CN114842242A - 一种基于生成模型的鲁棒对抗样本生成方法 - Google Patents

一种基于生成模型的鲁棒对抗样本生成方法 Download PDF

Info

Publication number
CN114842242A
CN114842242A CN202210376294.2A CN202210376294A CN114842242A CN 114842242 A CN114842242 A CN 114842242A CN 202210376294 A CN202210376294 A CN 202210376294A CN 114842242 A CN114842242 A CN 114842242A
Authority
CN
China
Prior art keywords
image
model
generated
sample
original
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210376294.2A
Other languages
English (en)
Inventor
张新鹏
刘敏婕
冯国瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Shanghai for Science and Technology
Original Assignee
University of Shanghai for Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Shanghai for Science and Technology filed Critical University of Shanghai for Science and Technology
Priority to CN202210376294.2A priority Critical patent/CN114842242A/zh
Publication of CN114842242A publication Critical patent/CN114842242A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T3/00Geometric image transformations in the plane of the image
    • G06T3/40Scaling of whole images or parts thereof, e.g. expanding or contracting
    • G06T3/4007Scaling of whole images or parts thereof, e.g. expanding or contracting based on interpolation, e.g. bilinear interpolation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/82Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Multimedia (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于生成模型的鲁棒图像分类对抗样本分析方法,构建一个生成式神经网络模型,输入原始样本,直接输出目标模型的对抗样本,并使样本获得抗尺度变换的鲁棒性的算法。本发明方法通过设计生成式模型、随机噪声层与特殊的损失函数,通过梯度下降算法,获得抗图像尺度变换的鲁棒对抗样本生成模型。假定攻击者拥有目标模型的所有信息,并利用此先验信息构建并训练生成模型。该生成模型可自适应地改变输入图像的部分像素,在保证其与原始图像相似的情况下,使生成的图像被目标模型判别为另一区别于原始标签的类别。并且,在该生成图像经过一定比例缩小,再填充到原始尺寸后,依然能使目标模型分类错误。

Description

一种基于生成模型的鲁棒对抗样本生成方法
技术领域
本发明涉及人工智能AI安全领域,更具体地,涉及针对图像分类任务的一种基于生成模型的鲁棒对抗样本生成算法。
背景技术
随着深度学习的蓬勃发展,其在各个领域的应用也层出不穷,如:人脸识别、自动驾驶、目标检测、图像分类等。然而,近期一些研究指出,深度神经网络对于一些精心设计过的对抗样本是非常脆弱的。一些微小到人眼无法察觉的噪声,会在深度神经网络中层层传递、逐渐放大,直到对计算结果产生重大的影响。这给深度学习在安全性要求较高的行业中的发展带来了新的挑战。以图像分类模型的对抗样本为例,攻击者仅需要对原始图像做一些非常微小的改动,就能在人眼无法分辨的情况下,使原本可以正常分类的图像分类神经网络做出错误的判断。
虽然设计精妙的对抗样本对模型有很强的攻击能力,但由于它们对图像注入的噪声非常微小,一些简单图像处理方法或外部引入的变换手段带来的图像失真都能使对抗噪声的攻击失效。对于对抗样本攻击带来的安全问题,有学者提出了针对性的防御以及破坏对抗样本的方法,如:在分类模型前加一个分类器,阻止对抗样本直接输入模型;对所有输入图像做图像处理,破坏对抗噪声。可是,这些防御及破坏手段依然不能为模型的安全带来完全的保障,对防御手段和破坏方法“免疫”的对抗样本继续进化并逐渐发展出了新的领域,即具有鲁棒性的对抗样本生成算法。
目前,鲁棒对抗样本已经可以以极高的攻击成功率抵抗如JPEG压缩、图像亮度、对比度调节、高斯模糊等带来的图像失真。也就是说,在允许一定失真存在的情况下,鲁棒对抗样本依然成功地攻击了神经网络模型。然而,目前的鲁棒对抗样本算法并没有考虑到图像尺度变换即图像缩放带来的影响。图像缩放无论在模型训练还是推断中,都是一种非常常用的图像处理方法,且其作用于对抗样本的破坏相对于JPEG压缩等方式是全局的且失真更严重。因此,针对图像缩放设计一种鲁棒的对抗样本生成算法可以进一步增强对抗样本的攻击能力。
研究对抗样本并非只是为了攻击,而是发现现有模型的安全漏洞,并提出可行的优化方案。同样地,研究具有鲁棒性的对抗样本则是为了发现现有防御手段的不足以及更深层的模型安全问题。攻防的双方在互相比较和超越中螺旋上升,为深度神经网络走向落地提供更好的保障。
发明内容
本发明的目的在于针对已有深度学习图像分类模型,提供一种基于生成模型的鲁棒对抗样本生成方法。假定攻击者拥有目标模型即被攻击模型的结构与参数,将原始图像输入构建的生成模型,直接输出一张与原始图像相似的对抗图像,使其被目标模型错误分类。
为达到上述目的,本发明的构思是:
构建一个生成式神经网络模型,输入原始样本,直接输出目标模型的对抗样本,并使样本获得抗尺度变换的鲁棒性的算法。本发明通过设计生成式模型、随机噪声层与特殊的损失函数,通过梯度下降算法,获得抗图像尺度变换的鲁棒对抗样本生成模型。假定攻击者拥有目标模型的所有信息,并利用此先验信息构建并训练生成模型。该生成模型可自适应地改变输入图像的部分像素,在保证其与原始图像相似的情况下,使生成的图像被目标模型判别为另一区别于原始标签的类别。并且,在该生成图像经过一定比例缩小,再填充到原始尺寸后,依然能使目标模型分类错误。
攻击者拥有目标模型的所有信息,并利用此先验信息构建并训练生成模型。该生成模型的目标为自适应地改变输入图像的部分像素,在保证其与原始图像相似的情况下,使生成的图像被目标模型判别为另一区别于原始标签的类别。并且,在该生成图像经过一定比例缩小,再填充到原始尺寸后,依然能使目标模型分类错误。本方法是:
根据上述发明构思,本发明采用下述技术方案:
一种基于生成模型的鲁棒对抗样本生成方法,其步骤如下:
(1)确定被攻击的目标模型,获取其模型结构Z(·)与参数θ,模型的输出为分类任务各类别对应的逻辑值,逻辑值越高则被分为此类的概率越大,以下Z(·)均表示固定网络参数为θ的目标模型;
(2)构建生成网络G(·),其输入为原始图像x,输出为等大的对抗样本xadv=G(x);
(3)引入随机噪声层Resize&Pad(·)对生成图像进行随机缩放与填充;
(4)设定对抗损失函数l1和缩放损失函数l2,分别保证对抗样本与经过缩放后的对抗样本的攻击性,即xadv与Resize&Pad(xadv)的分类结果和x不同;误差损失函数l3保证生成图像的视觉质量,即与原始图像的相似程度;
(5)将原始图像与目标标签送入生成模型中进行训练,通过损失函数l1、l2和l3共同作用优化模型参数。
具体地,在所述步骤(3)中,随机缩放采用自适应全局平均池化,代替复杂的插值算法,自动计算池化步长。
具体地,在所述步骤(4)中,所述损失函数如下:
Figure BDA0003590546580000031
Figure BDA0003590546580000032
其中,xrsz=Resize&Pad(xadv)是经过缩放并填充后的对抗样本,t为目标标签;i表示分类任务中的第i个类别,Z(xadv)i表示对抗图像在第i类中计算得到的逻辑值,Z(xadv)t表示对抗图像在目标类别中计算得到的逻辑值,κ≤0为超参数越小则攻击能力越强,Z(xrsz)i表示缩放后的对抗图像在第i类中计算得到的逻辑值,Z(xrsz)t表示缩放后的对抗图像在目标类别中计算得到的逻辑值;误差损失l3采用均方误差函数,其形式如下:
Figure BDA0003590546580000033
其中,x表示原始图像,i表示图像中第i个像素,m表示图像总像素数,xadv_i表示生成的对抗图像的第i个像素,xi表示原始图像的第i个像素。
本发明进行所述损失函数计算分析时,考虑到对抗样本要求目标模型的分类结果与原始标签不一致,鲁棒对抗样本要求经过缩放的对抗样本依然可使目标模型的分类结果与原始标签不一致。二者目的相似,因此可采用同一种形式的损失函数保证攻击性,综合对生成的对抗样本的图像质量约束,得到上式(1)-(3)。
具体地,在所述步骤(5)中,训练步骤如下:
(5-1)向生成模型输入原始图像得到生成图像;
(5-2)生成图像经过随机噪声层,得到以设定比例缩小并填充到原始尺寸的缩放图像;
(5-3)将原始图像、生成图像及缩放图像输入目标模型,分别得到三者的预测向量,计算l1和l2损失;
(5-4)计算生成图像与原始图像的均方误差值,即误差损失l3
(5-5)三项损失以固定权重相加,通过梯度下降算法优化生成模型的参数,使其生成的对抗样本同时具有攻击性与不可觉察性。
一种计算机系统,能针对图像分类任务执行本发明基于生成模型的鲁棒对抗样本生成方法的计算机程序。
本发明与现有技术比较,具有如下显而易见的突出实质性特点和显著优点:
1.在抵抗缩放的鲁棒对抗样本研究过程中,一直有2大难点,一是像素的修改量,缩放为全局操作,与JPEG压缩对纹理复杂区域改动较少相比,一般的双线性插值缩放对图像的每个像素都可能做修改,因此很难找到合适的空域算法评估哪些像素可以修改;二是算法的复杂度,想要取得视觉质量更好的对抗样本,通常需要上千次的迭代和精细的优化过程,非常耗费资源;
2.本发明针对以上两大问题,分别引入了自适应噪声模块,模拟可微的缩放和填充操作,指导生成模型的学习;与端到端的生成式网络,在训练完成后的推断过程中拥有非常快的速度。
附图说明
图1为本发明方法的程序框图。
图2为本发明方法的对抗样本的作用示意图。
图3为本发明方法涉及生成模型的网络结构图。
图4为本发明方法的生成模型的训练过程示意图。
图5为本发明方法的攻击结果展示图。
具体实施方式
本发明的实施例结合附图作进一步说明:
实施例一
参见图1,一种基于生成模型的鲁棒对抗样本生成方法,步骤如下:
(1)确定要被攻击的目标模型,获取其模型结构Z(·)与参数θ;
(2)构建生成网络G(·),其输入为原始图像x,输出为等大的对抗样本xadv=G(x);
(3)引入随机噪声层Resize&Pad(·)对生成图像进行随机缩放与填充;
(4)设定对抗损失函数l1和缩放损失函数l2,分别保证对抗样本与经过缩放后的对抗样本的攻击性,即xadv与Resize&Pad(xadv)的分类结果和x不同;误差损失函数l3保证生成图像的视觉质量,即与原始图像的相似程度;
(5)将原始图像与目标标签送入生成模型中进行训练,通过损失函数l1、l2和l3共同作用优化模型参数。
本实施例基于生成模型的鲁棒对抗样本生成方法,假定攻击者拥有目标模型即被攻击模型的结构与参数,将原始图像输入构建的生成模型,直接输出一张与原始图像相似的对抗图像,使其被目标模型错误分类。在本实施例中,对抗样本是攻击模型的一种手段,即针对特定的目标模型,设计算法使得对抗样本表面上与一般样本无异却能被神经网络错误分类。参见图2,对于正常样本和对抗样本,人类都可以很容易地判断图像中物体的类别;然而对于计算机而言,图像只是数据,需要依靠各种算法才能判断其中具体的物体,微小的噪声也会对结果产生很大的影响。
实施例二:
本实施例与实施例一基本相同,特别之处如下:
本实施例基于生成模型的鲁棒对抗样本生成方法,构建一个生成式神经网络模型,输入原始样本,直接输出目标模型的对抗样本,并使样本获得抗尺度变换的鲁棒性的算法。本实施例方法通过生成式模型、随机噪声层与特殊的损失函数,采用梯度下降算法,获得抗图像尺度变换的鲁棒对抗样本生成模型。假定攻击者拥有目标模型的所有信息,并利用此先验信息构建并训练生成模型。该生成模型可自适应地改变输入图像的部分像素,在保证其与原始图像相似的情况下,使生成的图像被目标模型判别为另一区别于原始标签的类别。并且,在该生成图像经过一定比例缩小,再填充到原始尺寸后,依然能使目标模型分类错误。为保证上述功能,所述步骤(4)损失函数如下:
Figure BDA0003590546580000051
Figure BDA0003590546580000052
其中,xrsz=Resize&Pad(xadv)是经过缩放并填充后的对抗样本,缩放采用自适应全局平均池化,t为目标标签;i表示分类任务中的第i个类别,Z(xadv)i表示对抗图像在第i类中计算得到的逻辑值,Z(xadv)t表示对抗图像在目标类别中计算得到的逻辑值,κ≤0为超参数越小则攻击能力越强,Z(xrsz)i表示缩放后的对抗图像在第i类中计算得到的逻辑值,Z(xrsz)i表示缩放后的对抗图像在目标类别中计算得到的逻辑值;误差损失l3采用均方误差函数,其形式如下:
Figure BDA0003590546580000061
其中,x表示原始图像,i表示图像中第i个像素,m表示图像总像素数,xadv_i表示生成的对抗图像的第i个像素,xi表示原始图像的第i个像素。
本实施例进行所述损失函数计算分析时,考虑到对抗样本要求目标模型的分类结果与原始标签不一致,鲁棒对抗样本要求经过缩放的对抗样本依然可使目标模型的分类结果与原始标签不一致。二者目的相似,因此可采用同一种形式的损失函数保证攻击性,综合对生成的对抗样本的图像质量约束,得到上式(1)-(3)。
实施例三:
在本实施例中,如图3所示,采用了U-Net的生成器结构。U-Net采用卷积神经网络对图像进行特征提取,二维卷积充分地考虑了图像的空间信息;短连接很好地结合了图像浅层与深层特征;并且降采样与升采样的过程类似图像的尺度变换操作,能够更好地适应模型推断中对图像尺度的各种操作。在所述步骤(5)中,训练步骤如下:
(5-1)向生成模型输入原始图像得到生成图像;
(5-2)生成图像经过随机噪声层,得到以设定比例缩小并填充到原始尺寸的缩放图像;
(5-3)将原始图像、生成图像及缩放图像输入目标模型,分别得到三者的预测向量,计算l1和l2损失;
(5-4)计算生成图像与原始图像的均方误差值,即误差损失l3
(5-5)三项损失以固定权重相加,通过梯度下降算法优化生成模型的参数,使其生成的对抗样本同时具有攻击性与不可觉察性。
如图4所示,本方案采用了U-Net生成器与随机噪声层,结合损失函数的设计通过梯度下降算法,借助神经网络的学习能力,得到一个输入原始图像后可直接生成对抗样本的网络模型。具体训练操作步骤如下:
(1)输入干净的原始图像,记录下对应的正确标签,通过生成器得到生成图像;
(2)生成图像经过随机噪声层,输出随机尺度变换后的缩放图像,如图像缩小则以常数0填充至原来尺寸;
(3)将生成图像与缩放图像送入目标模型,分别计算对抗损失l1和缩放损失l2的函数值;
(4)计算生成图像与原始图像的误差损失l3函数值;
(5)计算l1,l2和l3损失的加权和,通过Adam优化器和梯度下降算法更新参数,直到验证集表现良好,停止训练,保存生成器参数;
(6)将测试集图像输入神经生成模型,输出结果即为对应的对抗样本。
如图5所示,本实施方法最终能够保证生成的对抗样本与原始图像差异不大的情况下,完成鲁棒攻击任务。经过不同程度的尺度变换操作后,对抗样本的攻击能力即使目标模型的分类准确率下降相对于传统算法BIM(Basic Iterative Method)有较大的提升,证明了本实施例方法的可行性和有效性。
上面对本发明实施例结合附图进行了说明,但本发明不限于上述实施例,还可以根据本发明的发明创造的目的做出多种变化,凡依据本发明技术方案的精神实质和原理下做的改变、修饰、替代、组合或简化,均应为等效的置换方式,只要符合本发明的发明目的,只要不背离本发明的技术原理和发明构思,都属于本发明的保护范围。

Claims (3)

1.一种基于生成模型的鲁棒对抗样本生成方法,其特征在于,步骤如下:
(1)确定要被攻击的目标模型,获取其模型结构Z(·)与参数θ;
(2)构建生成网络G(·),其输入为原始图像x,输出为等大的对抗样本xadv=G(x);
(3)引入随机噪声层Resize&Pad(·)对生成图像进行随机缩放与填充;
(4)设定对抗损失函数l1和缩放损失函数l2,分别保证对抗样本与经过缩放后的对抗样本的攻击性,即xadv与Resize&Pad(xadv)的分类结果和x不同;误差损失函数l3保证生成图像的视觉质量,即与原始图像的相似程度;
(5)将原始图像与目标标签送入生成模型中进行训练,通过损失函数l1、l2和l3共同作用优化模型参数。
2.根据权利要求1所述的基于生成模型的鲁棒对抗样本生成方法,其特征在于:在所述步骤(4)中,所述损失函数如下:
Figure FDA0003590546570000011
Figure FDA0003590546570000012
其中,xrsz=Resize&Pad(xadv)是经过缩放并填充后的对抗样本,t为目标标签;i表示分类任务中的第i个类别,Z(xadv)i表示对抗图像在第i类中计算得到的逻辑值,Z(xadv)t表示对抗图像在目标类别中计算得到的逻辑值,κ≤0为超参数越小则攻击能力越强,Z(xrsz)i表示缩放后的对抗图像在第i类中计算得到的逻辑值,Z(xrsz)t表示缩放后的对抗图像在目标类别中计算得到的逻辑值;误差损失l3采用均方误差函数,其形式如下:
Figure FDA0003590546570000013
其中,x表示原始图像,i表示图像中第i个像素,m表示图像总像素数,xadv_i表示生成的对抗图像的第i个像素,xi表示原始图像的第i个像素。
3.根据权利要求1所述的基于生成模型的鲁棒对抗样本生成方法,其特征在于:在所述步骤(5)中,训练步骤如下:
(5-1)向生成模型输入原始图像得到生成图像;
(5-2)生成图像经过随机噪声层,得到以设定比例缩小并填充到原始尺寸的缩放图像;
(5-3)将原始图像、生成图像及缩放图像输入目标模型,分别得到三者的预测向量,计算l1和l2损失;
(5-4)计算生成图像与原始图像的均方误差值,即误差损失l3
(5-5)三项损失以固定权重相加,通过梯度下降算法优化生成模型的参数,使其生成的对抗样本同时具有攻击性与不可觉察性。
CN202210376294.2A 2022-04-11 2022-04-11 一种基于生成模型的鲁棒对抗样本生成方法 Pending CN114842242A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210376294.2A CN114842242A (zh) 2022-04-11 2022-04-11 一种基于生成模型的鲁棒对抗样本生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210376294.2A CN114842242A (zh) 2022-04-11 2022-04-11 一种基于生成模型的鲁棒对抗样本生成方法

Publications (1)

Publication Number Publication Date
CN114842242A true CN114842242A (zh) 2022-08-02

Family

ID=82563470

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210376294.2A Pending CN114842242A (zh) 2022-04-11 2022-04-11 一种基于生成模型的鲁棒对抗样本生成方法

Country Status (1)

Country Link
CN (1) CN114842242A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117523342A (zh) * 2024-01-04 2024-02-06 南京信息工程大学 一种高迁移性对抗样本生成方法、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117523342A (zh) * 2024-01-04 2024-02-06 南京信息工程大学 一种高迁移性对抗样本生成方法、设备及介质
CN117523342B (zh) * 2024-01-04 2024-04-16 南京信息工程大学 一种高迁移性对抗样本生成方法、设备及介质

Similar Documents

Publication Publication Date Title
Ye et al. Deep learning hierarchical representations for image steganalysis
CN111310802B (zh) 一种基于生成对抗网络的对抗攻击防御训练方法
Liu et al. Picanet: Learning pixel-wise contextual attention for saliency detection
CN111753881B (zh) 一种基于概念敏感性量化识别对抗攻击的防御方法
CN113538202B (zh) 一种基于生成式隐写对抗的图像隐写方法及系统
Zhang et al. Defense against adversarial attacks by reconstructing images
CN111598762A (zh) 一种生成式鲁棒图像隐写方法
Li et al. MMMNet: An end-to-end multi-task deep convolution neural network with multi-scale and multi-hierarchy fusion for blind image quality assessment
CN115860112B (zh) 基于模型反演方法的对抗样本防御方法和设备
Wang et al. Active fine-tuning from gMAD examples improves blind image quality assessment
Wang et al. SmsNet: A new deep convolutional neural network model for adversarial example detection
Zhang Generating adversarial examples in one shot with image-to-image translation GAN
CN117057408A (zh) 一种基于gan的黑盒可迁移性对抗攻击方法
CN113627543A (zh) 一种对抗攻击检测方法
Li et al. Image operation chain detection with machine translation framework
Heo et al. Exploring the differences in adversarial robustness between ViT-and CNN-based models using novel metrics
Wang et al. Generating semantic adversarial examples via feature manipulation
CN114842242A (zh) 一种基于生成模型的鲁棒对抗样本生成方法
Zhuang et al. ReLoc: A restoration-assisted framework for robust image tampering localization
Abdollahi et al. Image steganography based on smooth cycle-consistent adversarial learning
CN113034332A (zh) 不可见水印图像、后门攻击模型构建、分类方法及系统
CN117314751A (zh) 一种基于生成式对抗网络的遥感图像超分辨率重建方法
Mu et al. Enhancing robustness in video recognition models: Sparse adversarial attacks and beyond
CN113177599B (zh) 一种基于gan的强化样本生成方法
CN116188439A (zh) 一种基于身份识别概率分布的伪造换脸图像检测方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination