CN115048983A - 数据流形拓扑感知的人工智能系统对抗样本防御方法 - Google Patents

数据流形拓扑感知的人工智能系统对抗样本防御方法 Download PDF

Info

Publication number
CN115048983A
CN115048983A CN202210535745.2A CN202210535745A CN115048983A CN 115048983 A CN115048983 A CN 115048983A CN 202210535745 A CN202210535745 A CN 202210535745A CN 115048983 A CN115048983 A CN 115048983A
Authority
CN
China
Prior art keywords
manifold
data
distribution
sample
artificial intelligence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210535745.2A
Other languages
English (en)
Inventor
罗森林
郝靖伟
张钊
陆永鑫
潘丽敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN202210535745.2A priority Critical patent/CN115048983A/zh
Publication of CN115048983A publication Critical patent/CN115048983A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种数据流形拓扑感知的人工智能系统对抗样本防御方法,属于人工智能安全技术领域。针对现有方法依赖已有少量对抗样本进行对抗训练或对目标分类器进行修改与再训练,缺乏对对抗样本生成机理的分析,存在无法及时应对新型对抗性攻击,泛化能力不足等问题,首先生成真实含噪目标数据集的数据流形,获取其拓扑信息;然后对生成模型进行拓扑感知训练,在定义的密度超水平集中调整隐向量分布使之与目标分布连通分量数保持一致,拟合生成模型与目标数据的分布;最后将错误分类的点投影到最近的流形上,反演受扰动的样本,纠正分类结果,实现强泛化能力和高稳健性的人工智能系统对抗样本防御效果。

Description

数据流形拓扑感知的人工智能系统对抗样本防御方法
技术领域
本发明属于人工智能安全技术领域,具体涉及一种数据流形拓扑感知的人工智能系统对抗样本防御方法。
背景技术
近年来,随着海量数据的积累、计算能力的发展、人工智能系统的持续创新与演进,诸如图像识别、语音识别、自然语言翻译等人工智能技术得到普遍部署和广泛应用。人工智能技术的发展和广泛的商业应用充分预示着一个万物智能的社会正在快速到来。深度学习是人工智能领域极其重要的发展方向之一,其理论和方法已被广泛应用多个领域。虽然目前深度神经网络在图像分类等领域能以较高的准确率分类成功,但实际上,深度学习系统容易受到精心设计的输入样本的影响。这些输入样本就是学术界定义的对抗样本,即Adversarial Examples。它们通常是在正常样本上加入人眼难以察觉的微小扰动,可以很容易地愚弄正常的深度学习模型。Szegedy等人在2013年最早提出了对抗样本的概念。在其之后,学者相继提出了其他产生对抗样本的方法,其中Carlini等人提出的CW攻击可以在扰动很小的条件下达到100%的攻击成功率,并且能成功绕过大部分对抗样本的防御机制。
目前对抗样本的防御方法主要有三类:(1)对抗训练,将生成的对抗样本添加到训练集中进行分类训练;(2)训练分类器检测对抗样本,以达到区分原始样本和对抗样本的目的;(3)防御性蒸馏,通过模糊目标分类器的梯度使其难以被攻击。但是,这些方法都有一定的局限性,前两者都需要对抗样本参与训练,对于第三种,防御性蒸馏并没有显著提高神经网络的鲁棒性,而且这种方法对目标分类器进行了修改与再训练,增加了操作复杂性。以上方法只侧重防御单一攻击,或依赖已有少量对抗样本进行对抗训练,缺乏对对抗样本生成机理的分析与数学模型的构建,存在泛化能力不足,无法及时应对新型对抗性攻击等问题。
基于深度神经网络(DNN)的分类器已被证明易受对抗攻击。一些假设试图解释这种脆弱性,最被接受的是流形学说。它假设大多数真实世界的数据集位于比原始空间低得多的维数的流形附近。DNN只在训练过程中学习流形上样本的特征,从数据流形到隐空间的映射被称为是编码映射,而从隐空间映回到数据流形上的映射被称为是解码映射。这个流形结构表达了数据的内禀属性,因此DNN模型的根本目的是学习流形上的概率分布,而无法准确地对流形外样本进行分类,这表明对抗样本远离正常数据所在的流形,因此将正常样本映射到低维流形中的近邻能有效抵抗对抗样本。
作为一种对高维数据进行采样的方法,生成模型在应用数学和工程的各个领域都有应用,例如图像处理、强化学习等。使用神经网络学习数据生成分布的方法包括众所周知的变分自动编码器(VAEs)和生成对抗网络(GANs)等,这些生成模型学习如何将隐变量映射到生成的样本中。除了生成近似分布的样本之外,一些生成模型在隐向量和生成样本之间构建双射关系,从而可以估计生成样本的概率密度。由于它们的双射性质,这种生成模型被称为可逆生成模型。
综上所述,本方法分析对抗样本与数据流形高维几何结构的关系,通过搜索隐向量空间来学习数据流形,拟合生成模型与目标数据的分布,提出一种数据流形拓扑感知的人工智能系统对抗样本防御方法。
发明内容
本发明针对现有方法依赖已有少量对抗样本进行对抗训练或对目标分类器进行修改与再训练,缺乏对对抗样本生成机理的分析,存在无法及时应对新型对抗性攻击,泛化能力不足等问题,利用深度神经网络生成模型对隐向量分布和目标分布之间的拓扑失配敏感的特性,通过生成模型学习底层数据流形的拓扑结构,构建更鲁棒的对抗样本防御模型,提出一种数据流形拓扑感知的人工智能系统对抗样本防御方法。
本发明的设计原理为:首先生成真实含噪目标数据集的数据流形,获取拓扑信息。然后对生成模型进行拓扑感知训练,在定义的密度超水平集中调整隐向量分布使之与目标分布连通分量保持一致,拟合生成模型与目标数据的分布。最后将错误分类的点投影到最近的流形上,反演受扰动的样本,纠正分类结果,实现强泛化能力和高稳健性的人工智能系统对抗样本防御效果。
本发明的技术方案是通过如下步骤实现的:
步骤1,生成目标数据集的数据流形,并获取其拓扑信息。
步骤1.1,在数据生成模型中,令M表示数据流形,在l个分类标签的情况下,对应于每个类i∈{1,...,l},流形
Figure BDA0003648133050000021
即对于任何i≠j,有
Figure BDA0003648133050000022
由黎曼度量诱导的体积测度为dM,通过∫x∈MpM(x)dM(x)计算M上的概率pM,并扩展为整个
Figure BDA0003648133050000023
上的密度p。
步骤1.2,从M上采样一个点xo,然后添加一个噪声向量n,以获得一个观察点
Figure BDA0003648133050000024
其中,噪声n是一个以xo为中心,服从高斯分布的随机向量,其噪声密度函数为
Figure BDA0003648133050000025
满足
Figure BDA0003648133050000026
加入随机噪声后的密度为:
Figure BDA0003648133050000031
Figure BDA0003648133050000032
表示目标分布,用
Figure BDA0003648133050000033
表示隐空间分布,其中
Figure BDA0003648133050000034
映射到样本有x=G(z),用
Figure BDA0003648133050000035
表示生成模型G(z)的分布。对于给定的x,密度计算方式如下:
Figure BDA0003648133050000036
步骤2,对生成模型进行拓扑感知训练,在密度超水平集中调整隐向量分布与目标分布连通分量数保持一致,实现生成模型与目标数据分布的无限接近。
步骤2.1,通过在生成模型G的隐向量上的搜索代替流形M上的搜索。
步骤2.2,构建反映数据生成流形拓扑的密度超水平集Lp,λ,捕捉密度函数的几何特征。对于一个密度函数p和一个阈值λ>0,Lp,λ是p-1[λ,∞],由连通分量组成,每个连通分量至多包含一个流形Mi
步骤2.3,用Bδ(x)来表示以x为中心的半径为δ的欧几里得球,当:
λ足够小-对所有x∈M都是非空的;
λ-边界半径
Figure BDA0003648133050000037
Figure BDA0003648133050000038
包含
Figure BDA0003648133050000039
当maxx∈Mδx,λ,λ的最小半径对于某个λ存在,把最大值记为δλ
λ-防御半径
Figure BDA00036481330500000310
Figure BDA00036481330500000311
是λ包含
Figure BDA00036481330500000312
的最大半径。当minx∈Mx,λ对于某个λ存在时,它表示最小防御半径∈x,λ
步骤2.4,对于半径∈>0,将ω定义为在一个∈-ball B(x)中采样x′∈M的最小(超过x∈M)概率。
Figure BDA00036481330500000313
设(X,d)是度量空间,
Figure BDA00036481330500000314
是X中的数据生成流形。M的类间距离dcw定义为:
Figure BDA00036481330500000315
步骤2.5,选择任何足够小的阈值λ,固定一个值λ*≤ωλ,设
Figure BDA00036481330500000316
为λ*边界半径。如果M的dcw大于2δ*,那么超水平集
Figure BDA00036481330500000317
包含数据生成流形M,每个连通分支至多包含一个i类流形Mi
步骤3,将导致错误分类的点投影到最近的流形上,以反演受扰动的样本,纠正分类结果。
步骤3.1,
Figure BDA00036481330500000318
Figure BDA00036481330500000319
表示目标分布、隐空间分布、G(z)分布相应的密度超水平集。
Figure BDA00036481330500000320
是nZ个多元高斯分布的混合,
Figure BDA00036481330500000321
的数据生成流形包含nX个分量。令λ*为步骤2.3的阈值,如果nZ<nX,那么
Figure BDA0003648133050000041
Figure BDA0003648133050000042
在连通分量的数量上不一致,说明数据集中有对抗样本。
步骤3.2,满足步骤3.1则存在一个点
Figure BDA0003648133050000043
使得
Figure BDA0003648133050000044
Figure BDA0003648133050000045
所以在密度至少为λ*的情况下,G会生成一个点
Figure BDA0003648133050000046
这个点即为对抗样本。
步骤3.3,将错误分类的点
Figure BDA0003648133050000047
投影到最近的流形,使分类结果得到纠正。
有益效果
相比于对抗训练方法,本发明不依赖数据集中已有的少量对抗样本,可以防御本地生成替代模型产生的对抗样本黑盒攻击,具有更强的泛化能力。
相比于训练分类器检测对抗样本的方法,本发明不改变受保护的分类器,无需了解构造对抗样本过程的相关知识,从对抗样本生成机理和数学模型角度出发,具有更强的泛化能力。
相比于防御蒸馏方法,本发明不需要对目标分类器进行修改与再训练,操作复杂性低,将流形学说应用于对抗样本防御领域,有效提高了防御模型的稳健性,具有较强的抵御黑盒攻击的能力。
附图说明
图1为数据流形拓扑感知的人工智能系统对抗样本防御方法原理图。
图2为密度超水平集示例图
图3为实验相应的数据流形图
具体实施方式
为了更好的说明本发明的目的和优点,下面结合实例对本发明方法的实施方式做进一步详细说明。
实验使用了
Figure BDA0003648133050000048
的三个小型数据集,其拓扑分布分别为双月、螺旋和圆圈。为了构建训练集,首先从每个流形Mi均匀地采样1000个点,然后每个点被高斯噪声
Figure BDA0003648133050000049
扰动,其中σ=0.05。在训练之前,通过Scikit-learn包的预处理来标准化每个训练集。
训练生成模型时,使用Tensorflow的Probability库,该库属于实现生成模型的关键基础模块。设置每个模型使用八个耦合层,每个耦合层具有两个128个单元的隐藏层。
具体流程为:
步骤1,生成目标数据集的数据流形,并获取其拓扑信息。
步骤1.1,在数据生成模型中,令M表示数据流形,在l个分类标签的情况下,对应于每个类i∈{1,...,l},流形
Figure BDA00036481330500000410
即对于任何i≠j,有
Figure BDA0003648133050000051
由黎曼度量诱导的体积测度为dM,通过∫x∈MpM(x)dM(x)计算M上的概率pM,并扩展为整个
Figure BDA0003648133050000052
上的密度p。
步骤1.2,从M上采样一个点xo,然后添加一个噪声向量n,以获得一个观察点
Figure BDA0003648133050000053
其中,噪声n是一个以xo为中心,服从高斯分布的随机向量,其噪声密度函数为
Figure BDA0003648133050000054
满足
Figure BDA0003648133050000055
加入随机噪声后的密度为:
Figure BDA0003648133050000056
Figure BDA0003648133050000057
表示目标分布,用
Figure BDA0003648133050000058
表示隐空间分布,其中
Figure BDA0003648133050000059
映射到样本有x=G(z),用
Figure BDA00036481330500000510
表示生成模型G(z)的分布。对于给定的x,密度计算方式如下:
Figure BDA00036481330500000511
步骤2,对生成模型进行拓扑感知训练,在密度超水平集中调整隐向量分布与目标分布连通分量数保持一致,实现生成模型与目标数据分布的无限接近。
步骤2.1,通过在生成模型G的隐向量上的搜索代替流形M上的搜索。
步骤2.2,构建反映数据生成流形拓扑的密度超水平集Lp,λ,捕捉密度函数的几何特征。对于一个密度函数p和一个阈值λ>0,Lp,λ是p-1[λ,∞],由连通分量组成,每个连通分量至多包含一个流形Mi
步骤2.3,用Bδ(x)来表示以x为中心的半径为δ的欧几里得球,当:
λ足够小-对所有x∈M都是非空的;
λ-边界半径
Figure BDA00036481330500000512
Figure BDA00036481330500000513
包含
Figure BDA00036481330500000514
当maxx∈Mδx,λ,λ的最小半径对于某个λ存在,把最大值记为δλ
λ-防御半径
Figure BDA00036481330500000515
Figure BDA00036481330500000516
是λ包含
Figure BDA00036481330500000517
的最大半径。当minx∈Mx,λ对于某个λ存在时,它表示最小防御半径∈x,λ
步骤2.4,对于半径∈>0,将ω定义为在一个∈-ballB(x)中采样x′∈M的最小(超过x∈M)概率。
Figure BDA00036481330500000518
设(X,d)是度量空间,
Figure BDA00036481330500000519
是X中的数据生成流形。M的类间距离dcw定义为:
Figure BDA00036481330500000520
步骤2.5,选择任何足够小的阈值λ,固定一个值λ*≤ωλ,设
Figure BDA00036481330500000521
为λ*边界半径。如果M的dcw大于2δ*,那么超水平集
Figure BDA00036481330500000522
包含数据生成流形M,每个连通分支至多包含一个i类流形Mi
步骤3,将导致错误分类的点投影到最近的流形上,以反演受扰动的样本,纠正分类结果。
步骤3.1,
Figure BDA0003648133050000061
Figure BDA0003648133050000062
表示目标分布、隐空间分布、G(z)分布相应的密度超水平集。
Figure BDA0003648133050000063
是nZ个多元高斯分布的混合,
Figure BDA0003648133050000064
的数据生成流形包含nX个分量。令λ*为步骤2.3的阈值,如果nZ<nX,那么
Figure BDA0003648133050000065
Figure BDA0003648133050000066
在连通分量的数量上不一致,说明数据集中有对抗样本。
步骤3.2,满足步骤3.1则存在一个点
Figure BDA0003648133050000067
使得
Figure BDA0003648133050000068
Figure BDA0003648133050000069
所以在密度至少为λ*的情况下,G会生成一个点
Figure BDA00036481330500000610
这个点即为对抗样本。
步骤3.3,将错误分类的点
Figure BDA00036481330500000611
投影到最近的流形,使分类结果得到纠正。
其中,训练损失函数来训练生成模型,其中mi是训练样本的数量i。
Figure BDA00036481330500000612
每个模型被迭代了30,000次。对于每次迭代,从双月和圆数据集中选择200个随机样本,从螺旋数据集中选择300个随机样本。
为了测量反演分类的性能,从每个流形Mi中均匀选择100个点。然后,每个点x被垂直于x处流形的nx扰动,产生200个对抗点
Figure BDA00036481330500000613
对于所有数据集,r=0.2是扰动大小。反演分类将
Figure BDA00036481330500000614
映射回x,并收集所有
Figure BDA00036481330500000615
上的投影误差统计数据。有无拓扑感知反演分类的投影误差统计数据见表1:
表1有无拓扑感知反演分类的投影误差统计
Figure BDA00036481330500000616
可以看出,对于三种数据集,本方法降低了30%的投影误差,从而实现了更高效的分类结果纠正。
以上所述的具体描述,对发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.数据流形拓扑感知的人工智能系统对抗样本防御方法,其特征在于所述方法包括如下步骤:
步骤1,生成目标数据集的数据流形,并获取其拓扑信息,首先,定义数据生成流形M,然后,通过∫x∈MpM(x)dM(x)计算M上的概率pM并扩展为整个
Figure FDA0003648133040000011
上的密度p,从M上采样一个点xo,然后添加一个噪声向量n,以获得一个观察点
Figure FDA0003648133040000012
其中,噪声n是以xo为中心,服从高斯分布的随机向量,其噪声密度函数为
Figure FDA0003648133040000013
满足
Figure FDA0003648133040000014
对M积分,得到加入随机噪声后的密度
Figure FDA0003648133040000015
最后,用
Figure FDA0003648133040000016
表示目标分布,用
Figure FDA0003648133040000017
表示隐空间分布,其中
Figure FDA0003648133040000018
映射到样本有x=G(z),用
Figure FDA0003648133040000019
表示生成模型G(z)的分布;
步骤2,对生成模型进行拓扑感知训练,在密度超水平集中调整隐向量分布与目标分布连通分量数保持一致,实现生成模型与目标数据分布的无限接近,首先,通过在生成模型G的隐向量上的搜索代替流形M上的搜索,然后,构建反映数据生成流形拓扑的密度超水平集Lp,λ,捕捉密度函数的几何特征,选择任何足够小的阈值λ,使超水平集
Figure FDA00036481330400000110
包含数据生成流形M,每个连通分量至多包含一个流形Mi
步骤3,将错误分类的点投影到最近的流形上,以反演受扰动的样本,纠正分类结果,首先通过连通分量的数量上不一致,判断数据集中有对抗样本,然后生成模型G会生成点
Figure FDA00036481330400000111
被判断为对抗样本,最后,将错误分类的点
Figure FDA00036481330400000118
投影到最近的流形上,使分类结果得到纠正。
2.根据权利要求1所述的数据流形拓扑感知的人工智能系统对抗样本防御方法,其特征在于:步骤2,构建反映数据生成流形拓扑的密度超水平集Lp,λ,捕捉密度函数的几何特征,对于一个密度函数p和一个阈值λ>0,Lp,λ是p-1[λ,∞],由连通分量组成,每个分量至多包含一个流形Mi
3.根据权利要求1所述的数据流形拓扑感知的人工智能系统对抗样本防御方法,其特征在于:步骤2,Bδ(x)表示以x为中心,半径为δ的欧几里得球,当:
λ足够小-对所有x∈M都是非空的;
λ-边界半径
Figure FDA00036481330400000112
Figure FDA00036481330400000113
包含
Figure FDA00036481330400000114
当maxx∈Mδx,λ,λ的最小半径对于某个λ存在,把最大值记为δλ
λ-防御半径
Figure FDA00036481330400000115
Figure FDA00036481330400000116
是λ包含
Figure FDA00036481330400000117
的最大半径,当minx∈Mx,λ对于某个λ存在时,它表示最小防御半径∈x,λ
4.根据权利要求1所述的数据流形拓扑感知的人工智能系统对抗样本防御方法,其特征在于:步骤3,DZ是nz个多元高斯分布的混合,DX的数据生成流形包含nX个分量,令λ*为步骤2的阈值,如果nz<nX,那么
Figure FDA0003648133040000021
Figure FDA0003648133040000022
在连通分量的数量上不一致,说明数据集中有对抗样本。
5.根据权利要求1所述的数据流形拓扑感知的人工智能系统对抗样本防御方法,其特征在于:步骤3,若存在一个点
Figure FDA0003648133040000023
使得
Figure FDA0003648133040000024
Figure FDA0003648133040000025
则在密度至少为λ*的情况下,生成模型G生成点
Figure FDA0003648133040000026
判断为对抗样本。
CN202210535745.2A 2022-05-17 2022-05-17 数据流形拓扑感知的人工智能系统对抗样本防御方法 Pending CN115048983A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210535745.2A CN115048983A (zh) 2022-05-17 2022-05-17 数据流形拓扑感知的人工智能系统对抗样本防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210535745.2A CN115048983A (zh) 2022-05-17 2022-05-17 数据流形拓扑感知的人工智能系统对抗样本防御方法

Publications (1)

Publication Number Publication Date
CN115048983A true CN115048983A (zh) 2022-09-13

Family

ID=83159717

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210535745.2A Pending CN115048983A (zh) 2022-05-17 2022-05-17 数据流形拓扑感知的人工智能系统对抗样本防御方法

Country Status (1)

Country Link
CN (1) CN115048983A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115860112A (zh) * 2023-01-17 2023-03-28 武汉大学 基于模型反演方法的对抗样本防御方法和设备
CN116229089A (zh) * 2023-05-10 2023-06-06 广州市易鸿智能装备有限公司 一种外观几何分析方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115860112A (zh) * 2023-01-17 2023-03-28 武汉大学 基于模型反演方法的对抗样本防御方法和设备
CN116229089A (zh) * 2023-05-10 2023-06-06 广州市易鸿智能装备有限公司 一种外观几何分析方法及系统
CN116229089B (zh) * 2023-05-10 2023-07-14 广州市易鸿智能装备有限公司 一种外观几何分析方法及系统

Similar Documents

Publication Publication Date Title
Wang et al. Understanding contrastive representation learning through alignment and uniformity on the hypersphere
Peck et al. Lower bounds on the robustness to adversarial perturbations
CN110941794A (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
Rozsa et al. Towards robust deep neural networks with BANG
CN112165464B (zh) 一种基于深度学习的工控混合入侵检测方法
Yu et al. Zero-shot learning via simultaneous generating and learning
CN115048983A (zh) 数据流形拓扑感知的人工智能系统对抗样本防御方法
CN112287997A (zh) 一种基于生成式对抗网络的深度图卷积模型防御方法
CN113297572B (zh) 基于神经元激活模式的深度学习样本级对抗攻击防御方法及其装置
CN112464004A (zh) 一种多视角深度生成图像聚类方法
CN111414964A (zh) 一种基于对抗样本防御的图像安全识别方法
CN113627543B (zh) 一种对抗攻击检测方法
Xia et al. Adversarial kinetic prototype framework for open set recognition
CN112926661A (zh) 一种增强图像分类鲁棒性的方法
CN113505855A (zh) 一种对抗攻击模型的训练方法
CN111178504B (zh) 基于深度神经网络的鲁棒压缩模型的信息处理方法及系统
CN113269241A (zh) 一种遥感图像对抗样本的软阈值防御方法
Ouyang et al. AI robustness analysis with consideration of corner cases
Rouhani et al. Curtail: Characterizing and thwarting adversarial deep learning
Li et al. Optimal transport classifier: Defending against adversarial attacks by regularized deep embedding
CN112270367A (zh) 一种基于语义信息的深度学习模型对抗鲁棒性增强方法
Jang et al. Teacher–Explorer–Student Learning: A Novel Learning Method for Open Set Recognition
Roh Impact of adversarial training on the robustness of deep neural networks
Chen et al. MagicGAN: multiagent attacks generate interferential category via GAN
CN111340066A (zh) 一种基于几何向量的对抗样本生成方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination