CN112597993A - 基于补丁检测的对抗防御模型训练方法 - Google Patents
基于补丁检测的对抗防御模型训练方法 Download PDFInfo
- Publication number
- CN112597993A CN112597993A CN202011333473.5A CN202011333473A CN112597993A CN 112597993 A CN112597993 A CN 112597993A CN 202011333473 A CN202011333473 A CN 202011333473A CN 112597993 A CN112597993 A CN 112597993A
- Authority
- CN
- China
- Prior art keywords
- patch
- model
- training
- data set
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012549 training Methods 0.000 title claims abstract description 85
- 238000001514 detection method Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000007123 defense Effects 0.000 title claims description 21
- 238000013528 artificial neural network Methods 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims description 26
- 230000009466 transformation Effects 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 10
- 238000009826 distribution Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 5
- 230000001131 transforming effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 239000012855 volatile organic compound Substances 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 230000008485 antagonism Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000011426 transformation method Methods 0.000 description 1
- 238000009827 uniform distribution Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/20—Image preprocessing
- G06V10/25—Determination of region of interest [ROI] or a volume of interest [VOI]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Abstract
本发明涉及一种基于补丁检测的对抗防御模型训练方法,包括以下步骤:a、利用训练数据集训练目标检测神经网络,得到预训练模型;b、对预训练模型进行对抗补丁攻击,生成对抗补丁数据集;c、利用所述对抗补丁数据集对训练数据集进行更新,并更新模型参数后对其再次攻击;d、重复步骤(a)至(c)至得到由充足的对抗补丁数据构成的对抗补丁数据集;e、将步骤(d)获得的对抗补丁数据集中的补丁添加到原始的训练数据集的数据上,并在训练数据集中添加对抗补丁的类别,利用之训练神经网络,得到目标检测模型。本发明训练的模型有较为良好的抵御补丁攻击的能力,且在时效性,检测性和鲁棒性三个方面均具备优势。
Description
技术领域
本发明涉及一种基于补丁检测的对抗防御模型训练方法。
背景技术
基于深度学习的目标检测系统容易受到对抗补丁的攻击,其安全性问题逐渐引起人们的普遍重视。目前,围绕对抗样本的概念已经发展出丰富的攻击深度神经网络的算法,其中补丁攻击已经被认为是一种非常实用的手段用以威胁计算机视觉系统。不同于传统的攻击策略,补丁攻击仅仅改变有限区域的部分像素点,同时不必要求人眼无法察觉,在形式上比较类似于涂鸦或者贴纸,因此比较容易在物理世界中实现。目前,很多对抗补丁的攻击方法已经在图像分类,人脸识别和目标检测等领域展现出显著性的成果。
相比较于补丁攻击方面丰富的研究工作,补丁防御方面的研究还相对较少,且很难在目标检测问题中实现。具体来说,一方面,相关研究多集中于图像分类问题,由于该类问题相比于目标检测问题所需的计算要求低,相应的方法很难迁移到目标检测问题中。另一方面,一些基于图像数据预处理的工作虽然并不依赖于具体问题本身,但却存在一定的不足。如一些去噪的方法会降低原始样本的检测准确率且容易被白盒对抗样本攻破,而一些基于部分遮挡的方法很难恢复还原原始样本的检测信息,以上不足均难以满足实际问题的需要。另外,针对补丁攻击比较容易在物理世界实现的特点,目前的研究多集中于数字层面,对于物理世界防御还略显不足。
综上所述,目前针对补丁防御的方法较少,且大多未考虑应用的实际需求,在时效性,检测性和鲁棒性三个方面都有着不同程度的不足。并且目前的方法很难迁移到目标检测任务中,且针对物理世界防御的工作开展不足,难以满足深度学习安全性的应用要求。
发明内容
本发明的目的在于提供一种能够提高检测模型抵御对抗补丁能力的基于补丁检测的对抗防御模型训练方法。
为实现上述发明目的,本发明提供一种基于补丁检测的对抗防御模型训练方法,包括以下步骤:
a、利用训练数据集训练目标检测神经网络,得到预训练模型;
b、对所述预训练模型进行对抗补丁攻击,生成对抗补丁数据集;
c、利用所述对抗补丁数据集对训练数据集进行更新,并重新训练所述预训练模型,并更新模型参数后对其再次攻击;
d、重复所述步骤(a)至(c)至得到由充足的对抗补丁数据构成的对抗补丁数据集;
e、将所述步骤(d)获得的对抗补丁数据集中的补丁添加到原始的训练数据集的数据上,并在所述训练数据集中添加对抗补丁的类别,利用之训练神经网络,得到目标检测模型。
根据本发明的一个方面,在所述步骤(a)中,所述目标检测神经网络为YOLO或RCNN。
根据本发明的一个方面,所述步骤(b)中的对抗补丁攻击采用的目标函数为:
其中,D是样本分布,T是补丁变换的分布,A(δ,x,t)用于将补丁δ以变换t的方式添加到样本x上,J(A(δ,x,t),y)为预训练模型的损失函数。
根据本发明的一个方面,所述对抗补丁攻击为,在目标数据集的数据中添加方形的补丁图案,利用之训练模型;
对补丁图案进行初始化后进行变换,使模型函数接近于所述目标函数,所述变换包括对比度、亮度、随机噪声、尺寸、角度和位置的变换;
其中,对比度的变化范围为0.8到1.2,亮度的变化范围为-0.1到0.1,随机噪声因子为0.1,角度变化范围为-20°到20°,补丁中心位于目标所在预测框的中心位置处,尺寸与预测框成比例关系。
根据本发明的一个方面,在所述步骤(c)中,对所述对抗补丁数据集中的对抗补丁数据进行补丁攻击时的所述变换,随后随机添加到目标数据集中的所有数据上,得到包含对抗补丁信息的对抗样本数据集,并将对抗样本数据集加入至所述训练数据集中。
根据本发明的一个方面,在所述步骤(c)中,更新模型参数采用的损失函数为:
其中,minθ用于更新模型参数,x为原始的训练数据集,A(x,δ,t)为在目标数据集上添加对抗补丁后构建的对抗样本数据集;
在更新模型参数的过程中,对抗样本数据的标签保持不变,在更新过一次模型参数后,使用maxδ获取基于更新后模型的对抗补丁数据。
根据本发明的一个方面,在所述步骤(e)中,训练前修改模型的部分结构以适应训练需求,训练后比较所述目标检测模型和原始的预训练模型在检测能力和鲁棒性。
根据本发明的一个方面,修改模型结构主要包括针对输入层,全连接层和输出层的修改,修改后的模型结构中:
输入层包含的数据为原始的训练数据集及对抗样本数据集,对抗样本数据集中的标签增加有对抗补丁的类别信息,包括位置和所属类别的编号;
在全连接层,增加有模型参数,使得在输出层能够包含对抗补丁的类别概率信息。
根据本发明的一个方面,在类别概率以及位置的损失函数项中增加对抗补丁的信息。
根据本发明的一个方面,比较模型的检测能力与鲁棒性时,分别比较两种模型在干净数据及对抗样本数据上的检测AP值。
根据本发明的构思,预训练一个目标检测模型,随后对其进行补丁攻击,从而获得通用的对抗补丁。利用这些对抗补丁更新训练数据集重新训练初始模型,并更新模型参数。对更新后的模型再次进行补丁攻击,从而获得更多的对抗补丁。获取的补丁数量足够后,可利用之更新原始训练数据集,并重新训练一个目标检测模型。训练时,将补丁作为新的类别添加至训练所用的数据集中,由此使得训练好的模型能够抵御对抗补丁的攻击。并且,利用本方法在训练时只需对模型结构进行微小的改动,因此训练好的模型仍然具备原始模型的各种优势。由此,利用本方法训练的模型在时效性,检测性和鲁棒性三个方面的性能均能得到满足,可以使得本方法具备进行物理世界防御的潜力。与此同时,本方法适用于目前已有的各种目标检测方法,具有较为广泛的使用范围。
附图说明
图1示意性表示本发明的一种实施方式的基于补丁检测的对抗防御模型训练方法的流程图;
图2示意性表示本发明的一种实施方式的方法中构造对抗补丁数据集以及模型的更新过程的示意图;
图3示意性表示本发明的一种实施方式的方法中在原始目标检测模型上进行结构修改的示意图;
图4示意性表示本发明的一种实施方式的方法与现有技术目标检测方法针对白盒对抗补丁攻击的效果对比图。
具体实施方式
为了更清楚地说明本发明实施方式或现有技术中的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
下面结合附图和具体实施方式对本发明作详细地描述,实施方式不能在此一一赘述,但本发明的实施方式并不因此限定于以下实施方式。
参见图1,本发明的基于补丁检测的对抗防御模型训练方法,首先需要利用一个数据集训练一个目标检测的神经网络,从而获得一个初始模型,本发明称之为预训练模型。具体的,初步训练的神经网络可以为YOLO或RCNN等,本实施方式选用YOLO v2。训练模型所用的训练数据集可根据模型本身的用途选择,本实施方式选用目标检测常用数据集2007+2012 Pascal VOC,其中共包含20个类别。根据本发明的构思,得到预训练模型之后,则需要建立对抗补丁数据集,并利用之训练新的神经网络,最终得到实际所需的目标检测模型。以下以人体检测为攻击目标为例,详细说明后续步骤。
建立对抗补丁数据集需要对预训练模型进行对抗补丁攻击,从而生成具有较强攻击性的、通用的对抗补丁数据,使得目标检测模型无法识别人体,并以此构成对抗补丁数据集。为了体现人体检测攻击效果,本发明选择行人数据集Inria作为目标数据集。本发明中,攻击时采用的目标函数为:
其中,D是样本分布,T是补丁变换的分布,A(δ,x,t)用于将补丁δ以变换t的方式添加到样本x上,J(A(δ,x,t),y)为预训练模型的损失函数,E表示期望,y为监督学习的标签。
据此,本发明中采取的对抗补丁攻击的方式为,在目标数据集中的数据上均添加方形的对抗补丁图案。但由于此补丁目前还不具备较强的攻击性及通用性,因此本发明利用添加上补丁的数据训练模型,并对这些补丁图案进行变换,从而将补丁训练为最优状态。通过变换使得模型函数接近上述目标函数时,输出此时的对抗补丁数据即可获得一个攻击性强且可以通用的对抗补丁。本发明中,图案变换的方式为初始化一个方形的补丁图案,对其进行选择性的变换。具体的,上述变换包括对比度、亮度、随机噪声、尺寸(或称大小)、角度(或称旋转)和位置的变换。其中,对比度的变化范围为0.8到1.2,亮度的变化范围为-0.1到0.1,随机噪声因子为0.1,角度变化范围为-20°到20°,补丁中心位于目标所在预测框的中心位置附近,尺寸与预测框成固定的比例关系。当然,本发明对此比例关系不做特别限定,只要能够保证最终建立的目标检测模型的抵御能力足够即可。在具体计算中,所选取的参数均为在上述参数范围的均匀分布中随机采样。如此,按照上述变换,可以不断优化攻击的目标函数,从而得到对样本分布D中所有数据都具备攻击能力的对抗补丁数据集Φ。对抗补丁数据集Φ中包含的对抗补丁均为从选择不同的攻击目标检测模型的损失函数形式和不同的训练迭代次数中得到。
通过上述步骤,即可获得对抗补丁数据集,随后利用这些补丁来更新原始的训练数据集并重新训练模型。按照本实施方式,利用补丁更新训练数据集中的方式为,按照上述图案变换方式,将补丁随机添加到行人数据集Inria的所有数据上,从而构建了包含对抗补丁信息的对抗样本数据集。再将对抗样本数据集加入至原始的训练数据集中,由此更新后的新的训练数据集包含了原始的训练数据和补丁攻击下的对抗样本。随后则利用该重新构建的训练数据集重新训练预训练模型。在重新训练模型的过程中,需要更新模型参数,并以此模型作为攻击目标,对其再次进行对抗补丁攻击。从而能够获得更多的对抗补丁数据,以在对抗性和多样性两方面继续丰富对抗补丁数据集。在此步骤中,更新模型参数是采用的损失函数为:
更新模型参数采用的损失函数为:
其中,minθ用于更新模型参数,x为原始训练集VOC(即训练数据集),A(x,δ,t)为行人数据集Inria(即目标数据集)上添加对抗补丁后构建的对抗样本数据集(即含义与上式中A(δ,x,t)相同)。θ为模型参数,通过最小化minθ来进行更新;δ为对抗补丁,通过maxδ来更新。另外,公式中前后两个Lθ分别表示损失函数,前者表示VOC和Inria数据集上的损失函数,后者指的是将对抗补丁加入到Inria数据集后,生成新的数据集上的损失函数。在更新模型参数的过程中,对抗样本数据的标签保持不变。在更新过一次模型参数后,使用maxδ获取基于更新后模型的对抗补丁数据。如图2所示,通过重复上述步骤完成对损失函数的多次迭代,可以获得多个模型及对抗样本数据集。按照本实施方式,共训练出4个模型,相应得到4组对抗补丁数据集,每个数据集包含50张不同的对抗补丁。
通过上述步骤即可获得足够的对抗补丁数据,随后可将对抗补丁数据集与训练数据集结合,利用之重新训练一个具备对抗防御能力的神经网络,得到最终的目标检测模型。当然,在训练前首先需要修改模型的部分结构以适应训练需求,具体为使得输出层增加一种类别维度。如图3所示,输入层包含的数据为原始数据集VOC及对抗样本数据集,同时,对于对抗样本数据集,相应的标签增加对抗补丁的类别信息,即位置和所属类别的编号。在全连接层,增加模型参数,使得在输出层能够包含对抗补丁的类别概率信息,在其他隐藏层中,均保持与原目标检测模型相同的结构。
随后将最终得到的对抗补丁数据集结合训练数据集,具体为将对抗补丁随机添加至训练数据集中的数据上,从而构建得到最终的数据集。同时更新最终的数据集中的标签,增加对抗补丁数据的类别信息,由此使得对抗补丁作为一个类别加入到训练数据集中。另外,由于由于输入层增加了对抗补丁的信息,因此需修改改进模型的损失函数,具体为在类别概率以及位置的损失函数项中增加对抗补丁的信息。随后可使用最终的数据集及神经网络结构训练目标检测模型。如图4所示,在训练完成后,可比较目标检测模型和预训练模型在检测能力和鲁棒性,从而证明按照本发明的方法训练的模型在各方面的能力强于传统训练方法。比较模型的检测能力与鲁棒性时,分别比较两种模型在干净数据及对抗样本数据上的检测AP值。AP值是目标检测模型中广泛使用的模型评价指标,为P-R曲线下的面积,可以理解为不同召回值的情况下所有精度的平均值,对于目标检测模型来说,该值越接近于1,表示该模型的性能越好。针对本实施方式,由于补丁攻击的目标是人体检测,因此可以将两种模型在干净数据及对抗样本数据上检测人体的AP(Average precision,平均精度)值作为比较的对象。由图4可知,利用本方法训练的目标检测模型在检测能力和鲁棒性两方面均强于传统的模型。
综上所述,本发明将对抗补丁作为一种新的类别加入到目标检测模型的训练过程中。因此,本方法对目标检测模型的结构进行了微小的修改,因此能够继承模型在实时检测方面的能力,具备良好的时效性。另外,本方法基本保留了模型对原始样本的检测能力,能够保持在非攻击条件下的正常使用,具备良好的检测性。最后,本方法对补丁攻击具备较好的防御能力,同时能够在真实的物理攻击条件下发挥作用,显示出一定的应用潜力,具备良好的鲁棒性。
以上所述仅为本发明的一个实施方式而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于补丁检测的对抗防御模型训练方法,包括以下步骤:
a、利用训练数据集训练目标检测神经网络,得到预训练模型;
b、对所述预训练模型进行对抗补丁攻击,生成对抗补丁数据集;
c、利用所述对抗补丁数据集对训练数据集进行更新,并重新训练所述预训练模型,并更新模型参数后对其再次攻击;
d、重复所述步骤(a)至(c)至得到由充足的对抗补丁数据构成的对抗补丁数据集;
e、将所述步骤(d)获得的对抗补丁数据集中的补丁添加到原始的训练数据集的数据上,并在所述训练数据集中添加对抗补丁的类别,利用之训练神经网络,得到目标检测模型。
2.根据权利要求1所述的基于补丁检测的对抗防御模型训练方法,其特征在于,在所述步骤(a)中,所述目标检测神经网络为YOLO或RCNN。
3.根据权利要求1所述的基于补丁检测的对抗防御模型训练方法,其特征在于,所述步骤(b)中的对抗补丁攻击采用的目标函数为:
其中,D是样本分布,T是补丁变换的分布,A(δ,x,t)用于将补丁δ以变换t的方式添加到样本x上,J(A(δ,x,t),y)为预训练模型的损失函数。
4.根据权利要求3所述的基于补丁检测的对抗防御模型训练方法,其特征在于,所述对抗补丁攻击为,在目标数据集的数据中添加方形的补丁图案,利用之训练模型;
对补丁图案进行初始化后进行变换,使模型函数接近于所述目标函数,所述变换包括对比度、亮度、随机噪声、尺寸、角度和位置的变换;
其中,对比度的变化范围为0.8到1.2,亮度的变化范围为-0.1到0.1,随机噪声因子为0.1,角度变化范围为-20°到20°,补丁中心位于目标所在预测框的中心位置处,尺寸与预测框成比例关系。
5.根据权利要求4所述的基于补丁检测的对抗防御模型训练方法,其特征在于,在所述步骤(c)中,对所述对抗补丁数据集中的对抗补丁数据进行补丁攻击时的所述变换,随后随机添加到目标数据集中的所有数据上,得到包含对抗补丁信息的对抗样本数据集,并将对抗样本数据集加入至所述训练数据集中。
6.根据权利要求5所述的基于补丁检测的对抗防御模型训练方法,其特征在于,在所述步骤(c)中,更新模型参数采用的损失函数为:
其中,minθ用于更新模型参数,x为原始的训练数据集,A(x,δ,t)为在目标数据集上添加对抗补丁后构建的对抗样本数据集;
在更新模型参数的过程中,对抗样本数据的标签保持不变,在更新过一次模型参数后,使用maxδ获取基于更新后模型的对抗补丁数据。
7.根据权利要求6所述的基于补丁检测的对抗防御模型训练方法,其特征在于,在所述步骤(e)中,训练前修改模型的部分结构以适应训练需求,训练后比较所述目标检测模型和原始的预训练模型在检测能力和鲁棒性。
8.根据权利要求7所述的基于补丁检测的对抗防御模型训练方法,其特征在于,修改模型结构主要包括针对输入层,全连接层和输出层的修改,修改后的模型结构中:
输入层包含的数据为原始的训练数据集及对抗样本数据集,对抗样本数据集中的标签增加有对抗补丁的类别信息,包括位置和所属类别的编号;
在全连接层,增加有模型参数,使得在输出层能够包含对抗补丁的类别概率信息。
9.根据权利要求8所述的基于补丁检测的对抗防御模型训练方法,其特征在于,在类别概率以及位置的损失函数项中增加对抗补丁的信息。
10.根据权利要求7所述的基于补丁检测的对抗防御模型训练方法,其特征在于,比较模型的检测能力与鲁棒性时,分别比较两种模型在干净数据及对抗样本数据上的检测AP值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011333473.5A CN112597993A (zh) | 2020-11-24 | 2020-11-24 | 基于补丁检测的对抗防御模型训练方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011333473.5A CN112597993A (zh) | 2020-11-24 | 2020-11-24 | 基于补丁检测的对抗防御模型训练方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112597993A true CN112597993A (zh) | 2021-04-02 |
Family
ID=75184571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011333473.5A Pending CN112597993A (zh) | 2020-11-24 | 2020-11-24 | 基于补丁检测的对抗防御模型训练方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112597993A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113205115A (zh) * | 2021-04-12 | 2021-08-03 | 武汉大学 | 基于图像特征分析的抵御神经网络后门攻击方法及系统 |
| CN113537463A (zh) * | 2021-07-02 | 2021-10-22 | 北京航空航天大学 | 基于数据扰动的对抗样本防御方法与装置 |
| CN113743231A (zh) * | 2021-08-09 | 2021-12-03 | 武汉大学 | 一种视频目标检测规避系统及方法 |
| CN114266344A (zh) * | 2022-01-06 | 2022-04-01 | 北京墨云科技有限公司 | 利用对抗补丁攻击神经网络视觉识别系统的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111898731A (zh) * | 2020-06-24 | 2020-11-06 | 北京航空航天大学 | 基于偏见的通用对抗补丁生成方法和装置 |
| CN111914928A (zh) * | 2020-07-30 | 2020-11-10 | 南京大学 | 一种为图像分类器进行对抗样本防御的方法 |
-
2020
- 2020-11-24 CN CN202011333473.5A patent/CN112597993A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111898731A (zh) * | 2020-06-24 | 2020-11-06 | 北京航空航天大学 | 基于偏见的通用对抗补丁生成方法和装置 |
| CN111914928A (zh) * | 2020-07-30 | 2020-11-10 | 南京大学 | 一种为图像分类器进行对抗样本防御的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 蒋凌云: "基于生成对抗网络的图像对抗样本攻防算法研究", 《中国优秀硕士学位论文全文数据库 电子期刊》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113205115A (zh) * | 2021-04-12 | 2021-08-03 | 武汉大学 | 基于图像特征分析的抵御神经网络后门攻击方法及系统 |
| CN113205115B (zh) * | 2021-04-12 | 2022-03-04 | 武汉大学 | 基于图像特征分析的抵御神经网络后门攻击方法及系统 |
| CN113537463A (zh) * | 2021-07-02 | 2021-10-22 | 北京航空航天大学 | 基于数据扰动的对抗样本防御方法与装置 |
| CN113743231A (zh) * | 2021-08-09 | 2021-12-03 | 武汉大学 | 一种视频目标检测规避系统及方法 |
| CN113743231B (zh) * | 2021-08-09 | 2024-02-20 | 武汉大学 | 一种视频目标检测规避系统及方法 |
| CN114266344A (zh) * | 2022-01-06 | 2022-04-01 | 北京墨云科技有限公司 | 利用对抗补丁攻击神经网络视觉识别系统的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112597993A (zh) | 基于补丁检测的对抗防御模型训练方法 | |
| CN110941794A (zh) | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 | |
| CN113283599B (zh) | 基于神经元激活率的对抗攻击防御方法 | |
| CN107491729B (zh) | 基于余弦相似度激活的卷积神经网络的手写数字识别方法 | |
| Ying et al. | Human ear recognition based on deep convolutional neural network | |
| CN113254927B (zh) | 一种基于网络防御的模型处理方法、装置及存储介质 | |
| CN110569916A (zh) | 用于人工智能分类的对抗样本防御系统及方法 | |
| CN112580728B (zh) | 一种基于强化学习的动态链路预测模型鲁棒性增强方法 | |
| CN111178504B (zh) | 基于深度神经网络的鲁棒压缩模型的信息处理方法及系统 | |
| CN110969089A (zh) | 噪声环境下的轻量级人脸识别系统及识别方法 | |
| Ren et al. | Convolutional neural network based on principal component analysis initialization for image classification | |
| CN111931814A (zh) | 一种基于类内结构紧致约束的无监督对抗域适应方法 | |
| CN114708479B (zh) | 一种基于图结构和特征的自适应防御方法 | |
| Guo et al. | ELAA: An efficient local adversarial attack using model interpreters | |
| Xu et al. | Resilient binary neural network | |
| CN113221388A (zh) | 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法 | |
| Li | A discriminative learning convolutional neural network for facial expression recognition | |
| CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
| JP2021093144A (ja) | センサ特化イメージ認識装置及び方法 | |
| CN116071797B (zh) | 一种基于自编码器的稀疏人脸比对对抗样本生成方法 | |
| CN111382871A (zh) | 基于数据扩充一致性的领域泛化和领域自适应学习方法 | |
| CN115510986A (zh) | 一种基于AdvGAN的对抗样本生成方法 | |
| CN115630361A (zh) | 一种基于注意力蒸馏的联邦学习后门防御方法 | |
| CN115510440A (zh) | 一种基于nes算法的黑盒模型反演攻击方法及系统 | |
| Chen et al. | Object-oriented state abstraction in reinforcement learning for video games |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |