CN113033822A - 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统 - Google Patents

基于预测校正和随机步长优化的对抗性攻击与防御方法及系统 Download PDF

Info

Publication number
CN113033822A
CN113033822A CN202110340500.XA CN202110340500A CN113033822A CN 113033822 A CN113033822 A CN 113033822A CN 202110340500 A CN202110340500 A CN 202110340500A CN 113033822 A CN113033822 A CN 113033822A
Authority
CN
China
Prior art keywords
sample
loss function
machine learning
learning model
prediction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110340500.XA
Other languages
English (en)
Inventor
黄方军
万晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN202110340500.XA priority Critical patent/CN113033822A/zh
Publication of CN113033822A publication Critical patent/CN113033822A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明为基于预测校正和随机步长优化的对抗性攻击与防御方法及系统,其方法包括步骤:输入训练数据集和机器学习模型;根据输入的训练数据集训练机器学习模型;判断损失函数是否收敛;若损失函数不收敛则采用基于预测校正和随机步长优化的对抗攻击生成对抗样本,并和原始数据作为训练数据集对机器学习模型进行训练,直至损失函数收敛,得到训练好的机器学习模型;若损失函数收敛,则直接输出结果。本发明通过对抗攻击生成对抗样本,能够在相同扰动约束限制下实现更高的攻击成功率,可用于评估机器学习模型的性能以及对抗防御方法的有效性;所产生的对抗样本对机器学习模型实施对抗训练能有效地抵御各种对抗性攻击,提升模型的鲁棒性。

Description

基于预测校正和随机步长优化的对抗性攻击与防御方法及 系统
技术领域
本发明涉及人工智能机器学习领域,具体为基于预测校正和随机步长优化的对抗性攻击与防御方法及系统。
背景技术
随着深度学习在数据挖掘、计算机视觉、自然语言处理和无人驾驶等诸多领域都取得了显著的成果,深度神经网络的鲁棒性和稳定性越来越受到人们的关注。然而,最近的研究已经证实,几乎所有的机器学习模型存在着易受对抗样本攻击的安全隐患。攻击者通过在原始输入样本中添加一些微小的扰动可以得到对抗样本,添加扰动后的对抗样本与原始样本在人类观察者看来具有相同的类别或属性,但会误导神经网络模型产生错误的预测输出,这给深度神经网络的实际应用带来了严重的安全问题。
基于梯度的对抗攻击算法具有较低的计算成本和较好的性能,是目前最流行的对抗攻击方法之一。基于梯度的对抗攻击是通过计算损失函数对输入样本的梯度来确定所添加的扰动,其中损失函数通常是由深度神经网络模型对输入样本的预测标签与真实标签确定的。对抗攻击的目标是在原始样本中添加扰动,使得添加扰动后得到的对抗样本的预测标签不等于真实标签,其核心是最大化模型对于输入样本的预测标签与真实标签之间的损失函数的值。对抗攻击不仅能误导正常训练的机器学习模型,同时也能攻击各种防御模型。而从另一方面来讲,对于对抗攻击研究可以发现机器学习模型存在的缺陷,利用对抗攻击方法生成的对抗样本对深度神经网络模型实施对抗性训练可以作为一种防御方法,能有效地提升模型的鲁棒性,抵御各种各样的对抗攻击。
尽管现有的基于梯度的对抗攻击方法取得了较好的效果,但生成的对抗样本距离最优的对抗样本可能存在一定的误差。这主要是由两个原因造成的,第一个原因是深度神经网络的复杂性和非线性导致添加扰动后,生成对抗样本的损失值并不一定严格地沿着梯度方向变化;第二个原因是每次迭代的步长决定了添加扰动的幅度,但在实践中,无论是固定步长还是自适应步长都不能保证最优扰动幅度,使得生成的对抗样本具有最大的损失值。因此,现有的技术无法准确地评估出机器学习模型的鲁棒性以及对抗防御方法的有效性。
发明内容
本发明提供基于预测校正和随机步长优化的对抗性攻击与防御方法,相较于现有基于梯度的对抗攻击方案,在相同的扰动约束限制下,本发明能实现更高的攻击成功率并降低模型分类的准确率,可以用来评估机器学习模型的性能以及对抗防御方法的有效性。另一方面,使用基于预测校正和随机步长优化的对抗攻击所产生的对抗样本对机器学习模型实施对抗训练可以作为一种防御方法,以提升模型的鲁棒性,抵御各种各样的对抗攻击。
本发明还提供基于预测校正和随机步长优化的对抗性攻击与防御系统。
本发明方法采用以下技术方案来实现:基于预测校正和随机步长优化的对抗性攻击与防御方法,包括以下步骤:
S1、输入训练数据集和机器学习模型f;
S2、根据输入的训练数据集训练机器学习模型f;
S3、判断损失函数J是否收敛,如果损失函数J不收敛,则采用基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv,并将所生成的对抗样本和原始数据x组成训练数据集对机器学习模型f进行训练,直至损失函数J收敛,得到训练后的机器学习模型f。
在优选的实施例中,步骤S3中基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv的具体步骤如下:
S31、输入原始数据x、机器学习模型f和损失函数J;
S32、进行参数初始化;
S33、根据给定的迭代次数T开始循环,初始化初值t=0;
S34、计算损失函数J对于输入样本xt的梯度
Figure BDA0002998987660000021
其中xt表示在迭代次数为t时的样本;
S35、得到预测样本
Figure BDA0002998987660000022
S36、计算损失函数J对于预测样本
Figure BDA0002998987660000023
的梯度
Figure BDA0002998987660000024
并采用
Figure BDA0002998987660000025
Figure BDA0002998987660000026
进行校正,确定梯度gt
S37、分别采用固定步长a和随机步长b作为添加扰动的幅值在样本中添加对抗扰动,生成样本
Figure BDA0002998987660000027
Figure BDA0002998987660000028
S38、比较样本
Figure BDA0002998987660000029
Figure BDA00029989876600000210
的损失函数的值,将较大损失值所对应的样本作为每次迭代所生成的对抗样本
Figure BDA00029989876600000211
S39、循环T次后结束循环,返回对抗样本xadv
本发明系统采用以下技术方案来实现:基于预测校正和随机步长优化的对抗性攻击与防御系统,包括:
数据信息输入模块,用于输入训练数据集和机器学习模型f;
模型训练模块,用于根据输入的训练数据集训练机器学习模型f;
损失函数收敛判断模块,用于判断损失函数J是否收敛,如果损失函数J不收敛,则采用基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv,并将所生成的对抗样本和原始数据x组成训练数据集对机器学习模型f进行对抗性训练,直至损失函数J收敛,得到训练好的机器学习模型f;
对抗样本的生成模块,基于预测校正和随机步长优化的对抗攻击生成对抗样本,首先输入原始数据x、机器学习模型f和损失函数J,并初始化参数,根据给定的迭代次数T开始循环;接着计算损失函数J对于输入样本xt的梯度
Figure BDA0002998987660000031
得到预测样本
Figure BDA0002998987660000032
然后通过损失函数J对于预测样本
Figure BDA0002998987660000033
的梯度
Figure BDA0002998987660000034
校正所添加的扰动;接下来分别采用固定步长a和随机步长b作为添加扰动的幅值在输入样本xt中添加对抗扰动,生成样本
Figure BDA0002998987660000035
Figure BDA0002998987660000036
最后比较样本
Figure BDA0002998987660000037
Figure BDA0002998987660000038
的损失函数的值,将较大损失值所对应的样本作为每次迭代所生成的对抗样本
Figure BDA0002998987660000039
循环T次后结束循环,返回对抗样本xadv,其中xt表示在迭代次数为t时的样本。
本发明与现有技术相比,具有如下优点和有益效果:
1、本发明采用了预测校正来优化扰动,这可以看作是一个预测系统和一个校正系统。首先,现有的对抗攻击方法所产生的对抗样本都可以被看作是预测样本,然后利用损失函数相对于预测样本的梯度对当前扰动进行修正,以确保加入扰动后生成对抗样本的损失函数的值尽可能地沿梯度方向变化。
2、本发明采用了随机步长优化扰动,在生成对抗样本的过程中引入随机步长,并比较固定步长与随机步长得到的样本的损失值,选取损失值较大的样本作为对抗样本。随机步长优化可以确保得到的对抗样本的预测标签与真实标签之间具有较大的损失值。
3、预测校正和随机步长优化的对抗性攻击生成对抗样本可以用来对机器学习模型进行对抗训练,以提升模型的鲁棒性,抵御各种各样的对抗攻击方法,进而为人工智能领域的机器学习方法的安全领域提供更为优质的服务。
4、本发明预测校正和随机步长优化的对抗攻击方法能达到较高的攻击成功率,可以用于使用该方法评估机器学习模型的鲁棒性以及对抗性防御方法的有效性。
附图说明
图1是本发明实施例中对抗攻击与防御方法的整体流程图;
图2是本发明实施例中进行对抗防御的流程图;
图3是本发明实施例中进行对抗攻击的流程图;
图4是本发明实施例中攻击MINST模型产生的对抗样本在不同的重启次数下模型分类的准确率曲线图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例
如图1所示,本实施例基于预测校正和随机步长优化策略进行对抗攻击和防御攻击,主要涉及如下技术:1)基于预测校正和随机步长优化的对抗攻击,通过将现有方法生成的对抗样本作为预测样本,然后利用损失函数相对于预测样本的梯度对当前扰动进行修正。同时,在生成对抗样本的过程中引入随机步长,并比较固定步长与随机步长得到的样本的损失值,选取损失值较大的样本作为对抗样本。2)基于预测校正和随机步长优化的防御,采用基于预测校正和随机步长优化的对抗攻击方法生成的对抗样本对机器学习模型进行对抗训练作为一种防御方法,以提升模型的鲁棒性。
如图2所示,本实施例基于预测校正和随机步长优化的对抗性攻击与防御方法,具体步骤如下:
S1、输入训练数据集和机器学习模型f;
S2、根据输入的训练数据集训练机器学习模型f;
S3、判断损失函数J是否收敛,如果损失函数J不收敛,则采用基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv,并将所生成的对抗样本和原始数据x组成训练数据集对机器学习模型f进行训练,直至损失函数J收敛,得到训练后的具有较强鲁棒性的机器学习模型f。
如图3所示,以无穷范数的扰动约束下无目标对抗攻击为例,步骤S3中基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv的具体步骤如下:
S31、输入原始数据x、机器学习模型f和损失函数J;
S32、进行参数初始化,确定扰动约束范围ε、迭代次数T,对抗样本的初始值
Figure BDA0002998987660000041
等于原始数据x,每次迭代所添加扰动的固定步长a;
S33、根据给定的迭代次数T开始进行循环,初始化初值t=0;
S34、将对抗样本
Figure BDA0002998987660000042
代入作为机器学习模型f的输入信号,计算其预测标签与真实标签y之间的损失函数J所对应的梯度
Figure BDA0002998987660000043
S35、在对抗样本
Figure BDA0002998987660000044
中添加方向为
Figure BDA0002998987660000045
和步长为a的扰动得到预测样本
Figure BDA0002998987660000046
相关公式表示如下:
Figure BDA0002998987660000047
S36、将预测样本
Figure BDA0002998987660000048
作为机器学习模型f的输入信号,计算其预测标签与真实标签y之间的损失函数J所对应的梯度
Figure BDA0002998987660000049
并根据
Figure BDA00029989876600000410
Figure BDA00029989876600000411
进行校正,得到梯度
Figure BDA00029989876600000412
S37、随机生成一个由0到1之间的数所组成的与原始样本具有相同维度的矩阵P。分别采用固定步长a和随机步长b作为添加扰动的幅值在对抗样本
Figure BDA0002998987660000051
中添加对抗扰动,生成对抗样本
Figure BDA0002998987660000052
Figure BDA0002998987660000053
,相关公式表示如下:
Figure BDA0002998987660000054
Figure BDA0002998987660000055
其中sign(·)为符号函数;α表示固定步长;b=aP表示随机步长;P是一个由0到1之间的随机数组成的矩阵,其维度与原始样本相同;
Figure BDA0002998987660000056
函数表示生成的对抗样本所添加的扰动限制在ε范围内;
S38、比较对抗样本
Figure BDA0002998987660000057
Figure BDA0002998987660000058
的损失函数的值,将较大损失值所对应的对抗样本作为每次迭代所生成的对抗样本
Figure BDA0002998987660000059
相关公式表示如下:
Figure BDA00029989876600000510
S39、若t小于迭代次数T,则t=t+1,并转入步骤S34,否则直接输出对抗样本xadv,其中
Figure BDA00029989876600000511
即将循环T次后得到的对抗样本作为最终得到的对抗样本。
基于相同的发明构思,本发明提出了与上述攻击与防御方法相应的对抗性攻击与防御系统,其包括:
数据信息输入模块,用于输入训练数据集和机器学习模型f;
模型训练模块,用于根据输入的训练数据集训练机器学习模型f;
损失函数收敛判断模块,用于判断损失函数J是否收敛,如果损失函数J不收敛,则采用基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv,并将所生成的对抗样本和原始数据x组成训练数据集对机器学习模型f进行训练,直至损失函数J收敛,得到训练好的机器学习模型f,该模型具有较强的鲁棒性,能抵御各种各样的对抗攻击;
对抗样本的生成模块,基于预测校正和随机步长优化的对抗攻击生成对抗样本,先输入原始数据x、机器学习模型f和损失函数J,初始化参数,根据给定的迭代次数T开始循环;接着计算梯度、获取预测样本、校正所添加的扰动、生成随机步长、确定扰动、添加扰动、选取较大损失值所对应的对抗样本,循环T次后结束循环,返回对抗样本xadv。其中,对抗性攻击包括基于预测校正的对抗性攻击、基于随机步长优化的对抗性攻击以及基于预测校正和随机步长优化的对抗性攻击。
图4表示在不同的重启次数下,分别使用基于预测校正的对抗攻击算法以及基于预测校正和随机步长优化算法攻击MNIST模型得到的对抗样本被模型正确分类的准确率。所攻击的模型是由麻省理工学院Aleksander Madry教授提供的,该模型具有较强鲁棒性。从图4可以观察到,本实施例可以显著降低模型的分类准确率。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (10)

1.基于预测校正和随机步长优化的对抗性攻击与防御方法,其特征在于,包括以下步骤:
S1、输入训练数据集和机器学习模型f;
S2、根据输入的训练数据集训练机器学习模型f;
S3、判断损失函数J是否收敛,如果损失函数J不收敛,则采用基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv,并将所生成的对抗样本和原始数据x组成训练数据集对机器学习模型f进行训练,直至损失函数J收敛,得到训练后的机器学习模型f。
2.根据权利要求1所述的对抗性攻击与防御方法,其特征在于,步骤S3中基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv包括以下步骤:
S31、输入原始数据x、机器学习模型f和损失函数J;
S32、进行参数初始化;
S33、根据给定的迭代次数T开始循环,初始化初值t=0;
S34、计算损失函数J对于输入样本xt的梯度
Figure FDA0002998987650000011
其中xt表示在迭代次数为t时的样本;
S35、得到预测样本
Figure FDA0002998987650000012
S36、计算损失函数J对于预测样本
Figure FDA0002998987650000013
的梯度
Figure FDA0002998987650000014
并采用
Figure FDA0002998987650000015
Figure FDA0002998987650000016
进行校正,确定梯度gt
S37、分别采用固定步长a和随机步长b作为添加扰动的幅值在样本中添加对抗扰动,生成样本
Figure FDA0002998987650000017
Figure FDA0002998987650000018
其中b=aP;
S38、比较样本
Figure FDA0002998987650000019
Figure FDA00029989876500000110
的损失函数的值,将较大损失值所对应的样本作为每次迭代所生成的对抗样本
Figure FDA00029989876500000111
S39、循环T次后结束循环,返回对抗样本xadv
3.根据权利要求2所述的对抗性攻击与防御方法,其特征在于,步骤S32中参数初始化的参数包括:扰动约束范围ε、迭代次数T,对抗样本的初始值
Figure FDA00029989876500000112
等于原始数据x,每次迭代所添加扰动的固定步长和随机步长分别为a和b。
4.根据权利要求2所述的对抗性攻击与防御方法,其特征在于,步骤S35中预测样本根据损失函数在对抗样本
Figure FDA00029989876500000113
中添加方向为
Figure FDA00029989876500000114
和步长为a的扰动得到,预测样本为
Figure FDA00029989876500000115
Figure FDA00029989876500000116
其中sign(·)为符号函数。
5.根据权利要求2所述的对抗性攻击与防御方法,其特征在于,步骤S36中将预测样本
Figure FDA00029989876500000117
代入机器学习模型f中,计算其预测标签与真实标签y之间的损失函数J所对应的梯度
Figure FDA00029989876500000118
并根据梯度
Figure FDA00029989876500000119
Figure FDA00029989876500000120
进行梯度校正,得到梯度
Figure FDA00029989876500000121
6.根据权利要求3所述的对抗性攻击与防御方法,其特征在于,通过固定步长和随机步长得到对抗样本,相关公式表示如下:
Figure FDA00029989876500000122
Figure FDA0002998987650000021
其中,sign(·)为符号函数;α和b分别表示固定步长和随机步长;b=aP,P为由0到1之间的随机数所组成的与原始样本具有相同维度的矩阵,
Figure FDA0002998987650000022
函数表示生成的对抗样本所添加的扰动限制在ε范围内。
7.根据权利要求2所述的对抗性攻击与防御方法,其特征在于,步骤S38中得到的对抗样本表示如下:
Figure FDA0002998987650000023
8.基于预测校正和随机步长优化的对抗性攻击与防御系统,其特征在于,包括:
数据信息输入模块,用于输入训练数据集和机器学习模型f;
模型训练模块,用于根据输入的训练数据集训练机器学习模型f;
损失函数收敛判断模块,用于判断损失函数J是否收敛,如果损失函数J不收敛,则采用基于预测校正和随机步长优化的对抗性攻击生成对抗样本xadv,并将所生成的对抗样本和原始数据x组成训练数据集对机器学习模型f进行对抗性训练,直至损失函数J收敛,得到训练好的机器学习模型f;
对抗样本的生成模块,基于预测校正和随机步长优化的对抗攻击生成对抗样本,首先输入原始数据x、机器学习模型f和损失函数J,并初始化参数,根据给定的迭代次数T开始循环;接着计算损失函数J对于输入样本xt的梯度
Figure FDA0002998987650000024
得到预测样本
Figure FDA0002998987650000025
然后通过损失函数J对于预测样本
Figure FDA0002998987650000026
的梯度
Figure FDA0002998987650000027
校正所添加的扰动;接下来分别采用固定步长a和随机步长b作为添加扰动的幅值在输入样本xt中添加对抗扰动,生成样本
Figure FDA0002998987650000028
Figure FDA0002998987650000029
最后比较样本
Figure FDA00029989876500000210
Figure FDA00029989876500000211
的损失函数的值,将较大损失值所对应的样本作为每次迭代所生成的对抗样本
Figure FDA00029989876500000212
循环T次后结束循环,返回对抗样本xadv,其中xt表示在迭代次数为t时的样本。
9.根据权利要求8所述的对抗性攻击与防御系统,其特征在于,对抗样本的生成模块中校正所添加扰动的过程为:计算损失函数J对预测样本
Figure FDA00029989876500000213
的梯度
Figure FDA00029989876500000214
并采用
Figure FDA00029989876500000215
Figure FDA00029989876500000216
进行梯度校正,确定梯度gt
10.根据权利要求8所述的对抗性攻击与防御系统,其特征在于,对抗样本的生成模块中,预测样本根据损失函数在对抗样本
Figure FDA00029989876500000217
中添加方向为
Figure FDA00029989876500000218
和步长为a的扰动得到,预测样本为
Figure FDA00029989876500000219
其中sign(·)为符号函数。
CN202110340500.XA 2021-03-30 2021-03-30 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统 Pending CN113033822A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110340500.XA CN113033822A (zh) 2021-03-30 2021-03-30 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110340500.XA CN113033822A (zh) 2021-03-30 2021-03-30 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统

Publications (1)

Publication Number Publication Date
CN113033822A true CN113033822A (zh) 2021-06-25

Family

ID=76453128

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110340500.XA Pending CN113033822A (zh) 2021-03-30 2021-03-30 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统

Country Status (1)

Country Link
CN (1) CN113033822A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113378988A (zh) * 2021-07-06 2021-09-10 浙江工业大学 基于粒子群算法的深度学习系统鲁棒性增强方法及装置
WO2023019456A1 (en) * 2021-08-18 2023-02-23 Robert Bosch Gmbh Method and apparatus for evaluation of adversarial robustness
CN116543240A (zh) * 2023-07-06 2023-08-04 华中科技大学 一种面向机器学习对抗攻击的防御方法
EP4296910A1 (en) * 2022-06-22 2023-12-27 Robert Bosch GmbH Device and method for determining adversarial perturbations of a machine learning system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113378988A (zh) * 2021-07-06 2021-09-10 浙江工业大学 基于粒子群算法的深度学习系统鲁棒性增强方法及装置
CN113378988B (zh) * 2021-07-06 2024-02-13 浙江工业大学 基于粒子群算法的深度学习系统鲁棒性增强方法及装置
WO2023019456A1 (en) * 2021-08-18 2023-02-23 Robert Bosch Gmbh Method and apparatus for evaluation of adversarial robustness
EP4296910A1 (en) * 2022-06-22 2023-12-27 Robert Bosch GmbH Device and method for determining adversarial perturbations of a machine learning system
CN116543240A (zh) * 2023-07-06 2023-08-04 华中科技大学 一种面向机器学习对抗攻击的防御方法
CN116543240B (zh) * 2023-07-06 2023-09-19 华中科技大学 一种面向机器学习对抗攻击的防御方法

Similar Documents

Publication Publication Date Title
CN113033822A (zh) 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统
Chen et al. POBA-GA: Perturbation optimized black-box adversarial attacks via genetic algorithm
CN109639710B (zh) 一种基于对抗训练的网络攻击防御方法
Wang et al. Neural architecture search for robust networks in 6G-enabled massive IoT domain
CN113408743A (zh) 联邦模型的生成方法、装置、电子设备和存储介质
CN111047006B (zh) 一种基于对偶式生成网络的对抗攻击防御模型及应用
CN112199717A (zh) 一种基于少量公共数据的隐私模型训练方法及装置
CN111047054A (zh) 一种基于两阶段对抗知识迁移的对抗样例防御方法
CN112085050A (zh) 基于pid控制器的对抗性攻击与防御方法及系统
CN113505855B (zh) 一种对抗攻击模型的训练方法
CN113704758B (zh) 一种黑盒攻击对抗样本生成方法及系统
CN112580728B (zh) 一种基于强化学习的动态链路预测模型鲁棒性增强方法
CN113392396A (zh) 面向深度强化学习的策略保护防御方法
Suzuki et al. Adversarial example generation using evolutionary multi-objective optimization
CN114758198A (zh) 一种基于元学习对抗扰动的黑盒攻击方法及系统
CN111311324A (zh) 基于稳定神经协同过滤的用户-商品偏好预测系统和方法
CN113935496A (zh) 一种面向集成模型的鲁棒性提升防御方法
CN113435264A (zh) 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置
CN115510986A (zh) 一种基于AdvGAN的对抗样本生成方法
CN115909027B (zh) 一种态势估计方法及装置
CN111950635A (zh) 一种基于分层特征对齐的鲁棒特征学习方法
CN111882037A (zh) 一种基于网络附加/修改的深度学习模型优化方法
CN113744175B (zh) 一种基于双向约束生成对抗网络的图像生成方法及系统
CN114584337A (zh) 一种基于遗传算法的语音攻击伪造方法
CN113537494B (zh) 一种基于黑盒场景的图像对抗样本生成方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20210625