CN113780557A - 基于免疫理论的对抗图像攻击方法、装置、产品及介质 - Google Patents

基于免疫理论的对抗图像攻击方法、装置、产品及介质 Download PDF

Info

Publication number
CN113780557A
CN113780557A CN202111332352.3A CN202111332352A CN113780557A CN 113780557 A CN113780557 A CN 113780557A CN 202111332352 A CN202111332352 A CN 202111332352A CN 113780557 A CN113780557 A CN 113780557A
Authority
CN
China
Prior art keywords
attention
image
activation
weight
neural network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111332352.3A
Other languages
English (en)
Other versions
CN113780557B (zh
Inventor
郭克华
胡斌
任盛
奎晓燕
赵颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Central South University
Original Assignee
Central South University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Central South University filed Critical Central South University
Priority to CN202111332352.3A priority Critical patent/CN113780557B/zh
Publication of CN113780557A publication Critical patent/CN113780557A/zh
Application granted granted Critical
Publication of CN113780557B publication Critical patent/CN113780557B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/086Learning methods using evolutionary algorithms, e.g. genetic algorithms or genetic programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Security & Cryptography (AREA)
  • Physiology (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于免疫理论的对抗图像攻击方法、装置、产品及介质,基于图像像素的位置关系,利用神经网络损失函数的梯度回传学习每一个像素所占的权重值,得到注意力权重,将注意力权重与像素值相乘后输入激活函数,得到注意力类激活图A c (i,j),所述类激活图可近似表征图像目标像素;通过掩码B k 随机掩盖注意力类激活图A c (i,j),获取对非目标像素攻击无效的注意力激活图
Figure 162535DEST_PATH_IMAGE001
,利用非目标像素攻击无效的注意力激活图
Figure 873002DEST_PATH_IMAGE001
获取分类特征向量
Figure 100004_DEST_PATH_IMAGE002
;将分类特征向量
Figure 243066DEST_PATH_IMAGE002
输入设计的泛化性鲁棒损失函数计算梯度值,利用梯度值对神经网络进行后向传播,训练所述神经网络。本发明的方法在对抗图像攻击任务中达到了最先进防御水平。

Description

基于免疫理论的对抗图像攻击方法、装置、产品及介质
技术领域
本发明涉及人工智能领域,特别是一种基于免疫理论的对抗图像攻击方法、装置、产品及存储介质。
背景技术
尽管神经网络在对抗攻击中取得了一些进展,但相比于人类免疫系统对病原体的防御能力仍显得十分脆弱。在自然界,免疫系统能够实时检测病毒的入侵和细胞的异常,使生物体免于遭受大细菌和病毒的攻击。这种天然的保护机制是免疫系统与病原体的斗争中进化产生,称之为免疫学原理。从生物是自然智能载体的角度出发,免疫学原理对解决神经网络在安全方面的脆弱性问题,具有新颖的启发性意义和潜力。
目前,现有研究虽然提出了一些基于免疫理论的图像识别方法,但是这些方法多利用免疫理论中的进化效应获取更优准确率的特征,这种单纯追求准确率的人工智能方法在众多安全领域却无法令人信赖,特别是风险敏感型应用领域(金融安全、智能安防),当人工智能模型被恶意者攻击和利用将会导致巨大的系统性风险。
虽然在减轻这种潜在威胁上,已经提出了一些防御方法,如对抗性训练。由于对抗性训练的目标是搜寻整个图像中对梯度最大影响的像素进行修改,但图像中目标对象只存在一部分像素。对非目标对象像素的篡改,并不属于对目标本身的攻击。此外,神经网络的分类函数多数是以全连接层和Softmax函数等组成。这种由单一成分构成的决策函数不仅缺乏一定的可解释性,而且在攻击样本下也显得十分脆弱。对抗性训练方法中对攻击的目标对象不加区分,导致现有的方法难以通过对抗性训练形成稳定的防御能力。此外,神经网络缺乏对攻击的防御性结构使得被恶意者攻击的风险大大增加。
总而言之,现有技术存在以下缺陷:
(1)现有的对抗图像攻击的方法中未对图像中目标像素和非目标像素的攻击方式进行区分。目前,对图像中非目标像素的篡改也被笼统的视为对图像的攻击,这种粗粒度攻击感知方式使得神经网络模型在图像识别中难以对抗图像攻击而导致识别错误。
(2)传统的神经网络中,分类函数多以全连接层和Softmax等组成。这种由单一成分构成的决策函数不仅缺乏一定的可解释性,而且在攻击样本下也显得十分脆弱。
发明内容
本发明所要解决的技术问题是,针对现有技术不足,提供一种基于免疫理论的对抗图像攻击方法、装置、产品及存储介质,在维持图像识别准确率的同时,提高对抗图像攻击的防御能力。
为解决上述技术问题,本发明所采用的技术方案是:一种基于免疫理论的对抗图像攻击方法,包括以下步骤:
S1、基于图像像素的位置关系,利用神经网络损失函数的梯度回传学习每一个像素所占的权重值,得到注意力权重,将注意力权重与像素值相乘后输入激活函数,得到注意力类激活图A c (i, j),所述类激活图近似表征图像的目标像素;
S2、通过掩码B k 随机掩盖注意力类激活图A c (i, j),获取对图像中非目标像素攻击无效的注意力激活图
Figure 635189DEST_PATH_IMAGE001
,利用图像中非目标像素攻击无效的注意力激活图
Figure 918403DEST_PATH_IMAGE001
获取分类特征向量
Figure 100002_DEST_PATH_IMAGE002
S3、将分类特征向量
Figure 803182DEST_PATH_IMAGE002
输入设计的泛化性鲁棒损失函数计算梯度值,利用梯度值对神经网络进行后向传播,训练所述神经网络。
本发明通过构建注意力类激活图A c (i, j)能够引导对抗性训练专注于目标像素,并设计对非目标像素攻击无效的注意力激活图
Figure 663691DEST_PATH_IMAGE001
,使非目标像素难以被对抗样本所利用,引导模型学习更多的不易察觉的特征。此外,设计了泛化性鲁棒损失函数
Figure 100002_DEST_PATH_IMAGE003
提升对攻击样本的感知能力,更好发挥在图像识任务下对抗图像攻击样本的能力。本发明在维持图像识别准确率的同时,提高了对抗图像攻击的防御能力。
步骤S1中,注意力类激活图A c (i, j)的表达式为:
Figure 100002_DEST_PATH_IMAGE004
其中,A c (i, j)表示第c个通道下(i, j)位置的注意力类激活图;f 1×1conv (·)代表1x1卷积;
Figure 100002_DEST_PATH_IMAGE005
Figure 100002_DEST_PATH_IMAGE006
分别表示第c个通道下高度位置为h的水平注意力权重和第c个通道下高度位置为w的垂直注意力权重,
Figure 100002_DEST_PATH_IMAGE007
是sigmoid激活函数,x c (i, j)表示第c个通道下宽度位置为j、高度位置为i的图像特征。注意力类激活图展示了学习完成后的神经网络模型更关注于图像中不同类别的目标像素区域,因此,通过构建注意力类激活图A c (i, j)能够引导对抗性训练专注于目标像素。
步骤S2中,对非目标像素攻击无效的注意力激活图
Figure 957531DEST_PATH_IMAGE001
的表达式如下:
Figure 100002_DEST_PATH_IMAGE008
α为抑制因子,B k (i, j)表示当注意力激活图A c (i, j)掩码位置(i, j)处像素值为0时,第c个通道下(i, j)位置保持原来的值,否则乘以抑制因子α。
通过设计对非目标像素攻击无效的注意力激活图
Figure 954306DEST_PATH_IMAGE001
,使非目标像素难以被对抗样本所利用,引导模型学习更多的不易察觉的特征。即使在面对外观相似的类别也能得到目标像素中强区分部分。
步骤S2中,分类特征向量
Figure 100002_DEST_PATH_IMAGE009
的表达式为:
Figure 100002_DEST_PATH_IMAGE010
;其中S(·)表示Softmax(·)分类器。通过采用全局平均池化AvgPool(·)和FC(·)全连接层来获取最后的分类特征向量
Figure 806725DEST_PATH_IMAGE009
,实现对特征的降维以获取具有类别特征信息的分类特征向量。
步骤S3中,泛化性鲁棒损失函数
Figure DEST_PATH_IMAGE011
的表达式为:
Figure 100002_DEST_PATH_IMAGE012
其中,
Figure 100002_DEST_PATH_IMAGE013
smb表示超参数,W L 表示第L维权重子向量,l=1,2,...LL是权重子向量维数;
Figure 100002_DEST_PATH_IMAGE014
是特征向量,1 y 表示示性函数,||·||表示求模长运算,S(·)表示Softmax(·)分类器;
Figure 100002_DEST_PATH_IMAGE015
表示权重向量,z表示特征子向量,
Figure 100002_DEST_PATH_IMAGE016
表示权重向量与特征向量的余弦夹角。
通过设计泛化性鲁棒损失函数
Figure DEST_PATH_IMAGE017
提升对攻击样本的感知能力,更好发挥在图像识任务下对抗图像攻击样本的能力。
本发明的方法还包括:
S4、将图像输入训练后的神经网络,识别图像类别。
作为一个发明构思,本发明还提供了一种计算机装置,包括存储器、处理器及存储在存储器上的计算机程序;所述处理器执行所述计算机程序,以实现本发明方法的步骤。
作为一个发明构思,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序/指令;所述计算机程序/指令被处理器执行时实现本发明方法的步骤。
作为一个发明构思,本发明还提供了一种计算机程序产品,包括计算机程序/指令;该计算机程序/指令被处理器执行时实现本发明方法的步骤。
与现有技术相比,本发明所具有的有益效果为:本发明针对现有的图像识别任务下对抗图像攻击缺乏鲁棒性的问题提出了基于免疫理论的对抗图像攻击的方法。通过设计非目标像素攻击无效的注意力激活图减少了攻击样本对神经网络识别图像过程的破坏。通过模拟多功能免疫细胞的协同效应设计泛化性鲁棒损失函数,有效改善了图像识别模型在攻击下的鲁棒性,而且还降低了神经网络在应用时被恶意者利用的风险。结果显示,免疫学原理启发的神经网络设计达到了对抗图像攻击最先进的防御水平。
附图说明
图1为在生物体内的抗体的演化原理流程图;
图2为在生物体内的多功能免疫细胞的协同作用流程图;
图3为本发明实施例基于免疫学原理设计的神经网络体系结构图;
图4为本发明实施例神经支持决策树驱动的免疫反应算法对攻击样本的可视化图。
具体实施方式
本发明提出了两种神经网络的免疫学原理和设计,免疫学原理I在生物体内的抗体的演化原理流程图,如图1所示。通过模拟抗体识别“自身”和“非己”的演化机制,设计类激活图作为神经网络的“类生物抗体”实现在类激活图的指引下生成对目标敏感的对抗性样本,避免篡改非目标对象的像素时触发模型的攻击。免疫原理II在生物体内的多功能免疫细胞的协同作用流程图,如图2所示。本发明提出了一种神经支持决策树[2]驱动的免疫反应算法。通过模拟多功能免疫细胞的协同作用,让决策具有多样性与协同性,避免了以往单一决策函数不可解释性的问题。本发明基于免疫学原理设计的神经网络体系结构图,如图3所示。
基于免疫学原理I设计“类生物抗体”:
在生物免疫学原理中抗体的演化对病原体的识别起着至关重要的作用。生物体抗体的引导免疫细胞快速且精准捕捉到病原体,然而神经网络中却缺乏这样的过程。基于此,本发明提出了免疫原理I:通过构建“类生物抗体”识别“自身”与“非己”成分,让对抗训练专注于真正的“入侵者”。通过将类似生物抗体的导引机制引入神经网络的对抗训练,即需要设计一种“类生物抗体”来区分对抗性扰动是否作用于目标像素。实现当作用于非目标像素不触发攻击,只有作用于目标像素攻击才被触发。
因此,本发明设计了一种“类生物抗体”来区分目标像素和非目标像素。
步骤1,针对图像进行对抗性训练生成对抗样本;
步骤2,基于生成的对抗样本设计注意力模块和多元化模块引导识别目标像素,以减轻对图像中非目标像素的依赖性。
由于注意力模块和多元化模块的功能类似生物抗体的导引机制,因此将其称为“类生物抗体”。
通过将类激活图视为“类生物抗体”,构建类激活的鲁棒性表征引导对抗性训练专注于目标像素。具体实现为:首先,基于像素的位置关系提取类激活图。然后,为了使峰值响应难以被对抗样本所利用,通过随机抑制响应高的区域引导模型学习更多的不易察觉的特征。
为了获取精确的类激活图,本发明设计了注意力模块。具体来说,针对高为H,宽为W和通道为C的输入图像xR C×H×W 应用(H,1)和(1,W)的池化核,此处R表示维度。然后,让其分别沿着水平和垂直位置对每一个通道进行编码,因此,高度为h的第c个通道的输出和宽度为w的第c个通道的输出可以表示为:
Figure DEST_PATH_IMAGE018
(1)
其中,x c (h,i)表示第c个通道下高度位置为h宽度位置为i的特征。x c (j,w)表示第c个通道下宽度位置为
Figure DEST_PATH_IMAGE019
高度位置为j的特征,而HW表示为输入图像的高度和宽度,属于常量。
通过分别沿两个空间方向聚合特征,得到水平和垂直方向感知的特征图。简单来说,当注意力模块捕捉到沿着一个空间方向的长期依赖关系,并保存沿着另一个空间方向的精确位置信息,这有助于网络更准确地定位感兴趣的目标。接下来对上述通道输出进行拼接,并利用1x1卷积进行编码。可以表示为:
Figure DEST_PATH_IMAGE020
(2)
然后,沿着空间维度将S分解为高度位置为h维度为(C/r×H的特征s h R C/r×H 和宽度位置为w维度为(C/r×W的特征s w R C/r×W ,其中C表示输入图像通道总数,W表示输入图像的宽度,H表示输入图像的高度,r表示缩减率。接下来,利用1x1卷积分别变换为具有相同通道的张量到输入x。最终,注意力机制可以表示如下:
Figure DEST_PATH_IMAGE021
(3)
其中,A c (i, j)表示第c个通道下(i, j)位置的注意力类激活图;f 1×1conv (·)代表1x1卷积;
Figure DEST_PATH_IMAGE022
Figure 872639DEST_PATH_IMAGE006
分别表示第c个通道下高度位置为h的水平注意力权重和第c个通道下高度位置为w的垂直注意力权重,
Figure DEST_PATH_IMAGE023
是sigmoid激活函数,x c (i, j)表示第c个通道下宽度位置为j、高度位置为i的图像特征。
虽然基于注意力类激活图能够近似表征目标像素。但是,本发明需要得到的是在模型遭到对抗样本攻击时依然能具有强区分度的目标像素。因此,引入多元化模块[3]能够迫使网络去获取更多不易察觉的特征。即使在面对外观相似的类别也能得到目标像素中强区分部分。
在多元化模块[3]的帮助下,模型能够发现不易察觉的细微特征和削弱显著特征的作用。当面对对抗样本时,由于其对梯度值最大的目标像素依赖性降低,导致攻击的成功率降低。具体来说,针对上述注意力类激活图A c (i, j)设计掩码B k 进行随机抑制,随机抑制过程如下:
Figure DEST_PATH_IMAGE024
(4)
α为抑制因子,B k (i, j)表示当注意力激活图A c (i, j)掩码位置(i, j)处像素值为0时,第c个通道下(i, j)位置保持原来的值,否则乘以抑制因子α。
其次,在特征抑制后,采用全局平均池化AvgPool(·)和FC(·)全连接层来获取最后的分类特征向量
Figure DEST_PATH_IMAGE025
。其过程表示如下:
Figure DEST_PATH_IMAGE026
(5)
其中S(·)表示Softmax(·)分类器;AvgPool(·)表示全局平均池化;FC(·)表示全连接层;
Figure DEST_PATH_IMAGE027
表示对非目标像素攻击无效的注意力激活图。通过基于多元化神经模块重构对抗性特征,在面对对抗样本时,由于其对梯度值最大的目标像素依赖性降低,从而降低攻击的成功率。
2. 基于免疫学原理II设计免疫反应算法:
基于免疫学原理I实现在神经网络特征编码过程的区分目标像素与非目标像素的,获得分类特征向量
Figure DEST_PATH_IMAGE028
。但是传统神经网络的分类器Softmax缺乏对图像中目标像素攻击鲁棒的决策过程。因此,基于此,本发明提出了免疫原理II:设计“具有协同作用的多功能决策函数”来实现更鲁棒的决策函数。当攻击来临,决策函数要能感知攻击的态势。此外,需要构建多功能决策结构协同响应,避免因单一决策导致的误判。
为了实现攻击态势的协同响应与决策结构协同响应,本发明引入神经支持决策树[2]提升对攻击样本的感知能力。尽管神经支持决策树有天然的协同响应结构。但是,对于对抗样本,仍容易被胁持梯度导致决策失败。因此,为了更好发挥神经支持决策树协同防御对抗攻击样本的能力,本发明设计了泛化性鲁棒损失函数
Figure DEST_PATH_IMAGE029
。此外,本发明神经支持决策树驱动的免疫反应算法对攻击样本的可视化图,如图4所示。
Figure DEST_PATH_IMAGE030
(6)
Figure DEST_PATH_IMAGE031
(7)
smb表示超参数,W L 表示第L维权重子向量,l=1,2,...LL是权重子向量维数;
Figure DEST_PATH_IMAGE032
是特征向量,1 y 表示示性函数,||·||表示求模长运算,S(·)表示Softmax(·)分类器;
Figure DEST_PATH_IMAGE033
表示权重向量,z表示特征子向量,
Figure DEST_PATH_IMAGE034
表示权重向量与特征向量的余弦夹角。
通过设计一种神经支持决策树驱动的免疫反应算法,实现对抗攻击的态势感知与精准检测。在免疫反应算法的驱动下神经网络达到最优的防御性能。
本发明首先基于免疫学原理I,设计类激活图作为神经网络的“类生物抗体”。通过模拟抗体识别“自身”和“非己”的演化机制,实现在类激活图的指引下生成对目标敏感的对抗性样本,避免篡改非目标对象的像素时触发模型的攻击。基于免疫原理II,本发明提出了一种神经支持决策树[2]驱动的免疫反应算法。通过模拟多功能免疫细胞的协同作用,让决策具有多样性与协同性,避免了以往单一决策函数不可解释。具体流程如下:
1. 基于免疫学原理I设计“类生物抗体”:
第一步:基于图像像素的位置关系,利用神经网络的损失函数的梯度回传学习每一个像素所占的权重值,得到注意力权重,将注意力权重与像素值相乘后输入激活函数,得到注意力类激活图A c (i, j),所述类激活图近似表征图像的目标像素;
第二步:通过掩码B k 随机掩盖注意力类激活图A c (i, j),引导模型学习更多的不易察觉的特征,获取对图像中非目标像素攻击无效的注意力激活图
Figure 685349DEST_PATH_IMAGE027
。然后,通过全局平均池化AvgPool(·)、FC(·)全连接层和Softmax(·)分类器来获取分类特征向量
Figure DEST_PATH_IMAGE035
基于免疫学原理II设计免疫反应算法:
第三步:将分类特征向量
Figure 536631DEST_PATH_IMAGE035
输入设计的泛化性鲁棒损失函数计算梯度值,然后将梯度值对神经网络进行后向传播[10]来执行训练,实现提升图像识别模型对攻击样本的感知能力,更好发挥在图像识任务下对抗图像攻击样本的能力。
为了验证基于免疫理论的对抗图像攻击方法的防御能力,本发明在CIFAR-10[4]数据集进行实验验证。
在CIFAR-10数据集上,本发明针对基于免疫理论的对抗图像攻击方法测试了不同攻击下的防御效果,包括PGD[5],MIM[6],FGSM[7],本发明在表1中展示了分类精度。其中攻击方法后面的数字表示的迭代次数,例如20步PGD作为PGD-20。为了验证本发明提出的基于免疫理论的对抗图像攻击方法在面对不同种类的攻击下的防御优势,本发明将其与目前最新的三种对抗图像攻击方法[5][8][9]进行比较。
表1本发明方法与目前最新的三种对抗攻击方法在对抗图像攻击方法结果对比
Figure DEST_PATH_IMAGE036
由表格1实验数据表明本发明提出的基于免疫理论的对抗图像攻击方法在面对不同种类的攻击下达到最优的图像分类精度。与目前最新的三种对抗图像攻击方法[5][8][9]相比,本发明的图像分类平均高出约2%。在五种攻击下,充分证明本发明提出的基于免疫理论的对抗图像攻击方法在实践中具有实用价值。
参考文献:
[1]LS Taams. Neuroimmune interactions: how the nervous and immunesystems influence each other. Clinical & Experimental Immunology, 197(3):276–277, 2019.
[2]Alvin Wan, Lisa Dunlap, Daniel Ho, Jihan Yin, Scott Lee, HenryJin, Suzanne Petryk,Sarah Adel Bargal, and Joseph E Gonzalez. Nbdt: neural-backed decision trees. arXiv preprint arXiv:2004.00221, 2020.
[3]Guolei Sun, Hisham Cholakkal, Salman Khan, Fahad Khan, and LingShao. Fine-grainedrecognition: Accounting for subtle differences betweensimilar classes. In Proceedings of the AAAI Conference on ArtificialIntelligence, volume 34, pages 12047–12054, 2020.
[4]A Krizhevsky. Learning multiple layers of features from tinyimages. Master’s thesis, University of Tront, 2009.
[5]Aleksander Madry, Aleksandar Makelov, Ludwig Schmidt, DimitrisTsipras, and Adrian Vladu. Towards deep learning models resistant toadversarial attacks. In International Conference on Learning Representations,2018.
[6]Yinpeng Dong, Fangzhou Liao, Tianyu Pang, Hang Su, Jun Zhu,Xiaolin Hu, and Jianguo Li. Boosting adversarial attacks with momentum. InProceedings of the IEEE conference on computer vision and patternrecognition, pages 9185–9193, 2018.
[7]Ian J Goodfellow, Jonathon Shlens, and Christian Szegedy.Explaining and harnessing adversarial examples. In International Conferenceon Learning Representations (ICLR), 2015.
[8]Harini Kannan, Alexey Kurakin, and Ian Goodfellow. Adversariallogit pairing. arXiv preprint arXiv:1803.06373, 2018.
[9]Hongyang Zhang, Yaodong Yu, Jiantao Jiao, Eric Xing, Laurent ElGhaoui, and Michael Jordan. Theoretically principled trade-off betweenrobustness and accuracy. In International Conference on Machine Learning,pages 7472–7482. PMLR, 2019.
[10] Rumelhart D E, Hinton G E, Williams R J. Learningrepresentations by back-propagating errors. nature, 1986, 323(6088): 533-536.

Claims (9)

1.一种基于免疫理论的对抗图像攻击方法,其特征在于,包括以下步骤:
S1、基于图像像素的位置关系,利用神经网络损失函数的梯度学习每一个像素所占的权重值,得到注意力权重,将注意力权重与像素值相乘后输入激活函数,得到注意力类激活图A c (i, j),所述类激活图表征图像目标像素;
S2、通过掩码B k 随机掩盖注意力类激活图A c (i, j),获取对图像中非目标像素攻击无效的注意力激活图
Figure DEST_PATH_IMAGE001
,利用图像中非目标像素攻击无效的注意力激活图
Figure DEST_PATH_IMAGE002
获取分类特征向量
Figure DEST_PATH_IMAGE003
S3、将分类特征向量
Figure 72399DEST_PATH_IMAGE003
输入泛化性鲁棒损失函数,计算梯度值,利用梯度值对神经网络进行反向传播,训练所述神经网络。
2.根据权利要求1所述的基于免疫理论的对抗图像攻击方法,其特征在于,步骤S1中,注意力类激活图A c (i, j)的表达式为:
Figure DEST_PATH_IMAGE004
其中,A c (i, j)表示第c个通道下(i, j)位置的注意力类激活图;f 1×1conv (·)代表1x1卷积;
Figure DEST_PATH_IMAGE005
Figure DEST_PATH_IMAGE006
分别表示第c个通道下高度位置为h的水平注意力权重和第c个通道下高度位置为w的垂直注意力权重,
Figure DEST_PATH_IMAGE007
是sigmoid激活函数,x c (i, j)表示第c个通道下宽度位置为j、高度位置为i的图像特征。
3.根据权利要求1所述的基于免疫理论的对抗图像攻击方法,其特征在于,步骤S2中,对非目标像素攻击无效的注意力激活图
Figure 114174DEST_PATH_IMAGE002
的表达式如下:
Figure DEST_PATH_IMAGE008
其中α为抑制因子,B k (i, j)表示当注意力激活图A c (i, j)掩码位置(i, j)处像素值为0时,第c个通道下(i, j)位置保持原来的值,否则乘以抑制因子α。
4.根据权利要求1~3之一所述的基于免疫理论的对抗图像攻击方法,其特征在于,步骤S2中,分类特征向量
Figure DEST_PATH_IMAGE009
的表达式为:
Figure DEST_PATH_IMAGE010
;其中S(·)表示Softmax(·)分类器;AvgPool(·)表示全局平均池化;FC(·)表示全连接层。
5.根据权利要求1~3之一所述的基于免疫理论的对抗图像攻击方法,其特征在于,步骤S3中,泛化性鲁棒损失函数
Figure 785589DEST_PATH_IMAGE011
的表达式为:
Figure DEST_PATH_IMAGE012
其中,
Figure DEST_PATH_IMAGE013
smb表示超参数,W L 表示第L维权重子向量,l=1,2,...LL是权重子向量维数; 1 y 表示示性函数,||·||表示求模长运算,S(·)表示Softmax(·)分类器;
Figure DEST_PATH_IMAGE014
表示权重向量,
Figure DEST_PATH_IMAGE015
表示特征子向量,
Figure DEST_PATH_IMAGE016
表示权重向量与特征向量的余弦夹角。
6.根据权利要求1~3之一所述的基于免疫理论的对抗图像攻击方法,其特征在于,还包括:
S4、将图像输入训练后的神经网络,识别图像类别。
7.一种计算机装置,包括存储器、处理器及存储在存储器上的计算机程序;其特征在于,所述处理器执行所述计算机程序,以实现权利要求1~6之一所述方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序/指令;其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1~6之一所述方法的步骤。
9.一种计算机程序产品,包括计算机程序/指令;其特征在于,该计算机程序/指令被处理器执行时实现权利要求1~6之一所述方法的步骤。
CN202111332352.3A 2021-11-11 2021-11-11 基于免疫理论的对抗图像攻击方法、装置、产品及介质 Active CN113780557B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111332352.3A CN113780557B (zh) 2021-11-11 2021-11-11 基于免疫理论的对抗图像攻击方法、装置、产品及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111332352.3A CN113780557B (zh) 2021-11-11 2021-11-11 基于免疫理论的对抗图像攻击方法、装置、产品及介质

Publications (2)

Publication Number Publication Date
CN113780557A true CN113780557A (zh) 2021-12-10
CN113780557B CN113780557B (zh) 2022-02-15

Family

ID=78956875

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111332352.3A Active CN113780557B (zh) 2021-11-11 2021-11-11 基于免疫理论的对抗图像攻击方法、装置、产品及介质

Country Status (1)

Country Link
CN (1) CN113780557B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116543268A (zh) * 2023-07-04 2023-08-04 西南石油大学 基于通道增强联合变换的对抗样本生成方法及终端

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546113B1 (en) * 1999-03-02 2003-04-08 Leitch Technology International Inc. Method and apparatus for video watermarking
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
CN110516536A (zh) * 2019-07-12 2019-11-29 杭州电子科技大学 一种基于时序类别激活图互补的弱监督视频行为检测方法
CN111046939A (zh) * 2019-12-06 2020-04-21 中国人民解放军战略支援部队信息工程大学 基于注意力的cnn类别激活图生成方法
CN111598210A (zh) * 2020-04-30 2020-08-28 浙江工业大学 面向基于人工免疫算法对抗攻击的对抗防御方法
CN112506797A (zh) * 2020-12-22 2021-03-16 南京航空航天大学 一种针对医学影像识别系统的性能测试方法
CN112836798A (zh) * 2021-01-29 2021-05-25 华中科技大学 一种针对场景文字识别的非定向式白盒对抗攻击方法
AU2021102104A4 (en) * 2021-04-21 2021-06-10 Bora, Ashim Iot based generic framework for computer security using artificial immune system
CN113222802A (zh) * 2021-05-27 2021-08-06 西安电子科技大学 基于对抗攻击的数字图像水印方法
CN113378883A (zh) * 2021-05-12 2021-09-10 山东科技大学 一种基于通道分组注意力模型的细粒度车辆分类方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6546113B1 (en) * 1999-03-02 2003-04-08 Leitch Technology International Inc. Method and apparatus for video watermarking
CN109948658A (zh) * 2019-02-25 2019-06-28 浙江工业大学 面向特征图注意力机制的对抗攻击防御方法及应用
CN110516536A (zh) * 2019-07-12 2019-11-29 杭州电子科技大学 一种基于时序类别激活图互补的弱监督视频行为检测方法
CN111046939A (zh) * 2019-12-06 2020-04-21 中国人民解放军战略支援部队信息工程大学 基于注意力的cnn类别激活图生成方法
CN111598210A (zh) * 2020-04-30 2020-08-28 浙江工业大学 面向基于人工免疫算法对抗攻击的对抗防御方法
CN112506797A (zh) * 2020-12-22 2021-03-16 南京航空航天大学 一种针对医学影像识别系统的性能测试方法
CN112836798A (zh) * 2021-01-29 2021-05-25 华中科技大学 一种针对场景文字识别的非定向式白盒对抗攻击方法
AU2021102104A4 (en) * 2021-04-21 2021-06-10 Bora, Ashim Iot based generic framework for computer security using artificial immune system
CN113378883A (zh) * 2021-05-12 2021-09-10 山东科技大学 一种基于通道分组注意力模型的细粒度车辆分类方法
CN113222802A (zh) * 2021-05-27 2021-08-06 西安电子科技大学 基于对抗攻击的数字图像水印方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KEHUA GUO ET AL.: "Toward Anomaly Behavior Detection as an Edge Network Service Using a Dual-Task Interactive Guided Neural Network", 《IEEE INTERNET OF THINGS JOURNAL》 *
THOMAS J.RADEMAKER ET AL.: "Attack and Defense in Cellular Decision-Making: Lessons from Machine Learning", 《PHYSICAL REVIEW》 *
蒋勇 等: "一种自主免疫学习的分布式网络攻击对抗模型研究", 《计算机应用研究》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116543268A (zh) * 2023-07-04 2023-08-04 西南石油大学 基于通道增强联合变换的对抗样本生成方法及终端
CN116543268B (zh) * 2023-07-04 2023-09-15 西南石油大学 基于通道增强联合变换的对抗样本生成方法及终端

Also Published As

Publication number Publication date
CN113780557B (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
Tang et al. An embarrassingly simple approach for trojan attack in deep neural networks
Doan et al. Lira: Learnable, imperceptible and robust backdoor attacks
Pang et al. Improving adversarial robustness via promoting ensemble diversity
Bagdasaryan et al. Blind backdoors in deep learning models
Muñoz-González et al. Poisoning attacks with generative adversarial nets
CN110647918A (zh) 面向深度学习模型对抗攻击的拟态防御方法
Chan et al. Baddet: Backdoor attacks on object detection
Wang et al. Learning reliable visual saliency for model explanations
CN114066912A (zh) 基于优化算法和不变性的智能对抗样本生成方法及系统
Dong et al. Adversarially-aware robust object detector
Liang et al. A large-scale multiple-objective method for black-box attack against object detection
Hohberg Wildfire smoke detection using convolutional neural networks
CN113780557B (zh) 基于免疫理论的对抗图像攻击方法、装置、产品及介质
Hou et al. Similarity-based integrity protection for deep learning systems
Fang et al. Backdoor attacks on the DNN interpretation system
Dong et al. Erasing, transforming, and noising defense network for occluded person re-identification
Tao et al. Adversarial camouflage for node injection attack on graphs
Li et al. Generative dynamic patch attack
Lu et al. Label‐only membership inference attacks on machine unlearning without dependence of posteriors
Ding et al. Towards backdoor attack on deep learning based time series classification
Li et al. A defense method based on attention mechanism against traffic sign adversarial samples
Zhao et al. Natural backdoor attacks on deep neural networks via raindrops
Liang et al. Badclip: Dual-embedding guided backdoor attack on multimodal contrastive learning
Mi et al. Adversarial examples based on object detection tasks: A survey
CN115758337A (zh) 基于时序图卷积网络的后门实时监测方法、电子设备、介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant