CN113537463A - 基于数据扰动的对抗样本防御方法与装置 - Google Patents

基于数据扰动的对抗样本防御方法与装置 Download PDF

Info

Publication number
CN113537463A
CN113537463A CN202110751810.0A CN202110751810A CN113537463A CN 113537463 A CN113537463 A CN 113537463A CN 202110751810 A CN202110751810 A CN 202110751810A CN 113537463 A CN113537463 A CN 113537463A
Authority
CN
China
Prior art keywords
sample
defense
neural network
data
disturbance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110751810.0A
Other languages
English (en)
Inventor
王嘉凯
尹子鑫
汤力伟
刘艾杉
刘祥龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202110751810.0A priority Critical patent/CN113537463A/zh
Publication of CN113537463A publication Critical patent/CN113537463A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于数据扰动的对抗样本防御方法与装置。该方法包括如下步骤:将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,构成防御样本;将防御样本输入目标神经网络模型进行优化,输出训练完成的数据扰动;将训练完成的数据扰动加入识别神经网络待识别的样本中,供识别神经网络进行识别;该识别神经网络为植入自动驾驶车辆中的神经网络模型。本发明可以提升神经网络模型的鲁棒性,特别适合在自动驾驶场景中应用。

Description

基于数据扰动的对抗样本防御方法与装置
技术领域
本发明涉及一种面向自动驾驶场景,基于数据扰动的对抗样本防御方法,同时涉及相应的数据扰动优化装置,属于自动驾驶技术领域。
背景技术
对抗样本是指通过添加干扰产生能够导致机器学习模型产生错误判断的样本。过去几年,深度神经网络在计算机视觉、自然语言处理和语音识别等广泛的应用领域取得了显著的成就。但是,相关研究证明:深度神经网络很容易受到人为设计的对抗样本的影响。这些精心构造的扰动对人类来说是难以察觉的,但很容易导致深度神经网络做出错误判断。这对深度神经网络在可靠性需求较大的场景,特别是自动驾驶场景中的应用提出了安全挑战。
针对深度神经网络对对抗样本的脆弱性,相关研究人员先后提出了一系列防御性方法,使得深度神经网络更加健壮,更难被攻击。现有的对抗样本防御方法可以分为三个类别:对抗训练通过将模型动态生成的对抗样本以数据增强的方式引入到训练过程中,使得模型学习对抗样本中的特征,从而提高模型对于对抗样本的防御能力;梯度掩盖方法通过有意或无意的手段隐藏模型的梯度信息来达到增强模型安全性的效果;对抗检测方法会预先使用某种手段辨别输入的图片是正常样本还是对抗样本,防止对抗样本输入到神经网络模型中。
在自动驾驶领域,研究对抗样本的攻击和防御情况,对自动驾驶行业的发展具有深远影响。尽管现有针对模型的对抗样本防御方法已经有不错的防御效果,但需要进行针对性训练而且训练周期也较长,在使用过程中就会遇到防御方法不够灵活的问题,难以满足自动驾驶场景的实际需求。
发明内容
本发明所要解决的首要技术问题在于提供一种面向自动驾驶场景,基于数据扰动的对抗样本防御方法。
本发明所要解决的另一技术问题在于提供一种基于数据扰动的对抗样本防御装置。
为实现上述目的,本发明采用下述的技术方案:
根据本发明实施例提供的第一方面,提供一种基于数据扰动的对抗样本防御方法,包括如下步骤:
将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,构成防御样本;
将防御样本输入目标神经网络模型进行优化,输出训练完成的数据扰动;
将训练完成的数据扰动加入识别神经网络待识别的样本中,供识别神经网络进行识别;所述识别神经网络为植入自动驾驶车辆中的神经网络模型。
其中较优地,将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,具体包括:
将当前数据扰动替换对应输入样本中预定区域的像素。
其中较优地,所述将防御样本输入目标神经网络模型进行优化,之前还包括:
在防御样本中添加自然噪声;
在添加自然噪声后的防御样本中再添加对抗扰动。
其中较优地,所述将防御样本输入目标神经网络模型进行优化,具体包括:
将防御样本输入目标神经网络模型后,计算防御损失函数;
根据防御损失函数训练防御样本中的数据扰动,直至优化后的数据扰动满足阈值。
其中较优地,所述将防御样本输入目标神经网络模型进行优化,还包括:
若优化后的数据扰动不满足阈值,则将不满足阈值的数据扰动添加至输入样本中。
其中较优地,所述防御样本的表达式为:
x′=A(p,x,l,t)
其中,p为数据扰动,x为输入样本,l为数据扰动添加的位置,t为对数据扰动实施的变换,函数A表示扰动附着操作。
其中较优地,所述对抗扰动的表达式为:
Figure BDA0003144952020000031
其中,
Figure BDA0003144952020000032
为添加自然噪声后的防御样本,y为输入样本的类别标签,F(·)目标神经网络模型,
Figure BDA0003144952020000033
表示分类损失函数的梯度,sign(·)表示符号函数,参数∈表示对抗扰动的幅度。
其中较优地,所述防御损失函数的表达式为:
Figure BDA0003144952020000034
其中,
Figure BDA0003144952020000035
为添加自然噪声后的防御样本,δ为对抗扰动,y为输入样本的类别标签,F(·)目标神经网络模型,Pry(·)为样本标签y概率函数。
其中较优地,所述训练完成的数据扰动表达式为:
Figure BDA0003144952020000036
其中,Ld为防御损失函数,p为数据扰动。
根据本发明实施例的第二方面,提供一种基于数据扰动的对抗样本防御装置,包括处理器和存储器,所述处理器读取所述存储器中的计算机程序,用于执行以下操作:
将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,构成防御样本;
将防御样本输入目标神经网络模型进行优化,输出训练完成的数据扰动;
将训练完成的数据扰动加入识别神经网络待识别的样本中,供识别神经网络进行识别;所述识别神经网络为植入自动驾驶车辆中的神经网络模型。
与现有技术相比较,本发明所提供的对抗样本防御方法与装置,具有如下有益效果:
1.在数据扰动训练过程中,进入自然噪声处理和对抗噪声处理,使得植入自动驾驶车辆中的识别神经网络鲁棒性更强,能够应对人为精心构造的对抗样本;
2.在优化过程中,使用防御损失函数优化数据扰动,除具有对抗鲁棒性外,还能提升识别神经网络的识别准确率。
附图说明
图1为本发明提供的对抗样本防御方法应用在自动驾驶场景的示意图;
图2为本发明提供的对抗样本防御方法的流程示意图;
图3为本发明实施例中,防御样本的训练流程示意图;
图4为本发明实施例提供的对抗样本防御装置的结构图;
图5(a)为目标神经网络模型对对抗样本的识别效率图;
图5(b)为目标神经网络模型对携带本发明实施例得到的数据扰动的对抗样本识别效率图;
图6(a)为目标神经网络模型对异常背景样本识别效率图;
图6(b)为目标神经网络模型对携带本发明实施例得到的数据扰动的异常背景样本识别效率图;
图7(a)为目标神经网络模型对阴影样本识别效率图;
图7(b)为目标神经网络模型对携带本发明实施例得到的数据扰动的阴影样本识别效率图。
具体实施方式
下面结合附图和具体实施例对本发明的技术内容进行详细具体的说明。
图1为本发明提供的对抗样本防御方法应用在自动驾驶场景的示意图。在自动驾驶场景中,将神经网络模型H(·)植入自动驾驶车辆中作为识别神经网络,数据扰动为影响自动驾驶车辆识别图像的干扰因素。这里的图像为自动驾驶车辆在行驶过程中所获取的图像信息,如路牌、路面、路障和行人等。
如图2所示,本发明实施例提供的对抗样本防御方法,至少包括如下步骤:
101、将数据扰动添加至输入样本中,构成防御样本;
具体包括如下子步骤:
1011、将当前数据扰动替换对应输入样本中预定区域的像素,构成防御样本。
所述防御样本的表达式为:
x′=A(p,x,l,t) (1)
公式(1)中,p为数据扰动,x为输入样本,l为数据扰动添加的位置,t为对数据扰动实施的变换,函数A表示扰动附着操作。
在本发明实施例中,以路牌(stop)为例,将能够干扰车辆识别路牌的像素作为数据扰动p,并将初始值p0作为数据扰动p在添加到路牌样本x上的任意位置,得到防御样本x′。干扰车辆识别路牌的像素为初始值p0,可以贴到路牌(stop)上的任意位置,形成防御样本x′。
在此基础上,初始化数据扰动p0,经过扰动附着操作A(·),附着到输入样本x中,得到防御样本。数据扰动p可分为噪声扰动与补丁扰动。对数据扰动的每个像素扰动大小加以限制,但是扰动的像素数目不加以限制,构成噪声扰动;对数据扰动的可扰动像素数目加以限制,但是扰动的像素扰动大小不加以限制,构成补丁扰动。数据扰动p的大小可以根据需要进行定义。
102、将防御样本输入目标神经网络模型进行优化,输出训练完成的数据扰动。
所述步骤102之前,还包括如下步骤:
201、在防御样本中添加自然噪声;
在本发明实施例中,对防御样本进行自然噪声处理,获得添加自然噪声后的防御样本。对防御样本进行自然噪声处理,使得数据扰动能够对物理世界中的自然干扰更健壮,例如,防止真实世界中的雨、雪、雾等天气对数据扰动的干扰。利用数学方法添加自然噪声扰动,模拟真实场景:
Figure BDA0003144952020000051
公式(2)中,x′为防御样本,函数C(·)表示对防御样本x′添加自然噪声扰动,
Figure BDA0003144952020000052
为添加自然噪声后的防御样本。
202、在添加自然噪声后的防御样本中再添加对抗扰动。
在本发明实施例中,对添加自然噪声后的防御样本进行对抗噪声处理,获得防御后的对抗样本。在数据扰动的训练优化过程中,引入对抗噪声干扰,使得数据扰动能够对对抗样本更健壮,能够在物理世界中对对抗样本具有防御性。对抗扰动处理后,防御后的对抗样本的表达式为:
Figure BDA0003144952020000061
公式(3)中,y为样本的标签,F(·)表示目标神经网络,
Figure BDA0003144952020000062
表示分类损失函数的梯度,sign(·)表示符号函数,参数∈表示对抗扰动的幅度。
在本发明实施例中,防御后的对抗样本δ是通过FGSM(快速梯度下降法)得到。在另一些实施例中,防御后的对抗样本还可以通过PGD(基于梯度的攻击)、CW(基于优化的攻击)等得到。
将防御样本输入目标神经网络模型进行优化,具体包括如下子步骤:
1021、将防御样本输入目标神经网络模型后,计算防御损失函数;
在本发明实施例中,防御样本经过了自然噪声处理和对抗噪声处理后,再输入目标神经网络模型,即将防御后的对抗样本输入至目标神经网络模型,计算防御损失函数:
Figure BDA0003144952020000063
公式(4)中,
Figure BDA0003144952020000064
为添加自然噪声后的防御样本,δ为对抗扰动,y为输入样本的类别标签,F(·)目标神经网络模型,Pry(·)为样本标签y概率函数。
1022.如防御损失函数训练防御样本中的数据扰动,直至优化后的数据扰动满足阈值;
1023、若优化后的数据扰动不满足阈值;则将不满足阈值的数据扰动添加至输入样本中。
在本发明实施例中,使用防御损失函数Ld优化数据扰动,根据神经网络对防御后的对抗样本的预测结果,判定数据扰动是否满足阈值。在训练过程中,需要进行迭代结束判别,如果结束,则停止训练,输入数据扰动,否则,将新的数据扰动继续进行迭代,也就是说若数据扰动不满足阈值,则返回1011。当然,在其余实施例中,可以利用迭代次数对训练进行判断,若预设次数达到,则停止训练,若没有达到,则返回继续训练。
所述训练完成的数据扰动表达式为:
Figure BDA0003144952020000071
公式(5)中,Ld为防御损失函数,p为数据扰动。
如图3所示,上述训练过程可以通过表1表示如下:
表1
Figure BDA0003144952020000072
在自动驾驶场景中,通过不断迭代优化防御样本x′。具体地说,在每次迭代的过程中,对防御样本x′,进行自然噪声处理C(·)与对抗噪声处理δ。然后输入到目标神经网络F(·)中,并计算防御损失函数Ld,从而优化数据扰动p。如图1所示,将贴有p0的路牌(即初始防御样本),进行自然噪声处理C(·)后,形成添加自然噪声的防御样本(即图1中NaturalCorruption对应的路牌)。然后,再向添加了自然噪声的防御样本中添加对抗噪声。将添加有自然噪声和对抗噪声的防御样本输入目标神经网络F(·)中进行训练,通过损失函数Ld,约束数据扰动p;目标神经网络F(·)输出满足条件的数据扰动p(well-treined patch)。
103、将训练完成的数据扰动加入识别神经网络待识别的样本中,供识别神经网络进行识别。
在本发明实施例中,识别神经网络为任意可识别样本的神经网络。识别神经网络在识别加入训练完成的数据扰动的样本时,正确率要高于没有加入训练完成的数据扰动的样本,从而可以提升目标神经网络模型识别样本的准确率。
在自动驾驶场景中,将得到的数据扰动p张贴到容易受对抗攻击的样本—路牌上,可以提升目标神经网络模型H(·)对路牌进行识别的准确率,并且路牌能够对对抗样本具有鲁棒性,使对抗样本难以在路牌上产生效果。在其它应用场景中,也可以将每个需要识别的样本(路牌、路面、路障和行人等)都贴有输出的数据扰动p从而提升神经网络模型H(·)的识别准确率,但是这样实际操作效率比较低。因此,在本发明的优选实施例中,最后只在需要识别的样本中选取易被攻击的图像信息进行张贴p,不但可以在自动驾驶过程中提升神经网络模型H(·)的识别准确率,还能够提高识别效率。
当然,本发明实施例所述的对抗样本防御方法也可以应用在例如商品识别的其他场景中。
为实现本发明所提供的对抗样本防御方法,本发明进一步提供一种基于数据扰动的对抗样本防御装置。如图4所示,该对抗样本防御装置包括处理器42和存储器41,还可以根据实际需要进一步包括通信组件、传感器组件、电源组件、多媒体组件及输入/输出接口。其中,存储器、通信组件、传感器组件、电源组件、多媒体组件及输入/输出接口均与该处理器42连接。前已述及,节点设备中的存储器41可以是静态随机存取存储器(SRAM)、电可擦除可编程只读存储器(EEPROM)、可擦除可编程只读存储器(EPROM)、可编程只读存储器(PROM)、只读存储器(ROM)、磁存储器、快闪存储器等,处理器可以是中央处理器(CPU)、图形处理器(GPU)、现场可编程逻辑门阵列(FPGA)、专用集成电路(ASIC)、数字信号处理(DSP)芯片等。其它通信组件、传感器组件、电源组件、多媒体组件等均可以采用现有智能手机中的通用部件实现,在此就不具体说明了。
另一方面,在上述基于数据扰动的对抗样本防御装置中,所述处理器42读取所述存储器41中的计算机程序,用于执行以下操作:
将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,构成防御样本;
将防御样本输入目标神经网络模型进行优化,输出训练完成的数据扰动;
将训练完成的数据扰动加入识别神经网络待识别的样本中,供识别神经网络进行识别;所述识别神经网络为植入自动驾驶车辆中的神经网络模型。
下面,通过三组实验来对比目标神经网络模型的识别效率:
如图5(a)所示,图中样本为有遮挡扰动(标志上的白条,将贴白条模拟为对抗攻击)的路牌样本x,即对抗样本。经过测试,目标神经网络模型对有遮挡扰动的路牌样本x的识别准确率为49.2%。
如图5(b)所示,图中样本在图5(a)的基础上张贴了本发明实施例优化后的优化数据扰动p(标志左侧的彩色条),得到优化后的样本。经过测试,神经网络模型H(·)对有遮挡扰动的路牌样本x的识别准确率为90.2%。
如图6(a)所示,图中样本为有异常背景(标志下方的图片)的路牌样本x,即异常背景样本。经过测试,神经网络模型H(·)对有异常背景的路牌样本x的识别准确率为45.9%。
如图6(b)所示,图中样本在图6(a)的基础上张贴了本发明实施例优化后的优化数据扰动p(标志左侧的彩色条),得到优化后的样本。经过测试,神经网络模型H(·)对有异常背景的路牌样本x的识别准确率为91.3%。
如图7(a)所示,图中样本为有阴影影响(标志上的阴影)的路牌样本x,即阴影样本。经过测试,神经网络模型H(·)对有阴影影响的路牌样本x的识别准确率为47.5%。
如图7(b)所示,图中样本在图7(a)的基础上张贴了本发明实施例优化后的优化数据扰动p(标志左侧的彩色条),得到优化后的样本。经过测试,神经网络模型H(·)对有阴影影响的路牌样本x的识别准确率为91.3%。
通过上述实验对比得到的准确率可以表明,本发明提供的对抗样本防御方法与装置,可以有效提升神经网络模型的鲁棒性,特别适合在自动驾驶场景中应用。
上面对本发明提供的基于数据扰动的对抗样本防御方法与装置进行了详细的说明。对本领域的一般技术人员而言,在不背离本发明实质内容的前提下对它所做的任何显而易见的改动,都将构成对本发明专利权的侵犯,将承担相应的法律责任。

Claims (10)

1.一种基于数据扰动的对抗样本防御方法,其特征在于包括如下步骤:
将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,构成防御样本;
将防御样本输入目标神经网络模型进行优化,输出训练完成的数据扰动;
将训练完成的数据扰动加入识别神经网络待识别的样本中,供识别神经网络进行识别;所述识别神经网络为植入自动驾驶车辆中的神经网络模型。
2.如权利要求1所述的对抗样本防御方法,其特征在于将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,具体包括:
将当前数据扰动替换对应输入样本中预定区域的像素。
3.如权利要求1所述的对抗样本防御方法,其特征在于所述将防御样本输入目标神经网络模型进行优化,之前还包括:
在防御样本中添加自然噪声;
在添加自然噪声后的防御样本中再添加对抗扰动。
4.如权利要求3所述的对抗样本防御方法,其特征在于所述将防御样本输入目标神经网络模型进行优化,具体包括:
将防御样本输入目标神经网络模型后,计算防御损失函数;
根据防御损失函数训练防御样本中的数据扰动,直至优化后的数据扰动满足阈值。
5.如权利要求4所述的对抗样本防御方法,其特征在于所述将防御样本输入目标神经网络模型进行优化,还包括:
若优化后的数据扰动不满足阈值,则将不满足阈值的数据扰动添加至输入样本中。
6.如权利要求1所述的对抗样本防御方法,其特征在于所述防御样本的表达式为:
x′=A(p,x,l,t)
其中,p为数据扰动,x为输入样本,l为数据扰动添加的位置,t为对数据扰动实施的变换,函数A表示扰动附着操作。
7.如权利要求3所述的对抗样本防御方法,其特征在于,所述对抗扰动的表达式为:
Figure FDA0003144952010000021
其中,
Figure FDA0003144952010000022
为添加自然噪声后的防御样本,y为输入样本的类别标签,F(·)目标神经网络模型,
Figure FDA0003144952010000023
表示分类损失函数的梯度,sign(·)表示符号函数,参数∈表示对抗扰动的幅度。
8.如权利要求4所述的对抗样本防御方法,其特征在于,所述防御损失函数的表达式为:
Figure FDA0003144952010000024
其中,
Figure FDA0003144952010000025
为添加自然噪声后的防御样本,δ为对抗扰动,y为输入样本的类别标签,F(·)目标神经网络模型,Pry(·)为样本标签y概率函数。
9.如权利要求1所述的对抗样本防御方法,其特征在于,所述训练完成的数据扰动表达式为:
Figure FDA0003144952010000026
其中,Ld为防御损失函数,p为数据扰动。
10.一种基于数据扰动的对抗样本防御装置,其特征在于包括处理器和存储器,所述处理器读取所述存储器中的计算机程序,用于执行以下操作:
将能够干扰车辆识别路牌的像素作为数据扰动添加至输入样本中,构成防御样本;
将防御样本输入目标神经网络模型进行优化,输出训练完成的数据扰动;
将训练完成的数据扰动加入识别神经网络待识别的样本中,供识别神经网络进行识别;所述识别神经网络为植入自动驾驶车辆中的神经网络模型。
CN202110751810.0A 2021-07-02 2021-07-02 基于数据扰动的对抗样本防御方法与装置 Pending CN113537463A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110751810.0A CN113537463A (zh) 2021-07-02 2021-07-02 基于数据扰动的对抗样本防御方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110751810.0A CN113537463A (zh) 2021-07-02 2021-07-02 基于数据扰动的对抗样本防御方法与装置

Publications (1)

Publication Number Publication Date
CN113537463A true CN113537463A (zh) 2021-10-22

Family

ID=78126592

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110751810.0A Pending CN113537463A (zh) 2021-07-02 2021-07-02 基于数据扰动的对抗样本防御方法与装置

Country Status (1)

Country Link
CN (1) CN113537463A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116109521A (zh) * 2023-04-07 2023-05-12 北京建筑大学 局部对抗性攻击启发式防御方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110175513A (zh) * 2019-04-15 2019-08-27 浙江工业大学 一种基于多目标路优化的路牌识别攻击防御方法
EP3786835A1 (en) * 2019-02-25 2021-03-03 Baidu Online Network Technology (Beijing) Co., Ltd. Traffic image recognition method and apparatus, and computer device and medium
CN112597993A (zh) * 2020-11-24 2021-04-02 中国空间技术研究院 基于补丁检测的对抗防御模型训练方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3786835A1 (en) * 2019-02-25 2021-03-03 Baidu Online Network Technology (Beijing) Co., Ltd. Traffic image recognition method and apparatus, and computer device and medium
CN110175513A (zh) * 2019-04-15 2019-08-27 浙江工业大学 一种基于多目标路优化的路牌识别攻击防御方法
CN112597993A (zh) * 2020-11-24 2021-04-02 中国空间技术研究院 基于补丁检测的对抗防御模型训练方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CIHANG XIE ET AL.: "Adversarial Examples Improve Image Recognition", 《CVF》 *
王晓萌等: "基于深度学习的对抗样本生成技术研究综述", 《广州大学学报(自然科学版)》, pages 2 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116109521A (zh) * 2023-04-07 2023-05-12 北京建筑大学 局部对抗性攻击启发式防御方法和装置

Similar Documents

Publication Publication Date Title
CN111401407B (zh) 一种基于特征重映射的对抗样本防御方法和应用
CN109948658B (zh) 面向特征图注意力机制的对抗攻击防御方法及应用
CN108446700B (zh) 一种基于对抗攻击的车牌攻击生成方法
CN113792791B (zh) 针对视觉模型的处理方法及装置
CN114119676B (zh) 基于多特征信息融合的目标检测跟踪识别方法和系统
CN112633280B (zh) 一种对抗样本生成方法及系统
CN111754519B (zh) 一种基于类激活映射的对抗防御方法
CN110705531B (zh) 缺失字符检测、缺失字符检测模型的建立方法及装置
CN111753839A (zh) 一种文本检测方法和装置
CN111898731A (zh) 基于偏见的通用对抗补丁生成方法和装置
CN114549933A (zh) 基于目标检测模型特征向量迁移的对抗样本生成方法
CN112541404A (zh) 一种面向交通信息感知的物理攻击对抗样本生成方法
CN111210018A (zh) 一种提升深度神经网络模型鲁棒性的方法及装置
CN113537463A (zh) 基于数据扰动的对抗样本防御方法与装置
CN116311214A (zh) 车牌识别方法和装置
Kwon Multi-model selective backdoor attack with different trigger positions
CN114092947B (zh) 一种文本检测方法、装置、电子设备及可读存储介质
CN113688915A (zh) 一种面向内容安全的困难样本挖掘方法及装置
CN113052314B (zh) 一种认证半径引导攻击方法、优化训练方法及系统
Zhu et al. Adversarial Example Defense via Perturbation Grading Strategy
CN111435425B (zh) 可行驶区域检测方法及系统、电子设备、可读存储介质
CN114724101A (zh) 基于批标准化的多空间对抗样本防御方法及其装置
Chen et al. YOLO‐UOD: An underwater small object detector via improved efficient layer aggregation network
CN115600107A (zh) 一种对抗攻击的防御方法、装置及电子设备
CN117372804A (zh) 一种基于图像梯度计算的对抗样本防御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination