CN112819109B - 针对黑盒对抗样本攻击的视频分类系统安全性增强方法 - Google Patents

针对黑盒对抗样本攻击的视频分类系统安全性增强方法 Download PDF

Info

Publication number
CN112819109B
CN112819109B CN202110416397.2A CN202110416397A CN112819109B CN 112819109 B CN112819109 B CN 112819109B CN 202110416397 A CN202110416397 A CN 202110416397A CN 112819109 B CN112819109 B CN 112819109B
Authority
CN
China
Prior art keywords
sample
video
classification system
gradient
region
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110416397.2A
Other languages
English (en)
Other versions
CN112819109A (zh
Inventor
刘小垒
胥迤潇
殷明勇
邓虎
路海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Original Assignee
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS filed Critical COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority to CN202110416397.2A priority Critical patent/CN112819109B/zh
Publication of CN112819109A publication Critical patent/CN112819109A/zh
Application granted granted Critical
Publication of CN112819109B publication Critical patent/CN112819109B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/40Scenes; Scene-specific elements in video content
    • G06V20/41Higher-level, semantic clustering, classification or understanding of video scenes, e.g. detection, labelling or Markovian modelling of sport events or news items

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Computational Linguistics (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,属于人工智能安全领域,解决现有深度神经网络对添加了扰动后的违规视频的检测效率低的问题,即解决现有违规视频检测系统针对对抗样本没有抵抗能力的问题。本发明获取一违规视频作为原始样本,基于已训练好的、三种不同架构的白盒视频对抗样本生成模型分别对原始样本进行处理,得到预样本;基于区域划分函数
Figure 305255DEST_PATH_IMAGE001
,对预样本进行区域划分;利用黑盒梯度估计算法按划分的区域对预样本进行基于梯度的优化,生成对抗样本;基于生成的对抗样本对目标视频分类系统进行训练,并基于训练后的目标视频分类系统对视频进行分类。本发明用于违规视频检测。

Description

针对黑盒对抗样本攻击的视频分类系统安全性增强方法
技术领域
一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,用于违规视频检测,属于人工智能安全领域。
背景技术
近年来,随着深度神经网络技术的发展,基于深度神经网络的视频分类技术得到了广泛的应用,这大大提高了违规视频检测的效率,实现了人工检测向自动化检测的转变。然而由于深度神经网络自身的脆弱性,基于深度神经网络的视频分类系统容易受到对抗样本攻击,即经过对抗化处理的视频能够导致深度神经网络的视频系统产生误分类。视频对抗样本指在原始视频样本上添加人眼无法识别的微小扰动,从而使得视频分类系统对添加扰动后的样本分类错误。违规视频传播者可通过生成视频对抗样本绕过现有的视频分类系统,这将导致信息内容安全受到威胁。因此提高基于深度神经网络的视频分类系统对对抗样本攻击的鲁棒性是非常必要的。
发明内容
针对上述研究的问题,本发明的目的在于提供一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,解决现有深度神经网络对添加了扰动后的违规视频的检测效率低的问题,即解决现有违规视频检测系统针对对抗样本没有抵抗能力的问题。
为了达到上述目的,本发明采用如下技术方案:
一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,
S1、获取一违规视频作为原始样本,基于已训练好的三种不同架构的白盒视频对抗样本生成模型分别对原始样本进行处理,得到预样本;
S2、基于区域划分函数
Figure 903711DEST_PATH_IMAGE001
,对预样本进行区域划分;
S3、利用黑盒梯度估计算法按划分的区域对预样本进行基于梯度的优化,生成对抗样本;
S4、基于生成的对抗样本对目标视频分类系统进行训练,并基于训练后的目标视频分类系统对视频进行分类。
进一步,所述步骤S1的具体步骤为:
S1.1、获取一违规视频作为原始样本
Figure 701903DEST_PATH_IMAGE002
,其中,
Figure 635224DEST_PATH_IMAGE003
Figure 445048DEST_PATH_IMAGE004
Figure 500729DEST_PATH_IMAGE005
Figure 910850DEST_PATH_IMAGE006
分别表示原始样本的帧数、帧的高度、帧的宽度和帧的颜色通道数,
Figure 382283DEST_PATH_IMAGE007
表示原始样本的集合,集合
Figure 436827DEST_PATH_IMAGE007
中各原始样本的帧数为
Figure 538775DEST_PATH_IMAGE003
、帧的高度为
Figure 249242DEST_PATH_IMAGE004
、帧的宽度为
Figure 321103DEST_PATH_IMAGE005
和帧的颜色通道数为
Figure 387410DEST_PATH_IMAGE006
Figure 253735DEST_PATH_IMAGE008
为包含于
Figure 389181DEST_PATH_IMAGE009
的原始样本;
S1.2、基于白盒视频对抗样本技术对三种不同架构的视频分类模型I3D、C3D和CNN+LSTM在视频数据集Image-Net上训练得到白盒视频对抗样本生成模型
Figure 999154DEST_PATH_IMAGE010
S1.3、将原始样本分别输入白盒视频对抗样本生成模型
Figure 231553DEST_PATH_IMAGE010
,将输出求平均:
Figure 658992DEST_PATH_IMAGE011
,即得到预样本。
进一步,所述步骤S2是将预样本输入区域划分函数
Figure 406368DEST_PATH_IMAGE001
,从空间和时间上均匀划分K个区域,其中,每个区域包含原始样本的每一帧中特定区域的像素点,特定区域即指一个区域包含每一帧中相同位置的多个像素点;
将预样本输入区域划分函数
Figure 23294DEST_PATH_IMAGE001
,进行空间划分是指:
将违规视频的每一帧均匀划分为K个长宽相等的矩形;
进行时间划分是指:
将进行空间划分后的不同帧的相同部分作为一个整体;
经过空间划分和时间划分后,得到违规视频的K个区域。
进一步,所述步骤S3的具体步骤为:
S3.1、基于自然进化策略对各个区域进行梯度估计;
首先从K维标准正态分布中随机采样
Figure 782303DEST_PATH_IMAGE012
个样本
Figure 521588DEST_PATH_IMAGE013
作为可能的梯度方向的估计;
再将
Figure 693944DEST_PATH_IMAGE014
作为输入对黑盒目标模型进行查询,以确定每个可能的梯度方向的质量
Figure 292326DEST_PATH_IMAGE015
,最后求其加权平均
Figure 296054DEST_PATH_IMAGE016
,加权平均
Figure 550449DEST_PATH_IMAGE017
即为第
Figure 272417DEST_PATH_IMAGE018
轮对真实梯度的一个近似的估计,即各区域整体的梯度,其中,
Figure 231146DEST_PATH_IMAGE019
为给定的一个的参数,K维即指该标准正态分布的维度和划分的K个区域的区域个数相等;
S3.2、基于各区域整体的梯度方向对预样本进行优化,生成对抗样本,即令
Figure 214014DEST_PATH_IMAGE017
代表第
Figure 295103DEST_PATH_IMAGE018
轮迭代估计得到的梯度,
Figure 114154DEST_PATH_IMAGE020
代表第
Figure 610995DEST_PATH_IMAGE018
轮迭代估计得到的视频对抗样本,则
Figure 589315DEST_PATH_IMAGE021
,其中,
Figure 201824DEST_PATH_IMAGE022
为给定的一个的参数,若
Figure 632805DEST_PATH_IMAGE023
能使黑盒视频分类系统产生误分类,则结束循环,并得到对抗样本
Figure 933337DEST_PATH_IMAGE023
,否则,再将从K维标准正态分布中随机采样
Figure 375951DEST_PATH_IMAGE012
个样本继续优化。
本发明同现有技术相比,其有益效果表现在:
一、本发明通过得到预样本进行黑盒梯度优化,具有良好的方向指导性,可以大大降低梯度优化所需迭代的次数,平均可以降低20%所需要迭代的次数;
二、本发明通过区域的划分后,后续基于梯度的优化过程中,将现有技术中针对每一个像素点进行梯度估计转化为对每个区域整体进行梯度估计,使得计算复杂度大大降低,迭代次数降低50%且视频对抗样本生成的成功率提高30%;
三、本发明通过将预样本进行区域划分后进行预样本优化得到对抗样本,再通过对抗样本目标视频分类系统进行训练,可提高目标视频分类系统的鲁棒性,且具有分辨对抗样本的能力;
四、本发明与现有技术中的其它视频对抗样本生成技术相比,具有较大的通用性,可以在不需要威胁模型的详细架构的情况下进行对抗样本的生成(即实现了安全服务提供者在基于保密性考虑无法获取黑盒视频分类系统具体架构的情况下进行视频对抗样本的生成),且将视频的对抗样本优化过程涉及的维度、由针对单个像素点减少到针对划分的K个区域,使对抗样本的生成效率高。
附图说明
图1为本发明的流程示意图。
具体实施方式
下面将结合附图及具体实施方式对本发明作进一步的描述。
如图1所示,一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,
S1、获取一违规视频作为原始样本,基于已训练好的三种不同架构的白盒视频对抗样本生成模型分别对原始样本进行处理,得到预样本;
具体步骤为:
S1.1、获取一违规视频作为原始样本
Figure 798842DEST_PATH_IMAGE002
,其中,
Figure 841753DEST_PATH_IMAGE003
Figure 680396DEST_PATH_IMAGE004
Figure 633308DEST_PATH_IMAGE005
Figure 836888DEST_PATH_IMAGE006
分别表示原始样本的帧数、帧的高度、帧的宽度和帧的颜色通道数,
Figure 180144DEST_PATH_IMAGE007
表示原始样本的集合,集合
Figure 150374DEST_PATH_IMAGE007
中各原始样本的帧数为
Figure 49804DEST_PATH_IMAGE003
、帧的高度为
Figure 814498DEST_PATH_IMAGE004
、帧的宽度为
Figure 317154DEST_PATH_IMAGE005
和帧的颜色通道数为
Figure 497600DEST_PATH_IMAGE006
Figure 425105DEST_PATH_IMAGE008
为包含于
Figure 219754DEST_PATH_IMAGE009
的原始样本;
S1.2、基于白盒视频对抗样本技术对三种不同架构的视频分类模型I3D、C3D和CNN+LSTM在视频数据集Image-Net上训练得到白盒视频对抗样本生成模型
Figure 537603DEST_PATH_IMAGE010
S1.3、将原始样本分别输入白盒视频对抗样本生成模型
Figure 318477DEST_PATH_IMAGE010
,将输出求平均:
Figure 975855DEST_PATH_IMAGE011
,即得到预样本。
S2、基于区域划分函数
Figure 816772DEST_PATH_IMAGE001
,对预样本进行区域划分;
具体为:将预样本输入区域划分函数
Figure 44753DEST_PATH_IMAGE001
,从空间和时间上均匀划分K个区域,其中,每个区域包含原始样本的每一帧中特定区域的像素点;特定区域即指一个区域包含每一帧中相同位置的多个像素点,如一个16帧,大小为16x16的视频,分成了64个区域,则每个区域包含16帧,每一帧包含16x16/64=4个像素点,当然还可包含5个、6个像素点。
将预样本输入区域划分函数
Figure 832580DEST_PATH_IMAGE001
,进行空间划分是指:
将违规视频的每一帧均匀划分为K个长宽相等的矩形;
进行时间划分是指:
将进行空间划分后的不同帧的相同部分作为一个整体;
经过空间划分和时间划分后,得到违规视频的K个区域。
S3、利用黑盒梯度估计算法按划分的区域对预样本进行基于梯度的优化,生成对抗样本;
具体步骤为:
S3.1、基于自然进化策略对各个区域进行梯度估计;
首先从K维标准正态分布中随机采样
Figure 203519DEST_PATH_IMAGE012
个样本
Figure 356283DEST_PATH_IMAGE013
作为可能的梯度方向的估计;
再将
Figure 179882DEST_PATH_IMAGE014
作为输入对黑盒目标模型进行查询,以确定每个可能的梯度方向的质量
Figure 771400DEST_PATH_IMAGE015
,最后求其加权平均
Figure 387058DEST_PATH_IMAGE016
,加权平均
Figure 569778DEST_PATH_IMAGE017
即为第
Figure 349515DEST_PATH_IMAGE018
轮对真实梯度的一个近似的估计,即各区域整体的梯度,其中,
Figure 416828DEST_PATH_IMAGE019
为给定的一个的参数,K维即指该标准正态分布的维度和划分的K个区域的区域个数相等;
S3.2、基于各区域整体的梯度方向对预样本进行优化,生成对抗样本,即令
Figure 231201DEST_PATH_IMAGE017
代表第
Figure 739149DEST_PATH_IMAGE018
轮迭代估计得到的梯度,
Figure 537341DEST_PATH_IMAGE020
代表第
Figure 205082DEST_PATH_IMAGE018
轮迭代估计得到的视频对抗样本,则
Figure 280486DEST_PATH_IMAGE021
,其中,
Figure 336167DEST_PATH_IMAGE022
为给定的一个的参数,若
Figure 559337DEST_PATH_IMAGE023
能使黑盒视频分类系统产生误分类,则结束循环,并得到对抗样本
Figure 217721DEST_PATH_IMAGE023
,否则,再将从K维标准正态分布中随机采样
Figure 537844DEST_PATH_IMAGE012
个样本继续优化。
S4、基于生成的对抗样本对目标视频分类系统进行训练,并基于训练后的目标视频分类系统对视频进行分类。
实施例
现有一个16帧的违规视频
Figure 108633DEST_PATH_IMAGE024
,将该视频分别输入白盒视频对抗样本生成模型
Figure 881417DEST_PATH_IMAGE010
,将输出求平均:
Figure 156541DEST_PATH_IMAGE011
,得到预样本。
将预样本
Figure 691690DEST_PATH_IMAGE025
输入区域划分函数F,从空间和时间上均匀划分为64个区域
Figure 89173DEST_PATH_IMAGE026
,其中,每个区域包含原始样本的16帧中的4像素点。
从64维标准正态分布中随机采样100个样本
Figure 286936DEST_PATH_IMAGE028
作为可能的梯度方向的估计;将
Figure 37854DEST_PATH_IMAGE014
作为输入对黑盒目标模型进行查询,以确定每个可能的梯度方向的质量
Figure 332570DEST_PATH_IMAGE015
,最后求其加权平均
Figure 494429DEST_PATH_IMAGE016
,加权平均
Figure DEST_PATH_IMAGE029
即为对真实梯度的一个近似的估计,即各区域整体的梯度方向,其中,
Figure 976226DEST_PATH_IMAGE019
为设定为0.001的超参数;
Figure 265256DEST_PATH_IMAGE017
代表第
Figure 414478DEST_PATH_IMAGE018
轮迭代估计得到的梯度,
Figure 245774DEST_PATH_IMAGE020
代表第
Figure 214867DEST_PATH_IMAGE018
轮迭代估计得到的视频对抗样本,则
Figure 635484DEST_PATH_IMAGE021
,其中,
Figure 514579DEST_PATH_IMAGE022
为给定的一个的参数,取值为0.001,当然,还可为其它较小的值。若
Figure 159187DEST_PATH_IMAGE023
能使黑盒视频分类系统产生误分类,则结束循环,并得到对抗样本
Figure 818838DEST_PATH_IMAGE023
,否则,再将从K维标准正态分布中随机采样
Figure 698938DEST_PATH_IMAGE030
个样本继续优化。
基于生成的对抗样本对目标视频分类系统进行训练,并基于训练后的目标视频分类系统对视频进行分类。
以上仅是本发明众多具体应用范围中的代表性实施例,对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (3)

1.一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,其特征在于:
S1、获取一违规视频作为原始样本,基于已训练好的三种不同架构的白盒视频对抗样本生成模型分别对原始样本进行处理,得到预样本;
S2、基于区域划分函数
Figure 20661DEST_PATH_IMAGE001
,对预样本进行区域划分;
S3、利用黑盒梯度估计算法按划分的区域对预样本进行基于梯度的优化,生成对抗样本;
S4、基于生成的对抗样本对目标视频分类系统进行训练,并基于训练后的目标视频分类系统对视频进行分类;
所述步骤S3的具体步骤为:
S3.1、基于自然进化策略对各个区域进行梯度估计;
首先从K维标准正态分布中随机采样
Figure 561364DEST_PATH_IMAGE002
个样本
Figure 408097DEST_PATH_IMAGE003
作为可能的梯度方向的估计;
再将
Figure 8843DEST_PATH_IMAGE004
作为输入对黑盒目标模型进行查询,以确定每个可能的梯度方向的质量
Figure 941027DEST_PATH_IMAGE005
,最后求其加权平均
Figure 285421DEST_PATH_IMAGE006
,加权平均
Figure 252240DEST_PATH_IMAGE007
即为第
Figure 227149DEST_PATH_IMAGE008
轮对真实梯度的一个近似的估计,即各区域整体的梯度,其中,
Figure 443367DEST_PATH_IMAGE009
为给定的一个的参数,K维即指该标准正态分布的维度和划分的K个区域的区域个数相等;
S3.2、基于各区域整体的梯度方向对预样本进行优化,生成对抗样本,即令
Figure 529134DEST_PATH_IMAGE007
代表第
Figure 147197DEST_PATH_IMAGE008
轮迭代估计得到的梯度,
Figure 293008DEST_PATH_IMAGE010
代表第
Figure 996522DEST_PATH_IMAGE008
轮迭代估计得到的视频对抗样本,则
Figure 885980DEST_PATH_IMAGE011
,其中,
Figure 60347DEST_PATH_IMAGE012
为给定的一个的参数,若
Figure 439376DEST_PATH_IMAGE013
能使黑盒视频分类系统产生误分类,则结束循环,并得到对抗样本
Figure 567869DEST_PATH_IMAGE013
,否则,再将从K维标准正态分布中随机采样
Figure 57756DEST_PATH_IMAGE002
个样本继续优化。
2.根据权利要求1所述的一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,其特征在于:所述步骤S1的具体步骤为:
S1.1、获取一违规视频作为原始样本
Figure 322516DEST_PATH_IMAGE014
,其中,
Figure 872446DEST_PATH_IMAGE015
Figure 488235DEST_PATH_IMAGE016
Figure 781813DEST_PATH_IMAGE017
Figure 432237DEST_PATH_IMAGE018
分别表示原始样本的帧数、帧的高度、帧的宽度和帧的颜色通道数,
Figure 825172DEST_PATH_IMAGE019
表示原始样本的集合,集合
Figure 990574DEST_PATH_IMAGE019
中各原始样本的帧数为
Figure 759947DEST_PATH_IMAGE015
、帧的高度为
Figure 327195DEST_PATH_IMAGE016
、帧的宽度为
Figure 891031DEST_PATH_IMAGE017
和帧的颜色通道数为
Figure 543730DEST_PATH_IMAGE018
Figure 618258DEST_PATH_IMAGE020
为包含于
Figure 774433DEST_PATH_IMAGE021
的原始样本;
S1.2、基于白盒视频对抗样本技术对三种不同架构的视频分类模型I3D、C3D和CNN+LSTM在视频数据集Image-Net上训练得到白盒视频对抗样本生成模型
Figure 40329DEST_PATH_IMAGE022
S1.3、将原始样本分别输入白盒视频对抗样本生成模型
Figure 852428DEST_PATH_IMAGE022
,将输出求平均:
Figure 291499DEST_PATH_IMAGE023
,即得到预样本。
3.根据权利要求2所述的一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法,其特征在于:所述步骤S2是将预样本输入区域划分函数
Figure 505443DEST_PATH_IMAGE001
,从空间和时间上均匀划分K个区域,其中,每个区域包含原始样本的每一帧中特定区域的像素点,特定区域即指一个区域包含每一帧中相同位置的多个像素点;
将预样本输入区域划分函数
Figure 738978DEST_PATH_IMAGE001
,进行空间划分是指:将违规视频的每一帧均匀划分为K个长宽相等的矩形;
进行时间划分是指:将进行空间划分后的不同帧的相同部分作为一个整体;
经过空间划分和时间划分后,得到违规视频的K个区域。
CN202110416397.2A 2021-04-19 2021-04-19 针对黑盒对抗样本攻击的视频分类系统安全性增强方法 Active CN112819109B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110416397.2A CN112819109B (zh) 2021-04-19 2021-04-19 针对黑盒对抗样本攻击的视频分类系统安全性增强方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110416397.2A CN112819109B (zh) 2021-04-19 2021-04-19 针对黑盒对抗样本攻击的视频分类系统安全性增强方法

Publications (2)

Publication Number Publication Date
CN112819109A CN112819109A (zh) 2021-05-18
CN112819109B true CN112819109B (zh) 2021-06-18

Family

ID=75863674

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110416397.2A Active CN112819109B (zh) 2021-04-19 2021-04-19 针对黑盒对抗样本攻击的视频分类系统安全性增强方法

Country Status (1)

Country Link
CN (1) CN112819109B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113033747B (zh) * 2021-05-26 2021-07-27 中国工程物理研究院计算机应用研究所 一种用于人机识别的图形识别码生成方法
CN113673324B (zh) * 2021-07-13 2023-11-28 复旦大学 一种基于时序移动的视频识别模型攻击方法
CN115115905B (zh) * 2022-06-13 2023-06-27 苏州大学 基于生成模型的高可迁移性图像对抗样本生成方法
CN115311521B (zh) * 2022-09-13 2023-04-28 中南大学 基于强化学习的黑盒视频对抗样本生成方法及评价方法
CN115510440B (zh) * 2022-09-21 2023-09-08 中国工程物理研究院计算机应用研究所 一种基于nes算法的黑盒模型反演攻击方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104301314A (zh) * 2014-10-31 2015-01-21 电子科技大学 一种基于浏览器标签属性的入侵检测方法及装置
CN108446765A (zh) * 2018-02-11 2018-08-24 浙江工业大学 面向深度学习对抗性攻击的多模型协同防御方法
CN109460814A (zh) * 2018-09-28 2019-03-12 浙江工业大学 一种具有防御对抗样本攻击功能的深度学习分类方法
US20200279155A1 (en) * 2019-02-28 2020-09-03 International Business Machines Corporation Efficient and secure gradient-free black box optimization

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10789755B2 (en) * 2018-04-03 2020-09-29 Sri International Artificial intelligence in interactive storytelling
CN109902709B (zh) * 2019-01-07 2020-12-08 浙江大学 一种基于对抗学习的工业控制系统恶意样本生成方法
CN112200243B (zh) * 2020-10-09 2022-04-26 电子科技大学 一种基于低问询图像数据的黑盒对抗样本生成方法
CN112465015A (zh) * 2020-11-26 2021-03-09 重庆邮电大学 面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104301314A (zh) * 2014-10-31 2015-01-21 电子科技大学 一种基于浏览器标签属性的入侵检测方法及装置
CN108446765A (zh) * 2018-02-11 2018-08-24 浙江工业大学 面向深度学习对抗性攻击的多模型协同防御方法
CN109460814A (zh) * 2018-09-28 2019-03-12 浙江工业大学 一种具有防御对抗样本攻击功能的深度学习分类方法
US20200279155A1 (en) * 2019-02-28 2020-09-03 International Business Machines Corporation Efficient and secure gradient-free black box optimization

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
A Black-Box Attack on Neural Networks Based on Swarm Evolutionary Algorithm;Xiaolei Liu 等;《Australasian Conference on Information Security and Privacy》;20200806;第268-284页 *
Black-box Adversarial Attacks on Video Recognition Models;Linxi Jiang 等;《arXiv》;20190128;第3页3.2节第1段、第6页4.1节第3段 *
Heuristic Black-Box Adversarial Attacks on Video Recognition Models;Zhipeng Wei 等;《Proceedings of the AAAI Conference on Artificial Intelligence》;20200430;第34卷(第7期);第12338-12345页 *
安卓恶意软件检测方法综述;范铭 等;《中国科学:信息科学》;20200731;第50卷(第8期);第1148-1177页 *
深度学习中对抗样本的构造及防御研究;段广晗 等;《网络与信息安全学报》;20200430;第6卷(第2期);第1-11页 *

Also Published As

Publication number Publication date
CN112819109A (zh) 2021-05-18

Similar Documents

Publication Publication Date Title
CN112819109B (zh) 针对黑盒对抗样本攻击的视频分类系统安全性增强方法
Jourabloo et al. Face de-spoofing: Anti-spoofing via noise modeling
Bayar et al. A deep learning approach to universal image manipulation detection using a new convolutional layer
CN109977865B (zh) 一种基于人脸颜色空间和度量分析的欺诈检测方法
CN109543760B (zh) 基于图像滤镜算法的对抗样本检测方法
CN113191969A (zh) 一种基于注意力对抗生成网络的无监督图像除雨方法
Zhou et al. Infrared image segmentation based on Otsu and genetic algorithm
CN111709305B (zh) 一种基于局部图像块的人脸年龄识别方法
CN112990357B (zh) 一种基于稀疏扰动的黑盒视频对抗样本生成方法
CN115240280A (zh) 人脸活体检测分类模型的构建方法、检测分类方法及装置
CN114333062B (zh) 基于异构双网络和特征一致性的行人重识别模型训练方法
Choi et al. PIHA: Detection method using perceptual image hashing against query-based adversarial attacks
CN108305207B (zh) 一种空域图像隐写分析可信度评估方法
CN110929740A (zh) 一种基于lgbm模型的舌质舌苔分离方法
CN114900586B (zh) 一种基于dcgan的信息隐写方法及装置
CN116152758A (zh) 一种智能实时事故检测及车辆跟踪方法
CN113177599B (zh) 一种基于gan的强化样本生成方法
CN112561949B (zh) 一种基于rpca和支持向量机的快速运动目标检测算法
CN114579777A (zh) 一种改进的符号优化对抗攻击方法
CN112785613A (zh) 一种智能炉膛火焰图像识别方法
Zeng et al. Classification of error-diffused halftone images based on spectral regression kernel discriminant analysis
Jiménez-Cabello et al. Deep anomaly detection for generalized face anti-spoofing
Holt et al. Baseline evaluation methodology for adversarial patterns on object detection models
Wu et al. Robust Camera Model Identification Over Online Social Network Shared Images via Multi-Scenario Learning
CN112907431B (zh) 一种对对抗隐写鲁棒的隐写分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant