CN112836798A - 一种针对场景文字识别的非定向式白盒对抗攻击方法 - Google Patents
一种针对场景文字识别的非定向式白盒对抗攻击方法 Download PDFInfo
- Publication number
- CN112836798A CN112836798A CN202110126481.0A CN202110126481A CN112836798A CN 112836798 A CN112836798 A CN 112836798A CN 202110126481 A CN202110126481 A CN 202110126481A CN 112836798 A CN112836798 A CN 112836798A
- Authority
- CN
- China
- Prior art keywords
- attack
- recognition
- character recognition
- network model
- scene
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Optimization (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Pure & Applied Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Character Discrimination (AREA)
Abstract
本发明公开了一种针对场景文字识别的非定向式白盒对抗攻击方法,在输入图像中加入人眼难以察觉的噪声,使文字识别算法得到和原来截然不同的识别结果,从而达到攻击场景文字识别网络模型的效果。区别于一般物体的识别,文字识别的结果是字符序列,所以现有的对抗攻击方法不能直接被应用到场景文字识别中。所以,首先将单物体分类的对抗攻击算法中的目标函数,修改成序列形式;为了加快生成对抗样本,引入阶跃函数,一旦对抗样本的识别结果中,有一个字符和原图的识别结果不同,目标函数的惩罚为零;此外,考虑到不同样本的攻击难易程度不一样,越容易被识别正确的样本,越难被攻击,所以在目标函数中引入识别得分,从而得到扰动更小的对抗样本。
Description
技术领域
本发明属于计算机视觉技术领域,更具体地,涉及一种针对场景文字识别的非定向式白盒对抗攻击方法。
背景技术
在计算机视觉领域,因为文本外观的多样性和自然场景的复杂性,场景文本识别是一项具有挑战性的任务。得益于深度学习的发展和大量的训练数据,近年来,场景文本识别取得了令人印象深刻的发展。但是,最近的对抗性研究表明,深度学习模型容易受到输入数据微小扰动的干扰,而导致模型输出发生巨大变化。作为在计算机视觉中最落地的任务之一,场景文本识别依然面临着巨大的安全风险。但是目前一直没有针对注意力机制的场景文本识别器进行对抗性攻击的工作。为此,对该方面的研究迫在眉睫。
区别于一般图像图片,场景文本图片的内容是字符序列,所以虽然近年来有不少一般图像的对抗性研究,但是不能直接被应用到场景文本识别中。此外,目前主流的对抗攻击方法可以分为两大类,第一种是基于梯度的方法,该方法的优点是攻击效率高,但是缺点是对抗样本的扰动较大;第二种是基于优化的方法,该方法的优点是可以生成扰动较小的对抗样本,但是缺点是需要多次迭代优化,所以攻击效率可能较低。因此需要设计一种同时保证攻击成功效率和减小扰动大小的方法。
发明内容
本发明的目的在于提供一种针对场景文字识别的非定向式白盒对抗攻击方法,首先将针对图像分类、语义分割和图像检索这类非序列图像而设计的对抗攻击目标函数调整成适合场景文字的形式。然后通过改进该目标函数,该发明可以进一步减小扰动,并且同时获得更高的攻击成功率。该方法可以被用来促进研究更鲁棒的识别系统,并且也可被用于基于文本的验证码人机验证系统。
为实现上述目的,本发明提供了一种针对场景文字识别的非定向式白盒对抗攻击方法,包括下述步骤:
(1)训练任意一种端到端的场景文字识别网络模型,可以是基于注意力机制的场景文字识别网络模型,也可以是基于时序连接序列的场景文字识别网络模型,这里以基于注意力机制的场景文字识别网络模型为主,包括如下子步骤:
(1.1)对原始数据集中所有图片的任意形状文本进行单词级别的标注,标签为图片中所含文本的单词字符序列,得到带标注的标准训练数据集;
(1.2)构建基于注意力机制的端到端文字识别网络模型,所述识别网络模型中,残差网络作为特征编码器、基于注意力机制的序列识别网络作为序列解码器;
(1.3)文字识别网络模型输出每个字符的概率分布,和该图片的标签计算每个字符的交叉熵,并将所有字符的交叉熵之和作为该场景文字识别网络模型的目标损失函数;
(2)利用上述训练好的场景文字识别网络模型生成对抗攻击样本,包括如下子步骤:
(2.1)生成随机噪声,原始图片叠加该随机噪声之后,生成初始的对抗攻击样本。为了保证该噪声足够小,人眼几乎不能观察到,并且对抗攻击样本所得到的识别结果和原图的识别结果不一致,需要设计针对序列文字识别的对抗攻击目标函数,来对其进行迭代优化,最终得到符合预期的对抗攻击样本。
(2.2)为了加快生成对抗攻击样本的速度和减小噪声的大小,利用字符的识别概率分布和字符串的识别得分,进一步改进目标函数。具体来说,一旦对抗攻击样本的识别文字中的任意一个字符和原图的识别文字不一样,就停止优化该目标函数;此外,越是容易识别的图片,说明其越难以生成对抗攻击样本,反之越容易生成,所以将文字的识别得分作为目标函数的权重,对不同识别难易程度的图片进行不同程度的优化,最终更快更好地生成对抗攻击样本。
进一步地,所述步骤(1.2)中的文字识别网络模型具体为:
所述文字识别网络模型由残差网络、双向长短期记忆层和基于注意力机制的序列识别网络组成;其中,残差网络Resnet以残差块为基础网络,通过修改不同层之间的池化大小,将三维的输入图片I表示成长度为n的二维特征向量序列{v1,v2 … vn},其中v表示每一帧的图像特征向量;为了表征序列中,帧与帧之间的上下文关系,使用两层双向长短期记忆层BiLSTM对其进行建模,最终得到特征序列{h1,h2 … hn},其中h表示具有上下文信息的每一帧特征向量;基于注意力机制的序列识别网络由一个单向的门控循环单元GRU构成,注意力模型的每一步会输出目标字符yt的概率分布p(yt)=softmax(qt),其中qt=Wost+bo,st是门控循环单元在t时刻的隐藏层特征,Wo、bo分别是该全连接层的权重和偏移量,st=GRU(st-1,(gt,f(yt-1))),=f(·)表示yt-1的字符编码,gt是特征序列的加权求和表示,αt是一个注意力权重的向量,通过以下公式计算得到:et,i=vTtanh(Wst-1+Vhi+b),其中,tanh(·)表示双曲正切函数,exp(·)表示指数函数,W和V分别表示该全连接层的权重和偏移量,最终,该场景文字识别网络模型的目标函数为其中T表示目标文字的字符个数。
进一步地,所述步骤(2.1)中的生成对抗攻击样本的方法具体为:
将该问题定义为一个优化问题,给定一张输入图片I,威胁模型M(在这里也就是训练得到的场景文字识别网络模型)和该输入图片对应的正确识别结果y,对抗攻击的目标是生成一个对抗样本I′=I+δ,使得M对其的识别结果y′和原结果不同,并且加入的扰动噪声δ要小到尽可能肉眼看不见。所以整个过程用公式可以表示为:
s.t.M(I)=y,
M(I+δ)=y′,
I+δ∈[-1,1].
其中,D(·)表示距离函数,一般采用l2距离。
因为M(I+δ)=y′是一个非线性约束,标准的基于梯度下降的方法很难直接应用到该任务上,所以采用另外一种替代优化方案:
s.t.I+δ∈[-1,1].
其中,L(·)被称为攻击损失函数,用来惩罚不成功的攻击。c是一个权重,用来权衡生成噪声的大小和攻击成功率。具体来说,c越大,攻击越容易成功,但是生成的对抗噪声也会更大。为了消除c带来的影响,采用二分查找法对其取值进行遍历。
对于非序列图像的对抗攻击样本生成来说,L(·)一般为M模型的目标函数的相反数。对于文字识别这种序列问题而言,其中y=(y1,…,yT),=y′=(y′1,…,y′T′),比较直接的做法是使用-Lrec(I+δ,y)作为L(·),但是实应用过程中发现该目标函数比较耗时。为此本专利采用
作为目标函数。为了进一步加快成功攻击速度和降低扰动大小,本专利提出了全新的如下目标函数:
其中,S表示当前图片的识别得分。S越高,表示该模型越难被攻击成功,所以L(·)越大。此外,H确保只要字符串中有一个字符识别错误,就认为该样本被成功攻击,L(·)变成0,从而模型去优化D(·),使得生成的对抗攻击样本扰动进一步变小。因此,通过该目标函数,可以更快更好地生成对抗攻击样本。通过和对抗攻击的相关方法进行对比,本专利提出的方法在噪声大小、攻击成功率和攻击速度上都有绝对的优势。
通过本发明所构思的以上技术方案,与现有技术相比,本发明具有以下技术效果:
(1)噪声扰动小:该发明针对场景文本识别这类序列识别问题,对目标函数进行了特定的设计,引入了门限机制,使得模型在攻击成功之后,会进一步去优化噪声大小,从而使得生成的对抗样本更加难以区分;
(2)速度快:引入了门限机制和识别得分之后,也加快了模型生成对抗样本的速度,减少了生成对抗样本的迭代次数;
(3)攻击成功率高:利用识别得分对样本的被攻击难易程度进行区分,简单的样本就减少迭代次数,困难的样本就增加迭代次数,从而保证在整体相同时间下的攻击成功率更高。
附图说明
图1是本发明一种针对场景文字识别的非定向式白盒对抗攻击方法的流程图;
图2是本发明中基于注意力机制的序列识别网络结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
以下首先就本发明的技术术语进行解释和说明:
ResNet:一种可用于分类的神经网络,该网络主要由卷积层、池化层、shortcut连接层组成。卷积层用于提取图片特征;池化层的作用是降低卷积层输出的特征向量的维度,减少过拟合;shortcut连接层用于传递梯度解决消失和爆炸梯度问题。网络参数可以通过反向传导算法,进行更新;
双向长短期记忆层BiLSTM:由前向和后向LSTM级联构成的网络层。区别于普通的RNN,LSTM中引入了门机制,一定程度上避免了梯度爆炸和梯度消失的问题。注意力模块中的GRU也属于LSTM的一个变种,区别在于GRU中的门机制复杂程度低一些,因此更加简洁有效。
如图1所示,本发明针对场景文字识别的非定向式白盒对抗攻击方法包括以下步骤:
(1)训练任意一种端到端的场景文字识别网络模型,可以是基于注意力机制的场景文字识别网络模型,也可以是基于时序连接序列的场景文字识别网络模型,这里以基于注意力机制的场景文字识别网络模型为主,包括如下子步骤:
(1.1)对原始数据集中所有图片的任意形状文本进行单词级别的标注,标签为图片中所含文本的单词字符序列,得到带标注的标准训练数据集;
(1.2)构建基于注意力机制的端到端文字识别网络模型,所述识别网络模型中,残差网络作为特征编码器、基于注意力机制的序列识别网络作为序列解码器;
具体地,如图2所示,所述步骤(1.2)中的文字识别网络模型具体为:
所述文字识别网络模型由残差网络、双向长短期记忆层和基于注意力机制的序列识别网络组成;其中,残差网络Resnet以残差块为基础网络,通过修改不同层之间的池化大小,将三维的输入图片I表示成长度为n的二维特征向量序列{v1,v2 … vn},其中v表示每一帧的图像特征向量;为了表征序列中,帧与帧之间的上下文关系,使用两层双向长短期记忆层BiLSTM对其进行建模,最终得到特征序列{h1,h2 … hn},其中h表示具有上下文信息的每一帧特征向量;基于注意力机制的序列识别网络由一个单向的门控循环单元GRU构成,注意力模型的每一步会输出目标字符yt的概率分布p(yt)=softmax(qt),其中qt=Wost+bo,st是门控循环单元在t时刻的隐藏层特征,Wo、bo分别是该全连接层的权重和偏移量,st=GRU(st-1,(gt,f(yt-1))),=f(·)表示yt-1的字符编码,gt是特征序列的加权求和表示,αt是一个注意力权重的向量,通过以下公式计算得到:et,i=vTtanh(Wst-1+Vhi+b),其中,tanh(·)表示双曲正切函数,exp(·)表示指数函数,W和V分别表示该全连接层的权重和偏移量,最终,该场景文字识别网络模型的目标函数为其中T表示目标文字的字符个数。
(1.3)文字识别网络模型输出每个字符的概率分布,和该图片的标签计算每个字符的交叉熵,并将所有字符的交叉熵之和作为该场景文字识别网络模型的目标损失函数;
(2)利用上述训练好的场景文字识别网络模型生成对抗攻击样本,包括如下子步骤:
(2.1)生成随机噪声,原始图片叠加该随机噪声之后,生成初始的对抗攻击样本。为了保证该噪声足够小,人眼几乎不能观察到,并且对抗攻击样本所得到的识别结果和原图的识别结果不一致,需要设计针对序列文字识别的对抗攻击目标函数,来对其进行迭代优化,最终得到符合预期的对抗攻击样本。
(2.2)为了加快生成对抗攻击样本的速度和减小噪声的大小,利用字符的识别概率分布和字符串的识别得分,进一步改进目标函数。具体来说,一旦对抗攻击样本的识别文字中的任意一个字符和原图的识别文字不一样,就停止优化该目标函数;此外,越是容易识别的图片,说明其越难以生成对抗攻击样本,反之越容易生成,所以将文字的识别得分作为目标函数的权重,对不同识别难易程度的图片进行不同程度的优化,最终更快更好地生成对抗攻击样本。
所述步骤(2.1)中的生成对抗攻击样本的方法具体为:
将该问题定义为一个优化问题,给定一张输入图片I,威胁模型M(在这里也就是训练得到的场景文字识别网络模型)和该图片对应的正确识别结果y,=对抗攻击的目标是生成一个对抗样本I′=I+δ,=使得M对其的识别结果y′和原结果不同,并且加入的扰动噪声δ要小到尽可能肉眼看不见。所以整个过程用公式可以表示为:
s.t.M(I)=y,
M(I+δ)=y′,
I+δ∈[-1,1].
其中,D(·)表示距离函数,一般采用l2距离。
因为M(I+δ)=y′是一个非线性约束,标准的基于梯度下降的方法很难直接应用到该任务上,所以采用另外一种替代优化方案:
s.t.I+δ∈[-1,1].
其中,L(·)被称为攻击损失函数,用来惩罚不成功的攻击。c是一个权重,用来权衡生成噪声的大小和攻击成功率。具体来说,c越大,攻击越容易成功,但是生成的对抗噪声也会更大。为了消除c带来的影响,采用二分查找法对其取值进行遍历。
对于非序列图像的对抗攻击样本生成来说,L(·)一般为M模型的目标函数的相反数。对于文字识别这种序列问题而言,其中y=(y1,…,yT),=y′=(y′1,…,y′T′),比较直接的做法是使用-Lrec(I+δ,y)作为L(·),但是实应用过程中发现该目标函数比较耗时。为此本专利采用
作为目标函数。为了进一步加快成功攻击速度和降低扰动大小,本专利提出了全新的如下目标函数:
其中,S表示当前图片的识别得分。S越高,表示该模型越难被攻击成功,所以L(·)越大。此外,H确保只要字符串中有一个字符识别错误,就认为该样本被成功攻击,L(·)变成0,从而模型去优化D(·),使得生成的对抗攻击样本扰动进一步变小。因此,通过该目标函数,可以更快更好地生成对抗攻击样本。通过和对抗攻击的相关方法进行对比,本专利提出的方法在噪声大小、攻击成功率和攻击速度上都有绝对的优势。
Claims (8)
1.一种针对场景文字识别的非定向式白盒对抗攻击方法,其特征在于,所述方法包括下述步骤:
(1)训练任意一种端到端的场景文字识别网络模型;
(2)利用上述训练好的场景文字识别网络模型生成对抗攻击样本,包括如下子步骤:
(2.1)生成随机噪声,原始图片叠加该随机噪声之后,生成初始的对抗攻击样本;设计针对序列文字识别的对抗攻击目标函数,来对对抗攻击样本进行迭代优化,最终得到符合预期的对抗攻击样本;
(2.2)为了加快生成对抗攻击样本的速度和减小噪声的大小,利用字符的识别概率分布和字符串的识别得分,进一步改进目标函数。
2.根据权利要求1所述的一种针对场景文字识别的非定向式白盒对抗攻击方法,其特征在于,所述场景文字识别网络模型是:
基于注意力机制的场景文字识别网络模型,或者是基于时序连接序列的场景文字识别网络模型。
3.根据权利要求2所述的一种针对场景文字识别的非定向式白盒对抗攻击方法,其特征在于,所述场景文字识别网络模型是基于注意力机制的场景文字识别网络模型,所述步骤(1)包括如下子步骤:
(1.1)对原始数据集中所有图片的任意形状文本进行单词级别的标注,标签为图片中所含文本的单词字符序列,得到带标注的标准训练数据集;
(1.2)构建基于注意力机制的端到端文字识别网络模型,所述识别网络模型中,残差网络作为特征编码器、基于注意力机制的序列识别网络作为序列解码器;
(1.3)文字识别网络模型输出每个字符的概率分布,和该图片的标签计算每个字符的交叉熵,并将所有字符的交叉熵之和作为该场景文字识别网络模型的目标损失函数。
4.根据权利要求3所述的一种针对场景文字识别的非定向式白盒对抗攻击方法,其特征在于,所述步骤(1.2)中的端到端文字识别网络模型具体为:
所述端到端文字识别网络模型由残差网络、双向长短期记忆层和基于注意力机制的序列识别网络组成;其中,残差网络Resnet以残差块为基础网络,通过修改不同层之间的池化大小,将三维的输入图片I表示成长度为n的二维特征向量序列{v1,v2...vn},其中v表示每一帧的图像特征向量;为了表征序列中,帧与帧之间的上下文关系,使用两层双向长短期记忆层BiLSTM对其进行建模,最终得到特征序列{h1,h2...hn},其中h表示具有上下文信息的每一帧特征向量;基于注意力机制的序列识别网络由一个单向的门控循环单元GRU构成,注意力模型的每一步会输出目标字符yt的概率分布p(yt)=softmax(qt),其中qt=Wost+bo,st是门控循环单元在t时刻的隐藏层特征,Wo、bo分别是该全连接层的权重和偏移量,st=GRU(st-1,(gt,f(yt-1))),f(·)表示yt-1的字符编码,gt是特征序列的加权求和表示,αt是一个注意力权重的向量,通过以下公式计算得到:et,i=vTtanh(Wst-1+Vhi+b),其中,tanh(·)表示双曲正切函数,exp(·)表示指数函数,W和V分别表示该全连接层的权重和偏移量,最终,该场景文字识别网络模型的目标函数为其中T表示目标文字的字符个数。
5.根据权利要求1或2所述的一种针对场景文字识别的非定向式白盒对抗攻击方法,其特征在于,所述步骤(2.1)中的生成对抗攻击样本的方法具体为:
将该问题定义为一个优化问题,给定一张输入图片I,威胁模型M即训练得到的场景文字识别网络模型,和该输入图片对应的正确识别结果y,对抗攻击的目标是生成一个对抗样本I′=I+δ,使得M对其的识别结果y′和原结果不同,并且加入的扰动噪声δ要小到尽可能肉眼看不见,整个过程用公式表示为:
s.t.M(I)=y,
M(I+δ)=y′,
I+δ∈[-1,1].
其中,D(·)表示距离函数;
因为M(I+δ)=y′是一个非线性约束,标准的基于梯度下降的方法很难直接应用到该任务上,所以采用另外一种替代优化方案:
s.t.I+δ∈[-1,1].
其中,L(·)为攻击损失函数,用来惩罚不成功的攻击;c是一个权重,用来权衡生成噪声的大小和攻击成功率;为了消除c带来的影响,采用二分查找法对其取值进行遍历;
对于非序列图像的对抗攻击样本生成来说,L(·)为M模型的目标函数的相反数,对于文字识别这种序列问题,其中y=(y1,...,yT),y′=(y′1,...,y′T′),采用
作为目标函数。
7.根据权利要求5所述的一种针对场景文字识别的非定向式白盒对抗攻击方法,其特征在于,所述距离函数D(·)采用l2距离。
8.根据权利要求1或2所述的一种针对场景文字识别的非定向式白盒对抗攻击方法,其特征在于,所述步骤(2)具体为:
一旦对抗攻击样本的识别文字中的任意一个字符和原图的识别文字不一样,就停止优化该目标函数;此外,越是容易识别的图片,说明其越难以生成对抗攻击样本,反之越容易生成,所以将文字的识别得分作为目标函数的权重,对不同识别难易程度的图片进行不同程度的优化,最终更快更好地生成对抗攻击样本。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110126481.0A CN112836798A (zh) | 2021-01-29 | 2021-01-29 | 一种针对场景文字识别的非定向式白盒对抗攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110126481.0A CN112836798A (zh) | 2021-01-29 | 2021-01-29 | 一种针对场景文字识别的非定向式白盒对抗攻击方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112836798A true CN112836798A (zh) | 2021-05-25 |
Family
ID=75931067
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110126481.0A Pending CN112836798A (zh) | 2021-01-29 | 2021-01-29 | 一种针对场景文字识别的非定向式白盒对抗攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112836798A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111767786A (zh) * | 2020-05-11 | 2020-10-13 | 北京航空航天大学 | 基于三维动态交互场景的对抗攻击方法和装置 |
CN113313022A (zh) * | 2021-05-27 | 2021-08-27 | 北京百度网讯科技有限公司 | 文字识别模型的训练方法和识别图像中文字的方法 |
CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击系统 |
CN113723506A (zh) * | 2021-08-30 | 2021-11-30 | 南京星环智能科技有限公司 | 一种对抗样本的生成方法、设备及存储介质 |
CN113780557A (zh) * | 2021-11-11 | 2021-12-10 | 中南大学 | 基于免疫理论的对抗图像攻击方法、装置、产品及介质 |
CN113946688A (zh) * | 2021-10-20 | 2022-01-18 | 中国人民解放军国防科技大学 | 一种寻找自然语言处理模型天然后门的方法 |
CN114332569A (zh) * | 2022-03-17 | 2022-04-12 | 南京理工大学 | 基于注意力机制的低扰动对抗攻击方法 |
CN114742170A (zh) * | 2022-04-22 | 2022-07-12 | 马上消费金融股份有限公司 | 对抗样本生成方法、模型训练方法、图像识别方法及装置 |
CN116975797A (zh) * | 2023-09-25 | 2023-10-31 | 中国科学技术大学 | 一种针对ocr提取攻击的文本内容保护方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107977620A (zh) * | 2017-11-29 | 2018-05-01 | 华中科技大学 | 一种基于全卷积网络的多方向场景文本单次检测方法 |
CN111476228A (zh) * | 2020-04-07 | 2020-07-31 | 海南阿凡题科技有限公司 | 针对场景文字识别模型的白盒对抗样本生成方法 |
-
2021
- 2021-01-29 CN CN202110126481.0A patent/CN112836798A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107977620A (zh) * | 2017-11-29 | 2018-05-01 | 华中科技大学 | 一种基于全卷积网络的多方向场景文本单次检测方法 |
CN111476228A (zh) * | 2020-04-07 | 2020-07-31 | 海南阿凡题科技有限公司 | 针对场景文字识别模型的白盒对抗样本生成方法 |
Non-Patent Citations (2)
Title |
---|
BAOGUANG SHI ET AL.: "《ASTER: An Attentional Scene Text Recognizer with Flexible Rectification》", 《IEEE TRANSACTIONS ON PATTERN ANALYSIS AND MACHINE INTELLIGENCE》 * |
M. YANG ET AL.: "Cost-Effective Adversarial Attacks against Scene Text Recognition", 《2020 25TH INTERNATIONAL CONFERENCE ON PATTERN RECOGNITION (ICPR)》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111767786B (zh) * | 2020-05-11 | 2023-01-24 | 北京航空航天大学 | 基于三维动态交互场景的对抗攻击方法和装置 |
CN111767786A (zh) * | 2020-05-11 | 2020-10-13 | 北京航空航天大学 | 基于三维动态交互场景的对抗攻击方法和装置 |
CN113313022A (zh) * | 2021-05-27 | 2021-08-27 | 北京百度网讯科技有限公司 | 文字识别模型的训练方法和识别图像中文字的方法 |
CN113313022B (zh) * | 2021-05-27 | 2023-11-10 | 北京百度网讯科技有限公司 | 文字识别模型的训练方法和识别图像中文字的方法 |
CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击系统 |
CN113392932B (zh) * | 2021-07-06 | 2024-01-30 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击系统 |
CN113723506A (zh) * | 2021-08-30 | 2021-11-30 | 南京星环智能科技有限公司 | 一种对抗样本的生成方法、设备及存储介质 |
CN113946688A (zh) * | 2021-10-20 | 2022-01-18 | 中国人民解放军国防科技大学 | 一种寻找自然语言处理模型天然后门的方法 |
CN113780557A (zh) * | 2021-11-11 | 2021-12-10 | 中南大学 | 基于免疫理论的对抗图像攻击方法、装置、产品及介质 |
CN113780557B (zh) * | 2021-11-11 | 2022-02-15 | 中南大学 | 基于免疫理论的对抗图像攻击方法、装置、产品及介质 |
CN114332569B (zh) * | 2022-03-17 | 2022-05-27 | 南京理工大学 | 基于注意力机制的低扰动对抗攻击方法 |
CN114332569A (zh) * | 2022-03-17 | 2022-04-12 | 南京理工大学 | 基于注意力机制的低扰动对抗攻击方法 |
CN114742170B (zh) * | 2022-04-22 | 2023-07-25 | 马上消费金融股份有限公司 | 对抗样本生成方法、模型训练方法、图像识别方法及装置 |
CN114742170A (zh) * | 2022-04-22 | 2022-07-12 | 马上消费金融股份有限公司 | 对抗样本生成方法、模型训练方法、图像识别方法及装置 |
CN116975797A (zh) * | 2023-09-25 | 2023-10-31 | 中国科学技术大学 | 一种针对ocr提取攻击的文本内容保护方法 |
CN116975797B (zh) * | 2023-09-25 | 2024-02-23 | 中国科学技术大学 | 一种针对ocr提取攻击的文本内容保护方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112836798A (zh) | 一种针对场景文字识别的非定向式白盒对抗攻击方法 | |
Le et al. | Using synthetic data to train neural networks is model-based reasoning | |
CN107506712B (zh) | 一种基于3d深度卷积网络的人类行为识别的方法 | |
CN108875807B (zh) | 一种基于多注意力多尺度的图像描述方法 | |
CN111309971B (zh) | 一种基于多级编码的文本到视频的跨模态检索方法 | |
CN107526785B (zh) | 文本分类方法及装置 | |
CN110442707B (zh) | 一种基于seq2seq的多标签文本分类方法 | |
CN107506799B (zh) | 一种基于深度神经网络的开集类别发掘与扩展方法与装置 | |
CN106372581B (zh) | 构建及训练人脸识别特征提取网络的方法 | |
Zhong et al. | Adversarial learning with margin-based triplet embedding regularization | |
CN111046673B (zh) | 一种用于防御文本恶意样本的对抗生成网络的训练方法 | |
CN110110323B (zh) | 一种文本情感分类方法和装置、计算机可读存储介质 | |
CN110379418B (zh) | 一种语音对抗样本生成方法 | |
CN111241291B (zh) | 利用对抗生成网络生成对抗样本的方法及装置 | |
CN112784929B (zh) | 一种基于双元组扩充的小样本图像分类方法及装置 | |
Guo et al. | Robust student network learning | |
CN109255381B (zh) | 一种基于二阶vlad稀疏自适应深度网络的图像分类方法 | |
CN110349179B (zh) | 一种基于多适配器的可见光红外视觉跟踪方法及装置 | |
CN111400494B (zh) | 一种基于GCN-Attention的情感分析方法 | |
CN113627543A (zh) | 一种对抗攻击检测方法 | |
Zhang et al. | Learning ordered top-k adversarial attacks via adversarial distillation | |
CN115936958A (zh) | 一种基于对抗学习的数据隐私保护方法 | |
CN114048290A (zh) | 一种文本分类方法及装置 | |
Yang et al. | Cost-effective adversarial attacks against scene text recognition | |
CN113947579B (zh) | 一种针对图像目标探测神经网络的对抗样本检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210525 |
|
WD01 | Invention patent application deemed withdrawn after publication |