CN113822328A - 防御对抗样本攻击的图像分类方法、终端设备及存储介质 - Google Patents

防御对抗样本攻击的图像分类方法、终端设备及存储介质 Download PDF

Info

Publication number
CN113822328A
CN113822328A CN202110894433.6A CN202110894433A CN113822328A CN 113822328 A CN113822328 A CN 113822328A CN 202110894433 A CN202110894433 A CN 202110894433A CN 113822328 A CN113822328 A CN 113822328A
Authority
CN
China
Prior art keywords
image classification
module
defending against
model
representing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110894433.6A
Other languages
English (en)
Other versions
CN113822328B (zh
Inventor
刘彩玲
吴婷婷
赵建强
高志鹏
张辉极
杜新胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Meiya Pico Information Co Ltd
Original Assignee
Xiamen Meiya Pico Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Meiya Pico Information Co Ltd filed Critical Xiamen Meiya Pico Information Co Ltd
Priority to CN202110894433.6A priority Critical patent/CN113822328B/zh
Publication of CN113822328A publication Critical patent/CN113822328A/zh
Application granted granted Critical
Publication of CN113822328B publication Critical patent/CN113822328B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及防御对抗样本攻击的图像分类方法、终端设备及存储介质,该方法中包括:S1:采集原始图像和其对应的对抗样本;S2:构建图像分类模型,图像分类模型采用深度神经网络结构,并在深度神经网络中添加去噪模块,去噪模块包括非局部均值模块和自注意力机制模块;S3:将原始图片和对应的对抗样本混合后对图像分类模型进行训练;S4:采用训练后的图像分类模型对图像进行分类。本发明通过端到端的方式在卷积网络的中间层添加去噪模块来降低对抗图像的噪声扰动,去噪模块由非局部均值模块和自注意力机制模块相结合,能够达到去噪目的且能够与任意卷积层相衔接,从而提高模型的对抗鲁棒性,有效解决了对抗样本攻击深度学习系统存在的隐患。

Description

防御对抗样本攻击的图像分类方法、终端设备及存储介质
技术领域
本发明涉及图像分类领域,尤其涉及一种防御对抗样本攻击的图像分类方法、终端设备及存储介质。
背景技术
随着硬件能力的快速提升和大数据的发展,人工智能已被人们广泛应用于生活的方方面面。但是,新技术发展的同时也会带来新的挑战,如恶意场景下的模型攻击。因此针对深度学习算法的应用,研究者不仅要提高模型的计算速度、模型的准确率,模型对对抗样本的攻击防御能力也成为了评估模型性能的一项重要指标。
从攻击背景分析,对抗攻击可以分为白盒攻击、黑盒攻击以及灰盒攻击。白盒攻击指的是攻击者已掌握目标攻击模型的网络结构设计、网络权重和网络防御方法等信息;黑盒攻击指的是攻击者对目标攻击模型信息一无所知,仅通过模型的输入和输出来获取有限的模型内部信息,并对有限的信息进行分析设计攻击方案;灰盒攻击介于白盒攻击和黑盒攻击两者之间,攻击者只掌握目标攻击模型的部分信息,如只获取到目标攻击模型的网络结构信息,或只获取到目标攻击模型的网络权重。从攻击目的分析,对抗攻击可分为:定向攻击和非定向攻击。定向攻击指的是攻击者对目标攻击模型进行定向攻击时,能够使其输出的预测结果为事先设定的类别。非定向攻击指的是攻击者对目标攻击模型进行不定向攻击时,能够使其输出的预测结果为除了正确类别外的其他类别。
由于对抗样本具有较强的迁移性,因此对于同一个对抗样本能够在不同网络结构下干扰其分类。同时,相同数据集下不相交的子集训练的模型能够错误分类样本。不论是深层网络还是浅层网络都同样容易受到对抗样本的影响。
当前常见的提升模型鲁棒性的方法主要有修改模型训练数据以及数据分布、更改网络结构和增加外部模块的方法。修改模型训练数据可以提升模型鲁棒性的依据是由于模型在训练过程中训练数据覆盖范围将影响模型的泛化能力。因此,将对抗样本加入到训练数据中训练可以抵抗相应的对抗攻击。另一种修改数据方式是对测试数据进行压缩,利用JPG压缩算法对待预测样本进行处理从而降低对抗样本中的对抗扰动,提升模型的鲁棒性。但是,JPG图像压缩算法是针对FGSM和DeepFool攻击算法构建的防御策略,无法防御C&W等更强的攻击算法。
由于目前大多数的攻击算法都是基于梯度实现的,因此更改网络结构能够在一定程度上增加模型的鲁棒性。更改网络结构的其中一个方法是遮掩模型的梯度。当一个模型不可微分时,该模型无法采用FGSM攻击算法构造对抗样本。但是,攻击者依然可以在替代模型上训练对抗样本进行攻击,从而影响模型的鲁棒性。另一种常用的更改网络结构方法是防御性蒸馏,学生网络与教师网络所使用的结构是相同的。将教师模型学习的知识迁移到学生模型中,该方法虽然有助于提高模型的鲁棒性,但是防御性蒸馏依然不能很好的防御C&W攻击。
在原有模型的基础上增加一个外部检测模型也是防御对抗样本攻击的主要方法。该检测模型的训练与原模型完全独立,不影响原模型的分类性能。但是,该方法存在一定的局限性,只能防御全局扰动,无法阻止其他类型的攻击。还有一类外部防御是特征压缩算法,它的实现主要包含两类特征压缩的方式,第一类是减小每个像素的深度,从原有的256个取值范围进行压缩,减小取值范围。第二类是减小空间维度上的差异,通过一些像素平滑技术,如中值模糊等去除相邻像素之间的相关性。该方法可以有效的提升模型的鲁棒性,但同时也会在一定程度上导致模型的准确率下降。
发明内容
为了解决上述问题,本发明提出了一种防御对抗样本攻击的图像分类方法、终端设备及存储介质。
具体方案如下:
一种防御对抗样本攻击的图像分类方法,包括以下步骤:
S1:采集原始图像和其对应的对抗样本;
S2:构建图像分类模型,图像分类模型采用深度神经网络结构,并在深度神经网络中添加去噪模块,去噪模块包括非局部均值模块和自注意力机制模块;
S3:将原始图片和对应的对抗样本混合后对图像分类模型进行训练;
S4:采用训练后的图像分类模型对图像进行分类。
进一步的,原始图像的对抗样本采用深度学习攻击算法FGSM、DeepFool和C&W生成。
进一步的,图像分类模型中将深度神经网络中的浅层卷积输出的特征图x输入非局部均值模块,得到去噪特征图y,具体过程通过下式表示:
Figure BDA0003197268110000031
其中,f(xi,xj)表示特征加权函数,C(x)表示归一化函数,xi、xj分别表示两个领域窗口的像素,yi表示去噪后的特征图、
Figure BDA0003197268110000041
表示特征图的空间位置。
进一步的,去噪特征图y与注意力机制模块相结合,采用如下公式所示:
Figure BDA0003197268110000042
其中,θ(xi)和
Figure BDA0003197268110000043
表示通过两个不同的1×1卷积层组成的,d表示通道数量,T表示矩阵的转置。
一种防御对抗样本攻击的图像分类终端设备,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
本发明采用如上技术方案,通过端到端的方式在卷积网络的中间层添加去噪模块来降低对抗图像的噪声扰动,去噪模块由非局部均值模块和自注意力机制模块相结合,能够达到去噪目的且能够与任意卷积层相衔接,从而提高模型的对抗鲁棒性,有效解决了对抗样本攻击深度学习系统存在的隐患。
附图说明
图1所示为本发明实施例一的流程图。
图2所示为该实施例中残差50网络的结构图。
图3所示为该实施例中去噪模块的结构图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
本发明实施例提供了一种防御对抗样本攻击的图像分类方法,如图1所示,其为本发明实施例所述的防御对抗样本攻击的图像分类方法的流程图,所述方法包括以下步骤:
S1:采集原始图像和其对应的对抗样本。
原始图像可以为任意领域的图像,可以采用现有的图像数据集,在此不做限制。
原始图像对应的对抗样本可以采用当前主流的深度学习攻击算法生成,该实施例中采用FGSM(FastGradientSignMethod)、DeepFool和C&W(CarliniandWagner’sattack)分别生成对抗样本。具体生成过程如下述公式所示。
Figure BDA0003197268110000051
公式(1)的FGSM攻击算法采用单步方法来快速生成对抗样本。其中,x为原始样本,∈为每个像素的最大值,扰动范围受L限制在∈的范围内上下波动,目的使输入样本沿着梯度方向移动来获得与真实标签相对应的最大损失值。
Figure BDA0003197268110000052
公式(2)的DeepFool攻击算法目的是找到一条最短路径,以使数据点x越过决策边界。假设F={x:wT+b=0}为超平面,最小扰动是从数据点x0到超平面的距离。
Figure BDA0003197268110000053
公式(3)的C&W攻击算法尝试找到最小失真的扰动。其中,f定义为f(x′,t)=(maxi≠tZ(x′)t-Z(x′)t)+。最小化f(x′,t)能够使算法找到类别t的分数大于任何其他类别的x′,使得分类器将x′预测为类别t。在通过常数c进行线性搜索,找到x′与x之间的最短距离。
S2:构建图像分类模型,图像分类模型采用深度神经网络结构,并在深度神经网络中添加去噪模块,去噪模块包括非局部均值模块和自注意力机制模块。
去噪模块的具体添加过程为:将深度神经网络中的浅层卷积输出的特征图x输入非局部均值模块,得到去噪特征图y,将去噪特征图y与注意力机制模块相结合,将结合的结果与深度神经网络中的浅层卷积之后的卷积层相连接。
其中,非局部均值模块采用如下公式表示:
Figure BDA0003197268110000061
其中,f(xi,xj)表示特征加权函数,C(x)表示归一化函数,xi、xj分别表示两个领域窗口的像素,yi表示去噪后的特征图、
Figure BDA0003197268110000062
表示特征图的空间位置。公式(4)中的加权平均值在xj之上,非局部均值通过对空间所有位置
Figure BDA0003197268110000063
中的特征进行加权均值来计算去噪后的特征图y,并保持y和x中特征通道之间的对应关系。
注意力机制模块采用如下公式表示:
Figure BDA0003197268110000064
其中,θ(x)和
Figure BDA0003197268110000065
分别表示通过两个不同的1×1卷积层组成的,d表示通道数量,T表示矩阵的转置,
Figure BDA0003197268110000066
f/C是softmax函数,该模块相当于一个基于softmax的自注意力机制。
该实施例中深度神经网络采用经典的残差50网络,在残差50网络的stage2、stage3、stage4中分别添加去噪模块,如图2所示,其中的1x1convSE module表示去噪模块,去噪模块的结构如图3所示。
S3:将原始图片和对应的对抗样本混合后对图像分类模型进行训练。
S4:采用训练后的图像分类模型对图像进行分类。
本发明实施例通过在卷积网络的中间层中添加去噪模块的端到端模型。端到端的对抗训练能够使模型消除数据中的部分特征图噪声,即攻击者产生的噪声。通过观察前几层的噪声变化如何影响较后层的特征噪声分布,可发现所提出的去噪模块能够有效抑制噪声干扰。
实施例二:
本发明还提供一种防御对抗样本攻击的图像分类终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
进一步地,作为一个可执行方案,所述防御对抗样本攻击的图像分类终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述防御对抗样本攻击的图像分类终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述防御对抗样本攻击的图像分类终端设备的组成结构仅仅是防御对抗样本攻击的图像分类终端设备的示例,并不构成对防御对抗样本攻击的图像分类终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述防御对抗样本攻击的图像分类终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述防御对抗样本攻击的图像分类终端设备的控制中心,利用各种接口和线路连接整个防御对抗样本攻击的图像分类终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述防御对抗样本攻击的图像分类终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述防御对抗样本攻击的图像分类终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)以及软件分发介质等。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。

Claims (7)

1.一种防御对抗样本攻击的图像分类方法,其特征在于,包括以下步骤:
S1:采集原始图像和其对应的对抗样本;
S2:构建图像分类模型,图像分类模型采用深度神经网络结构,并在深度神经网络中添加去噪模块,去噪模块包括非局部均值模块和自注意力机制模块;
S3:将原始图片和对应的对抗样本混合后对图像分类模型进行训练;
S4:采用训练后的图像分类模型对图像进行分类。
2.根据权利要求1所述的防御对抗样本攻击的图像分类方法,其特征在于:原始图像的对抗样本采用深度学习攻击算法FGSM、DeepFool和C&W生成。
3.根据权利要求1所述的防御对抗样本攻击的图像分类方法,其特征在于:图像分类模型中将深度神经网络中的浅层卷积输出的特征图x输入非局部均值模块,得到去噪特征图y,具体过程通过下式表示:
Figure FDA0003197268100000011
其中,f(xi,xj)表示特征加权函数,C(x)表示归一化函数,xi、xj分别表示两个领域窗口的像素,yi表示去噪后的特征图、
Figure FDA0003197268100000014
表示特征图的空间位置。
4.根据权利要求3所述的防御对抗样本攻击的图像分类方法,其特征在于:去噪特征图y与注意力机制模块相结合,采用如下公式所示:
Figure FDA0003197268100000012
其中,θ(xi)和
Figure FDA0003197268100000013
表示通过两个不同的1×1卷积层组成的,d表示通道数量,T表示矩阵的转置。
5.根据权利要求1所述的防御对抗样本攻击的图像分类方法,其特征在于:深度神经网络采用残差50网络,在残差50网络的stage2、stage3、stage4中分别添加去噪模块。
6.一种防御对抗样本攻击的图像分类终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~5中任一所述方法的步骤。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1~5中任一所述方法的步骤。
CN202110894433.6A 2021-08-05 2021-08-05 防御对抗样本攻击的图像分类方法、终端设备及存储介质 Active CN113822328B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110894433.6A CN113822328B (zh) 2021-08-05 2021-08-05 防御对抗样本攻击的图像分类方法、终端设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110894433.6A CN113822328B (zh) 2021-08-05 2021-08-05 防御对抗样本攻击的图像分类方法、终端设备及存储介质

Publications (2)

Publication Number Publication Date
CN113822328A true CN113822328A (zh) 2021-12-21
CN113822328B CN113822328B (zh) 2022-09-16

Family

ID=78912941

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110894433.6A Active CN113822328B (zh) 2021-08-05 2021-08-05 防御对抗样本攻击的图像分类方法、终端设备及存储介质

Country Status (1)

Country Link
CN (1) CN113822328B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114357166A (zh) * 2021-12-31 2022-04-15 北京工业大学 一种基于深度学习的文本分类方法
CN114510715A (zh) * 2022-01-14 2022-05-17 中国科学院软件研究所 模型的功能安全测试方法、装置、存储介质及设备
CN114757336A (zh) * 2022-04-06 2022-07-15 西安交通大学 深度学习模型对抗攻击敏感频带检测方法及相关装置
CN114943641A (zh) * 2022-07-26 2022-08-26 北京航空航天大学 基于模型共享结构的对抗纹理图像生成方法和装置
CN116051924A (zh) * 2023-01-03 2023-05-02 中南大学 一种图像对抗样本的分治防御方法
CN116805156A (zh) * 2023-07-04 2023-09-26 河北大学 一种预测用卷积神经网络的去噪方法
EP4258178A1 (en) * 2022-04-06 2023-10-11 Nomura Research Institute, Ltd. Information processing apparatus for improving robustness of deep neural network by using adversarial training and formal method
CN117408907A (zh) * 2023-12-15 2024-01-16 齐鲁空天信息研究院 提高图像对抗防御能力的方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108765319A (zh) * 2018-05-09 2018-11-06 大连理工大学 一种基于生成对抗网络的图像去噪方法
CN109859147A (zh) * 2019-03-01 2019-06-07 武汉大学 一种基于生成对抗网络噪声建模的真实图像去噪方法
CN110717522A (zh) * 2019-09-18 2020-01-21 平安科技(深圳)有限公司 图像分类网络的对抗防御方法及相关装置
US20200163590A1 (en) * 2018-11-22 2020-05-28 Jomoo Kitchen & Bath Co., Ltd Fall detection method, device, and system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108765319A (zh) * 2018-05-09 2018-11-06 大连理工大学 一种基于生成对抗网络的图像去噪方法
US20200163590A1 (en) * 2018-11-22 2020-05-28 Jomoo Kitchen & Bath Co., Ltd Fall detection method, device, and system
CN109859147A (zh) * 2019-03-01 2019-06-07 武汉大学 一种基于生成对抗网络噪声建模的真实图像去噪方法
CN110717522A (zh) * 2019-09-18 2020-01-21 平安科技(深圳)有限公司 图像分类网络的对抗防御方法及相关装置

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114357166A (zh) * 2021-12-31 2022-04-15 北京工业大学 一种基于深度学习的文本分类方法
CN114357166B (zh) * 2021-12-31 2024-05-28 北京工业大学 一种基于深度学习的文本分类方法
CN114510715A (zh) * 2022-01-14 2022-05-17 中国科学院软件研究所 模型的功能安全测试方法、装置、存储介质及设备
CN114757336A (zh) * 2022-04-06 2022-07-15 西安交通大学 深度学习模型对抗攻击敏感频带检测方法及相关装置
EP4258178A1 (en) * 2022-04-06 2023-10-11 Nomura Research Institute, Ltd. Information processing apparatus for improving robustness of deep neural network by using adversarial training and formal method
CN114943641A (zh) * 2022-07-26 2022-08-26 北京航空航天大学 基于模型共享结构的对抗纹理图像生成方法和装置
CN116051924A (zh) * 2023-01-03 2023-05-02 中南大学 一种图像对抗样本的分治防御方法
CN116051924B (zh) * 2023-01-03 2023-09-12 中南大学 一种图像对抗样本的分治防御方法
CN116805156A (zh) * 2023-07-04 2023-09-26 河北大学 一种预测用卷积神经网络的去噪方法
CN117408907A (zh) * 2023-12-15 2024-01-16 齐鲁空天信息研究院 提高图像对抗防御能力的方法、装置及电子设备
CN117408907B (zh) * 2023-12-15 2024-03-22 齐鲁空天信息研究院 提高图像对抗防御能力的方法、装置及电子设备

Also Published As

Publication number Publication date
CN113822328B (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
CN113822328B (zh) 防御对抗样本攻击的图像分类方法、终端设备及存储介质
Zhang et al. The secret revealer: Generative model-inversion attacks against deep neural networks
Drenkow et al. A systematic review of robustness in deep learning for computer vision: Mind the gap?
CN107529650B (zh) 闭环检测方法、装置及计算机设备
Sommer et al. Towards probabilistic verification of machine unlearning
CN110910391B (zh) 一种双模块神经网络结构视频对象分割方法
Chen et al. Remote sensing image quality evaluation based on deep support value learning networks
Chen et al. Benchmarks for corruption invariant person re-identification
CN111598182A (zh) 训练神经网络及图像识别的方法、装置、设备及介质
CN115115905B (zh) 基于生成模型的高可迁移性图像对抗样本生成方法
CN111178504B (zh) 基于深度神经网络的鲁棒压缩模型的信息处理方法及系统
CN111898645A (zh) 基于注意力机制的可迁移的对抗样本攻击方法
Li et al. Robust deep neural networks for road extraction from remote sensing images
Chan et al. Sensitivity based robust learning for stacked autoencoder against evasion attack
KR20230026216A (ko) 적대적 공격에 대한 견고성 달성을 위한 순환 일관성과 적응형 학습을 이용한 노이즈 제거 방법 및 장치
Anshumaan et al. Wavetransform: Crafting adversarial examples via input decomposition
CN114049537B (zh) 一种基于卷积神经网络的对抗样本防御方法
Meng et al. An effective weighted vector median filter for impulse noise reduction based on minimizing the degree of aggregation
CN113378620B (zh) 监控视频噪声环境下跨摄像头行人重识别方法
Zanddizari et al. Generating black-box adversarial examples in sparse domain
Zhang et al. Generalizing universal adversarial perturbations for deep neural networks
Xu et al. Adversarial robustness in graph-based neural architecture search for edge ai transportation systems
Xu et al. FLPM: A property modification scheme for data protection in federated learning
Liu et al. Model compression hardens deep neural networks: A new perspective to prevent adversarial attacks
Peng et al. Evaluating deep learning for image classification in adversarial environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant