CN113240080A - 基于先验类别增强的对抗训练方法 - Google Patents

基于先验类别增强的对抗训练方法 Download PDF

Info

Publication number
CN113240080A
CN113240080A CN202110490295.5A CN202110490295A CN113240080A CN 113240080 A CN113240080 A CN 113240080A CN 202110490295 A CN202110490295 A CN 202110490295A CN 113240080 A CN113240080 A CN 113240080A
Authority
CN
China
Prior art keywords
neural network
label
training
training data
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110490295.5A
Other languages
English (en)
Inventor
夏智康
陈斌
夏树涛
戴涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen International Graduate School of Tsinghua University
Peng Cheng Laboratory
Original Assignee
Shenzhen International Graduate School of Tsinghua University
Peng Cheng Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen International Graduate School of Tsinghua University, Peng Cheng Laboratory filed Critical Shenzhen International Graduate School of Tsinghua University
Priority to CN202110490295.5A priority Critical patent/CN113240080A/zh
Publication of CN113240080A publication Critical patent/CN113240080A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于先验类别增强的对抗训练方法,包括步骤:获取训练数据和神经网络,并根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签;所述训练数据包括:训练样本和所述训练样本对应的真实标签;根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本;根据所述对抗样本和所述真实标签,对所述神经网络的参数进行调整,得到训练后的神经网络。由于先确定样本受到FGSM攻击后的预测标签,并根据训练数据、神经网络以及预测标签,确定训练数据对应的对抗样本,再采用对抗样本进行训练,得到训练后的神经网络,可以提高神经网络对预设标签的鲁棒精度。

Description

基于先验类别增强的对抗训练方法
技术领域
本发明涉及人工智能领域,尤其涉及的是一种基于先验类别增强的对抗训练方法。
背景技术
深度神经网络(DNN)在生活中的各个领域都得到了较为广泛的应用,例如图像识别、文本处理、语音识别等。但是,有学者指出:通过加入人为设计的细微噪声,攻击者可以使得加入噪声后的样本轻易地误导训练好的DNN,使其错误分类,根据攻击者噪声设计方式的不同,从而达到攻击者自身的目的。这种攻击被称为对抗攻击,加入的噪声被称为对抗噪声,加入的噪声后的样本被称为对抗样本,模型对于对抗样本的测试精度叫做鲁棒精度。防御这类攻击的方式有多种多样,其中一种被广泛认可的防御方式叫做对抗训练。其做法是在训练过程中加入对抗样本作为训练样本,从而提高模型的泛化性和鲁棒性。但是,现有的对抗训练方法虽然能够提高模型对于整体测试集的鲁棒精度,但是其在不同类别下的表现缺差异很大。而现实中存在有很多场景对具体类别的分类鲁棒性具有很高的要求,例如网络安全中对色情暴力图像的识别、医学图像分类中对病理图像的识别等。现有的方法不能对这些重要性先验做出适应,在最坏情况下,如果重要类别恰好是鲁棒精度最差的类别,则将产生严重后果和重大损失。
因此,现有技术还有待于改进和发展。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种基于先验类别增强的对抗训练方法,旨在解决现有技术中重要类别的鲁棒精度低的问题。
本发明解决技术问题所采用的技术方案如下:
一种基于先验类别增强的对抗训练方法,其中,包括步骤:
获取训练数据和神经网络,并根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签;所述训练数据包括:训练样本和所述训练样本对应的真实标签;
根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本;
根据所述对抗样本和所述真实标签,对所述神经网络的参数进行调整,得到训练后的神经网络。
所述的基于先验类别增强的对抗训练方法,其中,所述根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签,包括:
对所述训练数据进行FGSM攻击,得到所述训练数据对应的弱对抗样本;
将所述弱对抗样本输入所述神经网络,得到样本受到FGSM攻击后的预测标签。
所述的基于先验类别增强的对抗训练方法,其中,所述弱对抗样本为:
Figure BDA0003052167760000021
其中,
Figure BDA0003052167760000022
表示弱对抗样本,xi表示训练样本,yi表示真实标签,fθ(·)表示神经网络,l(·)表示对抗攻击对应的损失函数,ε表示最大扰动范围,sgn(·)表示符号函数,
Figure BDA0003052167760000023
表示梯度算子。
所述的基于先验类别增强的对抗训练方法,其中,所述根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本,包括:
当所述预测标签为预设标签时,根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗噪声;
当所述预测标签不为预设标签时,根据所述训练数据以及所述神经网络,确定所述训练数据对应的对抗噪声;
根据所述训练样本和所述对抗噪声,确定所述训练数据对应的对抗样本。
所述的基于先验类别增强的对抗训练方法,其中,当所述预测标签为预设标签时,所述对抗噪声为:
Figure BDA0003052167760000031
其中,δi表示训练数据对应的对抗噪声,max(·)表示取最大值函数,ε表示最大扰动范围,Bp(0,ε)表示生成的对抗噪声的Lp范数限制在ε以内,λ表示超参数,l(·)表示对抗攻击对应的损失函数,fθ(·)表示神经网络,xi表示训练样本,δ表示生成的对抗噪声,yi表示真实标签,y*表示预测标签。
所述的基于先验类别增强的对抗训练方法,其中,当所述预测标签不为预设标签时,所述对抗噪声为:
Figure BDA0003052167760000032
其中,δi表示训练数据对应的对抗噪声,max(·)表示取最大值函数,ε表示最大扰动范围,Bp(0,ε)表示生成的对抗噪声的Lp范数限制在ε以内,l(·)表示对抗攻击对应的损失函数,fθ(·)表示神经网络,xi表示训练样本,δ表示生成的对抗噪声,yi表示真实标签。
所述的基于先验类别增强的对抗训练方法,其中,所述对抗样本为:
Figure BDA0003052167760000033
其中,
Figure BDA0003052167760000034
表示对抗样本,xi表示训练样本,δi表示训练数据对应的对抗噪声。
所述的基于先验类别增强的对抗训练方法,其中,所述根据所述对抗样本和所述真实标签,对所述神经网络的参数进行调整,得到训练后的神经网络,包括:
将所述对抗样本输入所述神经网络,通过所述神经网络得到所述对抗样本对应的生成标签;
根据所述生成标签和所述真实标签,对所述神经网络的参数进行调整,并继续执行根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本的步骤,直至所述神经网络满足预设条件,得到训练后的神经网络。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其中,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
有益效果:由于先确定样本受到FGSM攻击后的预测标签,并根据训练数据、神经网络以及预测标签,确定训练数据对应的对抗样本,再采用对抗样本进行训练,得到训练后的神经网络,可以提高神经网络对预设标签的鲁棒精度。
附图说明
图1是现有技术中训练方式分布对CIFAR10进行了对抗训练后各类别的鲁棒精度分布图。
图2是现有技术中训练方式分布对CIFAR100进行了对抗训练后各类别的鲁棒精度分布图。
图3是本发明中基于先验类别增强的对抗训练方法的流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
请同时参阅图1-图3,本发明提供了一种基于先验类别增强的对抗训练方法的一些实施例。
对抗训练是现有的一种被广泛认可的对抗防御方法。其基本的思想就是在训练过程中将对抗样本作为训练样本输入模型进行训练。以图片分类问题为例,对抗噪声的生成方式为:
Figure BDA0003052167760000051
其中(xi,yi)表示输入的训练样本及其对应的真实标签,fθ为一个深度神经网络模型,l是对抗攻击对应的损失函数,在分类问题中通常使用交叉熵损失,Bp(0,ε)表示生成的对抗噪声的Lp范数必须限制在最大扰动范围ε以内,p∈{0,1,2,∞},δi即为最后生成的对抗噪声。
实际计算δi的过程通常使用迭代的梯度上升方法,具体计算方式如下:
Figure BDA0003052167760000052
其中
Figure BDA0003052167760000053
表示样本xi在第t次迭代后得到的对抗样本,α为每次迭代的步长,通常远小于ε。
如图1和图2所示,通过背景技术的训练方式分布对CIFAR10和CIFAR100进行了对抗训练并画出了每个类别的鲁棒精度分布图。可以看到鲁棒精度很明显存在类间精度不平衡的现象。一方面,这种不平衡并不是希望看到的;另一方面,在很多任务中不同类别的鲁棒精度的重要性是不相同的,但是现有的技术并没有考虑这种先验。考虑最坏的情况,假如最为重要的类别恰好因为原有技术的缺陷被训练为鲁棒精度最差的类别,那么势必会造成重大的损失。
在训练之前,需要预先指定一个类别(预设标签)作为需要增强的重要类别,这里假设重要类别为y*,其中y*∈{1,2,...,K},K表示类别的数量,也就是标签的数量。可以理解的是,预设标签可以是一个或多个。
如图3所示,本发明的一种基于先验类别增强的对抗训练方法,包括以下步骤:
步骤S100、获取训练数据和神经网络,并根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签;所述训练数据包括:训练样本和所述训练样本对应的真实标签。
具体地,在对抗训练的过程中,有一部分本身并不是重要类别的样本在受到对抗攻击后很容易被误分类为重要类别,可以认为这些样本处在重要类别的边界区域上,所以称之为边界样本。这些边界样本对重要类别的分类精度会产生重大影响,所以首先需要找出这些边界样本。
训练数据可以是训练数据集
Figure BDA0003052167760000061
在每次训练时,采用一批样本
Figure BDA0003052167760000062
进行训练,其中,M小于N。
步骤S100具体包括:
步骤S110、对所述训练数据进行FGSM攻击,得到所述训练数据对应的弱对抗样本。
步骤S120、将所述弱对抗样本输入所述神经网络,得到样本受到FGSM攻击后的预测标签。
首先对输入样本做一次Fast Gradient Sign Method(FGSM)攻击,这是一种相对较弱的攻击,但优势是计算复杂度较低,所述弱对抗样本为:
Figure BDA0003052167760000063
其中,
Figure BDA0003052167760000064
表示弱对抗样本,xi表示训练样本,yi表示真实标签,fθ(·)表示神经网络,l(·)表示对抗攻击对应的损失函数,ε表示最大扰动范围,sgn(·)表示符号函数,
Figure BDA0003052167760000065
表示梯度算子。
随后将弱对抗样本输入神经网络模型得到弱对抗样本对应的预测标签
Figure BDA0003052167760000066
如果
Figure BDA0003052167760000067
则表明该样本极易受到攻击被误分类为重要类别,也就是所要找的边界样本。
步骤S200、根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本。
具体地,将样本受到FGSM攻击后的预测标签用以确定训练数据对应的对抗样本,具体根据预测标签是否为预设标签,对训练数据进行区别,从而得到不同的对抗样本,因此,在根据对抗样本对神经网络进行参数调整时,提高神经网络对重要类别的鲁棒精度。
步骤S200具体包括:
步骤S210、当所述预测标签为预设标签时,根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗噪声。
步骤S220、当所述预测标签不为预设标签时,根据所述训练数据以及所述神经网络,确定所述训练数据对应的对抗噪声。
步骤S230、根据所述训练样本和所述对抗噪声,确定所述训练数据对应的对抗样本。
具体地,当预测标签为预设标签时,根据训练数据、神经网络以及预测标签,确定训练数据对应的对抗噪声。当预测标签不为预设标签时,根据训练数据以及神经网络,确定训练数据对应的对抗噪声。也就是说,若样本受到FGSM攻击后的预测标签为预设标签,则该训练样本为边界样本,边界样本会影响神经网络对重要类别的鲁棒精度,因此,需要引入预测标签得到对抗噪声;若样本受到FGSM攻击后的预测标签不为预设标签,则该训练样本不为边界样本,则可以仅根据据训练数据以及神经网络,得到对抗噪声。
当所述预测标签为预设标签时,所述对抗噪声为:
Figure BDA0003052167760000071
其中,δi表示训练数据对应的对抗噪声,max(·)表示取最大值函数,ε表示最大扰动范围,Bp(0,ε)表示生成的对抗噪声的Lp范数限制在ε以内,λ表示超参数,l(·)表示对抗攻击对应的损失函数,fθ(·)表示神经网络,xi表示训练样本,δ表示生成的对抗噪声,yi表示真实标签,y*表示预测标签。
预测标签为预设标签时,训练样本是边界样本,则提出一个新的内部最大化损失函数,使得该边界样本不仅朝着远离真实标签的方向偏离,同时也远离重要类别标签,那么最后得到训练后的神经网络不会将该训练样本分类成重要类别,该重要类别的鲁棒精度就得到提高。
当所述预测标签不为预设标签时,所述对抗噪声为:
Figure BDA0003052167760000081
其中,δi表示训练数据对应的对抗噪声,max(·)表示取最大值函数,ε表示最大扰动范围,Bp(0,ε)表示生成的对抗噪声的Lp范数限制在ε以内,l(·)表示对抗攻击对应的损失函数,fθ(·)表示神经网络,xi表示训练样本,δ表示生成的对抗噪声,yi表示真实标签。
预测标签不为预设标签是,训练样本不是边界样本,则用现有技术的对抗样本生成方式,不改变内部最大化损失函数。
在得到对抗噪声后,再根据对抗噪声和训练样本,得到对抗样本。所述对抗样本为:
Figure BDA0003052167760000082
其中,
Figure BDA0003052167760000083
表示对抗样本,xi表示训练样本,δi表示训练数据对应的对抗噪声。
步骤S300、根据所述对抗样本和所述真实标签,对所述神经网络的参数进行调整,得到训练后的神经网络。
具体地,在得到对抗样本后,根据对抗样本和真实标签对神经网络的参数进行调整,得到训练后的神经网络。由于对抗样本是根据训练数据、神经网络以及预测标签得到的,因此,采用该对抗样本训练神经网络时,训练后的神经网络对重要类别的鲁棒精度较高。
步骤S300具体包括:
步骤S310、将所述对抗样本输入所述神经网络,通过所述神经网络得到所述对抗样本对应的生成标签。
步骤S320、根据所述生成标签和所述真实标签,对所述神经网络的参数进行调整,并继续执行根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本的步骤,直至所述神经网络满足预设条件,得到训练后的神经网络。
具体地,将对抗样本
Figure BDA0003052167760000091
输入神经网络后,得到生成标签
Figure BDA0003052167760000092
然后根据生成标签
Figure BDA0003052167760000093
和真实标签yi计算神经网络的整体损失L,例如,
Figure BDA0003052167760000094
然后根据梯度下降法,通过反向传播更新神经网络的参数,若神经网络满足预设条件,则得到训练后的神经网络;若神经网络不满足预设条件,则继续执行S200的步骤。
预设条件可以是神经网络收敛,例如整体损失小于预设阈值。预设条件还可以是神经网络训练次数达到预设次数,例如,训练了1000次后,停止训练,得到训练后的神经网络。
本发明在CIFAR10、CIFAR100和SVHN数据集上均进行测试,取数据集中第一个类作为重要类别,分别比较了不同白盒攻击下模型的平均鲁棒精度(Avg)和重要类别的鲁棒精度(Imp),比较了本方法嵌套在当前业界主流框架下的实验结果:
表1、不同数据集在不同攻击模式下的两种训练方式的鲁棒精度对比
Figure BDA0003052167760000095
表2、CIFAR10数据集不同对抗训练方式在不同对抗攻击下的鲁棒精度
Figure BDA0003052167760000096
从表1和表2的结果可以看出,在不同攻击模式或不同对抗训练方式下,采用本发明方法CART-AT、CART-TRADES、CART-MART的重要类别的鲁棒精度(Imp)均得到了提高,而且整体的平均鲁棒精度基本不变。
本发明具有如下技术效果:
[1]本方案可以有效利用类别重要性的先验知识,在维持平均鲁棒精度几乎不变的情况下,大幅提高目标(重要)类别的鲁棒精度。
[2]本方案对于包含对抗训练的系统具有普适性,几乎可以嵌套进任何包含对抗训练的系统。
基于上述实施例的基于先验类别增强的对抗训练方法,本发明还提供了一种计算机设备的实施例。
本发明的计算机设备,存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如下步骤:
S100、获取训练数据和神经网络,并根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签;所述训练数据包括:训练样本和所述训练样本对应的真实标签;
S200、根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本;
S300、根据所述对抗样本和所述真实标签,对所述神经网络进行训练,得到训练后的神经网络。
基于上述实施例的基于先验类别增强的对抗训练方法,本发明还提供了一种计算机可读存储介质的实施例。
本发明的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下步骤:
S100、获取训练数据和神经网络,并根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签;所述训练数据包括:训练样本和所述训练样本对应的真实标签;
S200、根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本;
S300、根据所述对抗样本和所述真实标签,对所述神经网络进行训练,得到训练后的神经网络。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (10)

1.一种基于先验类别增强的对抗训练方法,其特征在于,包括步骤:
获取训练数据和神经网络,并根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签;所述训练数据包括:训练样本和所述训练样本对应的真实标签;
根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本;
根据所述对抗样本和所述真实标签,对所述神经网络的参数进行调整,得到训练后的神经网络。
2.根据权利要求1所述的基于先验类别增强的对抗训练方法,其特征在于,所述根据所述训练数据和所述神经网络,确定样本受到FGSM攻击后的预测标签,包括:
对所述训练数据进行FGSM攻击,得到所述训练数据对应的弱对抗样本;
将所述弱对抗样本输入所述神经网络,得到样本受到FGSM攻击后的预测标签。
3.根据权利要求2所述的基于先验类别增强的对抗训练方法,其特征在于,所述弱对抗样本为:
Figure FDA0003052167750000011
其中,
Figure FDA0003052167750000012
表示弱对抗样本,xi表示训练样本,yi表示真实标签,fθ(·)表示神经网络,l(·)表示对抗攻击对应的损失函数,ε表示最大扰动范围,sgn(·)表示符号函数,
Figure FDA0003052167750000013
表示梯度算子。
4.根据权利要求1所述的基于先验类别增强的对抗训练方法,其特征在于,所述根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本,包括:
当所述预测标签为预设标签时,根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗噪声;
当所述预测标签不为预设标签时,根据所述训练数据以及所述神经网络,确定所述训练数据对应的对抗噪声;
根据所述训练样本和所述对抗噪声,确定所述训练数据对应的对抗样本。
5.根据权利要求4所述的基于先验类别增强的对抗训练方法,其特征在于,当所述预测标签为预设标签时,所述对抗噪声为:
Figure FDA0003052167750000021
其中,δi表示训练数据对应的对抗噪声,max(·)表示取最大值函数,ε表示最大扰动范围,Bp(0,ε)表示生成的对抗噪声的Lp范数限制在ε以内,λ表示超参数,l(·)表示对抗攻击对应的损失函数,fθ(·)表示神经网络,xi表示训练样本,δ表示生成的对抗噪声,yi表示真实标签,y*表示预测标签。
6.根据权利要求4所述的基于先验类别增强的对抗训练方法,其特征在于,当所述预测标签不为预设标签时,所述对抗噪声为:
Figure FDA0003052167750000022
其中,δi表示训练数据对应的对抗噪声,max(·)表示取最大值函数,ε表示最大扰动范围,Bp(0,ε)表示生成的对抗噪声的Lp范数限制在ε以内,l(·)表示对抗攻击对应的损失函数,fθ(·)表示神经网络,xi表示训练样本,δ表示生成的对抗噪声,yi表示真实标签。
7.根据权利要求4所述的基于先验类别增强的对抗训练方法,其特征在于,所述对抗样本为:
Figure FDA0003052167750000023
其中,
Figure FDA0003052167750000024
表示对抗样本,xi表示训练样本,δi表示训练数据对应的对抗噪声。
8.根据权利要求1-7任意一项所述的基于先验类别增强的对抗训练方法,其特征在于,所述根据所述对抗样本和所述真实标签,对所述神经网络的参数进行调整,得到训练后的神经网络,包括:
将所述对抗样本输入所述神经网络,通过所述神经网络得到所述对抗样本对应的生成标签;
根据所述生成标签和所述真实标签,对所述神经网络的参数进行调整,并继续执行根据所述训练数据、所述神经网络以及所述预测标签,确定所述训练数据对应的对抗样本的步骤,直至所述神经网络满足预设条件,得到训练后的神经网络。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
CN202110490295.5A 2021-05-06 2021-05-06 基于先验类别增强的对抗训练方法 Pending CN113240080A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110490295.5A CN113240080A (zh) 2021-05-06 2021-05-06 基于先验类别增强的对抗训练方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110490295.5A CN113240080A (zh) 2021-05-06 2021-05-06 基于先验类别增强的对抗训练方法

Publications (1)

Publication Number Publication Date
CN113240080A true CN113240080A (zh) 2021-08-10

Family

ID=77132073

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110490295.5A Pending CN113240080A (zh) 2021-05-06 2021-05-06 基于先验类别增强的对抗训练方法

Country Status (1)

Country Link
CN (1) CN113240080A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113837253A (zh) * 2021-09-15 2021-12-24 广州大学 一种单步对抗训练方法、系统、设备、存储介质及产品
CN115392237A (zh) * 2022-10-27 2022-11-25 平安科技(深圳)有限公司 情感分析模型训练方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113837253A (zh) * 2021-09-15 2021-12-24 广州大学 一种单步对抗训练方法、系统、设备、存储介质及产品
CN113837253B (zh) * 2021-09-15 2024-01-19 广州大学 一种单步对抗训练方法、系统、设备、存储介质及产品
CN115392237A (zh) * 2022-10-27 2022-11-25 平安科技(深圳)有限公司 情感分析模型训练方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN111310802B (zh) 一种基于生成对抗网络的对抗攻击防御训练方法
CN110941794B (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN112364915B (zh) 一种不可察觉的对抗补丁生成方法及应用
JP7414901B2 (ja) 生体検出モデルのトレーニング方法及び装置、生体検出の方法及び装置、電子機器、記憶媒体、並びにコンピュータプログラム
CN113240080A (zh) 基于先验类别增强的对抗训练方法
CN112766324B (zh) 图像对抗样本检测方法、系统、存储介质、终端及应用
CN111340143A (zh) 一种获取对抗样本生成模型的方法和系统
WO2023019456A1 (en) Method and apparatus for evaluation of adversarial robustness
CN115186816B (zh) 一种基于决策捷径搜索的后门检测方法
CN113505855A (zh) 一种对抗攻击模型的训练方法
CN114419379A (zh) 一种基于对抗性扰动的深度学习模型公平性提升系统及方法
Hu et al. Attention‐guided evolutionary attack with elastic‐net regularization on face recognition
CN113822443A (zh) 一种对抗攻击和生成对抗样本的方法
CN113935396A (zh) 基于流形理论的对抗样本攻击方法及相关装置
CN116051924B (zh) 一种图像对抗样本的分治防御方法
CN111950635A (zh) 一种基于分层特征对齐的鲁棒特征学习方法
CN113988293B (zh) 一种不同层级函数组合的对抗生成网络的方法
CN117390688B (zh) 一种基于监督训练的模型反演方法
Ledda et al. Adversarial Attacks Against Uncertainty Quantification
CN115546567B (zh) 一种无监督领域适应分类方法、系统、设备及存储介质
CN114821227B (zh) 一种深度神经网络对抗样本评分方法
CN114036503B (zh) 一种迁移攻击方法、装置、电子设备及存储介质
CN117040939B (zh) 基于改进视觉自注意力模型的车载网络入侵检测方法
CN113283537B (zh) 面向成员推理攻击的基于参数共享的深度模型隐私保护方法和装置
CN113988293A (zh) 一种不同层级函数组合的对抗生成网络的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination