CN113569897B - 一种基于固定像素点获取低频信息的对抗样本防御方法 - Google Patents
一种基于固定像素点获取低频信息的对抗样本防御方法 Download PDFInfo
- Publication number
- CN113569897B CN113569897B CN202110535768.9A CN202110535768A CN113569897B CN 113569897 B CN113569897 B CN 113569897B CN 202110535768 A CN202110535768 A CN 202110535768A CN 113569897 B CN113569897 B CN 113569897B
- Authority
- CN
- China
- Prior art keywords
- frequency information
- original image
- low
- neural network
- network model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000007123 defense Effects 0.000 title abstract description 12
- 238000013527 convolutional neural network Methods 0.000 claims description 48
- 230000006835 compression Effects 0.000 claims description 27
- 238000007906 compression Methods 0.000 claims description 27
- 238000003062 neural network model Methods 0.000 claims description 14
- 238000012549 training Methods 0.000 claims description 8
- 230000000694 effects Effects 0.000 description 8
- 238000012360 testing method Methods 0.000 description 4
- 241000282414 Homo sapiens Species 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Image Analysis (AREA)
Abstract
本发明是一种基于固定像素点获取低频信息的对抗样本防御方法,该方法先通过图像压缩将图像信息中的低频信息提取出来,接着使用预测原图和接受低频信息训练的模型对提取出来的低频信息进行预测,然后将两者的预测结果结合,得到最后的预测结果。本发明可以提高模型的鲁棒性和准确性。
Description
技术领域
本发明是关于对抗样本防御技术领域的,尤指一种基于固定像素点获取低频信息的对抗样本防御方法。
背景技术
深度神经网络目前在生活中的应用已经十分广泛,而卷积神经网络在计算机视觉方向的应用被认为是神经网络最成功的应用之一。目前卷积神经网络在人脸识别、目标检测和自动驾驶等方面,然而这些方面对模型的安全性和鲁棒性有着较高的要求。在只添加微小扰动就可以使模型出错的对抗样本被发现之后,研究者意识到增强基于卷积神经网络的深度神经网络模型的鲁棒性,增加其在面对对抗样本时的预测正确率,对于人工智能的安全性十分重要。尽管随着网络信息技术的发展,现有技术中出现了一些基于分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的区块链的防御方法但安全性和鲁棒性并不显著,因此需要一种防御对抗样本的方法来提高深度神经网络模型的鲁棒性和准确性。
发明内容
本发明的主要目的,在于提供一种基于固定像素点获取低频信息的对抗样本防御方法,该方法可以提高模型的鲁棒性和准确性。
为解决上述技术问题,本发明采取的技术方案在于:
一种基于固定像素点获取低频信息的对抗样本防御方法,其特征在于,先通过提取原始图像中的低频信息,使用预测用的原始图像和接受低频信息训练的模型对提取出来的低频信息分别进行预测,然后将两者的预测结果结合,得到最后的预测结果。
进一步,包括如下步骤:
S1:压缩原始图像,然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像;
S2:设置相同的第一卷积神经网络模型和第二卷积神经网络模型;
S3:第一卷积神经网络模型对未压缩的原始图像进行训练,确保在面对未压缩的原始图像的样本时第一卷积神经网络模型对其中的高频信息加以利用;第二卷积神经网络模型对第一低频信息图像进行训练,确保面对第一低频信息图像时,第二卷积神经网络模型对其中的低频信息加以利用;
S4:生成原始图像的对抗样本,提取对抗样本的低频信息,该低频信息命名为第二低频信息图像;
S5:第一卷积神经网络模型对对抗样本进行识别,得到第一识别结果,第二卷积神经网络模型对第二低频信息图像进行识别,得到第二识别结果;
S6:第一识别结果和第二识别结果对应相加得到最终识别结果。
进一步,采用图像压缩方式提取原始图像中的低频信息,图像压缩方式为将原始图像中的四个像素点压缩为一个像素点,再将压缩后的像素点,按照一比四的比例填充为原图大小。
进一步,四个像素点的选取为紧挨着的形状为2×2的四个像素。
进一步,压缩后选取的像素点为原始图像上的四个像素点中固定位置的像素点。
进一步,填充的方式为将压缩选取的像素点作为压缩后的值,将该值填充到四个像素点对应的位置。
进一步,对抗样本和原始图像的关系为:公式中θ代表模型参数,x为原始图像,x^'为对抗样本,y为x对应的标签,J()为损失函数,/>为对损失函数在x上求梯度,ε为扰动值。生成对抗样本的步骤包括:根据对抗样本和原始图像的关系,采用调整ε的大小的方式,将原始图像转换成不同扰动大小的对抗样本。
进一步,S6的具体步骤为检测对抗样本的扰动值,当扰动值大于预设值时,将第二识别结果作为最终识别结果输出;当扰动值小于或等于预设值时,将第一识别结果作为最终识别结果输出。
进一步,第一卷积神经网络模型和第二卷积神经网络模型均采用LeNet卷积神经网络模型。
本发明的有益效果为:
本申请的一种基于固定像素点获取低频信息的对抗样本防御方法,通过第一卷积神经网络模型和第二卷积神经网络模型分别识别对抗样本和根据对抗样本压缩提取的第二低频信息图像,然后综合这两个模型的识别结果,在检测干净的原始图像和扰动较小的对抗样本时,第一神经网络模型对于高频信息较为敏感且扰动对结果影响较小,所以此时第一神经网络模型的识别结果更可信,在对抗样本扰动较高时,第二卷积神经网络模型对于高频的扰动不敏感,受到影响较小,且在压缩中会将扰动过滤掉一部分,所以此时第二卷积神经网络模型的识别结果更可信。通过综合这两种结果使在面对对抗样本时正确率得到显著提高,取得了良好的效果。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明的流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
一种基于固定像素点获取低频信息的对抗样本防御方法,其特征在于,提取原始图像中的低频信息,使用预测用的原始图像和接受低频信息训练的模型对提取出来的低频信息分别进行预测,然后将两者的预测结果结合,得到最后的预测结果。
进一步,包括如下步骤:
S1:压缩原始图像,然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像
S2:设置相同的第一卷积神经网络模型和第二卷积神经网络模型;
S3:第一卷积神经网络模型对未压缩的原始图像进行训练,确保在面对未压缩的原始图像的样本时,第一卷积神经网络模型对其中的高频信息加以利用;第二卷积神经网络模型对第一低频信息图像进行训练,确保面对第一低频信息图像时,第二卷积神经网络模型对其中的低频信息加以利用;
S4:生成原始图像的对抗样本,提取对抗样本的低频信息,该低频信息命名为第二低频信息图像;
S5:第一卷积神经网络模型对对抗样本进行识别,得到第一识别结果,第二卷积神经网络模型对第二低频信息图像进行识别,得到第二识别结果;
S6:第一识别结果和第二识别结果对应相加得到最终识别结果。
进一步,采用图像压缩方式提取原始图像中的低频信息,图像压缩方式为将原始图像中的四个像素点压缩为一个像素点,再将压缩后的像素点,按照一比四的比例填充为原图大小。
进一步,四个像素点的选取为紧挨着的形状为2×2的四个像素。
进一步,压缩后选取的像素点为原始图像上的四个像素点中固定位置的像素点。比如都选择左上角的像素点,或者左下角、右上角、右下角。
进一步,填充的方式为将压缩选取的像素点作为压缩后的值,将该值填充到四个像素点对应的位置。
进一步,对抗样本和原始图像的关系为:公式中θ代表模型参数,x为原始图像,x^'为对抗样本,y为x对应的标签,J() 为损失函数,/>为对损失函数在x上求梯度,ε为扰动值。生成对抗样本的步骤包括:根据对抗样本和原始图像的关系,采用调整ε的大小的方式,将原始图像转换成不同扰动大小的对抗样本。
进一步,第一卷积神经网络模型和第二卷积神经网络模型均采用LeNet卷积神经网络模型。
实施例
将原始图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像。固定像素点压缩是指在紧挨着的形状为2*2的四个像素中,选取固定位置的像素点的值作为压缩后的值,本实施例通过选取固定位置的像素点作为压缩后的值,该值将填充到这四个像素点对应的位置,获取了和原始图像尺寸相同的第一低频信息图像,该方法压缩后的图像与原图存在人眼可以感知的差异,但是可以更大程度的保留原图中的低频信息,包括轮廓与形状,对对抗样本的扰动有一定的过滤能力。
生成相同的第一卷积神经网络模型和第二卷积神经网络模型,第一卷积神经网络使用原始图像训练,第二卷积神经网络模型使用低频信息图像训练。第一卷积神经网络模型和第二卷积神经网络模型的训练集分别为未处理的原始图像和低频信息图像,用来分别识别未处理的干净图像和低频图像。
在原始图像中加入扰动生成对抗样本,对抗样本就是在图像中添加人类无法发觉的扰动或者人类可以发觉但并不影响识别的扰动。
将对抗样本中的像素点进行压缩,然后将压缩后的像素点按压缩比填充成和对抗样本尺寸相同的第二低频信息图像,因此本实施例有两组测试集,一组是未进行低频处理的对抗样本,另一种是进行低频处理后的对抗样本,即第二低频信息图像。
将对抗样本输入到第一神经网络模型进行识别,获取第一识别结果。将第二低频信息图像输入到第二卷积神经网络模型进行识别,获取第二识别结果。将第一识别结果和第二识别结果进行综合得到最终识别结果。通过综合这两个模型的识别结果,在检测干净的原始图像和扰动较小的对抗样本时,第一神经网络模型对于高频信息较为敏感且扰动对结果影响较小,所以此时第一神经网络模型的识别结果更可信,在对抗样本扰动较高时,第二卷积神经网络模型对于高频的扰动不敏感,受到影响较小,且在压缩中会将扰动过滤掉一部分,所以此时第二卷积神经网络模型的识别结果更可信。通过综合这两种结果使在面对扰动较大的对抗样本时正确率得到显著提高,并且对原始图像和扰动较小的对抗样本的正确率也很高,取得了良好的效果。
在本申请的实施例中,将原始图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像:计算原始图像中形状为2×2的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始图像大小,得到第一低频信息图像。同时,将对抗样本中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和对抗样本尺寸相同的第二低频信息图像包括以下步骤:计算对抗样本中形状为2×2的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始图像大小,得到第二低频信息图像。在另外的实施例中,也可以将原始图像中其他相邻像素点压缩成一个像素点,如形状为2×3的6个像素点压缩或形状为3×3 的9个像素点压缩,压缩后的填充比例相应的变为6或9,同时,对抗样本也进行相同形式的压缩和填充。
进一步,在本申请的一个具体实施例中,对抗样本和原始图像的关系为:
公式中θ代表模型参数,x为原始图像,x^'为对抗样本,y为x对应的标签,J()为损失函数,为对损失函数在x上求梯度,ε为扰动值。生成对抗样本的步骤包括:根据对抗样本和原始图像的关系,采用调整ε的大小的方式,将原始图像转换成不同扰动大小的对抗样本。
将第一识别结果和第二识别结果进行综合的步骤包括:将第一识别结果和第二识别结果的对应的值对应相加,得到最终识别结果。综合步骤为:检测对抗样本的扰动值,当扰动值大于预设值时将第二识别结果作为最终识别结果输出;当扰动值小于或等于预设值时将第一识别结果作为最终识别结果输出。这两种方式均能够充分结合两种结果使在面对扰动较大的对抗样本时正确率得到显著提高,并且对原始图像和扰动较小的对抗样本的正确率也很高,取得了良好的效果。
进一步,第一卷积神经网络模型和第二卷积神经网络模型均采用LeNet卷积神经网络模型。图像数据的尺寸不同,对经典的网络结构进行修改,具体的,对其INPUT和全连接层输入做了修改使得其能够用应用于相应尺寸图像。
为验证本实施例的效果,本申请做了以下验证试验。
本实施例的实验将使用mnist数据集作为训练和攻击的数据集。mnist数据集包含60,000个用于训练的示例和10,000个用于测试的示例。这些数字已经过尺寸标准化并位于图像中心,图像是固定大小(28*28像素),其值为0到1。网络模型使用一个经典的卷积神经网络LeNet,生成第一神经网络模型和第二卷积神经网络模型。试验中,第一低频信息图像采用计算原始图像中形状为2×2 的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始图像大小得到。对抗样本根据对抗样本和原始图像的关系为:生成。实验结果如表1所示。
表1
我们可以看出在防御对抗样本攻击时,都使得模型的鲁棒性得到了提高。使用上述基于固定像素点获取低频信息的对抗样本防御方法和原始图像共同识别时,模型的识别正确率最高时提高了7%左右。
按照本文提出的基于低频信息的对抗样本防御方法,修改后的模型在面对对抗样本是正确率得到了显著的提高。虽然在扰动较大时效果并没有特别显著的提高,但其中的一部分图像因为扰动的破坏性过强,其实已经可以影响到人眼的判断。这与对抗样本的定义已经存在了一定程度的偏离。所以,本文提出的方法取得了期望的效果。
以上说明内容仅为本发明较佳实施例,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Claims (3)
1.一种基于固定像素点获取低频信息的对抗样本防御方法,其特征在于,提取原始图像中的低频信息,采用图像压缩方式提取原始图像中的低频信息,图像压缩方式为将原始图像中的四个像素点压缩为一个像素点,再将压缩后的像素点,按照一比四的比例填充为原图大小,四个像素点的选取为紧挨着的形状为2×2的四个像素,压缩后选取的像素点为原始图像上的四个像素点中固定位置的像素点,填充的方式为将压缩选取的像素点作为压缩后的值,将压缩后的值填充到四个像素点对应的位置,使用预测用的原始图像和接受低频信息训练的模型对提取出来的低频信息分别进行预测,然后将两者的预测结果结合,得到最后的预测结果;
包括如下步骤:
S1:压缩原始图像,然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像;
S2:设置相同的第一卷积神经网络模型和第二卷积神经网络模型;
S3:第一卷积神经网络模型对未压缩的原始图像进行训练,确保在面对未压缩的原始图像的样本时,第一卷积神经网络模型对其中的高频信息加以利用;第二卷积神经网络模型对第一低频信息图像进行训练,确保面对第一低频信息图像时,第二卷积神经网络模型对其中的低频信息加以利用;
S4:生成原始图像的对抗样本,提取对抗样本的低频信息,该低频信息命名为第二低频信息图像;
S5:第一卷积神经网络模型对对抗样本进行识别,得到第一识别结果,第二卷积神经网络模型对第二低频信息图像进行识别,得到第二识别结果;
S6:第一识别结果和第二识别结果对应相加得到最终识别结果,S6的具体步骤为检测对抗样本的扰动值,当扰动值大于预设值时,将第二识别结果作为最终识别结果输出;当扰动值小于或等于预设值时,将第一识别结果作为最终识别结果输出。
2.如权利要求1所述的一种基于固定像素点获取低频信息的对抗样本防御方法,其特征在于,对抗样本和原始图像的关系为:
公式中θ代表模型参数,x为原始图像,x^'为对抗样本,y为x对应的标签,J()为损失函数,为对损失函数在x上求梯度,ε为扰动值;
生成对抗样本的步骤包括:根据对抗样本和原始图像的关系,采用调整ε的大小的方式,将原始图像转换成不同扰动大小的对抗样本。
3.如权利要求1所述的一种基于固定像素点获取低频信息的对抗样本防御方法,其特征在于,第一卷积神经网络模型和第二卷积神经网络模型均采用LeNet卷积神经网络模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110535768.9A CN113569897B (zh) | 2021-05-17 | 2021-05-17 | 一种基于固定像素点获取低频信息的对抗样本防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110535768.9A CN113569897B (zh) | 2021-05-17 | 2021-05-17 | 一种基于固定像素点获取低频信息的对抗样本防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113569897A CN113569897A (zh) | 2021-10-29 |
| CN113569897B true CN113569897B (zh) | 2024-04-05 |
Family
ID=78161538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110535768.9A Active CN113569897B (zh) | 2021-05-17 | 2021-05-17 | 一种基于固定像素点获取低频信息的对抗样本防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113569897B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019232772A1 (en) * | 2018-06-08 | 2019-12-12 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for content identification |
| CN111709435A (zh) * | 2020-05-18 | 2020-09-25 | 杭州电子科技大学 | 一种基于离散小波变换的对抗样本生成方法 |
| CN112200257A (zh) * | 2020-10-16 | 2021-01-08 | 支付宝(杭州)信息技术有限公司 | 对抗样本的生成方法及装置 |
| CN112287943A (zh) * | 2020-09-28 | 2021-01-29 | 北京航空航天大学 | 一种基于图像增强技术的对抗攻击防御方法 |
| CN112364885A (zh) * | 2020-10-12 | 2021-02-12 | 浙江大学 | 一种基于深度神经网络模型可解释性的对抗样本防御方法 |
| CN112396129A (zh) * | 2020-12-08 | 2021-02-23 | 中山大学 | 一种对抗样本检测方法及通用对抗攻击防御系统 |
| CN112560901A (zh) * | 2020-12-01 | 2021-03-26 | 南京航空航天大学 | 一种基于图像预处理与对抗训练结合的防御对抗样本的方法 |
| CN112633306A (zh) * | 2019-09-24 | 2021-04-09 | 杭州海康威视数字技术股份有限公司 | 对抗图像的生成方法及装置 |
| CN112766401A (zh) * | 2021-01-28 | 2021-05-07 | 哈尔滨工业大学 | 基于显著性对抗训练的对抗样本防御方法 |
-
2021
- 2021-05-17 CN CN202110535768.9A patent/CN113569897B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019232772A1 (en) * | 2018-06-08 | 2019-12-12 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for content identification |
| CN112633306A (zh) * | 2019-09-24 | 2021-04-09 | 杭州海康威视数字技术股份有限公司 | 对抗图像的生成方法及装置 |
| CN111709435A (zh) * | 2020-05-18 | 2020-09-25 | 杭州电子科技大学 | 一种基于离散小波变换的对抗样本生成方法 |
| CN112287943A (zh) * | 2020-09-28 | 2021-01-29 | 北京航空航天大学 | 一种基于图像增强技术的对抗攻击防御方法 |
| CN112364885A (zh) * | 2020-10-12 | 2021-02-12 | 浙江大学 | 一种基于深度神经网络模型可解释性的对抗样本防御方法 |
| CN112200257A (zh) * | 2020-10-16 | 2021-01-08 | 支付宝(杭州)信息技术有限公司 | 对抗样本的生成方法及装置 |
| CN112560901A (zh) * | 2020-12-01 | 2021-03-26 | 南京航空航天大学 | 一种基于图像预处理与对抗训练结合的防御对抗样本的方法 |
| CN112396129A (zh) * | 2020-12-08 | 2021-02-23 | 中山大学 | 一种对抗样本检测方法及通用对抗攻击防御系统 |
| CN112766401A (zh) * | 2021-01-28 | 2021-05-07 | 哈尔滨工业大学 | 基于显著性对抗训练的对抗样本防御方法 |
Non-Patent Citations (4)
| Title |
|---|
| A Survey on the New Generation of Deep Learning in Image Processing;Licheng Jiao;《IEEE》;20191128;全文 * |
| An adversarial examples defense method based on image low-frequency information;ZA Song, ZJ Deng;《springer》;20210629;全文 * |
| 基于贝叶斯优化与小波变换的黑盒对抗攻击研究;刘林兴;《中国优秀硕士学位论文全文数据库》;20210430;全文 * |
| 针对对抗样本的图像识别系统防御方法研究;宋子安;《中国优秀硕士学位论文全文数据库》;20230228;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113569897A (zh) | 2021-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109948658B (zh) | 面向特征图注意力机制的对抗攻击防御方法及应用 | |
| CN111475797B (zh) | 一种对抗图像生成方法、装置、设备以及可读存储介质 | |
| CN110941794B (zh) | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 | |
| Wang et al. | SmsNet: A new deep convolutional neural network model for adversarial example detection | |
| CN114677722A (zh) | 一种融合多尺度特征的多监督人脸活体检测方法 | |
| Wang et al. | HidingGAN: High capacity information hiding with generative adversarial network | |
| CN111783890A (zh) | 一种针对图像识别过程中的小像素对抗样本防御方法 | |
| CN115984979A (zh) | 一种面向未知对抗攻击的人脸伪造识别方法及装置 | |
| Zhu et al. | Destroying robust steganography in online social networks | |
| Meenakshi et al. | A hybrid matrix factorization technique to free the watermarking scheme from false positive and negative problems | |
| CN114049537B (zh) | 一种基于卷积神经网络的对抗样本防御方法 | |
| CN115273247A (zh) | 一种针对深度伪造的主动防御方法、系统 | |
| CN113221388B (zh) | 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法 | |
| CN113034332A (zh) | 不可见水印图像、后门攻击模型构建、分类方法及系统 | |
| CN113569897B (zh) | 一种基于固定像素点获取低频信息的对抗样本防御方法 | |
| Hussain et al. | A novel hybrid fuzzy-SVM image steganographic model | |
| CN117152486A (zh) | 一种基于可解释性的图像对抗样本检测方法 | |
| CN116311439A (zh) | 一种人脸验证隐私保护方法和装置 | |
| CN114693973A (zh) | 一种基于Transformer模型的黑盒对抗样本生成方法 | |
| CN116258867A (zh) | 一种基于关键区域低感知性扰动的对抗样本生成方法 | |
| CN115017501A (zh) | 一种基于不确定性估计的图像对抗攻击样本检测方法和系统 | |
| CN113191380B (zh) | 一种基于多视角特征的图像取证方法及系统 | |
| CN114549271A (zh) | 一种基于DCFERNet的零水印生成以及提取方法 | |
| CN113409407A (zh) | 一种基于平均压缩获取低频信息的对抗样本防御方法 | |
| Liu et al. | Hybrid domain digital watermarking scheme based on improved differential evolution algorithm and singular value block embedding |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |