CN116702634B - 全覆盖隐蔽定向对抗攻击方法 - Google Patents
全覆盖隐蔽定向对抗攻击方法 Download PDFInfo
- Publication number
- CN116702634B CN116702634B CN202310990193.9A CN202310990193A CN116702634B CN 116702634 B CN116702634 B CN 116702634B CN 202310990193 A CN202310990193 A CN 202310990193A CN 116702634 B CN116702634 B CN 116702634B
- Authority
- CN
- China
- Prior art keywords
- model
- attack
- texture
- loss
- representing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000001514 detection method Methods 0.000 claims abstract description 34
- 238000012549 training Methods 0.000 claims abstract description 19
- 230000003042 antagnostic effect Effects 0.000 claims abstract description 17
- 238000005457 optimization Methods 0.000 claims abstract description 6
- 210000005036 nerve Anatomy 0.000 claims description 9
- 238000009877 rendering Methods 0.000 claims description 7
- 230000011218 segmentation Effects 0.000 claims description 4
- 238000004088 simulation Methods 0.000 claims description 4
- 230000000295 complement effect Effects 0.000 claims description 3
- 239000011159 matrix material Substances 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 238000013473 artificial intelligence Methods 0.000 abstract description 12
- 230000007123 defense Effects 0.000 abstract description 6
- 238000011161 development Methods 0.000 abstract description 2
- 238000011156 evaluation Methods 0.000 abstract description 2
- 230000006872 improvement Effects 0.000 abstract description 2
- 230000002265 prevention Effects 0.000 abstract description 2
- 230000000694 effects Effects 0.000 description 13
- 238000013508 migration Methods 0.000 description 8
- 230000005012 migration Effects 0.000 description 8
- 230000001537 neural effect Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/20—Design optimisation, verification or simulation
- G06F30/27—Design optimisation, verification or simulation using machine learning, e.g. artificial intelligence, neural networks, support vector machines [SVM] or training a model
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Medical Informatics (AREA)
- Geometry (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Image Analysis (AREA)
- Processing Or Creating Images (AREA)
Abstract
本发明公开了全覆盖隐蔽定向对抗攻击方法,属于人工智能安全领域。本发明的全覆盖隐蔽定向对抗攻击方法,首先获得输入的模型和纹理信息等;应用每一轮训练的纹理在模型上;计算攻击损失和隐蔽损失;通过损失迭代优化形成最终的对抗纹理。本发明采用一个新颖的针对yolo模型的定向攻击损失函数,优于目前只能进行非定向攻击的攻击方法,发现了更大的人工智能安全领域漏洞,为以后的防御思路做出贡献。本发明用于安全性评估、防御方法改进、数据集增强以及异常检测与故障排除,可以提高检测模型的鲁棒性、安全性和可靠性,为人工智能安全领域的预防做出贡献,促进人工智能系统的发展与应用。
Description
技术领域
本发明设计对抗攻击方法,特别是全覆盖隐蔽定向对抗攻击方法,为人工智能安全方面做贡献。
背景技术
虽然人工智能迅速发展,但越来越多的安全问题也随之被发现。大量的针对人工智能模型的攻击方法被提出。这些方法可以按照以下几个方面进行分类。
一是按照攻击的应用场景可以分为电子域攻击和物理域攻击,电子域攻击是在图片上添加人眼难以察觉的扰动,以形成对抗样本,使得分类模型或检测模型输出错误的结果,由于是直接在图片上添加噪声,这类攻击难以应用到现实世界中。物理域攻击是通过对抗训练训练出一个通用的模式:补丁或者扰动能够附着在物理世界中的物体上,从而导致检测模型难以检测或者输出错误的检测结果,这类攻击易被人眼察觉,因此补丁和伪装隐蔽性也是一个重要的话题。这类具有代表性的工作有:advpatch,UPC,DAS,FCA等。
二是按照模型知识是否已知进行分类,分为白盒攻击、半黑盒攻击和黑盒攻击。白盒攻击是在攻击前已知攻击对象模型的所有信息,从而产生具有针对该模型的特异性对抗补丁或伪装。半黑盒攻击是能够得到模型的输出信息,此类具有代表性的攻击方法是查询攻击。黑盒攻击是模型本身的信息和模型的输入输出都无法得知,只能针对代理模型进行攻击,并在未知模型上测试攻击效果。
三是按照攻击后检测模型输出的类别是否指定进行分类,可以分为非定向攻击和定向攻击。其中非定向攻击是使检测模型检测不到或者输出和标签不同的类别,定向攻击是使检测模型检测不到或者输出为指定的类别。定向攻击往往比非定向攻击难度更具有威胁性和挑战性。
发明内容
本发明解决的技术问题:提供一种运用神经渲染器针对检测模型的攻击方法,生成的伪装能够使检测模型定向检测成目标类别,且和环境相似具有隐蔽能力。
技术方案:为了解决上述技术问题,本发明采用的技术方案如下:
本发明的全覆盖隐蔽定向对抗攻击方法,首先获得输入的模型和纹理信息等;应用每一轮训练的纹理在模型上;根据公式计算攻击损失和隐蔽损失;通过损失迭代优化形成最终的对抗纹理。
进一步地,步骤1中,通过分割网络U分割仿真图片中的坦克模型,得到关于坦克的掩膜mask,并且将其和纹理信息一起输入到定向隐蔽对抗伪装训练程序中。
进一步地,步骤2中,应用每一轮训练的纹理在模型上,具体实现方式如下:
步骤2.1:从训练集()中选择小批次样本数据;表示带有原始待处
理模型的场景图片,表示目标的真值标签,表示摄像头的角度信息;
步骤2.2:将模型、每一轮的对抗纹理,以及渲染器相机参数输入到神经渲染器中,通过神经渲染器渲染出应用对抗纹理后的模型的图片;
步骤2.3:将神经渲染器产生的应用伪装纹理后的模型图像结合到场景图像中。
进一步地,步骤2.3中,将二值掩码m和二值掩码的补集(1-m)分别与经过渲染后的
图像和带有原始待处理模型的场景图片进行像素级相乘再相加,得到带有对
抗纹理的模型转移到场景中之后的图片;
;
其中,为带有原始待处理模型的场景图片,m为利用分割网络裁剪背景得到的
二值掩码,表示物理转换功能,是将伪装后的模型和背景结合。
进一步地,步骤3中,计算定向攻击损失的方法为:
其中,表示交叉熵损失函数,F表示检测器的检测分数,表示带有对抗纹理的
模型转移到场景中之后的图片;表示检测结果中选取目标类t的第i个尺度概率,表
示目标类标签。
进一步地,步骤3中,通过风格损失公式计算出隐蔽损失:
;
其中,表示隐蔽性损失,G表示在一组风格层面上提取的深度特征的Gram矩阵;表示一个不同于目标模型的特征提取器Vgg,表示训练集,为带有对抗纹理的模
型经过渲染后的图像;为选定的风格参考图像,M表示想要伪装的三维模型。
有益效果:与现有技术相比,本发明具有以下优点:
(1)本发明设计了一个新颖的定向攻击损失函数,能够针对yolo模型进行定向攻击,同时将风格迁移和三维对抗训练相结合,将三维模型的表面纹理优化成与所设置的环境背景图片相近风格的纹理,使整个被伪装的物体与背景环境更加相似,从而更加不容易被人眼所察觉,达到同时欺骗检测模型和人眼的目的,从而指出了人工智能和人眼识别的安全隐患,优于目前只能进行非定向攻击的攻击方法,发现了更大的人工智能安全领域漏洞,为以后的防御思路做出贡献。
(2)本发明将风格迁移与三维空间对抗训练相结合,训练出具有和背景环境风格一致的对抗伪装,提高伪装对于人眼的隐蔽性,从而指出了人工智能和人眼识别的安全隐患,为人工智能安全领域的预防做出贡献。
(3)本发明在carla仿真数据集和物理域进行了实验,充分证明了本申请方法的广泛适用性,说明其适用于不同环境和条件下的应用。这意味着无论是在虚拟仿真环境中还是在真实世界中,本方法都能有效地应用于相关领域。
(4)人工智能检测模型的隐蔽性定向检测攻击是一种技术,旨在评估和增强检测模型对隐蔽定向攻击的鲁棒性。这种攻击模拟了针对检测模型的有意隐藏性攻击,以评估模型在现实世界中的应对能力。
附图说明
图1是本发明全覆盖隐蔽定向对抗攻击方法的流程示意图。
具体实施方式
下面结合具体实施例,进一步阐明本发明,实施例在以本发明技术方案为前提下进行实施,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围。
本发明的全覆盖隐蔽定向对抗攻击方法,首先获得输入的模型和纹理信息等;应用每一轮训练的纹理在模型上;计算攻击损失和隐蔽损失;通过损失迭代优化形成最终的对抗纹理。具体包括如下步骤:
步骤1:获得输入的模型、纹理信息和掩膜等。方法如下:
通过分割网络U分割仿真图片中的坦克模型,得到关于坦克的掩膜mask,并且将其和纹理信息一起输入到定向隐蔽对抗伪装训练程序中,步骤如下:
步骤1.1:获得输入的模型和纹理信息;
步骤1.2:应用每一轮训练的纹理在模型上;
步骤1.3:计算攻击损失和隐蔽损失;
步骤1.4:通过损失迭代优化形成最终的对抗纹理。
步骤2:应用每一轮训练的纹理在模型上;具体实现方式包括以下步骤:
步骤2.1:从训练集()中选择小批次样本数据。表示带有原始待处
理模型的场景图片,表示目标的真值标签,表示摄像头的角度信息。
步骤2.2:将模型、每一轮的对抗纹理,以及渲染器相机参数输入到神经渲染器中,通过神经渲染器渲染出应用对抗纹理后的模型的图片。
←;;
其中,为带有对抗纹理的模型经过渲染后的图像,M表示想要伪装的三维模
型,表示对抗样本的具体纹理,R表示神经渲染器的渲染操作。
步骤2.3:将神经渲染器产生的应用伪装纹理后的模型图像结合到场景图像中。
;
其中,为带有原始待处理模型的场景图片,m为利用分割网络裁剪背景得到的
二值掩码,表示伪装后模型和背景图片结合的物理转换。
二值掩码m中,背景区域设置为0,待处理区域设置为1。将二值掩码m和二值掩码的
补集(1-m)分别与经过渲染后的图像和带有原始待处理模型的场景图片进行
像素级相乘再相加,即可得到带有对抗纹理的模型转移到场景中之后的图片。
步骤3:计算攻击损失和隐蔽损失。具体实现方式如下:
定向攻击损失表示当前类别和目标类的差异。具体来说,在检测结果中选取目标
类t的第i个尺度概率,称其为。通过最小化当前类检测分数和目标类标签的交叉熵
损失,使检测器将检测对象误分类为目标类。本实施例采用以下公式计算定向攻击损失:
;
其中,表示交叉熵损失函数, F表示检测器的检测分数; 表示带有对抗纹理
的模型转移到场景中之后的图片,表示检测结果中选取目标类t的第i个尺度概率,
表示目标类标签。
为了确保生成的对抗伪装的隐蔽性,运用神经风格迁移技术与三维对抗训练相结
合。神经风格迁移是从纹理迁移问题演变而来的,其目标是将源图像的纹理迁移到目标图
像,同时保留目标图像的结构信息。伪装隐蔽性是由带有对抗纹理的模型经过渲染后的图
像和选定的风格参考图像之间的风格度量来定义的。
通过风格损失公式计算出隐蔽损失:
;
其中,表示隐蔽性损失,G表示在一组风格层面上提取的深度特征的Gram矩阵,表示一个不同于目标模型的特征提取器Vgg,表示训练集,为带有对抗纹理的模
型经过渲染后的图像;为选定的风格参考图像;M表示表示想要伪装的三维模型。
步骤4:通过损失迭代优化形成最终的对抗纹理,迭代的终止条件是达到最大轮数。
本实施例通过以下实验验证本发明的方法有效性和效率:
评估指标为三个测试指标:P@0.5、攻击成功率ASR、与背景的风格差异S,这三个测试指标评价了伪装的攻击性能以及隐蔽性。
首先选择数据集,在此数据集上进行测试指标的计算和方法之间的对比。其中训练集包含12500张图片,测试集包含3000张图片。其中的角度和距离设置包含:4个俯仰角,8个偏航角,4个距离值。多尺度多角度的设置使得伪装在多尺度多角度下的攻击也有效。
本发明的方法和近几年热门的人工智能对抗伪装方法进行比较,现有的对抗伪装方法分别是UPC(Universal Physical Camouflage Attacks on Object Detectors 针对检测器的通用物理伪装攻击)、DAS(Dual Attention Suppression Attack双重注意抑制攻击)、FCA(Full-coverage Vehicle Camouflage Adversarial Attack 全覆盖伪装攻击),对比本申请的攻击效果和隐蔽性,结果数据如下:
表1 电子域不同方法的攻击效果
表1的攻击效果中,本发明的方法能够将yolov5对于车辆模型的P@0.5(%)从92.07%降到36.50%,降幅达到了55.57%,说明了本发明方法攻击的有效性。其中攻击效果对于yolov3模型来说是最好的,能够将P@0.5(%)从90.50%降到9.33%,因为本发明的伪装是根据yolov3来训练的,相当于是白盒攻击。经过对比可以发现,本发明方法的攻击效果略低于FCA,但是仍远高于DAS,可以看出本发明在提升隐蔽性的同时,依然能保持很好的攻击效果。
表2:物理域不同方法的攻击效果
表2的攻击效果中,本发明的方法能够使yolov5模型的P@0.5(%)下降32.64%,能够使Faster-Rcnn模型的P@0.5(%)下降61.12%,能够使SSD模型的P@0.5(%)下降46.53%。这说明本发明的方法在物理域中也是有效的。其攻击效果仍然是略低于FCA,但高于DAS,说明本发明的方法生成的伪装在应用到物理域过程中依然能保持很好的攻击性能和伪装效果。
表3:电子域不同方法生成伪装的风格差异度
表3的风格差异度中,可以看出本发明的方法的风格差异度最低,只有0.04,也就是对于人眼的环境隐蔽性最高。原始车辆由于是单一的颜色(如白色),因此 在隐蔽性方面排名第二。DAS和FCA都生成了不同于环境的包含各种颜色的伪装,其对于人眼的隐蔽性较差。
表1、表2和表3的结果表示,本申请的方法可以保证成功攻击率下降不超过6%的前提下,大幅降低针对不同模型的隐蔽性情况,进一步提升了攻击伪装的不可见性。总体而言,本发明提出了基于风格迁移的定向隐蔽攻击方法。在对抗伪装时,融合风格迁移技术,在保证攻击效果的同时提高了伪装的隐蔽性。为人工智能的安全性做出贡献。
本发明融合了定向攻击和风格迁移,来生成具有定向攻击功能的隐蔽性损失。
本发明相比于其他伪装攻击方法,在保证攻击效果的同时,具有更强的隐蔽性。
本发明的一些应用场景和有益效果,如下所示:
1.安全性评估:隐蔽性定向检测攻击可用于评估检测模型的安全性和鲁棒性。通过模拟真实世界中的隐藏攻击行为,可以发现模型在面对这些攻击时的薄弱点,有助于改进模型的鲁棒性,并减少被恶意攻击利用的风险。
2.防御方法改进:通过进行隐蔽性定向检测攻击,可以揭示模型中的漏洞和弱点,进而改进和加强防御方法。这有助于提高模型对各种攻击类型的检测能力,从而增强整体的安全性和可靠性。
3.数据集增强:隐蔽性定向检测攻击可以用于生成更具挑战性和多样性的数据集,用于训练和评估检测模型。这些攻击生成的数据集可以模拟现实世界中的各种攻击场景,使得模型在更广泛的情况下进行训练和测试,从而提高其泛化能力和适应性。
4.异常检测与故障排除:隐蔽性定向检测攻击可以帮助发现检测模型在处理异常情况下的性能表现。通过模拟各种隐蔽性攻击,可以检测模型在处理异常或意外输入时的反应,帮助提前发现并解决故障或错误。
总之,隐蔽性定向检测攻击有很多正向应用,可以用于安全性评估、防御方法改进、数据集增强以及异常检测与故障排除。这些应用可以提高检测模型的鲁棒性、安全性和可靠性,并促进人工智能系统的发展与应用。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (3)
1.一种全覆盖隐蔽定向对抗攻击方法,其特征在于,包括以下步骤:
步骤1:获得输入的模型和纹理信息;
步骤2:应用每一轮训练的纹理在模型上;具体实现方式如下:
步骤2.1:从训练集中选择小批次样本数据;/>表示带有原始待处理模型的场景图片,/>表示目标的真值标签,/>表示摄像头的角度信息;
步骤2.2:将模型、每一轮的对抗纹理,以及渲染器相机参数输入到神经渲染器中,通过神经渲染器渲染出应用对抗纹理后的模型的图片;
步骤2.3:将神经渲染器产生的应用伪装纹理后的模型图像结合到场景图像中;
步骤3:计算攻击损失和隐蔽损失;
计算定向攻击损失的方法为:
;
其中,表示交叉熵损失函数,F表示检测器的检测分数,/>表示带有对抗纹理的模型转移到场景中之后的图片;/>表示检测结果中选取目标类t的第i个尺度概率,/>表示目标类标签;
通过风格损失公式计算出隐蔽损失:
;
其中,表示隐蔽性损失,G表示在一组风格层面上提取的深度特征的Gram矩阵;/>表示一个不同于目标模型的特征提取器Vgg,/>表示训练集,/>为带有对抗纹理的模型经过渲染后的图像;/>为选定的风格参考图像,M表示想要伪装的三维模型;
步骤4:通过损失迭代优化形成最终的对抗纹理。
2.根据权利要求1所述的全覆盖隐蔽定向对抗攻击方法,其特征在于:步骤1中,通过分割网络U分割仿真图片中的坦克模型,得到关于坦克的掩膜mask,并且将其和纹理信息一起输入到定向隐蔽对抗伪装训练程序中。
3.根据权利要求1所述的全覆盖隐蔽定向对抗攻击方法,其特征在于:步骤2.3中,将二值掩码m和二值掩码的补集(1-m)分别与经过渲染后的图像和带有原始待处理模型的场景图片/>进行像素级相乘再相加,得到带有对抗纹理的模型转移到场景中之后的图片/>;
;
其中,为带有原始待处理模型的场景图片,m为利用分割网络裁剪背景得到的二值掩码,/>表示物理转换功能,是将伪装后的模型和背景结合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310990193.9A CN116702634B (zh) | 2023-08-08 | 2023-08-08 | 全覆盖隐蔽定向对抗攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310990193.9A CN116702634B (zh) | 2023-08-08 | 2023-08-08 | 全覆盖隐蔽定向对抗攻击方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116702634A CN116702634A (zh) | 2023-09-05 |
CN116702634B true CN116702634B (zh) | 2023-11-21 |
Family
ID=87837942
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310990193.9A Active CN116702634B (zh) | 2023-08-08 | 2023-08-08 | 全覆盖隐蔽定向对抗攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116702634B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115481716A (zh) * | 2022-08-29 | 2022-12-16 | 南京航空航天大学 | 一种基于深度网络前景激活特征转移的物理世界对抗攻击方法 |
KR20230018310A (ko) * | 2021-07-29 | 2023-02-07 | 국방과학연구소 | 심층신경망의 성능하락을 유발시키는 객체검출용 적대적공격 방법 및 그 시스템 |
CN115761310A (zh) * | 2022-10-31 | 2023-03-07 | 武汉大学 | 一种生成可定制对抗补丁的方法及系统 |
WO2023046957A1 (en) * | 2021-09-27 | 2023-03-30 | Five AI Limited | Adversarial attacks on perception components |
CN115937409A (zh) * | 2022-10-19 | 2023-04-07 | 中国人民解放军军事科学院国防科技创新研究院 | 反视觉智能的对抗攻击纹理生成方法 |
CN115984439A (zh) * | 2022-12-30 | 2023-04-18 | 华中科技大学 | 一种伪装目标的三维对抗纹理生成方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111340214B (zh) * | 2020-02-21 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 对抗攻击模型的训练方法及装置 |
-
2023
- 2023-08-08 CN CN202310990193.9A patent/CN116702634B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230018310A (ko) * | 2021-07-29 | 2023-02-07 | 국방과학연구소 | 심층신경망의 성능하락을 유발시키는 객체검출용 적대적공격 방법 및 그 시스템 |
WO2023046957A1 (en) * | 2021-09-27 | 2023-03-30 | Five AI Limited | Adversarial attacks on perception components |
CN115481716A (zh) * | 2022-08-29 | 2022-12-16 | 南京航空航天大学 | 一种基于深度网络前景激活特征转移的物理世界对抗攻击方法 |
CN115937409A (zh) * | 2022-10-19 | 2023-04-07 | 中国人民解放军军事科学院国防科技创新研究院 | 反视觉智能的对抗攻击纹理生成方法 |
CN115761310A (zh) * | 2022-10-31 | 2023-03-07 | 武汉大学 | 一种生成可定制对抗补丁的方法及系统 |
CN115984439A (zh) * | 2022-12-30 | 2023-04-18 | 华中科技大学 | 一种伪装目标的三维对抗纹理生成方法和装置 |
Non-Patent Citations (3)
Title |
---|
基于卷积神经网络的污点攻击与防御;胡慧敏;钱亚冠;雷景生;马丹峰;;浙江科技学院学报(第01期);全文 * |
基于矩阵补全的无人车感知系统的攻击防御技术;李慧云;邵翠萍;陈贝章;胡延步;杨赵南;;集成技术(第05期);全文 * |
对抗样本生成在人脸识别中的研究与应用;张加胜;刘建明;韩磊;纪飞;刘煌;;计算机应用与软件(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116702634A (zh) | 2023-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Nguyen et al. | Wanet--imperceptible warping-based backdoor attack | |
Wang et al. | Fca: Learning a 3d full-coverage vehicle camouflage for multi-view physical adversarial attack | |
CN109948658B (zh) | 面向特征图注意力机制的对抗攻击防御方法及应用 | |
Xiao et al. | Characterizing adversarial examples based on spatial consistency information for semantic segmentation | |
CN113643278B (zh) | 面向无人机影像目标检测的对抗样本生成方法 | |
Wang et al. | Adversarial attacks and defenses in machine learning-empowered communication systems and networks: A contemporary survey | |
Li et al. | Deep learning backdoors | |
CN112215151B (zh) | 一种利用3d对抗样本增强目标检测系统抗干扰能力的方法 | |
Doan et al. | Defending backdoor attacks on vision transformer via patch processing | |
CN111783853A (zh) | 一种基于可解释性的检测并恢复神经网络对抗样本方法 | |
CN115640609A (zh) | 一种特征隐私保护方法及装置 | |
Chen et al. | LinkBreaker: Breaking the backdoor-trigger link in DNNs via neurons consistency check | |
Macas et al. | Adversarial examples: A survey of attacks and defenses in deep learning-enabled cybersecurity systems | |
Korpihalkola et al. | Color-optimized one-pixel attack against digital pathology images | |
CN115619616A (zh) | 基于水印扰动的对抗样本生成方法、装置、设备及介质 | |
Sarkar et al. | Facehack: Attacking facial recognition systems using malicious facial characteristics | |
Li et al. | Detecting adversarial patch attacks through global-local consistency | |
Lapid et al. | Patch of Invisibility: Naturalistic Black-Box Adversarial Attacks on Object De-tectors | |
Liang et al. | Poisoned forgery face: Towards backdoor attacks on face forgery detection | |
CN116702634B (zh) | 全覆盖隐蔽定向对抗攻击方法 | |
CN115017501A (zh) | 一种基于不确定性估计的图像对抗攻击样本检测方法和系统 | |
Qian et al. | Robust backdoor attacks on object detection in real world | |
Wang et al. | Beyond Boundaries: A Comprehensive Survey of Transferable Attacks on AI Systems | |
CN114067176A (zh) | 一种无需样本数据的对抗贴片生成方法 | |
Dong et al. | Stealthy dynamic backdoor attack against neural networks for image classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |