CN112990357B - 一种基于稀疏扰动的黑盒视频对抗样本生成方法 - Google Patents

一种基于稀疏扰动的黑盒视频对抗样本生成方法 Download PDF

Info

Publication number
CN112990357B
CN112990357B CN202110413133.1A CN202110413133A CN112990357B CN 112990357 B CN112990357 B CN 112990357B CN 202110413133 A CN202110413133 A CN 202110413133A CN 112990357 B CN112990357 B CN 112990357B
Authority
CN
China
Prior art keywords
video
black box
key
disturbance
confrontation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110413133.1A
Other languages
English (en)
Other versions
CN112990357A (zh
Inventor
刘小垒
胥迤潇
殷明勇
邓虎
路海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Original Assignee
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS filed Critical COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Priority to CN202110413133.1A priority Critical patent/CN112990357B/zh
Publication of CN112990357A publication Critical patent/CN112990357A/zh
Application granted granted Critical
Publication of CN112990357B publication Critical patent/CN112990357B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V20/00Scenes; Scene-specific elements
    • G06V20/40Scenes; Scene-specific elements in video content
    • G06V20/46Extracting features or characteristics from the video content, e.g. video fingerprints, representative shots or key frames
    • G06V20/47Detecting features for summarising video content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/20Movements or behaviour, e.g. gesture recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Psychiatry (AREA)
  • Social Psychology (AREA)
  • Human Computer Interaction (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于稀疏扰动的黑盒视频对抗样本生成方法,属于对抗样本生成方法技术领域,解决现有技术对视频的每个视频帧都添加扰动,对抗样本的生成效率低,生成的对抗样本扰动率高、隐蔽性差的问题。本发明获取视频,基于关键帧识别方法选取视频中的关键帧;基于关键区域识别技术评估各关键帧中的关键区域;将对抗样本生成系统生成的关键区域的扰动添加到关键区域上,得到初始化的视频对抗样本;基于初始化的视频对抗样本,利用黑盒梯度估计方法进行梯度的优化,生成最终的视频对抗样本。本发明用于生成视频对抗样本。

Description

一种基于稀疏扰动的黑盒视频对抗样本生成方法
技术领域
一种基于稀疏扰动的黑盒视频对抗样本生成方法,用于生成视频对抗样本,属于人工智能安全领域技术领域。
背景技术
近年来,随着深度神经网络技术广泛应用于图像识别与分类,深度神经网络自身的安全性研究也愈发受到重视。现有技术表明,深度神经网络易受到对抗样本的攻击。对抗样本攻击指在原始的图片、音频或视频等数据上添加微小的、人类感官无法察觉的扰动,而使得基于深度神经网络的分类系统产生误分类的攻击方法。现有的对抗样本生成技术(如:深度神经网络生成方法)主要针对图片、音频系统。现有的图片对抗样本生成技术是基于像素点的映射,即通过对图片的每一个像素点添加一定的扰动得到最终的图片对抗样本;而视频对抗样本生成技术则是直接将针对图片的对抗样本生成方法应用到视频对抗样本的生成上,即对原始视频的每一帧中的每一像素点都添加扰动,会导致总体的扰动率过大,隐蔽性差的问题;同时,由于要针对每一个像素点进行基于梯度下降的优化,其复杂程度相较于图片对抗样本的生成将呈指数增长(因为视频中包含的总的像素点个数远远高于图片),所以存在生成效率低的问题,对于视频对抗样本的生成存在生成效率低,生成的对抗样本扰动率高、隐蔽性差的问题。
发明内容
针对上述研究的问题,本发明的目的在于提供一种基于稀疏扰动的黑盒视频对抗样本生成方法,解决现有技术对视频的每个视频帧都添加扰动,对抗样本的生成效率低,生成的对抗样本扰动率高、隐蔽性差的问题。
为了达到上述目的,本发明采用如下技术方案:
一种基于稀疏扰动的黑盒视频对抗样本生成方法,包括如下步骤:
S1、获取视频,基于关键帧识别方法选取视频中的关键帧;
S2、基于关键区域识别技术评估各关键帧中的关键区域;
S3、将对抗样本生成系统生成的关键区域的扰动添加到关键区域上,得到初始化的视频对抗样本;
S4、基于初始化的视频对抗样本,利用黑盒梯度估计方法进行梯度的优化,生成最终的视频对抗样本。
进一步,所述步骤S1的具体步骤为:
获取一段视频
Figure 215274DEST_PATH_IMAGE001
Figure 506578DEST_PATH_IMAGE002
表示该视频的第
Figure 101508DEST_PATH_IMAGE003
个帧;
剔除视频中的第
Figure 300408DEST_PATH_IMAGE003
帧得到的子集视频为
Figure 703707DEST_PATH_IMAGE004
,将
Figure 431492DEST_PATH_IMAGE005
Figure 546341DEST_PATH_IMAGE006
分别输入黑盒视频分类系统
Figure 283353DEST_PATH_IMAGE007
,黑盒视频分类系统
Figure 806738DEST_PATH_IMAGE007
输出的概率差值
Figure 705424DEST_PATH_IMAGE008
作为评估第
Figure 681470DEST_PATH_IMAGE003
帧重要性的指标,即
Figure 222173DEST_PATH_IMAGE009
,其中,
Figure 459119DEST_PATH_IMAGE010
表示将视频
Figure 59865DEST_PATH_IMAGE005
输入黑盒视频分类系统
Figure 257628DEST_PATH_IMAGE007
输出的概率,
Figure 336442DEST_PATH_IMAGE011
表示将子集视频
Figure 568840DEST_PATH_IMAGE006
输入黑盒视频分类系统
Figure 74908DEST_PATH_IMAGE007
输出的概率;
对所有的概率差值
Figure 884601DEST_PATH_IMAGE008
按照从大到小的顺序进行排序,选取前
Figure 767107DEST_PATH_IMAGE012
Figure 854011DEST_PATH_IMAGE008
所对应的
Figure 796559DEST_PATH_IMAGE012
个帧作为选取出的关键帧
Figure 968915DEST_PATH_IMAGE013
进一步,所述步骤S2中的关键区域识别技术是指OpenCV中提供关键区域的识别方法;
即基于OpenCV中提供关键区域的识别方法提取出关键帧中的关键区域
Figure 389532DEST_PATH_IMAGE014
进一步,所述步骤S3的具体步骤为:
将选取的关键帧输入图片对抗样本生成系统生成针对图片系统的扰动
Figure 596522DEST_PATH_IMAGE015
,将该扰动添加到对应的关键帧区域上,即扰动所对应的位置的值相加,得到初始化的视频对抗样本。
进一步,所述步骤S4的具体步骤为:
将初始化的视频对抗样本利用对称差商算法进行黑盒梯度估计,即将初始化的视频对抗样本与从正态分布中随机采样生成的方向向量之和作为输入传入黑盒视频分类系统,根据黑盒视频分类系统输出求得估计的梯度,估计的梯度
Figure 569026DEST_PATH_IMAGE016
可表示为:
Figure 228678DEST_PATH_IMAGE017
,其中,
Figure 452986DEST_PATH_IMAGE018
为正整数,代表第
Figure 514483DEST_PATH_IMAGE018
轮,当
Figure 533254DEST_PATH_IMAGE018
=1时,
Figure 680202DEST_PATH_IMAGE019
表示初始化的视频对抗样本,
Figure 65790DEST_PATH_IMAGE020
是一个较小的常数,
Figure 247373DEST_PATH_IMAGE021
代表从正态分布中抽样的单位向量,即方向向量或梯度方向,
Figure 437046DEST_PATH_IMAGE022
表示在可能的梯度方向
Figure 71290DEST_PATH_IMAGE021
上步进一个设定好的长度
Figure 371821DEST_PATH_IMAGE020
利用估计得到的梯度
Figure 407910DEST_PATH_IMAGE023
,基于梯度下降算法对生成的初始化的视频对抗样本进行优化,优化后,第
Figure 34063DEST_PATH_IMAGE018
=1轮得到的视频对抗样本为
Figure 14658DEST_PATH_IMAGE024
Figure 384459DEST_PATH_IMAGE025
,其中,
Figure 275055DEST_PATH_IMAGE026
为一个较小的常数,作为每次优化的步长;
Figure 806530DEST_PATH_IMAGE027
不能使黑盒视频分类系统产生误分类,则估计
Figure 415366DEST_PATH_IMAGE027
的梯度,进入下一次循环,即进入
Figure 57700DEST_PATH_IMAGE028
轮,直到对抗样本能够成功使黑盒视频分类系统产生误分类。
本发明同现有技术相比,其有益效果表现在:
一、本发明通过分析视频各帧对于视频分类的重要性,仅在选取出的关键帧上的关键区域添加稀疏的扰动,对抗样本的生成效率高,生成的对抗样本扰动率低、隐蔽性佳,能够使目标视频分类系统产生误分类。
二、本发明与将图片对抗样本生成技术直接应用于视频对抗样本的生成相比,针对同一段视频本发明只需对30%左右的关键帧的关键区域添加扰动,扰动大大降低,且视频对抗样本的生成效率也比现有技术高,生成视频对抗样本所需迭代轮数至少降低30%。
附图说明
图1为本发明的流程示意图。
具体实施方式
下面将结合附图及具体实施方式对本发明作进一步的描述。
一种基于稀疏扰动的黑盒视频对抗样本生成方法,包括如下步骤:
S1、获取视频,基于关键帧识别方法选取视频中的关键帧;
具体步骤为:
获取一段视频
Figure 927436DEST_PATH_IMAGE001
Figure 895392DEST_PATH_IMAGE002
表示该视频的第
Figure 725945DEST_PATH_IMAGE003
个帧;
剔除视频中的第
Figure 437549DEST_PATH_IMAGE003
帧得到的子集视频为
Figure 37157DEST_PATH_IMAGE004
,将
Figure 910436DEST_PATH_IMAGE005
Figure 493864DEST_PATH_IMAGE006
分别输入黑盒视频分类系统
Figure 868213DEST_PATH_IMAGE007
,黑盒视频分类系统
Figure 322328DEST_PATH_IMAGE007
输出的概率差值
Figure 632087DEST_PATH_IMAGE008
作为评估第
Figure 437232DEST_PATH_IMAGE003
帧重要性的指标,即
Figure 490638DEST_PATH_IMAGE009
,其中,
Figure 64839DEST_PATH_IMAGE010
表示将视频
Figure 906019DEST_PATH_IMAGE005
输入黑盒视频分类系统
Figure 464039DEST_PATH_IMAGE007
输出的概率,
Figure 789978DEST_PATH_IMAGE011
表示将子集视频
Figure 218685DEST_PATH_IMAGE006
输入黑盒视频分类系统
Figure 135826DEST_PATH_IMAGE007
输出的概率;
对所有的概率差值
Figure 649984DEST_PATH_IMAGE008
按照从大到小的顺序进行排序,选取前
Figure 45193DEST_PATH_IMAGE012
Figure 718620DEST_PATH_IMAGE008
所对应的
Figure 541082DEST_PATH_IMAGE012
个帧作为选取出的关键帧
Figure 542536DEST_PATH_IMAGE013
S2、基于关键区域识别技术评估各关键帧中的关键区域;其中,关键区域识别技术是指OpenCV中提供关键区域的识别方法;即基于OpenCV中提供关键区域的识别方法提取出关键帧中的关键区域
Figure 475857DEST_PATH_IMAGE014
S3、将对抗样本生成系统生成的关键区域的扰动添加到关键区域上,得到初始化的视频对抗样本;
具体步骤为:
将选取的关键帧输入图片对抗样本生成系统(其中,图片对抗样本生成系统为现有的)生成针对图片系统的扰动
Figure 144736DEST_PATH_IMAGE015
,将该扰动添加到对应的关键帧区域上,即扰动所对应的位置的值相加,得到初始化的视频对抗样本。
S4、基于初始化的视频对抗样本,利用黑盒梯度估计方法进行梯度的优化,生成最终的视频对抗样本。
具体步骤为:
将初始化的视频对抗样本利用对称差商算法进行黑盒梯度估计,即将初始化的视频对抗样本与从正态分布中随机采样生成的方向向量之和作为输入传入黑盒视频分类系统,根据黑盒视频分类系统输出求得估计的梯度,估计的梯度
Figure 872521DEST_PATH_IMAGE016
可表示为:
Figure 485905DEST_PATH_IMAGE017
,其中,
Figure 222916DEST_PATH_IMAGE029
为正整数,代表第
Figure 480722DEST_PATH_IMAGE018
轮,当
Figure 910567DEST_PATH_IMAGE018
=1时,
Figure 886613DEST_PATH_IMAGE019
表示初始化的视频对抗样本,
Figure 161736DEST_PATH_IMAGE020
是一个较小的常数,
Figure 539628DEST_PATH_IMAGE021
代表从正态分布中抽样的单位向量,即方向向量或梯度方向,
Figure 733849DEST_PATH_IMAGE022
表示在可能的梯度方向
Figure 462771DEST_PATH_IMAGE021
上步进一个设定好的长度
Figure 276006DEST_PATH_IMAGE020
利用估计得到的梯度
Figure 508404DEST_PATH_IMAGE023
,基于梯度下降算法对生成的初始化的视频对抗样本进行优化,优化后,第
Figure 280051DEST_PATH_IMAGE018
=1轮得到的视频对抗样本为
Figure 965110DEST_PATH_IMAGE024
Figure 847616DEST_PATH_IMAGE025
,其中,
Figure 569408DEST_PATH_IMAGE026
为一个较小的常数,作为每次优化的步长;
Figure 246377DEST_PATH_IMAGE027
不能使黑盒视频分类系统产生误分类,则估计
Figure 684312DEST_PATH_IMAGE027
的梯度,进入下一次循环,即进入
Figure 839350DEST_PATH_IMAGE028
轮,直到对抗样本能够成功使黑盒视频分类系统产生误分类。
实施例
现有一个16帧的视频
Figure 311919DEST_PATH_IMAGE030
,其正确的分类结果为游泳,剔除
Figure 159789DEST_PATH_IMAGE005
中的第
Figure 944075DEST_PATH_IMAGE003
帧得到的子集视频为
Figure 168383DEST_PATH_IMAGE031
,将
Figure 964300DEST_PATH_IMAGE005
Figure 248651DEST_PATH_IMAGE006
分别输入黑盒视频分类系统
Figure 395599DEST_PATH_IMAGE007
,将黑盒视频分类系统
Figure 158018DEST_PATH_IMAGE007
输出的概率差值
Figure 339601DEST_PATH_IMAGE008
作为评估第
Figure 388328DEST_PATH_IMAGE003
帧重要性的指标,即
Figure 288151DEST_PATH_IMAGE009
,最终得到
Figure 588683DEST_PATH_IMAGE032
Figure 624772DEST_PATH_IMAGE033
Figure 985346DEST_PATH_IMAGE034
Figure 106886DEST_PATH_IMAGE035
Figure 335742DEST_PATH_IMAGE036
Figure 226337DEST_PATH_IMAGE037
Figure 757813DEST_PATH_IMAGE038
Figure 366649DEST_PATH_IMAGE039
Figure 274562DEST_PATH_IMAGE040
Figure 285243DEST_PATH_IMAGE041
Figure 987620DEST_PATH_IMAGE042
Figure 444271DEST_PATH_IMAGE043
Figure 155875DEST_PATH_IMAGE044
Figure 755484DEST_PATH_IMAGE045
Figure 628762DEST_PATH_IMAGE046
Figure 212190DEST_PATH_IMAGE047
对所有的概率差值
Figure 196327DEST_PATH_IMAGE008
按照从大到小的顺序进行排序,即将
Figure 181600DEST_PATH_IMAGE032
Figure 350413DEST_PATH_IMAGE033
Figure 155558DEST_PATH_IMAGE034
Figure 208965DEST_PATH_IMAGE035
Figure 783166DEST_PATH_IMAGE036
Figure 263826DEST_PATH_IMAGE037
Figure 290688DEST_PATH_IMAGE038
Figure 6840DEST_PATH_IMAGE039
Figure 701126DEST_PATH_IMAGE040
Figure 87108DEST_PATH_IMAGE041
Figure 132425DEST_PATH_IMAGE042
Figure 262055DEST_PATH_IMAGE043
Figure 545268DEST_PATH_IMAGE044
Figure 633310DEST_PATH_IMAGE045
Figure 759398DEST_PATH_IMAGE046
Figure 692719DEST_PATH_IMAGE047
按照从大到小的顺序进行排序,选取前
Figure 96018DEST_PATH_IMAGE048
Figure 89382DEST_PATH_IMAGE008
所对应的
Figure 578132DEST_PATH_IMAGE048
个帧作为选取出的关键帧
Figure 315144DEST_PATH_IMAGE049
基于OpenCV中提供关键区域的识别方法提取出关键帧的关键区域
Figure 196119DEST_PATH_IMAGE050
,关键区域指对最终的分类结果贡献大的区域,如现有方法表明:物体的边缘对物体的检测贡献度大于物体的内部,因此物体边缘就是关键区域之一。
将选取的关键帧
Figure 360384DEST_PATH_IMAGE051
输入图片对抗样本生成系统(为现有的图片对抗样本生成系统)生成针对图片系统的扰动
Figure 336431DEST_PATH_IMAGE015
,将该扰动添加到对应的关键帧区域
Figure 611554DEST_PATH_IMAGE052
上,得到初始化的视频对抗样本
Figure DEST_PATH_IMAGE053
将初始化的视频对抗样本利用对称差商算法进行黑盒梯度估计,即将初始化的视频对抗样本与方向向量之和作为输入传入目标分类系统,根据目标分类系统输出求得估计的梯度,估计的梯度
Figure 989446DEST_PATH_IMAGE054
可表示为:
Figure DEST_PATH_IMAGE055
,其中,
Figure 183667DEST_PATH_IMAGE053
表示初始化的视频对抗样本,
Figure 647009DEST_PATH_IMAGE020
是一个较小的常数,通常设置为0.0001,
Figure 725824DEST_PATH_IMAGE021
代表从正态分布中抽样的单位向量,即方向向量或梯度方向,
Figure 958222DEST_PATH_IMAGE022
表示在可能的梯度方向
Figure 464290DEST_PATH_IMAGE021
上步进一个设定好的长度
Figure 414928DEST_PATH_IMAGE020
利用估计得到的梯度
Figure 156488DEST_PATH_IMAGE023
,基于梯度下降算法对生成的初始化的视频对抗样本进行优化,优化后,第
Figure 508972DEST_PATH_IMAGE018
=1轮得到的视频对抗样本为
Figure 185941DEST_PATH_IMAGE024
,其中,
Figure 623875DEST_PATH_IMAGE026
为一个较小的常数,通常设为0.001,作为每次优化的步长;
Figure 778913DEST_PATH_IMAGE027
不能使黑盒视频分类系统产生误分类,则估计
Figure 251483DEST_PATH_IMAGE027
的梯度,进入下一次循环,即进入
Figure 833774DEST_PATH_IMAGE028
轮,直到得到最终的视频对抗样本
Figure 618059DEST_PATH_IMAGE056
,使得目标视频分类系统产生误分类,即分类的结果不是游泳。
本发明是针对视频分类系统生成视频对抗样本,即对视频分类系统可分类的视频都可进行处理。目前的视频分类系统可以对大多数的行为进行分类,包括人类、动物行为,自然现象等。因此本发明也可对包含上述内容的视频进行处理,并不局限于部分分类结果。此处的游泳为举例说明。本发明是作为深度神经网络的视频分类系统的一种攻击方法提出的。
以上仅是本发明众多具体应用范围中的代表性实施例,对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (3)

1.一种基于稀疏扰动的黑盒视频对抗样本生成方法,其特征在于,包括如下步骤:
S1、获取视频,基于关键帧识别方法选取视频中的关键帧;
S2、基于关键区域识别技术评估各关键帧中的关键区域;
S3、将对抗样本生成系统生成的关键区域的扰动添加到关键区域上,得到初始化的视频对抗样本;
S4、基于初始化的视频对抗样本,利用黑盒梯度估计方法进行梯度的优化,生成最终的视频对抗样本;
所述步骤S1的具体步骤为:
获取一段视频
Figure DEST_PATH_IMAGE001
Figure 222206DEST_PATH_IMAGE002
表示该视频的第
Figure DEST_PATH_IMAGE003
个帧;
剔除视频中的第
Figure 851902DEST_PATH_IMAGE003
帧得到的子集视频为
Figure 900498DEST_PATH_IMAGE004
,将
Figure DEST_PATH_IMAGE005
Figure 299250DEST_PATH_IMAGE006
分别输入黑盒视频分类系统
Figure DEST_PATH_IMAGE007
,黑盒视频分类系统
Figure 837416DEST_PATH_IMAGE007
输出的概率差值
Figure 141358DEST_PATH_IMAGE008
作为评估第
Figure 229531DEST_PATH_IMAGE003
帧重要性的指标,即
Figure DEST_PATH_IMAGE009
对所有的概率差值
Figure 246904DEST_PATH_IMAGE008
按照从大到小的顺序进行排序,选取前
Figure 644387DEST_PATH_IMAGE010
Figure 186358DEST_PATH_IMAGE008
所对应的
Figure 327489DEST_PATH_IMAGE010
个帧作为选取出的关键帧
Figure DEST_PATH_IMAGE011
;
所述步骤S4的具体步骤为:
将初始化的视频对抗样本利用对称差商算法进行黑盒梯度估计,即将初始化的视频对抗样本与从正态分布中随机采样生成的方向向量之和作为输入传入黑盒视频分类系统,根据黑盒视频分类系统输出求得估计的梯度,估计的梯度
Figure 277996DEST_PATH_IMAGE012
可表示为:
Figure DEST_PATH_IMAGE013
,其中,
Figure 157966DEST_PATH_IMAGE014
表示初始化的视频对抗样本,
Figure DEST_PATH_IMAGE015
是一个较小的常数,
Figure 577446DEST_PATH_IMAGE016
代表从正态分布中抽样的单位向量,即方向向量或梯度方向,
Figure DEST_PATH_IMAGE017
表示在可能的梯度方向
Figure 568273DEST_PATH_IMAGE016
上步进一个设定好的长度
Figure 733806DEST_PATH_IMAGE015
利用估计得到的梯度
Figure 738671DEST_PATH_IMAGE018
,基于梯度下降算法对生成的初始化的视频对抗样本进行优化,优化后,第
Figure DEST_PATH_IMAGE019
=1轮得到的视频对抗样本为
Figure 284928DEST_PATH_IMAGE020
,其中,
Figure DEST_PATH_IMAGE021
为一个较小的常数,作为每次优化的步长;
Figure 580911DEST_PATH_IMAGE022
不能使黑盒视频分类系统产生误分类,则估计
Figure 224120DEST_PATH_IMAGE022
的梯度,进入下一次循环,即进入
Figure DEST_PATH_IMAGE023
轮,直到对抗样本能够成功使黑盒视频分类系统产生误分类。
2.根据权利要求1所述的一种基于稀疏扰动的黑盒视频对抗样本生成方法,其特征在于,所述步骤S2中的关键区域识别技术是指OpenCV中提供关键区域的识别方法;
即基于OpenCV中提供关键区域的识别方法提取出关键帧中的关键区域
Figure 353881DEST_PATH_IMAGE024
3.根据权利要求2所述的一种基于稀疏扰动的黑盒视频对抗样本生成方法,其特征在于,所述步骤S3的具体步骤为:
将选取的关键帧输入图片对抗样本生成系统生成针对图片系统的扰动
Figure DEST_PATH_IMAGE025
,将该扰动添加到对应的关键帧区域上,即扰动所对应的位置的值相加,得到初始化的视频对抗样本。
CN202110413133.1A 2021-04-16 2021-04-16 一种基于稀疏扰动的黑盒视频对抗样本生成方法 Active CN112990357B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110413133.1A CN112990357B (zh) 2021-04-16 2021-04-16 一种基于稀疏扰动的黑盒视频对抗样本生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110413133.1A CN112990357B (zh) 2021-04-16 2021-04-16 一种基于稀疏扰动的黑盒视频对抗样本生成方法

Publications (2)

Publication Number Publication Date
CN112990357A CN112990357A (zh) 2021-06-18
CN112990357B true CN112990357B (zh) 2021-07-27

Family

ID=76340854

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110413133.1A Active CN112990357B (zh) 2021-04-16 2021-04-16 一种基于稀疏扰动的黑盒视频对抗样本生成方法

Country Status (1)

Country Link
CN (1) CN112990357B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114758189B (zh) * 2022-04-01 2023-04-07 中国工程物理研究院计算机应用研究所 基于梯度热力图和关键区域检测对抗样本的方法及系统
CN115311521B (zh) * 2022-09-13 2023-04-28 中南大学 基于强化学习的黑盒视频对抗样本生成方法及评价方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109918538A (zh) * 2019-01-25 2019-06-21 清华大学 视频信息处理方法及装置、存储介质及计算设备
CN109961444A (zh) * 2019-03-01 2019-07-02 腾讯科技(深圳)有限公司 图像处理方法、装置及电子设备
KR102042168B1 (ko) * 2018-04-27 2019-11-07 성균관대학교산학협력단 시계열 적대적인 신경망 기반의 텍스트-비디오 생성 방법 및 장치
CN111768325A (zh) * 2020-04-03 2020-10-13 南京信息工程大学 大数据隐私保护中基于生成对抗样本的安全性提升方法
CN112200243A (zh) * 2020-10-09 2021-01-08 电子科技大学 一种基于低问询图像数据的黑盒对抗样本生成方法
CN112287973A (zh) * 2020-09-28 2021-01-29 北京航空航天大学 基于截尾奇异值和像素插值的数字图像对抗样本防御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3033014A1 (en) * 2018-02-07 2019-08-07 Royal Bank Of Canada Robust pruned neural networks via adversarial training

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102042168B1 (ko) * 2018-04-27 2019-11-07 성균관대학교산학협력단 시계열 적대적인 신경망 기반의 텍스트-비디오 생성 방법 및 장치
CN109918538A (zh) * 2019-01-25 2019-06-21 清华大学 视频信息处理方法及装置、存储介质及计算设备
CN109961444A (zh) * 2019-03-01 2019-07-02 腾讯科技(深圳)有限公司 图像处理方法、装置及电子设备
CN111768325A (zh) * 2020-04-03 2020-10-13 南京信息工程大学 大数据隐私保护中基于生成对抗样本的安全性提升方法
CN112287973A (zh) * 2020-09-28 2021-01-29 北京航空航天大学 基于截尾奇异值和像素插值的数字图像对抗样本防御方法
CN112200243A (zh) * 2020-10-09 2021-01-08 电子科技大学 一种基于低问询图像数据的黑盒对抗样本生成方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
Sparse Adversarial Perturbations for Videos;Xingxing Wei等;《AAAI-19》;20190717;第33卷(第01期);8973-8980 *
对抗攻击及对抗样本生成方法综述;蔡秀霞等;《西安邮电大学学报》;20210131;第26卷(第01期);67-75 *
对抗样本生成及攻防技术研究;刘小垒等;《计算机应用研究》;20201130;第37卷(第11期);3201-3205+3212 *
对抗样本生成技术综述;潘文雯等;《软件学报》;20200131;第31卷(第1期);67-81 *
除了人脸伪装,"视频攻击"也在来的路上...;RealAI瑞莱智慧;《https://zhuanlan.zhihu.com/p/58652318》;20190308;1-3 *

Also Published As

Publication number Publication date
CN112990357A (zh) 2021-06-18

Similar Documents

Publication Publication Date Title
CN110837850B (zh) 一种基于对抗学习损失函数的无监督域适应方法
CN108537743B (zh) 一种基于生成对抗网络的面部图像增强方法
CN109543760B (zh) 基于图像滤镜算法的对抗样本检测方法
Bakkay et al. BSCGAN: Deep background subtraction with conditional generative adversarial networks
CN107341463B (zh) 一种结合图像质量分析与度量学习的人脸特征识别方法
CN110348475B (zh) 一种基于空间变换的对抗样本增强方法和模型
CN112990357B (zh) 一种基于稀疏扰动的黑盒视频对抗样本生成方法
Rostami et al. Detection and continual learning of novel face presentation attacks
CN110543846A (zh) 一种基于生成对抗网络的多姿态人脸图像正面化方法
CN111325169B (zh) 基于胶囊网络的深度视频指纹算法
CN111783890B (zh) 一种针对图像识别过程中的小像素对抗样本防御方法
CN116910752B (zh) 一种基于大数据的恶意代码检测方法
CN113269228B (zh) 一种图网络分类模型的训练方法、装置、系统及电子设备
CN112819109A (zh) 针对黑盒对抗样本攻击的视频分类系统安全性增强方法
CN114724189A (zh) 一种目标识别的对抗样本防御模型训练方法、系统及应用
CN115240280A (zh) 人脸活体检测分类模型的构建方法、检测分类方法及装置
CN114257697B (zh) 一种高容量通用图像信息隐藏方法
CN112818407B (zh) 一种基于生成对抗网络的视频隐私保护方法
CN114758113A (zh) 对抗样本防御训练方法、分类预测方法及装置、电子设备
Choi et al. PIHA: Detection method using perceptual image hashing against query-based adversarial attacks
CN116029957A (zh) 基于马尔科夫链蒙特卡罗的绝缘子图像污秽识别方法
Wang et al. Self-trained video anomaly detection based on teacher-student model
Yuan et al. Adversarial attack with adaptive gradient variance for deep fake fingerprint detection
Ko et al. AmpliBias: Mitigating Dataset Bias through Bias Amplification in Few-shot Learning for Generative Models
Chen et al. FaceCat: Enhancing Face Recognition Security with a Unified Generative Model Framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant