CN116664978A - 一种面向人工智能安全的物理灯光后门攻击的训练方法 - Google Patents
一种面向人工智能安全的物理灯光后门攻击的训练方法 Download PDFInfo
- Publication number
- CN116664978A CN116664978A CN202310652261.0A CN202310652261A CN116664978A CN 116664978 A CN116664978 A CN 116664978A CN 202310652261 A CN202310652261 A CN 202310652261A CN 116664978 A CN116664978 A CN 116664978A
- Authority
- CN
- China
- Prior art keywords
- back door
- clean
- attack
- image data
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012549 training Methods 0.000 title claims abstract description 63
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000012360 testing method Methods 0.000 claims abstract description 30
- 238000013473 artificial intelligence Methods 0.000 claims abstract description 9
- 239000003086 colorant Substances 0.000 claims abstract description 8
- 238000013136 deep learning model Methods 0.000 claims abstract description 5
- 238000005282 brightening Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000002474 experimental method Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 4
- 231100000572 poisoning Toxicity 0.000 description 4
- 230000000607 poisoning effect Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002715 modification method Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000001629 sign test Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/77—Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
- G06V10/774—Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/764—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Multimedia (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Power-Operated Mechanisms For Wings (AREA)
Abstract
本发明属于人工智能安全领域,并公开了一种面向人工智能安全的物理灯光后门攻击的训练方法,包括:对目标对象进行灯光后门攻击,根据灯光颜色在目标对象上产生对应的灯光触发器,基于灯光触发器生成后门图像数据;获取干净图像数据,基于后门图像数据和所述干净图像数据分别构建训练集;干净图像数据为未产生灯光触发器的原始图像;构建后门模型,所述后门模型为深度学习模型,基于所述训练集对所述后门模型进行训练,得到训练后的后门模型;构建测试集,基于所述测试集对所述训练后的后门模型进行评估,得到灯光后门攻击的攻击成功率数据和干净准确率数据。本发明所述技术方案拥有较高攻击成功率的同时实现了更加隐蔽的物理后门攻击。
Description
技术领域
本发明属于人工智能安全领域,特别是涉及一种面向人工智能安全的物理灯光后门攻击的训练方法。
背景技术
深度神经网络已经在人脸识别、自动驾驶、自然语言处理等领域得到了广泛应用。然而,深度神经网络是脆弱的,它很容易受到敌手攻击。其中,最为著名的攻击是对抗样本。对抗样本对图像添加难以察觉的扰动来欺骗深度神经网络,使图像被错误分类。
后门攻击是深度神经网络的另一种威胁。与对抗样本不同,后门攻击更多的关注于模型的训练阶段,它旨在中毒一小部分训练样本并在训练模型时实现攻击。攻击者将训练好的后门模型在网上共享,当用户下载后门模型并使用时可能会造成安全隐患。
以图像分类为例,后门攻击通过中毒训练集来发起。攻击者对部分干净训练集添加精心制作的触发器,这些添加触发器的图像称为后门图像。此外,将后门训练集的标签设置为目标标签,然后把干净训练集和中毒训练集混合来训练模型。这样训练后的模型在对干净测试集的预测时表现正常,但会对后门测试集做出错误的分类。后门攻击根据目标标签是否和后门图像的原始内容一致分为中毒标签后门攻击和干净标签后门攻击。
数字后门攻击,目前,对后门攻击的研究大多集中于数字后门攻击,即使用数字修改的方法对图像添加触发器,后门触发器可以是一小块补丁或者是像素点,也可以是图像的混合等。
物理后门攻击,物理后门攻击利用现实世界真实存在的对象作为触发器而非数字生成,这使得图像看起来更加自然。例如:物理触发器可能是墨镜或头巾,或者是交通标志上黏贴的贴纸。
当前物理后门攻击存在的问题:
(1)在一些情况下,攻击者很难直接访问目标对象实现触发器的部署,例如,高杆上的交通标志;
(2)直接在目标对象上黏贴贴纸是不自然的,这很容易引起怀疑。
发明内容
本发明的目的是提供一种面向人工智能安全的物理灯光后门攻击的训练方法,以解决上述现有技术存在的问题。
为实现上述目的,本发明提供了一种面向人工智能安全的物理灯光后门攻击的训练方法,包括:
对目标对象进行灯光后门攻击,根据灯光颜色在目标对象上产生对应的灯光触发器,基于所述灯光触发器生成后门图像数据;
获取干净图像数据,基于所述后门图像数据和所述干净图像数据分别构建训练集;所述干净图像数据为未产生灯光触发器的原始图像;
构建后门模型,其中,所述后门模型为深度学习模型,基于所述训练集对所述后门模型进行训练,得到训练后的后门模型;
构建测试集,基于所述测试集对所述训练后的后门模型进行评估,得到灯光后门攻击的攻击成功率数据和干净准确率数据。
可选的,所述灯光触发器包括蓝、绿、红三种颜色。
可选的,生成所述后门图像数据的过程包括:
在目标对象上产生灯光触发器后,通过摄像机对生成所述灯光触发器的目标对象进行拍摄,得到所述后门图像数据。
可选的,所述干净图像数据为未经过灯光后门攻击的CTSRD交通标志数据集。
可选的,构建所述训练集的过程包括:
将所述后门图像数据作为后门训练集Xb,并将所述后门训练集Xb中的所有图像标记为目标标签,将所述干净图像数据作为干净训练集Xc,对所述干净训练集Xc和后门训练集Xb进行结合分析,得到所述训练集Xp;
其中,获取所述训练集Xp的计算公式为:
Xp=Xb∪Xc。
可选的,所述训练后的后门模型fθ为:
fθ(x)=y,fθ(Tp)=y′
Tp(xi,tp,mi)=(1-mi)·xi+mi·tp
其中,Tp是后门图像,tp是后门触发器,xi为干净图像,mi为触发器在图像中的占比,mi∈[0,1],x为干净图像,y为干净标签,y′为后门标签。
可选的,所述测试集为经过变亮、变暗和加噪处理后的图像。
可选的,所述对所述训练后的后门模型进行评估的过程包括:
基于所述测试集对所述训练后的后门模型进行评估,通过计算干净测试集Xc的分类准确率得到干净准确率数据;通过计算错误分类为所述目标标签的后门测试集Xb占所有后门测试集Xb的比率,得到攻击成功率数据。
本发明的技术效果为:
本发明提供的一种面向人工智能安全的物理灯光后门攻击的训练方法通过对目标对象进行灯光后门攻击,进一步在目标对象上生成灯光触发器,基于所述灯光触发器获取后门图像数据;获取干净图像数据,基于所述后门图像数据和所述干净图像数据构建训练集;构建后门模型,其中,所述后门模型为深度学习模型,基于所述训练集对所述后门模型进行训练,得到训练后的后门模型;构建测试集,基于所述测试集对所述训练后的后门模型进行评估,得到灯光后门攻击的攻击成功率数据和干净准确率数据。
本发明提供的灯光后门攻击方法解决了当前物理后门攻击存在的问题:无需直接访问目标对象实现触发器的部署。此外,攻击者可以在需要时主动发起攻击,这使得本发明的方法在发起后门攻击时更具有灵活性和隐蔽性。本发明在拥有较高攻击成功率的同时实现了更加隐蔽的物理后门攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例中的图像分类实验的总体流程图;
图2为本发明实施例中的灯光后门攻击与现有的后门攻击隐蔽性的比较;
图3为本发明实施例中的部分后门图像的示例和在复杂环境下的Grad-CAM实验;
图4为本发明实施例中的评估其他交通标志测试类的实验结果;
图5为本发明实施例中的抵御数据增强防御的实验结果;
图6为本发明实施例中的抵御Grad-CAM防御的实验结果的流程图。
具体实施方式
现详细说明本发明的多种示例性实施方式,该详细说明不应认为是对本发明的限制,而应理解为是对本发明的某些方面、特性和实施方案的更详细的描述。
应理解本发明中所述的术语仅仅是为描述特别的实施方式,并非用于限制本发明。另外,对于本发明中的数值范围,应理解为还具体公开了该范围的上限和下限之间的每个中间值。在任何陈述值或陈述范围内的中间值以及任何其他陈述值或在所述范围内的中间值之间的每个较小的范围也包括在本发明内。这些较小范围的上限和下限可独立地包括或排除在范围内。
除非另有说明,否则本文使用的所有技术和科学术语具有本发明所述领域的常规技术人员通常理解的相同含义。虽然本发明仅描述了优选的方法,但是在本发明的实施或测试中也可以使用与本文所述相似或等同的任何方法。本说明书中提到的所有文献通过引用并入,用以公开和描述与所述文献相关的方法。在与任何并入的文献冲突时,以本说明书的内容为准。
在不背离本发明的范围或精神的情况下,可对本发明说明书的具体实施方式做多种改进和变化,这对本领域技术人员而言是显而易见的。由本发明的说明书得到的其他实施方式对技术人员而言是显而易见的。本申请说明书和实施例仅是示例性的。
关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等,均为开放性的用语,即意指包含但不限于。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
实施例一
如图1-图6所示,本实施例中提供了一种面向人工智能安全的物理灯光后门攻击的训练方法,包括:
对目标对象进行灯光后门攻击,根据灯光颜色在目标对象上产生对应的灯光触发器,基于所述灯光触发器生成后门图像数据;
获取干净图像数据,基于所述后门图像数据和所述干净图像数据分别构建训练集;所述干净图像数据为未产生灯光触发器的原始图像;
构建后门模型,其中,所述后门模型为深度学习模型,基于所述训练集对所述后门模型进行训练,得到训练后的后门模型;
构建测试集,基于所述测试集对所述训练后的后门模型进行评估,得到灯光后门攻击的攻击成功率数据和干净准确率数据。
使用手电筒在交通标志上产生灯光触发器,灯光触发器包括蓝、绿、红三种不同的颜色。
使用摄像机进行拍摄并获取后门训练集Xb,并将后门训练集Xb中的所有图像标记为目标标签。
构建训练集Xp,它包括后门训练集Xb与干净训练集Xc,即:
Xp=Xb∪Xc,
后门图像可以定义为:
Tp(xi,tp,mi)=(1-mi)·xi+mi·tp,
其中,Tp是后门图像,tp是后门触发器,xi为干净图像,mi用来表示触发器在图像中的占比,mi∈[0,1]。
使用训练集Xp训练后门模型fθ。一个训练成功的后门模型应该对干净图像的正确分类,但对后门图像错误分类。即:
fθ(x)=y,fθ(Tp)=y′
其中,x为干净图像,y为干净标签,Tp为后门图像,y′为后门标签。
使用测试集评估灯光后门攻击的攻击成功率和干净准确率。
所述测试集由经过变亮、变暗和加噪处理后的图像(后门图像以及干净图像)集合构成;
攻击者具备的能力,假设攻击者可以完全控制训练集,并使用中毒标签的方式实施攻击。此外,攻击者只知道模型的体系结构,但无法控制模型的内部权重和参数。
攻击者的目标,攻击者的目标有两个:1)后门模型对干净图像分类正确。2)模型对带有后门图像分类错误。
本实施例的整体流程图如图1所示,它包括以下3个阶段:产生后门图像,后门模型训练,后门模型评估。
阶段1,产生后门图像。使用手电筒在交通标志上产生灯光触发器,灯光触发器包括蓝、绿、红这三种不同的颜色,然后使用摄像机进行拍摄并获取图像,这些图像为中毒图像,将所有后门图像设置为目标标签。
阶段2,后门模型训练。将部分后门训练集与干净训练集混合放入模型中训练。同时为了验证后门模型对干净数据准确率的影响,使用干净训练集(无后门)和同样的训练设置训练了一个干净模型用以比较。
阶段3,后门模型评估。评估训练后的模型效果。评估分为两个部分:1)评估模型对于干净测试集的分类准确率。2)评估后门的攻击效果,通过计算错误分类为目标标签的后门的测试集占所有后门测试集的比率。
数据集与模型结构
本实施例使用的干净数据集为CTSRD交通标志数据集。考虑到一些图像较少的类以及低分辨率图像对实验结果的影响,本实施例选择了图像数量最多的20类,同时删除了数据集中分辨率高度或宽度小于100的图像。所有图像的大小都调整为224×224×3。本实施例使用的图像分类模型结构为ResNet-18、ResNet-34和ResNet-50。
实验设置
在本实施例的图像分类实验中,后门攻击的类别为禁止汽车通行交通标志。本实施例使用SGD优化器,动量设置为0.9,初始学习率设置为0.01,epoch设置为90,每隔30个epoch学习率下降10倍。中毒率α设为0.02。
实验结果
攻击有效性实验结果:
考虑到现实世界中环境是复杂的,本实验对测试集进行了额外的处理(变亮、变暗和添加高斯噪声)。这是为了模拟真实世界中环境的明亮度变化以及拍摄时可能引入的噪声。后门攻击有效性的评估标准是攻击成功率(ASR)和干净数据准确率(CDA)。实验结果如表1所示:
表1
攻击隐蔽性实验结果:
本实施例在图2中比较了后门攻击的隐蔽性。可以看出,带有数字触发器的图像看起来很可疑。相比之下,物理后门攻击更隐蔽。在本实施例应用场景的假设中,攻击者可以在需要时主动发起攻击,这意味着交通标志在很长的一段时间内都保持干净,相比于在部署后始终黏贴在交通标志上的贴纸触发器,这更加优秀。此外,本实施例的方法在发起攻击时隐蔽性相比于贴纸触发器也更好,这可能会被认为是路边灯光不小心投射在交通标志上。
Grad-CAM实验结果:
Grad-CAM通过热图将DNN的预测过程可视化,这有助于在推理阶段观察模型的焦点区域。如图3所示,利用Grad-CAM可视化展示了部分本实施例后门图像的示例,可以发现,后门模型忽略了后门图像的原始任务,而专注于后门触发器。
评估其他测试类实验结果:
本实施例使用之前训练的后门模型额外评估了“禁止左转交通标志”和“禁止鸣笛交通标志”的后门图像。
本实施例在图4中使用Grad-CAM可视化显示了三类后门图像在后门模型和干净模型中的焦点区域。可以看出,后门模型主要关注灯光触发器,这意味着后门模型成功地对三类后门图像发起了攻击,而干净模型仍然专注于图像的原始任务。这意味着训练后的后门模型在攻击其他类别的后门图像时也是有效的。
后门防御实验结果:
抵御数据增强:本实施例验证了数据增强是否能够抵御灯光后门攻击,通过将后门图像旋转30°并随机裁剪(将图像高度或宽度裁剪30个像素,并将图像重塑为224×224×3)。在图5中显示了数据增强后对后门图像的攻击效果,可以看到灯光后门攻击不受数据增强的影响。后门图像仍然被错误分类,这是因为灯光触发主要集中在目标物体上,并且不是静态触发模式。因此,灯光触发器几乎不会被旋转和随机裁剪破坏。这意味着灯光后门攻击可以抵抗数据增强。
抵御Grad-CAM:利用Grad-CAM生成热力图可以来捕捉后门图像中的触发器。虽然在之前的Grad-CAM实验中表明这种方法可以捕捉到一些灯光后门图像,然而这可以通过增加灯光触发器的面积来规避,如图6所示,当灯光触发器几乎覆盖了整个交通标志时,在干净模型和后门模型中的后门图像的注意力都主要集中于交通标志之上,两者之间的差异较小,后门图像在后门模型中的热力图的焦点区域仅仅是略微变大,这不足以有效的捕捉后门。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (8)
1.一种面向人工智能安全的物理灯光后门攻击的训练方法,其特征在于,包括:
对目标对象进行灯光后门攻击,根据灯光颜色在目标对象上产生对应的灯光触发器,基于所述灯光触发器生成后门图像数据;
获取干净图像数据,基于所述后门图像数据和所述干净图像数据分别构建训练集;所述干净图像数据为未产生灯光触发器的原始图像;
构建后门模型,其中,所述后门模型为深度学习模型,基于所述训练集对所述后门模型进行训练,得到训练后的后门模型;
构建测试集,基于所述测试集对所述训练后的后门模型进行评估,得到灯光后门攻击的攻击成功率数据和干净准确率数据。
2.根据权利要求1所述的物理灯光后门攻击方法,其特征在于,
所述灯光触发器包括蓝、绿、红三种颜色。
3.根据权利要求1所述的物理灯光后门攻击方法,其特征在于,
生成所述后门图像数据的过程包括:
在目标对象上产生灯光触发器后,通过摄像机对生成所述灯光触发器的目标对象进行拍摄,得到所述后门图像数据。
4.根据权利要求1所述的物理灯光后门攻击方法,其特征在于,
所述干净图像数据为未经过灯光后门攻击的CTSRD交通标志数据集。
5.根据权利要求4所述的物理灯光后门攻击方法,其特征在于,
构建所述训练集的过程包括:
将所述后门图像数据作为后门训练集Xb,并将所述后门训练集Xb中的所有图像标记为目标标签,将所述干净图像数据作为干净训练集Xc,对所述干净训练集Xc和后门训练集Xb进行结合分析,得到所述训练集Xp;
其中,获取所述训练集Xp的计算公式为:
Xp=Xb∪Xc。
6.根据权利要求5所述的物理灯光后门攻击方法,其特征在于,
所述训练后的后门模型fθ为:
fθ(x)=y,fθ(Tp)=y′
Tp(xi,tp,mi)=(1-mi)·xi+mi·tp
其中,Tp是后门图像,tp是后门触发器,xi为干净图像,mi为触发器在图像中的占比,mi∈[0,1],x为干净图像,y为干净标签,y′为后门标签。
7.根据权利要求6所述的物理灯光后门攻击方法,其特征在于,
所述测试集为经过变亮、变暗和加噪处理后的图像。
8.根据权利要求7所述的物理灯光后门攻击方法,其特征在于,
所述对所述训练后的后门模型进行评估的过程包括:
基于所述测试集对所述训练后的后门模型进行评估,通过计算干净测试集Xc的分类准确率得到干净准确率数据;通过计算错误分类为所述目标标签的后门测试集Xb占所有后门测试集Xb的比率,得到攻击成功率数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310652261.0A CN116664978A (zh) | 2023-06-02 | 2023-06-02 | 一种面向人工智能安全的物理灯光后门攻击的训练方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310652261.0A CN116664978A (zh) | 2023-06-02 | 2023-06-02 | 一种面向人工智能安全的物理灯光后门攻击的训练方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116664978A true CN116664978A (zh) | 2023-08-29 |
Family
ID=87727501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310652261.0A Pending CN116664978A (zh) | 2023-06-02 | 2023-06-02 | 一种面向人工智能安全的物理灯光后门攻击的训练方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116664978A (zh) |
-
2023
- 2023-06-02 CN CN202310652261.0A patent/CN116664978A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhong et al. | Shadows can be dangerous: Stealthy and effective physical-world adversarial attack by natural phenomenon | |
Sharif et al. | A general framework for adversarial examples with objectives | |
Yin et al. | Adv-makeup: A new imperceptible and transferable attack on face recognition | |
Zhao et al. | Seeing isn't believing: Towards more robust adversarial attack against real world object detectors | |
Liu et al. | Reflection backdoor: A natural backdoor attack on deep neural networks | |
Pautov et al. | On adversarial patches: real-world attack on arcface-100 face recognition system | |
Jia et al. | Fooling the eyes of autonomous vehicles: Robust physical adversarial examples against traffic sign recognition systems | |
Yang et al. | Targeted attention attack on deep learning models in road sign recognition | |
Zha et al. | Rolma: a practical adversarial attack against deep learning-based LPR systems | |
Yang et al. | Beyond digital domain: Fooling deep learning based recognition system in physical world | |
CN112818783A (zh) | 一种基于交通标志目标检测器改进的对抗样本生成方法 | |
Metzen et al. | Meta adversarial training against universal patches | |
Ryu et al. | Adversarial attacks by attaching noise markers on the face against deep face recognition | |
Wang et al. | Versatile Backdoor Attack with Visible, Semantic, Sample-Specific, and Compatible Triggers | |
Guesmi et al. | Physical adversarial attacks for camera-based smart systems: Current trends, categorization, applications, research challenges, and future outlook | |
Lapid et al. | Patch of Invisibility: Naturalistic Black-Box Adversarial Attacks on Object De-tectors | |
Yufeng et al. | Light can be dangerous: Stealthy and effective physical-world adversarial attack by spot light | |
CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
Zhu et al. | {TPatch}: A Triggered Physical Adversarial Patch | |
CN116664978A (zh) | 一种面向人工智能安全的物理灯光后门攻击的训练方法 | |
CN115861695A (zh) | 一种基于空间变换的后门攻击方法、装置和介质 | |
CN114021136A (zh) | 针对人工智能模型的后门攻击防御系统 | |
Qian et al. | Robust backdoor attacks on object detection in real world | |
CN112989359A (zh) | 针对基于三元组损失的行人重识别模型的后门攻击方法 | |
Wang et al. | Adversarial attack on fake-faces detectors under white and black box scenarios |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |