CN115439377B - 一种增强对抗图像样本迁移性攻击的方法 - Google Patents

一种增强对抗图像样本迁移性攻击的方法 Download PDF

Info

Publication number
CN115439377B
CN115439377B CN202211389040.0A CN202211389040A CN115439377B CN 115439377 B CN115439377 B CN 115439377B CN 202211389040 A CN202211389040 A CN 202211389040A CN 115439377 B CN115439377 B CN 115439377B
Authority
CN
China
Prior art keywords
image sample
confrontation
image
sample
original
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211389040.0A
Other languages
English (en)
Other versions
CN115439377A (zh
Inventor
殷晋
李超群
秦科
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Yunmen Jinlan Technology Co ltd
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202211389040.0A priority Critical patent/CN115439377B/zh
Publication of CN115439377A publication Critical patent/CN115439377A/zh
Application granted granted Critical
Publication of CN115439377B publication Critical patent/CN115439377B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T5/00Image enhancement or restoration
    • G06T5/20Image enhancement or restoration using local operators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/70Determining position or orientation of objects or cameras
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Multimedia (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种增强对抗图像样本迁移性攻击的方法,属于图像处理领域。首先在利用原图片生成对抗图像样本之前,用高斯核对其进行卷积,而后扩大可搜索的对抗子空间,让攻击者获得更多信息,再利用捕获到的额外信息生成对抗图像样本之后,将对抗子空间还原到原来的大小,减少对抗图像样本和原图片间的视觉对比,最后生成对抗图像样本。本发明与模型增强等方法相比,所增加的计算开销可以忽略不计,与其他攻击方法相结合,进一步提高对抗图像样本的迁移性,本发明从频域和可搜索对抗子空间的角度出发,通过减少原图片的高频成分,扩大可搜索的对抗子空间,生成更具迁移性的对抗图像样本。

Description

一种增强对抗图像样本迁移性攻击的方法
技术领域
本发明属于机器视觉图像处理领域,特别是对抗图像样本迁移性攻击增强方法。
背景技术
对抗图像样本的迁移性是指针对一个模型生成的对抗图像样本会同样对其他模型产生威胁。已有研究说明,深度神经网络极易受到对抗图像样本的影响。对抗图像样本是通过在原图片上添加人类难以察觉的扰动生成的,它能使分类器对图片产生误分类。越锋利的矛可以造就越坚实的盾。同理,攻击性越强的对抗图像样本可以催生出更加鲁棒的深度神经网络,所以研究如何生成更具威胁性的对抗图像样本是非常有必要的。为了更好的理解和改进深度神经网络,研究人员们设计了各种攻击方法。在对抗攻击分类上,对抗攻击可以分为白盒攻击和黑盒攻击。对于白盒攻击,由于攻击者可以获得目标模型(也称为受害者模型)的完整知识,因此攻击者可以通过梯度反传来直接生成对抗图像样本。然而,由于安全问题,攻击者想要在现实世界中获得一个模型的全部信息是很困难的,所以黑盒攻击应运而生。在黑盒攻击中,攻击者不需要知道目标模型的全部知识也能对目标模型进行攻击。黑盒攻击的攻击方式有很多种,其中一个分支名为基于迁移性的攻击。此分支的攻击流程是攻击者在白盒模型上通过梯度反传生成对抗图像样本,然后用它们作为输入来攻击黑盒模型。然而由于白盒模型和黑盒模型决策边界间的差异性,导致对抗图像样本在黑盒模型上的攻击成功率不高。因此,研究者们提出了各种攻击方法来减轻模型决策边界间的差异性对对抗图像样本迁移性的影响,包括投影梯度下降、动量快速梯度符号下降、输入变换、图像平移和方差调整。
然而,上述提到的方法都存在如下两个问题。首先,攻击者使用原图片的所有组成部分来生成对抗图像样本,导致生成的对抗图像样本在白盒模型上过拟合。第二,为维持对抗图像样本和原图片之间的视觉相似性,对抗子空间的搜索范围被限制,导致重要信息的遗漏。
发明内容
为解决上述生成的对抗图像样本在白盒模型上过拟合问题和重要信息遗漏问题,本发明提出了一种增强对抗图像样本迁移性攻击的方法。
本发明采用的技术方案为:一种增强对抗图像样本迁移性攻击的方法,具体步骤如下:
S1、定义对抗图像样本生成问题,用高斯核对原始图片进行卷积,以减少图片的高频部分;
S11、令
Figure 887807DEST_PATH_IMAGE001
代表分类模型,其中,
Figure 246107DEST_PATH_IMAGE002
表示原始图像样本,
Figure 656360DEST_PATH_IMAGE003
是其对应的标签;
S12、设计对抗图像样本
Figure 504230DEST_PATH_IMAGE004
Figure 367144DEST_PATH_IMAGE005
为扰动,以便它能成功地欺骗目标模型, 例如
Figure 591452DEST_PATH_IMAGE006
,同时使对抗图像样本能够不被人眼所感知,设置最大扰动
Figure 856211DEST_PATH_IMAGE007
来限制攻击者对 原图片的修改程度;
S13、定义对抗图像样本的生成问题:
Figure 140562DEST_PATH_IMAGE008
(1)
其中,
Figure 490772DEST_PATH_IMAGE009
表示交叉熵损失函数,
Figure 253191DEST_PATH_IMAGE010
表示最大扰动,
Figure 372457DEST_PATH_IMAGE011
表示扰动的无穷范数;
S14、对原始图像样本进行低通滤波,得到低通滤波器之后的图像
Figure 827709DEST_PATH_IMAGE012
S2、将扰动
Figure 665215DEST_PATH_IMAGE010
乘上一个大于一的系数得到新的扰动
Figure 231326DEST_PATH_IMAGE013
,用来放松约束,扩大可搜索 的对抗子空间,让攻击者获得更多信息;
S3、利用新的扰动
Figure 202168DEST_PATH_IMAGE013
生成对抗图像样本之后,将对抗子空间还原到原来的大小,生 成对抗图像样本;
S31、定义最大迭代次数为
Figure 766005DEST_PATH_IMAGE014
,将扰动
Figure 153124DEST_PATH_IMAGE013
除以迭代次数,得到学习率
Figure 195029DEST_PATH_IMAGE015
S32、计算交叉熵损失函数
Figure 351204DEST_PATH_IMAGE009
关于样本图像的梯度
Figure 85942DEST_PATH_IMAGE016
其中,
Figure 694778DEST_PATH_IMAGE017
表示对损失函数求关于
Figure 805953DEST_PATH_IMAGE018
的梯度,
Figure 816634DEST_PATH_IMAGE019
表示第t次迭代生成的对抗图像样 本;
S33、当迭代次数小于定义的最大迭代次数
Figure 722273DEST_PATH_IMAGE014
时,更新样本:
Figure 818405DEST_PATH_IMAGE020
(2)
其中,
Figure 202113DEST_PATH_IMAGE021
是sign函数,如果数值大于1,则将其变为1,如果数值小于1,则将其 变为-1,如果数值为0 ,则不变;
S34、输出对抗图像样本
Figure 332880DEST_PATH_IMAGE022
其中,
Figure 409421DEST_PATH_IMAGE023
表示将生成的对抗抗本裁剪到
Figure 992849DEST_PATH_IMAGE024
的范围,
Figure 183177DEST_PATH_IMAGE025
表示最终 生成的对抗图像样本。
进一步的,所述步骤S14的具体方法为:
使用长度为
Figure 168451DEST_PATH_IMAGE026
的高斯卷积核
Figure 415893DEST_PATH_IMAGE027
进行滤波处理,降低图像的高频部分:
Figure 424300DEST_PATH_IMAGE028
(3)
其中,标准差
Figure 477707DEST_PATH_IMAGE029
设为
Figure 255170DEST_PATH_IMAGE030
Figure 735830DEST_PATH_IMAGE031
表示在图像位置(i, j)的未经过归一化处理的高 斯分布概率密度函数值,归一化
Figure 965954DEST_PATH_IMAGE032
来得到高斯卷积核
Figure 823051DEST_PATH_IMAGE033
Figure 455021DEST_PATH_IMAGE034
(4)
其中,
Figure 106582DEST_PATH_IMAGE035
表示经过归一化处理的权重值,
Figure 89582DEST_PATH_IMAGE036
是一个矩阵,
Figure 484791DEST_PATH_IMAGE037
是矩阵的元素值;
将原始图像样本通过高斯卷积核,得到处理后的图片:
Figure 971267DEST_PATH_IMAGE038
(5)
其中,
Figure 994062DEST_PATH_IMAGE039
表示经过高斯低通滤波器之后的图像。
本发明的有益效果:本发明的方法首先在利用原图片生成对抗图像样本之前,用高斯核对其进行卷积,以减少图片的高频部分,而后扩大可搜索的对抗子空间,让攻击者获得更多信息,再利用捕获到的额外信息生成对抗图像样本之后,将对抗子空间还原到原来的大小,以减少对抗图像样本和原图片间的视觉对比,最后生成对抗图像样本。本发明的方法与模型增强等计算成本较高的方法相比,所增加的计算开销可以忽略不计,可以与其他攻击方法相结合,进一步提高对抗图像样本的迁移性,本发明方法从频域和可搜索对抗子空间的角度出发,通过减少原图片的高频成分,扩大可搜索的对抗子空间,能够生成更具迁移性的对抗图像样本。
附图说明
图1为本发明的一种对抗图像样本迁移性攻击增强方法的流程图。
图2为本实施例的实验结果图,其中图(a)为I-FGSM(快速梯度符号法),图(b)为MI-FGSM(动量迭代法)实验结果图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步说明。
如图1所示,本发明的一种对抗图像样本迁移性攻击增强方法流程图,具体步骤如下:
S1、定义对抗图像样本生成问题,用高斯核对原始图片进行卷积,以减少图片的高频部分;
S2、在步骤S1的基础上,扩大可搜索的对抗子空间,让攻击者获得更多信息;
S3、基于步骤S1-S2中的信息基础,在利用捕获到的额外信息生成对抗图像样本之后,再将对抗子空间还原到原来的大小,生成对抗图像样本。
本实施例中,所述步骤S1具体子步骤如下:
S11、令
Figure 261096DEST_PATH_IMAGE001
代表分类模型,其中,
Figure 132100DEST_PATH_IMAGE040
表示原始图像样本,
Figure 800978DEST_PATH_IMAGE041
是其对应的标签;
S12、设计对抗图像样本
Figure 997604DEST_PATH_IMAGE042
Figure 424038DEST_PATH_IMAGE043
为扰动,以便它能成功地欺骗目标模型, 例如
Figure 426629DEST_PATH_IMAGE006
,同时使对抗图像样本能够不被人眼所感知,设置最大扰动
Figure 887697DEST_PATH_IMAGE044
来限制攻击者对 原图片的修改程度;
S13、定义对抗图像样本的生成问题:
Figure 989645DEST_PATH_IMAGE045
(1)
其中,
Figure 231271DEST_PATH_IMAGE009
表示交叉熵损失函数,
Figure 709657DEST_PATH_IMAGE010
表示最大扰动,
Figure 87548DEST_PATH_IMAGE011
表示扰动的无穷范数;
S14、在步骤S11-S13的基础上,使用长度为
Figure 625977DEST_PATH_IMAGE046
的高斯卷积核
Figure 89320DEST_PATH_IMAGE047
来降低图像的高频部 分:
Figure 362607DEST_PATH_IMAGE048
(7)
其中标准差
Figure 798268DEST_PATH_IMAGE049
设为
Figure 304335DEST_PATH_IMAGE050
Figure 458236DEST_PATH_IMAGE051
表示在位置(i, j)的高斯分布概率密度函数值(未 经过归一化处理),归一化
Figure 340742DEST_PATH_IMAGE052
来得到高斯卷积核
Figure 630909DEST_PATH_IMAGE053
Figure 307878DEST_PATH_IMAGE054
(8)
其中,
Figure 683495DEST_PATH_IMAGE055
表示经过归一化处理的权重值。
S15、将原始图片通过高斯卷积核,得到处理后的图片:
Figure 307375DEST_PATH_IMAGE056
(9)
其中,
Figure 514365DEST_PATH_IMAGE057
表示经过高斯低通滤波器之后的原始图片。
本实施例中,所述步骤S2具体子步骤如下:
S21、将扰动
Figure 565498DEST_PATH_IMAGE010
乘上一个大于一的系数来放松约束,系数用
Figure 490728DEST_PATH_IMAGE058
来表示:
Figure 652719DEST_PATH_IMAGE059
(10)
其中,
Figure 979796DEST_PATH_IMAGE013
表示放松约束后的扰动
Figure 198900DEST_PATH_IMAGE010
S22、扩大可搜索的对抗子空间,让攻击者获得更多信息;
本实施例中,所述步骤S3具体子步骤如下:
S31、定义最大迭代次数为
Figure 283531DEST_PATH_IMAGE060
,将步骤S21中放松约束后的扰动除以迭代次数:
Figure 311529DEST_PATH_IMAGE061
(11)
其中,
Figure 430795DEST_PATH_IMAGE062
代表学习率。
S32、计算交叉熵损失函数关于样本的梯度
Figure 886047DEST_PATH_IMAGE063
其中,
Figure 723553DEST_PATH_IMAGE064
表示对损失函数求关于
Figure 289664DEST_PATH_IMAGE065
的梯度,
Figure 263436DEST_PATH_IMAGE066
表示第t次迭代生成的对抗图像样 本。
S33、当迭代次数小于定义的最大迭代次数
Figure 889589DEST_PATH_IMAGE067
,更新样本:
Figure 948812DEST_PATH_IMAGE068
(12)
其中,t代表迭代次数;
S34、输出增强的生成对抗图像样本
Figure 318614DEST_PATH_IMAGE069
其中,
Figure 412472DEST_PATH_IMAGE070
表示将生成的对抗抗本裁剪到
Figure 209526DEST_PATH_IMAGE024
的范围,
Figure 756045DEST_PATH_IMAGE071
表示最终 生成的对抗图像样本。
如图2所示,为了研究高斯核长度对对抗图像样本迁移性的影响,本实施例中分别 用图(a)的I-FGSM(快速梯度符号法)和图(b)的MI-FGSM(动量迭代法)进行了实验。高斯核 的长度
Figure 663959DEST_PATH_IMAGE072
从1到21。这里
Figure 615253DEST_PATH_IMAGE073
意味着直接在原图像上执行I-FGSM和MI-FGSM。从实验结果可 以看到,黑盒攻击的成功率随着
Figure 583209DEST_PATH_IMAGE072
的增加而上升,但当
Figure 617024DEST_PATH_IMAGE072
超过9时成功率就开始下降。因此, 在本实施例中将高斯核的长度设置为9。
为了证明所提出方法的有效性,在表1中展示本发明方法的攻击成功率。具体来说,本发明通过I-FGSM(迭代快速梯度符号法)、MI-FGSM(动量迭代法)、DI-FGSM(多样化输入变换法)、TI-FGSM(图像平移法)和VMI-FGSM(方差调整法)以及与本发明的方法相结合的扩展,即I-RE-FGSM、MI-RE-FGSM、DI-RE-FGSM、TI-RE-GSM和VMI-RE-FGSM(其中每个方法中的RE代表本发明的方法),来攻击Inc-v3(Inception-v3)、Inc-v4(Inception-v4)、Res-152(Resnet-152)和IncRes-v2(Inception-ResNet-v2)模型。
表1中每一个数据单元斜杠前面的数值表示之前方法的攻击成功率,后面的数值表示方法的攻击成功率。选择了七个防御模型,包括Inc-v3ens3(Inception-v3-ensemble3)、Inc-v3ens4(Inception-v3-ensemble4)、IncRes-v2ens(Inception-ResNet-v2-ensemble)、R&P(随机化)、NIPS-r3(图像转换)、RS(随机平滑)和NRP(自监督对抗训练)。从表1可以看出,本发明方法高于之前的方法。总的来说,本发明方法比之前的攻击方法高3.6%~14.9%。
表1本发明方法与其他不同方法的效果对比。
Figure 328628DEST_PATH_IMAGE074
综上可以看出,本发明的方法首先在利用原图片生成对抗图像样本之前,用高斯核对其进行卷积,以减少图片的高频部分,而后扩大可搜索的对抗子空间,让攻击者获得更多信息,再利用捕获到的额外信息生成对抗图像样本之后,将对抗子空间还原到原来的大小,以减少对抗图像样本和原图片间的视觉对比,最后生成对抗图像样本。本发明的方法与模型增强等计算成本较高的方法相比,所增加的计算开销可以忽略不计,可以与其他攻击方法相结合,进一步提高对抗图像样本的迁移性,本发明方法从频域和可搜索对抗子空间的角度出发,通过减少原图片的高频成分,扩大可搜索的对抗子空间,能够生成更具迁移性的对抗图像样本。

Claims (2)

1.一种增强对抗图像样本迁移性攻击的方法,其特征在于,具体步骤如下:
S1、定义对抗图像样本生成问题,用高斯核对原始图片进行卷积,以减少图片的高频部分;
S11、令
Figure DEST_PATH_IMAGE002
代表分类模型,其中,
Figure DEST_PATH_IMAGE004
表示原始图像样本,
Figure DEST_PATH_IMAGE006
是其对应的标签;
S12、设计对抗图像样本
Figure DEST_PATH_IMAGE008
Figure DEST_PATH_IMAGE010
为扰动,以便它能成功地欺骗目标模型,同时使对抗图像样本能够不被人眼所感知,设置最大扰动
Figure DEST_PATH_IMAGE012
来限制攻击者对原图片的修改程度;
S13、定义对抗图像样本的生成问题:
Figure DEST_PATH_IMAGE014
(1)
其中,
Figure DEST_PATH_IMAGE016
表示交叉熵损失函数,
Figure DEST_PATH_IMAGE018
表示最大扰动,
Figure DEST_PATH_IMAGE020
表示扰动的无穷范数;
S14、对原始图像样本进行低通滤波,得到低通滤波器之后的图像
Figure DEST_PATH_IMAGE022
S2、将扰动
Figure 85034DEST_PATH_IMAGE018
乘上一个大于一的系数得到新的扰动
Figure DEST_PATH_IMAGE024
,用来放松约束,扩大可搜索的对抗子空间,让攻击者获得更多信息;
S3、利用新的扰动
Figure 674278DEST_PATH_IMAGE024
生成对抗图像样本之后,将对抗子空间还原到原来的大小,生成对抗图像样本;
S31、定义最大迭代次数为
Figure DEST_PATH_IMAGE026
,将扰动
Figure 858877DEST_PATH_IMAGE024
除以迭代次数,得到学习率
Figure DEST_PATH_IMAGE028
S32、计算交叉熵损失函数
Figure 175457DEST_PATH_IMAGE016
关于样本图像的梯度
Figure DEST_PATH_IMAGE030
其中,
Figure DEST_PATH_IMAGE032
表示对损失函数求关于
Figure DEST_PATH_IMAGE034
的梯度,
Figure DEST_PATH_IMAGE036
表示第t次迭代生成的对抗图像样本;
S33、当迭代次数小于定义的最大迭代次数
Figure 317726DEST_PATH_IMAGE026
时,更新样本:
Figure DEST_PATH_IMAGE038
(2)
其中,
Figure DEST_PATH_IMAGE040
是sign函数,如果数值大于1,则将其变为1,如果数值小于1,则将其变为-1,如果数值为0 ,则不变;
S34、输出对抗图像样本
Figure DEST_PATH_IMAGE042
其中,
Figure DEST_PATH_IMAGE044
表示将生成的对抗样本裁剪到
Figure DEST_PATH_IMAGE046
的范围,
Figure DEST_PATH_IMAGE048
表示最终生成的对抗图像样本。
2.如权利要求1所述的一种增强对抗图像样本迁移性攻击的方法,其特征在于,所述步骤S14的具体方法为:
使用长度为
Figure DEST_PATH_IMAGE050
的高斯卷积核
Figure DEST_PATH_IMAGE052
进行滤波处理,降低图像的高频部分:
Figure DEST_PATH_IMAGE054
(3)
其中,标准差
Figure DEST_PATH_IMAGE056
设为
Figure DEST_PATH_IMAGE058
Figure DEST_PATH_IMAGE060
表示在图像位置(i, j)的未经过归一化处理的高斯分布概率密度函数值,归一化
Figure DEST_PATH_IMAGE062
来得到高斯卷积核
Figure DEST_PATH_IMAGE064
Figure DEST_PATH_IMAGE066
(4)
其中,
Figure DEST_PATH_IMAGE068
表示经过归一化处理的权重值,
Figure DEST_PATH_IMAGE069
是一个矩阵,
Figure DEST_PATH_IMAGE070
是矩阵的元素值;
将原始图像样本通过高斯卷积核,得到处理后的图片:
Figure DEST_PATH_IMAGE072
(5)
其中,
Figure DEST_PATH_IMAGE074
表示经过高斯低通滤波器之后的图像。
CN202211389040.0A 2022-11-08 2022-11-08 一种增强对抗图像样本迁移性攻击的方法 Active CN115439377B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211389040.0A CN115439377B (zh) 2022-11-08 2022-11-08 一种增强对抗图像样本迁移性攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211389040.0A CN115439377B (zh) 2022-11-08 2022-11-08 一种增强对抗图像样本迁移性攻击的方法

Publications (2)

Publication Number Publication Date
CN115439377A CN115439377A (zh) 2022-12-06
CN115439377B true CN115439377B (zh) 2023-03-24

Family

ID=84252706

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211389040.0A Active CN115439377B (zh) 2022-11-08 2022-11-08 一种增强对抗图像样本迁移性攻击的方法

Country Status (1)

Country Link
CN (1) CN115439377B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3751476A1 (en) * 2019-06-13 2020-12-16 Baidu USA LLC A system to mitigate against adversarial samples for machine learning and artificial intelligence models
CN112215292A (zh) * 2020-10-19 2021-01-12 电子科技大学 一种基于迁移性的图像对抗样本生成装置及方法
CN113344814A (zh) * 2021-06-03 2021-09-03 安徽理工大学 一种基于生成机制的高分辨率对抗样本的合成方法
CN114399630A (zh) * 2021-12-31 2022-04-26 燕山大学 基于信念攻击和显著区域扰动限制的对抗样本生成方法
CN114549933A (zh) * 2022-02-21 2022-05-27 南京大学 基于目标检测模型特征向量迁移的对抗样本生成方法
CN114626042A (zh) * 2022-03-18 2022-06-14 杭州师范大学 一种人脸验证攻击方法和装置
CN114926708A (zh) * 2022-05-25 2022-08-19 杭州师范大学 一种结合低频信息和特征的目标检测对抗攻方法和装置
CN115147682A (zh) * 2022-07-04 2022-10-04 内蒙古科技大学 一种具有迁移性的隐蔽白盒对抗样本生成方法及装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110851835A (zh) * 2019-09-23 2020-02-28 平安科技(深圳)有限公司 图像模型检测方法、装置、电子设备及存储介质
US11256754B2 (en) * 2019-12-09 2022-02-22 Salesforce.Com, Inc. Systems and methods for generating natural language processing training samples with inflectional perturbations
CN111680292B (zh) * 2020-06-10 2023-05-16 北京计算机技术及应用研究所 一种基于高隐蔽性通用扰动的对抗样本生成方法
CN111932646B (zh) * 2020-07-16 2022-06-21 电子科技大学 一种用于对抗攻击的图像处理方法
CN113066002A (zh) * 2021-02-27 2021-07-02 华为技术有限公司 对抗样本的生成方法、神经网络的训练方法、装置及设备
CN113674140B (zh) * 2021-08-20 2023-09-26 燕山大学 一种物理对抗样本生成方法及系统
CN113780123B (zh) * 2021-08-27 2023-08-08 广州大学 一种对抗样本生成方法、系统、计算机设备和存储介质
CN114331829A (zh) * 2021-09-03 2022-04-12 腾讯科技(深圳)有限公司 一种对抗样本生成方法、装置、设备以及可读存储介质
CN114066912A (zh) * 2021-11-23 2022-02-18 中国人民解放军战略支援部队信息工程大学 基于优化算法和不变性的智能对抗样本生成方法及系统
CN114387476A (zh) * 2022-01-17 2022-04-22 湖南大学 一种提高对抗样本在防御机制上迁移性的方法
CN114283341B (zh) * 2022-03-04 2022-05-17 西南石油大学 一种高转移性对抗样本生成方法、系统及终端
CN114972783A (zh) * 2022-05-06 2022-08-30 华中科技大学 一种增强梯度低频信息的对抗样本生成方法及其应用
CN115115905B (zh) * 2022-06-13 2023-06-27 苏州大学 基于生成模型的高可迁移性图像对抗样本生成方法
CN115187449A (zh) * 2022-06-20 2022-10-14 湖南大学 一种基于透视变换的提高对抗样本迁移性的方法
CN115100421B (zh) * 2022-06-22 2024-03-12 西北工业大学 一种基于图像频域分解重构的对抗样本生成方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3751476A1 (en) * 2019-06-13 2020-12-16 Baidu USA LLC A system to mitigate against adversarial samples for machine learning and artificial intelligence models
CN112215292A (zh) * 2020-10-19 2021-01-12 电子科技大学 一种基于迁移性的图像对抗样本生成装置及方法
CN113344814A (zh) * 2021-06-03 2021-09-03 安徽理工大学 一种基于生成机制的高分辨率对抗样本的合成方法
CN114399630A (zh) * 2021-12-31 2022-04-26 燕山大学 基于信念攻击和显著区域扰动限制的对抗样本生成方法
CN114549933A (zh) * 2022-02-21 2022-05-27 南京大学 基于目标检测模型特征向量迁移的对抗样本生成方法
CN114626042A (zh) * 2022-03-18 2022-06-14 杭州师范大学 一种人脸验证攻击方法和装置
CN114926708A (zh) * 2022-05-25 2022-08-19 杭州师范大学 一种结合低频信息和特征的目标检测对抗攻方法和装置
CN115147682A (zh) * 2022-07-04 2022-10-04 内蒙古科技大学 一种具有迁移性的隐蔽白盒对抗样本生成方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
攻击分类器的对抗样本生成技术的现状分析;叶启松 等;《计算机工程与应用》;20200217;第56卷(第05期);34-42 *
视觉对抗样本生成技术概述;王伟 等;《信息安全学报》;20200315;第05卷(第02期);39-48 *

Also Published As

Publication number Publication date
CN115439377A (zh) 2022-12-06

Similar Documents

Publication Publication Date Title
Carlini et al. Evading deepfake-image detectors with white-and black-box attacks
Neekhara et al. Adversarial threats to deepfake detection: A practical perspective
Dong et al. Evading defenses to transferable adversarial examples by translation-invariant attacks
Li et al. Auditing privacy defenses in federated learning via generative gradient leakage
Agarwal et al. Image transformation-based defense against adversarial perturbation on deep learning models
Zuo et al. Learning iteration-wise generalized shrinkage–thresholding operators for blind deconvolution
CN109658344A (zh) 基于深度学习的图像去噪方法、装置、设备和存储介质
Chen et al. Magdr: Mask-guided detection and reconstruction for defending deepfakes
Yuan et al. Ensemble generative cleaning with feedback loops for defending adversarial attacks
CN112883874A (zh) 针对深度人脸篡改的主动防御方法
CN115115905A (zh) 基于生成模型的高可迁移性图像对抗样本生成方法
CN113487015A (zh) 基于图像亮度随机变换的对抗样本生成方法及系统
Chen et al. Patch selection denoiser: An effective approach defending against one-pixel attacks
Zheng et al. An effective adversarial attack on person re-identification in video surveillance via dispersion reduction
CN115147682A (zh) 一种具有迁移性的隐蔽白盒对抗样本生成方法及装置
Li et al. Two-branch multi-scale deep neural network for generalized document recapture attack detection
Kumar et al. Image Deconvolution using Deep Learning-based Adam Optimizer
CN115439377B (zh) 一种增强对抗图像样本迁移性攻击的方法
CN117011508A (zh) 一种基于视觉变换和特征鲁棒的对抗训练方法
Kalaria et al. Towards adversarial purification using denoising autoencoders
Li et al. Online alternate generator against adversarial attacks
CN113673324A (zh) 一种基于时序移动的视频识别模型攻击方法
Xiao et al. Defending against Adversarial Attacks using Digital Image Processing
Lu et al. Fabricate-vanish: An effective and transferable black-box adversarial attack incorporating feature distortion
Lee et al. Defensive denoising methods against adversarial attack

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230518

Address after: No. 1, 3rd Floor, Building 1, No. 4 Dayuan North Middle Street, High tech Zone, Chengdu City, Sichuan Province, 610000

Patentee after: CHENGDU YUNMEN JINLAN TECHNOLOGY Co.,Ltd.

Address before: 611731, No. 2006, West Avenue, Chengdu hi tech Zone (West District, Sichuan)

Patentee before: University of Electronic Science and Technology of China

TR01 Transfer of patent right