CN113221388B - 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法 - Google Patents

一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法 Download PDF

Info

Publication number
CN113221388B
CN113221388B CN202110669413.9A CN202110669413A CN113221388B CN 113221388 B CN113221388 B CN 113221388B CN 202110669413 A CN202110669413 A CN 202110669413A CN 113221388 B CN113221388 B CN 113221388B
Authority
CN
China
Prior art keywords
sample
network
algorithm
mobilenet
vgg19
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110669413.9A
Other languages
English (en)
Other versions
CN113221388A (zh
Inventor
王亚杰
张全新
武上博
张正
谭毓安
李元章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN202110669413.9A priority Critical patent/CN113221388B/zh
Publication of CN113221388A publication Critical patent/CN113221388A/zh
Application granted granted Critical
Publication of CN113221388B publication Critical patent/CN113221388B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2111/00Details relating to CAD techniques
    • G06F2111/04Constraint-based CAD

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Geometry (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,属于深度学习安全技术领域,解决现有技术中使用Lp范数约束生成的对抗样本在具有防御功能的黑盒环境下存在成功率较低和转移性较差等不足。本发明利用感知相似性来生成对抗样本,并与现有攻击结合,产生一种新的对抗攻击策略。本发明生成的对抗样本,可以通过与人类感知相同的方式扰乱图像。本发明的对抗攻击策略,能够产生更大的扰动,但仍然对人类眼睛是隐形的。由于更大的扰动意味着对抗样本更有效,因此,本发明生成的对抗样本能够以更高的成功率攻击深度学习模型,能够以更高的置信度从一种计算机视觉任务转移到另一种计算机视觉任务中,完全克服了现有技术的缺陷。

Description

一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法
技术领域
本发明涉及一种黑盒识别模型对抗样本生成方法,具体涉及一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,属于深度学习安全技术领域。
背景技术
深度神经网络(DNN)在各种识别任务中展现了令人印象深刻的性能,但容易受到对抗样本的攻击导致误判。目前,绝大多数的对抗攻击算法,使用基于Lp范数的约束生成对抗样本,然而,这种对抗样本在黑盒场景中成功率较低并且转移性较差,尤其是在攻击经过对抗训练的黑盒模型时表现不佳。
已有工作表明,为了生成攻击成功率更高、转移性更强的对抗样本,需要向对抗样本中添加更大的对抗扰动,而这不可避免地导致人类更容易发现对抗样本,使得对抗样本失去隐蔽性。因此,必须基于一定限制生成对抗样本来妥协攻击效果,从而使扰动不被人眼发现。
为了突破Lp范数的限制,有学者提出了新的指标,例如MSE、Horé等人提出的PSNR方法,以及Gupta等人提出的PSNR-HVS等指标,但是,这些指标仍然是一类简单的方法,无法从人类的角度反映图像的质量。其它强调结构信息的指标,例如Wang等人提出的SSIM、MS-SSIM,以及Zhang等人提出的FSIM等指标,也不适用于处理图像之间空间距离变化大的情况。因此,需要找到一种生成对抗扰动的度量,这种度量既可以方便容入现有最先进的对抗攻击算法,也与人类感知相一致。
Zhang等人提出了感知相似性(LPIPS)方法,是利用经过训练的CNN的深度特征来测量两个图像相似性的指标。感知相似性不仅与人类感知一致,而且能够成功代表两个图像之间感知损失的距离,可以直接在计算机视觉任务中使用。
发明内容
本发明的目的是为了解决现有技术中使用Lp范数约束生成的对抗样本在具有防御功能的黑盒环境下存在成功率较低和转移性较差等不足,创新性地提出一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法。
本发明方法的创新性在于:利用感知相似性来生成对抗样本,并与现有攻击结合,产生一种新的对抗攻击策略。本发明生成的对抗样本,可以通过与人类感知相同的方式扰乱图像。本发明的对抗攻击策略,能够产生更大的扰动,但仍然对人类眼睛是隐形的。由于更大的扰动意味着对抗样本更有效,因此,本发明生成的对抗样本能够以更高的成功率攻击深度学习模型,能够以更高的置信度从一种计算机视觉任务转移到另一种计算机视觉任务中,完全克服了现有技术的缺陷。
本发明采用以下技术方案实现。
一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,包括以下步骤:
步骤1:初始化对抗样本,将原始图片输入攻击算法,作为当前对抗样本。
步骤2:使用经过训练的ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,分别构建感知相似性实例。
步骤3:选择步骤2构建的其中一个感知相似性实例,使用对抗攻击算法中的对抗损失向当前对抗样本添加扰动,其中,对抗攻击算法可以采用C&W、MI-FGSM、HopSkipJumpAttack等。使用感知相似性实例,计算当前对抗样本与原始图片的感知相似性距离,对抗攻击算法使用感知相似性距离优化对抗样本,通过不断迭代更新对抗样本。
具体地,步骤3可以包括以下步骤:
步骤3.1:使用ResNet50网络,构建感知相似性实例D;
步骤3.2:使用C&W对抗攻击算法,作为对抗样本的生成算法;
步骤3.3:将原始图片x作为初始对抗样本x′;
步骤3.4:使用对抗攻击算法的对抗损失函数Ladv,向当前对抗样本x′i中添加扰动p,得到新的当前对抗样本x′i,x′i=x′i+p;
步骤3.5:使用感知相似性实例D,计算当前对抗样本x′i与原始图片x的感知相似性距离Ldist
步骤3.6:对抗攻击算法使用Ldist作为目标函数优化对抗样本x′i
步骤3.7:重复步骤3.4至步骤3.6,直到达到目标值或Ldist小于目标值,获得最终对抗样本x′=x′i
步骤3.8:选择MI-FGSM对抗攻击算法,作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.9:选择HopSkipJumpAttack对抗攻击算法,作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.10:选择VGG19网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.11:选择Inception-v3网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.12:选择MobileNet-v2网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤4:将生成的对抗样本输入到相同网络结构和不同网络结构的模型中,计算成功率和转移性。
具体地,步骤4可以包括以下步骤:
步骤4.1:使用ResNet50网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.2:使用ResNet50网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.3:使用ResNet50网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.4:使用VGG19网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.5:使用VGG19网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.6:使用VGG19网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.7:使用Inception-v3网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.8:使用Inception-v3网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.9:使用Inception-v3网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.10:使用MobileNet-v2网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.11:使用MobileNet-v2网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.12:使用MobileNet-v2网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性。
有益效果
本方法,与现有技术相比,具有以下优点:
1.本方法使用感知相似性(一种新的图像质量度量标准)代替lp范数生成与人类感知相关的对抗样本。
2.本方法实现了感知相似性适用于所有类型的对抗攻击,使用感知相似性分别扩展了三种在白盒和黑盒场景下具有代表性的最先进的对抗性攻击,创建了一个新的强而无形的对抗攻击方法集合。
3.通过大量验表明,本方法可以生成出非常不可感知的对抗扰动,其既表现出优秀的视觉质量,又能提升了对抗性强度和鲁棒性。本方法在黑盒转移性方面具有高可信度的最大50%的提升,以及在跨域黑盒场景下近90%的成功攻击率。
附图说明
图1是本发明实施例在攻击ResNet-50分类器时生成的对抗样本和扰动。本发明的攻击方法在保持高不可感知性的同时,生成了更大的像素级的扰动。由它生成的的对抗样本在高置信度下被错误分类。
图2是本发明实施实例中攻击方法的一般优化过程。在每次迭代中,既要从感知相似性模块中获取距离作为惩罚,又要从分类器中获取梯度信息,然后将这两方面的信息直接用于后向传递,用于优化感知上无形的扰动。
图3是本发明实施实例中关于Demiguise-C&W和C&W扩展的扰动不可知性,以及其他指标,包括PSNR和SSIM的对比示意图。虽然三种攻击都达到了100%的攻击成功率,但只有Demiguise-C&W(我们的方法)生成的对抗样本能够真正保持扰动不可知。
图4是本发明实施实例中关于Demiguise-HSJA和ColorFool在ResNet-50上生成的一些对抗样本的展示。虽然ColorFool有其所称的修改特定语义重构的特性,但其最终生成的颜色是明显的,而且具有误导性。
图5是本发明实施实例中在ResNet模型上进行的转移性实验测试。
图6是本发明实施实例中在不同模型结构下的转移性测试。
图7是本发明实施实例中如果在Demiguis-MI-FGSM中加入输入多样性,是否可以进一步提高转移性的验证示意。最终攻击Demiguise-DI-MI-FGSM超越了所有其他攻击的欺骗率,将DI-MI-FGSM的性能提高了5%以上,最大的基于转移的欺骗率超过90%。
图8是本发明实施实例中相关防御测试示意。使用JPEG压缩和二进制过滤器作为防御方案,并测试了C&W和Demiguise-C&W对这些防御的欺骗率,Demiguise-C&W与基于lp的C&W相比,对于大多数具有主动防御的模型,其鲁棒性提高了3%到5%。
图9是本发明实施实例中关于转移性示意。
具体实施方式
为了便于本领域普通技术人员的理解和实施本发明,下面结合附图及实施例对本发明做进一步说明和详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
实施例
步骤1:初始化对抗样本,将原始图片输入攻击算法,作为当前对抗样本。
步骤2:将预先训练好的相关网络模型分别建立感知相似性实例,本发明使用了ResNet-50、VGG19、Inception-v3和MobileNet-v2等模型进行实验。
步骤3:首先选择其中一个感知相似性实例,选择C&W、MI-FGSM和HopSkipJumpAttack其中一个对抗攻击算法,使用攻击算法中的对抗损失向当前对抗样本添加扰动,使用感知相似性实例计算当前对抗样本与原始图片的感知相似性距离,攻击算法使用感知相似性距离优化对抗样本,然后通过不断迭代更新对抗样本。
如图2所示,其为本发明方法的工作流程示意,包括以下子步骤:
步骤3.1:选择ResNet50网络构建感知相似性实例D;
步骤3.1.2:选择C&W对抗攻击算法作为对抗样本的生成算法;
步骤3.3:将原始图片x作为初始对抗样本x′;
步骤3.4:使用对抗攻击算法的对抗损失函数Ladv向当前对抗样本x′i中添加扰动p,得到当前对抗样本x′i=x′i+p;
步骤3.5:使用感知相似性实例D计算当前对抗样本x′i与原始图片x的感知相似性距离Ldist
步骤3.6:对抗攻击算法使用Ldist作为目标函数优化对抗样本x′i
步骤3.7:重复步骤3.4至步骤3.6,直到重复次数达到目标值或Ldist小于目标值,获得最终对抗样本x′=x′i,如图1所示,就是在ResNet50以及C&W算法下,生成的对抗样本和扰动;
步骤3.8:选择MI-FGSM对抗攻击算法作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.9:选择HopSkipJumpAttack对抗攻击算法作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.10:选择VGG19网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.11:选择Inception-v3网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.12:选择MobileNet-v2网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤4:将生成的对抗样本输入到相同网络结构和不同网络结构的模型中计算成功率和转移性,具体包括以下步骤,关于以下步骤测试出的相关数据和图表如图3、图4、图5、图6、图7、图9所表示:
步骤4.1:将使用ResNet50网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.2:将使用ResNet50网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.3:将使用ResNet50网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.4:将使用VGG19网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.5:将使用VGG19网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.6:将使用VGG19网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.7:将使用Inception-v3网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.8:将使用Inception-v3网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.9:将使用Inception-v3网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.10:将使用MobileNet-v2网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.11:将使用MobileNet-v2网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.12:将使用MobileNet-v2网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性。
使用JPEG压缩和二进制过滤器作为防御方案,测试本实施例C&W和Demiguise-C&W对这些防御的欺骗率,防御效果如图8所示。

Claims (1)

1.一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,其特征在于,包括以下步骤:
步骤1:初始化对抗样本,将原始图片输入攻击算法,作为当前对抗样本;
步骤2:使用经过训练的ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,分别构建感知相似性实例;
步骤3:选择步骤2构建的其中一个感知相似性实例,使用对抗攻击算法中的对抗损失向当前对抗样本添加扰动;使用感知相似性实例,计算当前对抗样本与原始图片的感知相似性距离,对抗攻击算法使用感知相似性距离优化对抗样本,通过不断迭代更新对抗样本;
具体包括以下步骤:
步骤3.1:使用ResNet50网络,构建感知相似性实例D;
步骤3.2:使用C&W对抗攻击算法,作为对抗样本的生成算法;
步骤3.3:将原始图片x作为初始对抗样本x′;
步骤3.4:使用对抗攻击算法的对抗损失函数Ladv,向当前对抗样本x′i中添加扰动p,得到新的当前对抗样本x′i,x′i=x′i+p;
步骤3.5:使用感知相似性实例D,计算当前对抗样本x′i与原始图片x的感知相似性距离Ldist
步骤3.6:对抗攻击算法使用Ldist作为目标函数优化对抗样本x′i
步骤3.7:重复步骤3.4至步骤3.6,直到达到目标值或Ldist小于目标值,获得最终对抗样本x′=x′i
步骤3.8:选择MI-FGSM对抗攻击算法,作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.9:选择HopSkipJumpAttack对抗攻击算法,作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.10:选择VGG19网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.11:选择Inception-v3网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.12:选择MobileNet-v2网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤4:将生成的对抗样本输入到相同网络结构和不同网络结构的模型中,计算成功率和转移性;
步骤4.1:使用ResNet50网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.2:使用ResNet50网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.3:使用ResNet50网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.4:使用VGG19网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.5:使用VGG19网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.6:使用VGG19网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.7:使用Inception-v3网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.8:使用Inception-v3网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.9:使用Inception-v3网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.10:使用MobileNet-v2网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.11:使用MobileNet-v2网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.12:使用MobileNet-v2网络构建感知相似性实例,使用HopSkipJumpAttack对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性。
CN202110669413.9A 2021-06-17 2021-06-17 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法 Active CN113221388B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110669413.9A CN113221388B (zh) 2021-06-17 2021-06-17 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110669413.9A CN113221388B (zh) 2021-06-17 2021-06-17 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法

Publications (2)

Publication Number Publication Date
CN113221388A CN113221388A (zh) 2021-08-06
CN113221388B true CN113221388B (zh) 2022-06-28

Family

ID=77080900

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110669413.9A Active CN113221388B (zh) 2021-06-17 2021-06-17 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法

Country Status (1)

Country Link
CN (1) CN113221388B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113760358B (zh) * 2021-08-30 2023-08-01 河北大学 一种面向源代码分类模型的对抗样本生成方法
CN113935913A (zh) * 2021-10-08 2022-01-14 北京计算机技术及应用研究所 一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110349085A (zh) * 2019-06-28 2019-10-18 西安工程大学 一种基于生成对抗网络的单幅图像超分辨特征增强方法
CN111881935A (zh) * 2020-06-19 2020-11-03 北京邮电大学 一种基于内容感知gan的对抗样本生成方法
DE102020211853A1 (de) * 2019-09-24 2021-03-25 Robert Bosch Gesellschaft mit beschränkter Haftung Effiziente gegnerische blackbox-angriffe unter ausnutzung einer eingabedatenstruktur

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110349085A (zh) * 2019-06-28 2019-10-18 西安工程大学 一种基于生成对抗网络的单幅图像超分辨特征增强方法
DE102020211853A1 (de) * 2019-09-24 2021-03-25 Robert Bosch Gesellschaft mit beschränkter Haftung Effiziente gegnerische blackbox-angriffe unter ausnutzung einer eingabedatenstruktur
CN111881935A (zh) * 2020-06-19 2020-11-03 北京邮电大学 一种基于内容感知gan的对抗样本生成方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
感知相似的图像分类对抗样本生成模型;李俊杰等.;《计算机科学与探索》;20200331;第14卷(第11期);第1930-1942页 *
深度学习的对抗攻击方法综述;张嘉楠等;《网络空间安全》;20190725(第07期);第91-100页 *

Also Published As

Publication number Publication date
CN113221388A (zh) 2021-08-06

Similar Documents

Publication Publication Date Title
CN110991299B (zh) 一种物理域上针对人脸识别系统的对抗样本生成方法
CN113221388B (zh) 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法
CN110941794A (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN111753881A (zh) 一种基于概念敏感性量化识别对抗攻击的防御方法
Zong et al. Local-CycleGAN: a general end-to-end network for visual enhancement in complex deep-water environment
CN113763268B (zh) 人脸图像盲修复方法及系统
CN112597993A (zh) 基于补丁检测的对抗防御模型训练方法
CN114677722A (zh) 一种融合多尺度特征的多监督人脸活体检测方法
CN113505855A (zh) 一种对抗攻击模型的训练方法
CN113435264A (zh) 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置
CN115830369A (zh) 基于深度神经网络的对抗样本生成方法及系统
CN118397431B (zh) 面向行人目标的多视角自适应权重平衡对抗攻击方法
CN115984979A (zh) 一种面向未知对抗攻击的人脸伪造识别方法及装置
CN114330652A (zh) 一种目标检测攻击方法和装置
Almero et al. Genetic algorithm-based dark channel prior parameters selection for single underwater image dehazing
CN114494208A (zh) 一种基于tof的人脸活体检测方法
CN114049537A (zh) 一种基于卷积神经网络的对抗样本防御方法
CN116137043A (zh) 一种基于卷积和Transformer的红外图像彩色化方法
CN113487506B (zh) 基于注意力去噪的对抗样本防御方法、装置和系统
CN113409407B (zh) 一种基于平均压缩获取低频信息的对抗样本防御方法
CN111539263B (zh) 一种基于聚合对抗网络的视频人脸识别方法
CN114841887A (zh) 一种基于多层次差异学习的图像恢复质量评价方法
CN104732503B (zh) 图像去雾增强方法和装置
CN113569897B (zh) 一种基于固定像素点获取低频信息的对抗样本防御方法
Bansal et al. Securing fingerprint images using a hybrid technique

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant