的对抗样本。
2.根据权利要求1所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于:步骤S1所述基于大批量的自适应梯度攻击算法生成对抗样本Ⅰ,具体包括以下步骤:
步骤1)通过增加样本采集所需的批量数目大小,生成由t个样本组成的大批量输入样本集;
步骤2)每次随机采样大批量输入样本集来计算生成对抗样本所需的梯度,通过最大化损失函数J(x*,y)寻找扰动矩阵,并使用符号函数对其进行处理,将其添加到干净输入x中以生成满足条件的对抗样本Ⅰ。
3.根据权利要求2所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于:在所述梯度下降过程中自适应性地在上一个输入样本集梯度计算的基础上调整下一次输入样本集梯度,通过自适应系数对每个输入样本集的梯度下降过程进行参数更新,每次执行都进行一次更新。
4.根据权利要求2或3所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于:步骤S1所述对对抗样本Ⅰ进行训练包括以下步骤:采用基于静态广义非负矩阵分解算法的机器学习模型进行特征提取构建矩阵V,对其进行近似分解为两个非负矩阵的乘积V≈WH,其中W表示特征矩阵,H表示权值矩阵,通过分类器对提取的特征向量进行分类识别。
5.根据权利要求1所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于:步骤S2所述基于动量迭代的自适应梯度攻击算法生成对抗样本Ⅱ,具体包括以下步骤:
步骤1)引入衰减因子μ,通过增量地更新衰减因子,使每一轮迭代的梯度方向都在上一轮迭代的梯度方向的基础上发生轻微改变;
步骤2)在迭代训练过程中每次的权值和阈值改变量中加入前一次的改变量以计算对抗样本所需的梯度;
步骤3)使用指数移动加权平均,根据自变量当前所在位置,沿着当前位置的梯度更新自变量,自适应性地调整梯度项的叠加。
6.根据权利要求5所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于:步骤S2所述对对抗样本Ⅱ进行训练包括以下步骤,采用基于动态增量广义非负矩阵分解算法的机器学习模型对对抗样本Ⅱ进行特征提取构建矩阵V,对其进行近似分解为两个非负矩阵的乘积V≈WH,获得表示对抗样本的特征矩阵W和权值矩阵H,当样本数据在线更新时,获得增量后新的权值矩阵H′和新的特征矩阵W′,最终通过分类器对提取的特征向量进行分类识别。
7.根据权利要求1所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于:所述步骤S3具体包括:
步骤1)通过已知的机器学习模型的决策边界情况生成综合数据集;
步骤2)在综合数据集中选择模拟参数,利用对抗性示例制作的综合数据,构造一个面向广义非负矩阵分解算法的替代模型;
步骤3)采用基于梯度的攻击算法对面向广义非负矩阵分解算法的替代模型进行训练,构造测试样本集X查询目标机器学习模型D,得到一个标签作为响应结果y;
步骤4)使用这些查询-响应的综合数据集训练一个面向广义非负矩阵分解算法的替代模型结构S;
步骤5)对步骤4)所述生成的替代模型S进行测试。
8.根据权利要求1或7所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法,其特征在于:所述步骤S4具体包括对上一个GNMF替代模型生成的对抗样本xk-1微调扰动影响后,作为下一个GNMF替代模型的输入以构造新的对抗样本xk,通过N次迭代结束之后第n个GNMF替代模型的输出xn *将作为最终的对抗样本。
CN202011346295.XA 2020-11-26 2020-11-26 面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法 Pending CN112465015A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011346295.XA CN112465015A (zh) 2020-11-26 2020-11-26 面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011346295.XA CN112465015A (zh) 2020-11-26 2020-11-26 面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法

Publications (1)

Publication Number Publication Date
CN112465015A true CN112465015A (zh) 2021-03-09

Family

ID=74808226

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011346295.XA Pending CN112465015A (zh) 2020-11-26 2020-11-26 面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法

Country Status (1)

Country Link
CN (1) CN112465015A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112819109A (zh) * 2021-04-19 2021-05-18 中国工程物理研究院计算机应用研究所 针对黑盒对抗样本攻击的视频分类系统安全性增强方法
CN113407939A (zh) * 2021-06-17 2021-09-17 电子科技大学 面向黑盒攻击的替代模型自动选取方法、存储介质及终端
CN113657506A (zh) * 2021-08-18 2021-11-16 成都卫士通信息安全技术有限公司 一种对抗样本生成方法、装置、设备及介质
CN113765716A (zh) * 2021-09-06 2021-12-07 浙江工业大学 一种基于梯度对抗的网络流量防测绘方法
CN113946688A (zh) * 2021-10-20 2022-01-18 中国人民解放军国防科技大学 一种寻找自然语言处理模型天然后门的方法
CN114821227A (zh) * 2022-04-12 2022-07-29 重庆邮电大学 一种深度神经网络对抗样本评分方法
CN117786682A (zh) * 2024-02-28 2024-03-29 厦门理工学院 基于增强框架的物理对抗攻击方法、装置、设备及介质

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112819109A (zh) * 2021-04-19 2021-05-18 中国工程物理研究院计算机应用研究所 针对黑盒对抗样本攻击的视频分类系统安全性增强方法
CN113407939A (zh) * 2021-06-17 2021-09-17 电子科技大学 面向黑盒攻击的替代模型自动选取方法、存储介质及终端
CN113657506A (zh) * 2021-08-18 2021-11-16 成都卫士通信息安全技术有限公司 一种对抗样本生成方法、装置、设备及介质
CN113765716A (zh) * 2021-09-06 2021-12-07 浙江工业大学 一种基于梯度对抗的网络流量防测绘方法
CN113765716B (zh) * 2021-09-06 2024-03-29 浙江工业大学 一种基于梯度对抗的网络流量防测绘方法
CN113946688A (zh) * 2021-10-20 2022-01-18 中国人民解放军国防科技大学 一种寻找自然语言处理模型天然后门的方法
CN114821227A (zh) * 2022-04-12 2022-07-29 重庆邮电大学 一种深度神经网络对抗样本评分方法
CN114821227B (zh) * 2022-04-12 2024-03-22 重庆邮电大学 一种深度神经网络对抗样本评分方法
CN117786682A (zh) * 2024-02-28 2024-03-29 厦门理工学院 基于增强框架的物理对抗攻击方法、装置、设备及介质
CN117786682B (zh) * 2024-02-28 2024-05-14 厦门理工学院 基于增强框架的物理对抗攻击方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
CN112465015A (zh) 面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法
Zeng et al. Accurately clustering single-cell RNA-seq data by capturing structural relations between cells through graph convolutional network
CN108446765A (zh) 面向深度学习对抗性攻击的多模型协同防御方法
CN108052968B (zh) 一种qsfla-svm的感知入侵检测方法
CN109163911A (zh) 一种基于改进的蝙蝠算法优化elm的发动机燃油系统故障诊断方法
Xiao et al. K-means algorithm based on particle swarm optimization algorithm for anomaly intrusion detection
CN101740029B (zh) 应用于基于矢量量化的说话人识别的三粒子协同优化方法
Cheng et al. An elitism strategy based genetic algorithm for streaming pattern discovery in wireless sensor networks
CN115659254A (zh) 一种双模态特征融合的配电网电能质量扰动分析方法
CN115272774A (zh) 基于改进自适应差分进化算法的对抗样本攻击方法及系统
CN114595884A (zh) 一种遗传智能优化的神经网络风力发电设备温度预测方法
CN112465019A (zh) 一种基于扰动的对抗样本生成与对抗性防御方法
CN115996135B (zh) 一种基于特征组合优化的工业互联网恶意行为实时检测方法
CN111882037A (zh) 一种基于网络附加/修改的深度学习模型优化方法
Oliveira et al. Improving cascading classifiers with particle swarm optimization
Liu et al. Designing neural networks using hybrid particle swarm optimization
Zhang et al. Blind source separation based on quantum slime mould algorithm in impulse noise
CN115984667A (zh) 一种基于Fisher信息的对抗训练泛化能力提升方法
CN116165886A (zh) 多传感器智能协同控制方法、装置、设备及介质
Liu et al. Swarm intelligence for classification of remote sensing data
Liu et al. An efficient differential evolution via both top collective and p-best information
CN115270891A (zh) 一种信号对抗样本的生成方法、装置、设备及存储介质
CN114912482A (zh) 辐射源的识别方法及装置
Zhang et al. Multi-objective evolutionary for object detection mobile architectures search
Saito et al. GREY WOLF OPTIMIZATION USING ENHANCED MUTATION OPPOSITIONAL BASED LEARNING FOR OPTIMIZATION PROBLEMS

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210309