CN109948658A - 面向特征图注意力机制的对抗攻击防御方法及应用 - Google Patents
面向特征图注意力机制的对抗攻击防御方法及应用 Download PDFInfo
- Publication number
- CN109948658A CN109948658A CN201910138087.1A CN201910138087A CN109948658A CN 109948658 A CN109948658 A CN 109948658A CN 201910138087 A CN201910138087 A CN 201910138087A CN 109948658 A CN109948658 A CN 109948658A
- Authority
- CN
- China
- Prior art keywords
- image
- sample
- attack
- resisting sample
- confrontation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Image Analysis (AREA)
Abstract
本发明公开了一种面向注意力机制的对抗攻击防御方法,包括以下步骤:(1)采用注意力机制提取目标轮廓的轮廓特征,并且基于轮廓特征加入微小的扰动量,获得对抗样本,再通过动量迭代的方式优化扰动变量以更新对抗样本,从而实现对深度模型的对抗攻击;(2)利用对抗样本基于多强度对抗训练策略对深度模型进行对抗训练,以实现深度模型对对抗攻击的防御。该方法提高了分类器对对抗样本攻击的鲁棒性和泛化能力,从而使得分类器更加可靠、稳定,提高深度学习模型在实际应用过程中的安全性。还公开了一种面向注意力机制的对抗攻击防御方法在图像分类中的应用。
Description
技术领域
本发明属于人工智能中的深度学习算法在图像分类任务中的安全应用研究领域,具体涉及一种面向注意力机制的对抗攻击防御方法及该对抗攻击防御方法在图像分类中的应用。
背景技术
近年来,深度学习凭借强大的特征学习能力,被广泛应用于各行各业,并且取得了较好的效果,例如:计算机视觉、生物信息学、复杂网络、自然语言处理等领域。但随着深度学习的广泛应用,其缺点也逐渐暴露,其中一个主要的缺点就是深度学习模型容易受到对抗样本的攻击,十分脆弱。举例来说,在一张自然情况下拍摄的正常图片,能够以较高的置信度被分类为正确的类标,但是一旦添加了精心设计的微小扰动得到对抗图像,该对抗样本图像就会被深度学习模型错误分类。更糟糕的是,由于添加的扰动十分微小,人类的视觉***并不能分辨出这些精心设计的对抗样本。
随着研究的深入,针对深度模型的对抗攻击模式已经逐渐被***化。根据攻击者对深度模型的了解程度可以分为黑盒攻击、白盒攻击与灰盒攻击,黑盒攻击是指在不了解模型的任何参数与结构的情况下进行对抗攻击,白盒攻击是指了解模型的全部属性,灰盒攻击则是介于两者之间的情况,即了解模型的部分参数与结构。根据对抗样本实现的误分类结果可以分为无目标攻击、目标攻击,无目标攻击的对抗样本只需实现误分类,目标攻击不仅需要实现误分类,还需要让对抗样本被误分类为攻击者预设的目标类。根据无目标攻击、目标攻击的目的不同,一般其优化目标函数也有区别。此外,这些攻击方法不仅仅只存在于数字空间中,也可以在物理世界中发生。如攻击者可以通过佩戴精心设计的眼镜,可以冒充其它人员,从而骗过人脸识别***;攻击者还可以在车牌或者路牌上贴上一些很小的贴纸,造成错误识别从而骗过车牌识别***或者自动驾驶车辆的路牌识别***。可见对抗攻击会严重地破坏深度学习模型的性能,从而威胁到基于深度学习模型的***的安全性,甚至威胁到人们的生命财产安全。因此,研究深度模型中存在的漏洞并进行防御是十分必要的。
与此同时,针对深度模型对抗攻击的防御方法研究也逐渐成为重点,目前的防御措施主要包括3大类:修改输入数据的防御,例如对待识别的输入图像添加一些随机噪声或者将图像进行翻转、缩放操作,就能破坏添加的对抗扰动;修改模型网络结构的防御,例如修改卷积核的尺寸、池化的范围,增加网络层数、修改激活函数等;对模型添加外挂式网络进行防御,例如在测试时添加外部模型来实现模型对于对抗样本的检测或者恢复。虽然大部分防御方法对于对抗攻击都起到了一定的防御效果,但是其迁移性受限,不能较好的防御新型的对抗攻击。
同时,最新的研究表明,修改模型的训练数据集,即在训练数据中添加对抗样本对模型进行对抗训练,是目前效果较好的一种防御手段。但是对抗训练的防御效果比较依赖于生成的对抗样本的质量,目前的攻击方法生成的对抗样本的迁移能力比较弱,因此很难达到比较好的对抗训练防御效果。
发明内容
本发明的目的是提供一种面向特征图注意力机制的对抗攻击防御方法,该方法通过特征图注意力机制对图像中目标的轮廓特征进行聚焦并对聚焦的轮廓特征增加扰动量,实现对深度模型的对抗攻击易产生对抗样本,并利用对抗样本和正常样本对深度模型进行训练,以提高分类模型对对抗攻击防御的鲁棒性。
本发明的另一目的是提供一种面向特征图注意力机制的对抗攻击防御方法在图像分类中的应用,该面向特征图注意力机制的对抗攻击防御方法能够获得能够防御攻击的图像分类模型,该图像分类模型能够大大提升了图像分类的准确性。
为实现上述发明目的,本发明提供以下技术方案:
一种面向注意力机制的对抗攻击防御方法,包括以下步骤:
(1)采用注意力机制提取图像中目标轮廓的轮廓特征,并且基于提取到的轮廓特征设计微小的扰动量添加到原始正常样本中,获得对抗样本,再通过动量迭代的方式优化扰动变量以更新对抗样本,从而实现对深度模型的对抗攻击;
(2)利用对抗样本和正常样本混合后的数据集,,基于多强度对抗训练策略对深度模型进行对抗训练,以实现深度模型对对抗攻击的防御。
本发明利用空间注意力机制集中特征图上目标轮廓实现正确分类的空间关键信息,进一步通过输出的损失函数值进行梯度计算得到对抗扰动所需添加的位置,并基于动量迭代方法优化每一次的扰动值从而生成高质量的对抗样本实现有效攻击。然后对深度模型进行多强度对抗训练,以实现深度模型对对抗攻击防御的鲁棒性和迁移性。
其中,所述采用注意力机制提取图像中目标轮廓的轮廓特征,并且基于提取到的轮廓特征设计微小的扰动量添加到原始正常样本中,获得对抗样本包括:
重构特征提取步骤,基于深度模型的浅层网络特征,采用注意力机制提取输入原始图像的浅层特征图像作为特征图像,并对特征图像进行上采样操作,获得重构特征图像;
信道空间注意力权重计算步骤,根据原始图像和重构特征图像计算信道空间注意力权重矩阵;
像素空间注意力权重计算步骤,根据重构的信道空间注意力权重矩阵和原始图像计算像素空间注意力权重矩阵;
对抗样本生成步骤,根据像素空间注意力权重矩阵计算添加的扰动量,将扰动量添加到原始图像中,获得对抗样本。
所述注意力机制可以分为软注意机制和硬注意机制,其中硬注意机制是一种基于伯努利分布的随机权重分配过程,软注意机制是神经网络参数化的可嵌入加权方法,能够在深度模型中使用全局信息通过端到端训练取得较好的效果。因此,本发明使用软注意机制进行对抗扰动计算。
在深度模型分类器中,与浅层特征相比,深层特征的视野较大,但深层特征图的空间信息大大丢失。因此,本发明通过双线性插值对深度神经网络的浅层特征输出进行重构,重构为与输入样本具有相同的H和W,其中H表示图像垂直方向的像素点个数,W表示图像水平方向的像素点个数。对扰动分布进行搜索的注意力机制包括信道空间关注和像素空间关注,其中信道空间关注通过对不同信道进行加权特征映射来关注信道特征分布,像素空间关注通过对不同像素区域进行加权特征映射来关注像素特征分布。
具体地,信道空间注意力权重计算步骤中,
将尺寸为[H,W,3]的原始图像x,通过reshape操作转化成尺寸为[3,l]的图片xre,其中H表示图像垂直方向的像素点个数,W表示图像水平方向的像素点个数,3表示具有RGB三通道的彩色图像,l=H×W;
将浅层隐藏层中经过上采样后尺寸为[H,W,c]的重构特征图像fm,通过reshape操作转化成尺寸为[c,l]的重构特征图像fmm;
通过公式获得尺寸为[3,c]的信道空间注意力权重矩阵Wc,其中,softmax(·)为激活函数。
像素空间注意力权重计算步骤中,
利用公式计算尺寸为[3,l]的重构的信道空间注意力权重其中,表示矩阵的乘法;
利用公式计算尺寸为[1,l]的像素空间注意力权重Wp,其中,·表示矩阵各对应元素相乘,softmax(·)为激活函数。
对抗样本生成步骤中,
通过reshape函数操作将尺寸为[1,l]的像素空间注意力权重Wp变成尺寸为[H,W,1]的注意力映射权重Wmap;
通过以下公式计算添加的扰动量ρ:
其中,·表示两个矩阵对应元素相乘;y表示原始图像x对应的正确类标;表示计算梯度的1-范数,即向量元素的绝对数之和;xi表示第i通道的像素矩阵;
最后,通过公式得到对抗样本x*,其中,表示矩阵对应元素相加。
具体地,通过动量迭代的方式优化扰动变量以更新对抗样本包括:
设置被训练的深度学习分类器f的最大迭代次数为T,原始图像为x,且该原始图像x对应的正确类标为y。迭代开始时,令设置初始速度向量g0=0;
定义迭代过程的攻击优化目标函数为:
其中,超参数κ≥0表示生成的对抗样本的误分类类标的置信度,κ的数值越大则对于生产对抗样本的要求更高,得到的样本攻击性能更加可靠;x0表示未添加扰动的初始图像,即原始图像x;Z(x)y表示样本被分类为y的置信度,Z(x)y′表示样本被分类为y'的置信度;表示x-x0的2-范数,用来限制对抗扰动的大小,即向量元素绝对值的平方和再进行开根号,yt'表示攻击者预先设定的特定目标标签;
(1)输入图像至深度学习分类器f,计算深度学习分类器f对于输入的梯度并且捕获图像在网络中的浅层特征图像通过双线性插值的方式对浅层特征图像进行上采样操作获得重构特征图像通过以下计算公式获得像素空间注意力权重
其中,表示经过重构的信道空间注意力权重,表示重构前的信道空间注意力权重。通过reshape函数对进行重构操作得到 表示矩阵乘法,softmax(·)为激活函数,表示重构图像矩阵的转置,·表示矩阵对应元素相乘,在执行softmax(·)函数之前对计算所得的矩阵进行一次列方向上的求和使得
(2)通过重构操作将像素空间注意力权重重构为注意力映射权重
(3)通过基于梯度的方向更新速度向量gi+1:
其中,μ为衰减因子,表示计算梯度的1-范数;
(4)基于速度向量gi+1计算所需要添加的扰动量ρi:
ρi=gi+1×α
其中,α表示迭代过程中每次添加的扰动步长;
(5)将扰动量ρi添加至图像中,得到更新后的对抗样本:
重复步骤(1)~(5),直至扰动大于预设值或者实现成功攻击即对抗样本已成功生成,其中,表示无穷范数,即中绝对值的最大值,ε为预设的扰动大小,y为原始图像x的正确类标。
利用对抗样本基于多强度对抗训练策略对深度模型进行对抗训练包括:
(1)基于预设扰动幅值参数ε,采用面向注意力机制的对抗攻击防御方法中的步骤(1)产生一批对抗样本子集合{xadv1},然后不断调整扰动幅值为ε/2,ε/3,ε/4,得到对抗样本子集合{xadv2}、对抗样本子集合{xadv3}、对抗样本子集合{xadv4};
(2)将步骤(1)得到的所有对抗样本子集合混合,得到具有不同攻击能力的对抗样本总集合,按照攻击强度AIn的取值从0.1、0.2、0.3、…、1.0进行对抗样本和正常样本的混合,得到具有不同攻击强度的新训练数据集;
(3)将步骤(2)得到的具有不同攻击强度的新训练数据集对深度模型的权重参数进行微调训练。
一种上述面向注意力机制的对抗攻击防御方法在图像分类中的应用,其特征在于,包括以下过程:
首先,以与待分类图像具有类似特征的图像集作为原始图像,以深度神经网络作为图像分类模型,利用上述面向特征图注意力机制的对抗攻击防御方法产生大量的对抗样本,并利用对抗样本对已经训练好的图像分类模型进行多强度对抗训练发现并修补其存在的漏洞,获得具有防御对抗样本能力的图像分类模型;
然后,采用训练好的具有防御对抗样本能力的图像分类模型对分类图像进行分类,获得可靠的分类结果。
本发明提供了一种面向特征图注意力机制的对抗攻击防御方法,通过特征图注意力机制获得具有更微小的扰动但是能够可靠地误导分类器的对抗样本,并且利用该对抗样本对原分类器进行多强度对抗训练提高分类器对对抗样本攻击的鲁棒性和泛化能力,从而使得分类器更加可靠、稳定,提高深度学习模型在实际应用过程中的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动前提下,还可以根据这些附图获得其他附图。
图1是基于特征图注意力机制的对抗样本生成方法FineFool的示意图;
图2是深度模型ResNet-v2在MI-FGSM、PGD以及FineFool攻击方法的攻击下产生的对抗样本图;
图3是深度模型Inception-v3在MI-FGSM、PGD以及FineFool攻击方法的攻击下产生的对抗样本图;
图4是MI-FGSM、PGD以及FineFool攻击方法的攻击下,深度模型ResNet-v2产生的对抗样本的原始正确类标的置信度下降曲线;
图5是MI-FGSM、PGD以及FineFool攻击方法的攻击下,深度模型Inception-v3产生的对抗样本的错误分类类标的置信度上升曲线。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
为提高深度学习模型的鲁棒性,本实施例提供了一种面向特征图注意力机制的对抗攻击防御方法,主要包括两个阶段,分别为对抗样本生成阶段和深度模型的对抗训练阶段,具体过程如下:
针对对抗样本生成阶段:
该阶段主要利用注意力机制提取目标轮廓的轮廓特征,并且基于轮廓特征加入微小的扰动量,再通过动量迭代的方式优化扰动变量,从而实现对深度模型的对抗攻击,该对抗攻击方法命名为FineFool,该对抗攻击方法能够产生对抗样本,具体地,如图1所示,该对抗攻击方法包括重构特征提取步骤,信道空间注意力权重计算步骤、像素空间注意力权重计算步骤以及对抗样本的生成步骤。
其中,重构特征提取步骤主要用于提取深度学***方向的像素个数,3为原始图像包含的RGB信道数,将原始图像x输入到深度分类模型(也就是分类器f)中,经计算提取尺寸为[H1,W1,C]的浅层特征图像xf作为特征图像,该浅层特征图像具有更好的空间特征,然后,再对特征图像进行双线性上采样,即使用双线性插值法对特征图像xf进行上采样的操作得到尺寸为[H,W,c]的重构特征图像fm。
信道(或通道)空间注意力权重计算步骤主要用于计算信道空间注意力权重Wc。具体过程为:将尺寸为[H,W,3]的原始图像x,通过reshape操作转化成尺寸为[3,l]的图片xre,其中H表示图像垂直方向的像素点个数,W表示图像水平方向的像素点个数,l=H×W;将尺寸为[H,W,c]的重构特征图像fm,通过reshape操作转化成尺寸为[c,l]的重构特征图像fmm,然后,通过公式获得尺寸为[3,c]的信道空间注意力权重矩阵Wc,其中,softmax(·)为激活函数。
像素空间注意力权重计算步骤主要用于计算像素空间注意力权重Wp。具体过程为:首先,利用公式计算尺寸为[3,l]的重构的信道空间注意力权重其中,表示矩阵的乘法;然后,利用公式计算尺寸为[1,l]的像素空间注意力权重Wp,其中,·表示矩阵各对应元素相乘,softmax(·)为激活函数。
对抗样本生成步骤主要用于生成对抗样本x*,具体过程为:首先,通过reshape函数操作将尺寸为[1,l]的像素空间注意力权重Wp变成尺寸为[H,W,1]的注意力映射权重Wmap,然后,通过以下公式计算添加的扰动量ρ:
其中,·表示两个矩阵对应元素相乘;y表示原始图像x对应的正确类标;表示计算梯度的1-范数,即向量元素的绝对数之和;xi表示第i通道的像素矩阵;
最后,通过公式得到对抗样本x*,其中,表示矩阵对应元素相加。
在上述生成对抗样本的基础上,通过动量迭代的方法更新对抗样本的具体过程为:
设置被训练的深度学习分类器f的最大迭代次数为T,原始图像为x,且该原始图像x对应的正确类标为y。迭代开始时,令设置初始速度向量g0=0。
定义迭代过程的攻击优化目标函数为:
其中,超参数κ≥0表示生成的对抗样本的误分类类标的置信度,κ的数值越大则对于生产对抗样本的要求更高,得到的样本攻击性能更加可靠;x0表示未添加扰动的初始图像,即原始图像x;Z(x)y表示样本被分类为y的置信度,Z(x)y′表示样本被分类为y'的置信度;表示x-x0的2-范数,用来限制对抗扰动的大小,即向量元素绝对值的平方和再进行开根号,yt'表示攻击者预先设定的特定目标标签;
在此基础上,迭代过程为:
(1)输入图像至深度学习分类器f,计算深度学习分类器f对于输入的梯度并且捕获图像在网络中的浅层特征图像通过双线性插值的方式对浅层特征图像进行上采样操作获得重构特征图像通过以下计算公式获得像素空间注意力权重
其中,表示经过重构的信道空间注意力权重,表示重构前的信道空间注意力权重。通过reshape函数对进行重构操作得到 表示矩阵乘法,softmax(·)为激活函数,表示重构图像矩阵的转置,·表示矩阵对应元素相乘,在执行softmax(·)函数之前对计算所得的矩阵进行一次列方向上的求和使得
(2)通过重构操作将像素空间注意力权重重构为注意力映射权重
(3)通过基于梯度的方向更新速度向量gi+1:
其中,μ为衰减因子,表示计算梯度的1-范数;
(4)基于速度向量gi+1计算所需要添加的扰动量ρi:
ρi=gi+1×α
其中,α表示迭代过程中每次添加的扰动步长;
(5)将扰动量ρi添加至图像中,得到更新后的对抗样本:
重复步骤(1)~(5),直至扰动大于预设值或者实现成功攻击即对抗样本已成功生成。其中,表示无穷范数,即中绝对值的最大值,ε为预设的扰动大小,y为原始图像x的正确类标;
若对抗样本成功生成则跳出迭代,并输出对抗样本。否则,判断当前迭代次数i是否超过最大迭代次数T,若否,则继续进行动量迭代,若是,则停止迭代并输出攻击失败。
最后生成的对抗样本可视化结果如图2和图3中的的最后一列所示,其中,ρFineFool表示通过FineFool方法得到的对抗扰动可视化结果,AdvFineFool表示在原始正常样本上添加对抗扰动后的对抗样本。
针对深度模型的对抗训练阶段:
该阶段利用对抗样本生成阶段产生的对抗样本对深度模型进行多强度对抗训练,具体为:
在其它条件相同的情况下,设定不同的对抗扰动上限值,即不同的ε值,则得到具有不同强度的攻击能力的对抗样本。将不同强度的对抗样本和正常样本按照一定的比例混合,得到不同的用于对抗训练的训练数据集,利用该训练数据集对深度模型进行分批次的对抗训练,从而使得深度模型在对正常样本的分类准确率尽可能少下降的情况下,提高对对对抗攻击防御的泛化能力,即能够防御不同攻击方法产生的对抗样本。
定义训练数据集的攻击强度(attack intensity,AIn)为:
AIn=Num(Adv)/Num(Nor)
其中,Num(Adv)和Num(Nor)分别表示对抗样本和正常样本的样本数量,一般情况下,训练数据集中正常图像的样本数量是固定的,对抗样本可以根据攻击方法的不同参数产生,所以数量远超过正常样本的数量,AIn的取值范围是Ain≥0。
对深度模型进行对抗训练的具体过程为:
(1)基于预设的扰动幅值参数ε,通过基于特征图注意力机制的对抗攻击方法攻击深度模型产生一批对抗样本子集合{xadv1},然后不断调整扰动幅值为ε/2,ε/3,ε/4,得到更多的数据样本子集合{xadv2}、{xadv3}、{xadv4},由于扰动预设幅值变小,攻击成功率会变低,对应的对抗样本数量也将变少,每个集合的对抗样本的整体攻击能力也变弱。
(2)将步骤(1)得到的所有对抗样本混合,得到具有不同攻击能力的对抗样本总集合,保证数据分布的均衡性和多样性,然后按照AIn的取值从0.1、0.2、0.3、…、1.0进行对抗样本和正常样本的混合,得到具有不同攻击强度的新训练数据集;这些新训练数据集中的正常样本都相同,对抗样本具有一定的随机性。
(3)将步骤(2)得到的具有不同攻击强度的训练数据集对深度模型的权重参数进行微调训练,使其对于对抗样本的攻击具有较好的鲁棒性,提高深度模型应用的可靠性。
应用例
上述提供的一种面向特征图注意力机制的对抗攻击防御方法应用于图像分类中,具体地,可以对动物图像分类,对人脸图像分类等目标图像分类中。
应用时,首先,以与待分类图像具有类似特征的图像集作为原始图像,以深度学习网络(可以是Resnet-v2或Inception-v3)作为图像分类模型,利用上述面向特征图注意力机制的对抗攻击防御方法产生大量的对抗样本,并利用对抗样本对已经训练好的图像分类模型进行多强度对抗训练发现并修补其存在的漏洞,获得具有防御对抗样本能力的图像分类模型,然后,采用训练好的具有防御能力的图像分类模型对分类图像进行分类,获得可靠的分类结果。
具体实验:
本实验使用的图像数据集为来自http://www.image-net.org/的ImageNet图像数据集的子集,数据集的基本情况包括:(a)图像数据集有130000个训练图像样本、100000个测试图像样本以及50000个验证集样本,每个图像样本的尺寸为64*64的矩阵;(b)数据集可以分为1000类,每个类有相同数量的图像样本,即训练集中每类有130个样本、验证集中每类有50个样本、测试集中每类有100个样本;(c)为了便于实验对于每张图片进行了简单的归一化操作。
使用上述的训练集对已经训练好的图像分类模型进行参数微调训练,并且利用FineFool方法生成对抗样本。
本实验所用的图像分类模型是Resnet-v2和Inception-v3,最终得到的对抗样本可视化结果如图2图3的最后一列所示,图2中的original表示原始正常图像,ρMI-FGSM、AdvMI-FGSM、ρPGD、AdvPGD、ρFineFool、AdvFineFool分别表示由MI-FGSM、PGD和FineFool攻击方法得到的扰动图和对抗样本图。图2和图3分别表示攻击深度模型Resnet-v2和Inception-v3得到的结果。图4和图5表示在攻击过程中,如图2和图3所示的对抗样本的原始正确类标的置信度下降曲线和错误分类类标的置信度上升曲线。
其中,PGD和MI-FGSM都是作为对比的攻击方法。PGD应用一次标准梯度下降,然后将所有的坐标剪切到一个区域内,研究表明通过PGD得到的局部最大值与正常训练或者对抗训练的网络相比,具有相似的损失函数,这种现象表明了该方法所产生的对抗样本具有很好的鲁棒性。MI-FGSM攻击方法引入了一种广义的动量迭代算法来增强对抗攻击能力,通过将动量项嵌入到攻击迭代的过程中,可以在迭代的过程中稳定扰动更新的方向,从而避免陷入局部最优的问题。
对上述MI-FGSM、PGD以及FineFool对抗攻击方法攻击Resnet-v2和Inception-v3深度模型,然后使用所产生的对抗样本进行多强度对抗训练防御操作,得到的防御效果如表1所示。表1中所展示的是攻击成功率,数值越小,说明模型越不易被成功攻击,防御能力越好。可以看出,本发明提出的FineFool能够产生较好的对抗样本,使得模型在对抗训练后具有较好的防御效果。不同攻击方法攻击经过使用FineFool攻击方法生成的对抗样本进行对抗训练后的模型。
表1基于FineFool攻击方法进行对抗训练后的攻击成功率
以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明,应理解的是以上所述仅为本发明的最优选实施例,并不用于限制本发明,凡在本发明的原则范围内所做的任何修改、补充和等同替换等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种面向注意力机制的对抗攻击防御方法,包括以下步骤:
(1)采用注意力机制提取图像中目标轮廓的轮廓特征,并且基于提取到的轮廓特征设计微小的扰动量添加到原始正常样本中,获得对抗样本,再通过动量迭代的方式优化扰动变量以更新对抗样本,从而实现对深度模型的对抗攻击;
(2)利用对抗样本和正常样本混合后的数据集,基于多强度对抗训练策略对深度模型进行对抗训练,以实现深度模型对对抗攻击的防御。
2.如权利要求1所述的面向注意力机制的对抗攻击防御方法,其特征在于,所述采用注意力机制提取图像中目标轮廓的轮廓特征,并且基于提取到的轮廓特征设计微小的扰动量添加到原始正常样本中,获得对抗样本包括:
重构特征提取步骤,基于深度模型的浅层网络特征,采用注意力机制提取输入原始图像的浅层特征图像作为特征图像,并对特征图像进行上采样操作,获得重构特征图像;
信道空间注意力权重计算步骤,根据原始图像和重构特征图像计算信道空间注意力权重矩阵;
像素空间注意力权重计算步骤,根据重构的信道空间注意力权重矩阵和原始图像计算像素空间注意力权重矩阵;
对抗样本生成步骤,根据像素空间注意力权重矩阵计算添加的扰动量,将扰动量添加到原始图像中,获得对抗样本。
3.如权利要求2所述的面向注意力机制的对抗攻击防御方法,其特征在于,信道空间注意力权重计算步骤中,
将尺寸为[H,W,3]的原始图像x,通过reshape操作转化成尺寸为[3,l]的图片xre,其中H表示图像垂直方向的像素点个数,W表示图像水平方向的像素点个数,3表示具有RGB三通道的彩色图像,l=H×W;
将浅层隐藏层中经过上采样后尺寸为[H,W,c]的重构特征图像fm,通过reshape操作转化成尺寸为[c,l]的重构特征图像fmm;
通过公式获得尺寸为[3,c]的信道空间注意力权重矩阵Wc,其中,softmax(·)为激活函数。
4.如权利要求2所述的面向注意力机制的对抗攻击防御方法,其特征在于,像素空间注意力权重计算步骤中,
利用公式计算尺寸为[3,l]的重构的信道空间注意力权重其中,表示矩阵的乘法;
利用公式计算尺寸为[1,l]的像素空间注意力权重Wp,其中,·表示矩阵各对应元素相乘,softmax(·)为激活函数。
5.如权利要求2所述的面向注意力机制的对抗攻击防御方法,其特征在于,对抗样本生成步骤中,
通过reshape函数操作将尺寸为[1,l]的像素空间注意力权重Wp变成尺寸为[H,W,1]的注意力映射权重Wmap;
通过以下公式计算添加的扰动量ρ:
其中,·表示两个矩阵对应元素相乘;y表示原始图像x对应的正确类标;表示计算梯度的1-范数,即向量元素的绝对数之和;xi表示第i通道的像素矩阵;
最后,通过公式得到对抗样本x*,其中,表示矩阵对应元素相加。
6.如权利要求1~5任一项所述的面向注意力机制的对抗攻击防御方法,其特征在于,通过动量迭代的方式优化扰动变量以更新对抗样本包括:
设置被训练的深度学习分类器f的最大迭代次数为T,原始图像为x,且该原始图像x对应的正确类标为y。迭代开始时,令设置初始速度向量g0=0;
定义迭代过程的攻击优化目标函数为:
其中,超参数κ≥0表示生成的对抗样本的误分类类标的置信度,κ的数值越大则对于生产对抗样本的要求更高,得到的样本攻击性能更加可靠;x0表示未添加扰动的初始图像,即原始图像x;Z(x)y表示样本被分类为y的置信度,Z(x)y′表示样本被分类为y'的置信度;表示x-x0的2-范数,用来限制对抗扰动的大小,即向量元素绝对值的平方和再进行开根号,yt'表示攻击者预先设定的特定目标标签;
(1)输入图像至深度学习分类器f,计算深度学习分类器f对于输入的梯度并且捕获图像在网络中的浅层特征图像通过双线性插值的方式对浅层特征图像进行上采样操作获得重构特征图像通过以下计算公式获得像素空间注意力权重
其中,表示经过重构的信道空间注意力权重,表示重构前的信道空间注意力权重。通过reshape函数对进行重构操作得到 表示矩阵乘法,softmax(·)为激活函数,表示重构图像矩阵的转置,·表示矩阵对应元素相乘,在执行softmax(·)函数之前对计算所得的矩阵进行一次列方向上的求和使得
(2)通过重构操作将像素空间注意力权重重构为注意力映射权重
(3)通过基于梯度的方向更新速度向量gi+1:
其中,μ为衰减因子,表示计算梯度的1-范数;
(4)基于速度向量gi+1计算所需要添加的扰动量ρi:
ρi=gi+1×α
其中,α表示迭代过程中每次添加的扰动步长;
(5)将扰动量ρi添加至图像中,得到更新后的对抗样本:
重复步骤(1)~(5),直至扰动大于预设值或者实现成功攻击即对抗样本已成功生成,其中,表示无穷范数,即中绝对值的最大值,ε为预设的扰动大小,y为原始图像x的正确类标。
7.如权利要求1所述的面向注意力机制的对抗攻击防御方法,其特征在于,利用对抗样本基于多强度对抗训练策略对深度模型进行对抗训练包括:
(1)基于预设扰动幅值参数ε,采用面向注意力机制的对抗攻击防御方法中的步骤(1)产生一批对抗样本子集合{xadv1},然后不断调整扰动幅值为ε/2,ε/3,ε/4,得到对抗样本子集合{xadv2}、对抗样本子集合{xadv3}、对抗样本子集合{xadv4};
(2)将步骤(1)得到的所有对抗样本子集合混合,得到具有不同攻击能力的对抗样本总集合,按照攻击强度AIn的取值从0.1、0.2、0.3、…、1.0进行对抗样本和正常样本的混合,得到具有不同攻击强度的新训练数据集;
(3)将步骤(2)得到的具有不同攻击强度的新训练数据集对深度模型的权重参数进行微调训练。
8.一种如权利要求1~7任一项所述的面向注意力机制的对抗攻击防御方法在图像分类中的应用,其特征在于,包括以下过程:
首先,以与待分类图像具有类似特征的图像集作为原始图像,以深度神经网络作为图像分类模型,利用权利要求1~7所述的面向特征图注意力机制的对抗攻击防御方法产生大量的对抗样本,并利用对抗样本对已经训练好的图像分类模型进行多强度对抗训练发现并修补其存在的漏洞,获得具有防御对抗样本能力的图像分类模型;
然后,采用训练好的具有防御对抗样本能力的图像分类模型对分类图像进行分类,获得可靠的分类结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910138087.1A CN109948658B (zh) | 2019-02-25 | 2019-02-25 | 面向特征图注意力机制的对抗攻击防御方法及应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910138087.1A CN109948658B (zh) | 2019-02-25 | 2019-02-25 | 面向特征图注意力机制的对抗攻击防御方法及应用 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109948658A true CN109948658A (zh) | 2019-06-28 |
CN109948658B CN109948658B (zh) | 2021-06-15 |
Family
ID=67006468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910138087.1A Active CN109948658B (zh) | 2019-02-25 | 2019-02-25 | 面向特征图注意力机制的对抗攻击防御方法及应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109948658B (zh) |
Cited By (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110444208A (zh) * | 2019-08-12 | 2019-11-12 | 浙江工业大学 | 一种基于梯度估计和ctc算法的语音识别攻击防御方法及装置 |
CN110472672A (zh) * | 2019-07-25 | 2019-11-19 | 阿里巴巴集团控股有限公司 | 用于训练机器学习模型的方法和装置 |
CN110633655A (zh) * | 2019-08-29 | 2019-12-31 | 河南中原大数据研究院有限公司 | 一种attention-attack人脸识别攻击算法 |
CN110674938A (zh) * | 2019-08-21 | 2020-01-10 | 浙江工业大学 | 基于协同多任务训练的对抗攻击防御方法 |
CN110705652A (zh) * | 2019-10-17 | 2020-01-17 | 北京瑞莱智慧科技有限公司 | 对抗样本及其生成方法、介质、装置和计算设备 |
CN110782420A (zh) * | 2019-09-19 | 2020-02-11 | 杭州电子科技大学 | 一种基于深度学习的小目标特征表示增强方法 |
CN110852363A (zh) * | 2019-10-31 | 2020-02-28 | 大连理工大学 | 一种基于欺骗攻击者的对抗样本防御方法 |
CN110941794A (zh) * | 2019-11-27 | 2020-03-31 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
CN111046673A (zh) * | 2019-12-17 | 2020-04-21 | 湖南大学 | 一种用于防御文本恶意样本的对抗生成网络及其训练方法 |
CN111046847A (zh) * | 2019-12-30 | 2020-04-21 | 北京澎思科技有限公司 | 一种视频处理方法、装置、电子设备以及介质 |
CN111191717A (zh) * | 2019-12-30 | 2020-05-22 | 电子科技大学 | 一种基于隐空间聚类的黑盒对抗样本生成算法 |
CN111275106A (zh) * | 2020-01-19 | 2020-06-12 | 支付宝(杭州)信息技术有限公司 | 对抗样本生成方法、装置及计算机设备 |
CN111325341A (zh) * | 2020-02-18 | 2020-06-23 | 中国空间技术研究院 | 一种自适应对抗强度的对抗训练方法 |
CN111325319A (zh) * | 2020-02-02 | 2020-06-23 | 腾讯云计算(北京)有限责任公司 | 一种神经网络模型的检测方法、装置、设备及存储介质 |
CN111340180A (zh) * | 2020-02-10 | 2020-06-26 | 中国人民解放军国防科技大学 | 指定标签的对抗样本生成方法、装置、电子设备及介质 |
CN111368908A (zh) * | 2020-03-03 | 2020-07-03 | 广州大学 | 一种基于深度学习的hrrp无目标对抗样本生成方法 |
CN111368725A (zh) * | 2020-03-03 | 2020-07-03 | 广州大学 | 一种基于深度学习的hrrp有目标对抗样本生成方法 |
CN111414964A (zh) * | 2020-03-23 | 2020-07-14 | 上海金桥信息股份有限公司 | 一种基于对抗样本防御的图像安全识别方法 |
CN111476228A (zh) * | 2020-04-07 | 2020-07-31 | 海南阿凡题科技有限公司 | 针对场景文字识别模型的白盒对抗样本生成方法 |
CN111488916A (zh) * | 2020-03-19 | 2020-08-04 | 天津大学 | 一种基于训练集数据的对抗攻击方法 |
CN111625820A (zh) * | 2020-05-29 | 2020-09-04 | 华东师范大学 | 一种基于面向AIoT安全的联邦防御方法 |
CN111754519A (zh) * | 2020-05-27 | 2020-10-09 | 浙江工业大学 | 一种基于类激活映射的对抗防御方法 |
CN111767786A (zh) * | 2020-05-11 | 2020-10-13 | 北京航空航天大学 | 基于三维动态交互场景的对抗攻击方法和装置 |
CN111783085A (zh) * | 2020-06-29 | 2020-10-16 | 浙大城市学院 | 一种对抗样本攻击的防御方法、装置及电子设备 |
CN111783629A (zh) * | 2020-06-29 | 2020-10-16 | 浙大城市学院 | 一种面向对抗样本攻击的人脸活体检测方法及装置 |
CN111860681A (zh) * | 2020-07-30 | 2020-10-30 | 江南大学 | 一种双注意力机制下的深度网络困难样本生成方法及应用 |
CN111881436A (zh) * | 2020-08-04 | 2020-11-03 | 公安部第三研究所 | 基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其存储介质 |
CN112016686A (zh) * | 2020-08-13 | 2020-12-01 | 中山大学 | 一种基于深度学习模型的对抗性训练方法 |
CN112035834A (zh) * | 2020-08-28 | 2020-12-04 | 北京推想科技有限公司 | 对抗训练方法及装置、神经网络模型的应用方法及装置 |
CN112085069A (zh) * | 2020-08-18 | 2020-12-15 | 中国人民解放军战略支援部队信息工程大学 | 基于集成注意力机制的多目标对抗补丁生成方法及装置 |
CN112115761A (zh) * | 2020-05-12 | 2020-12-22 | 吉林大学 | 自动驾驶汽车视觉感知***漏洞检测的对抗样本生成方法 |
CN112215151A (zh) * | 2020-10-13 | 2021-01-12 | 电子科技大学 | 一种利用3d对抗样本增强目标检测***抗干扰能力的方法 |
CN112488321A (zh) * | 2020-12-07 | 2021-03-12 | 重庆邮电大学 | 面向广义非负矩阵分解算法的对抗性机器学习防御方法 |
CN112507811A (zh) * | 2020-11-23 | 2021-03-16 | 广州大学 | 一种检测人脸识别***抵御伪装攻击的方法和*** |
CN112541404A (zh) * | 2020-11-22 | 2021-03-23 | 同济大学 | 一种面向交通信息感知的物理攻击对抗样本生成方法 |
CN112580822A (zh) * | 2020-12-16 | 2021-03-30 | 北京百度网讯科技有限公司 | 机器学习模型的对抗训练方法装置、电子设备和介质 |
CN112804231A (zh) * | 2021-01-13 | 2021-05-14 | 广州大学 | 面向大规模网络的攻击图分布式构建方法、***和介质 |
CN112949678A (zh) * | 2021-01-14 | 2021-06-11 | 西安交通大学 | 深度学习模型对抗样本生成方法、***、设备及存储介质 |
CN113076980A (zh) * | 2021-03-24 | 2021-07-06 | 中山大学 | 一种基于注意力增强以及输入扰动的分布外图像检测方法 |
CN113344090A (zh) * | 2021-06-18 | 2021-09-03 | 成都井之丽科技有限公司 | 一种用于中间层有目标对抗攻击的图像处理方法 |
CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击*** |
CN113485313A (zh) * | 2021-06-25 | 2021-10-08 | 杭州玳数科技有限公司 | 自动驾驶车辆的抗干扰方法和装置 |
CN113571067A (zh) * | 2021-06-21 | 2021-10-29 | 浙江工业大学 | 一种基于边界攻击的声纹识别对抗样本生成方法 |
CN113611323A (zh) * | 2021-05-07 | 2021-11-05 | 北京至芯开源科技有限责任公司 | 一种基于双通道卷积注意力网络的语音增强方法及*** |
CN113780557A (zh) * | 2021-11-11 | 2021-12-10 | 中南大学 | 基于免疫理论的对抗图像攻击方法、装置、产品及介质 |
CN114092856A (zh) * | 2021-11-18 | 2022-02-25 | 西安交通大学 | 对抗与注意力联合机制的视频弱监督异常检测***及方法 |
CN114241268A (zh) * | 2021-12-21 | 2022-03-25 | 支付宝(杭州)信息技术有限公司 | 一种模型的训练方法、装置及设备 |
CN114332569A (zh) * | 2022-03-17 | 2022-04-12 | 南京理工大学 | 基于注意力机制的低扰动对抗攻击方法 |
CN114492832A (zh) * | 2021-12-24 | 2022-05-13 | 北京航空航天大学 | 一种基于联想学习的选择性攻击方法及装置 |
CN114612688A (zh) * | 2022-05-16 | 2022-06-10 | 中国科学技术大学 | 对抗样本生成方法、模型训练方法、处理方法及电子设备 |
CN114742170A (zh) * | 2022-04-22 | 2022-07-12 | 马上消费金融股份有限公司 | 对抗样本生成方法、模型训练方法、图像识别方法及装置 |
CN114943641A (zh) * | 2022-07-26 | 2022-08-26 | 北京航空航天大学 | 基于模型共享结构的对抗纹理图像生成方法和装置 |
CN114978654A (zh) * | 2022-05-12 | 2022-08-30 | 北京大学 | 一种基于深度学习的端到端通信***攻击防御方法 |
WO2022184019A1 (zh) * | 2021-03-05 | 2022-09-09 | 腾讯科技(深圳)有限公司 | 图像处理方法、装置、设备及存储介质 |
CN115062306A (zh) * | 2022-06-28 | 2022-09-16 | 中国海洋大学 | 一种针对恶意代码检测***的黑盒对抗攻击方法 |
CN116450187A (zh) * | 2023-05-05 | 2023-07-18 | 四川励致科技有限公司 | 应用于ai分析的数字化在线应用处理方法及ai应用*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108322349A (zh) * | 2018-02-11 | 2018-07-24 | 浙江工业大学 | 基于对抗式生成网络的深度学习对抗性攻击防御方法 |
US20180225823A1 (en) * | 2017-02-09 | 2018-08-09 | Siemens Healthcare Gmbh | Adversarial and Dual Inverse Deep Learning Networks for Medical Image Analysis |
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN108932527A (zh) * | 2018-06-06 | 2018-12-04 | 上海交通大学 | 使用交叉训练模型检测对抗样本的方法 |
-
2019
- 2019-02-25 CN CN201910138087.1A patent/CN109948658B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180225823A1 (en) * | 2017-02-09 | 2018-08-09 | Siemens Healthcare Gmbh | Adversarial and Dual Inverse Deep Learning Networks for Medical Image Analysis |
CN108322349A (zh) * | 2018-02-11 | 2018-07-24 | 浙江工业大学 | 基于对抗式生成网络的深度学习对抗性攻击防御方法 |
CN108446765A (zh) * | 2018-02-11 | 2018-08-24 | 浙江工业大学 | 面向深度学习对抗性攻击的多模型协同防御方法 |
CN108932527A (zh) * | 2018-06-06 | 2018-12-04 | 上海交通大学 | 使用交叉训练模型检测对抗样本的方法 |
Non-Patent Citations (1)
Title |
---|
JINYIN CHEN 等: "FineFool: Fine Object Contour Attack via Attention", 《ARXIV:1812.01713V1》 * |
Cited By (87)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110472672B (zh) * | 2019-07-25 | 2023-04-18 | 创新先进技术有限公司 | 用于训练机器学习模型的方法和装置 |
CN110472672A (zh) * | 2019-07-25 | 2019-11-19 | 阿里巴巴集团控股有限公司 | 用于训练机器学习模型的方法和装置 |
CN110444208A (zh) * | 2019-08-12 | 2019-11-12 | 浙江工业大学 | 一种基于梯度估计和ctc算法的语音识别攻击防御方法及装置 |
CN110674938A (zh) * | 2019-08-21 | 2020-01-10 | 浙江工业大学 | 基于协同多任务训练的对抗攻击防御方法 |
CN110633655A (zh) * | 2019-08-29 | 2019-12-31 | 河南中原大数据研究院有限公司 | 一种attention-attack人脸识别攻击算法 |
CN110782420A (zh) * | 2019-09-19 | 2020-02-11 | 杭州电子科技大学 | 一种基于深度学习的小目标特征表示增强方法 |
CN110705652A (zh) * | 2019-10-17 | 2020-01-17 | 北京瑞莱智慧科技有限公司 | 对抗样本及其生成方法、介质、装置和计算设备 |
CN110705652B (zh) * | 2019-10-17 | 2020-10-23 | 北京瑞莱智慧科技有限公司 | 对抗样本及其生成方法、介质、装置和计算设备 |
CN110852363A (zh) * | 2019-10-31 | 2020-02-28 | 大连理工大学 | 一种基于欺骗攻击者的对抗样本防御方法 |
CN110852363B (zh) * | 2019-10-31 | 2022-08-02 | 大连理工大学 | 一种基于欺骗攻击者的对抗样本防御方法 |
CN110941794B (zh) * | 2019-11-27 | 2023-08-22 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
CN110941794A (zh) * | 2019-11-27 | 2020-03-31 | 浙江工业大学 | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 |
CN111046673B (zh) * | 2019-12-17 | 2021-09-03 | 湖南大学 | 一种用于防御文本恶意样本的对抗生成网络的训练方法 |
CN111046673A (zh) * | 2019-12-17 | 2020-04-21 | 湖南大学 | 一种用于防御文本恶意样本的对抗生成网络及其训练方法 |
CN111046847A (zh) * | 2019-12-30 | 2020-04-21 | 北京澎思科技有限公司 | 一种视频处理方法、装置、电子设备以及介质 |
CN111191717B (zh) * | 2019-12-30 | 2022-05-10 | 电子科技大学 | 一种基于隐空间聚类的黑盒对抗样本生成算法 |
CN111191717A (zh) * | 2019-12-30 | 2020-05-22 | 电子科技大学 | 一种基于隐空间聚类的黑盒对抗样本生成算法 |
CN111275106B (zh) * | 2020-01-19 | 2022-07-01 | 支付宝(杭州)信息技术有限公司 | 对抗样本生成方法、装置及计算机设备 |
CN111275106A (zh) * | 2020-01-19 | 2020-06-12 | 支付宝(杭州)信息技术有限公司 | 对抗样本生成方法、装置及计算机设备 |
CN111325319A (zh) * | 2020-02-02 | 2020-06-23 | 腾讯云计算(北京)有限责任公司 | 一种神经网络模型的检测方法、装置、设备及存储介质 |
CN111325319B (zh) * | 2020-02-02 | 2023-11-28 | 腾讯云计算(北京)有限责任公司 | 一种神经网络模型的检测方法、装置、设备及存储介质 |
CN111340180B (zh) * | 2020-02-10 | 2021-10-08 | 中国人民解放军国防科技大学 | 指定标签的对抗样本生成方法、装置、电子设备及介质 |
CN111340180A (zh) * | 2020-02-10 | 2020-06-26 | 中国人民解放军国防科技大学 | 指定标签的对抗样本生成方法、装置、电子设备及介质 |
CN111325341A (zh) * | 2020-02-18 | 2020-06-23 | 中国空间技术研究院 | 一种自适应对抗强度的对抗训练方法 |
CN111325341B (zh) * | 2020-02-18 | 2023-11-14 | 中国空间技术研究院 | 一种自适应对抗强度的对抗训练方法 |
CN111368908B (zh) * | 2020-03-03 | 2023-12-19 | 广州大学 | 一种基于深度学习的hrrp无目标对抗样本生成方法 |
CN111368725B (zh) * | 2020-03-03 | 2023-10-03 | 广州大学 | 一种基于深度学习的hrrp有目标对抗样本生成方法 |
CN111368908A (zh) * | 2020-03-03 | 2020-07-03 | 广州大学 | 一种基于深度学习的hrrp无目标对抗样本生成方法 |
CN111368725A (zh) * | 2020-03-03 | 2020-07-03 | 广州大学 | 一种基于深度学习的hrrp有目标对抗样本生成方法 |
CN111488916B (zh) * | 2020-03-19 | 2023-01-24 | 天津大学 | 一种基于训练集数据的对抗攻击方法 |
CN111488916A (zh) * | 2020-03-19 | 2020-08-04 | 天津大学 | 一种基于训练集数据的对抗攻击方法 |
CN111414964A (zh) * | 2020-03-23 | 2020-07-14 | 上海金桥信息股份有限公司 | 一种基于对抗样本防御的图像安全识别方法 |
CN111476228A (zh) * | 2020-04-07 | 2020-07-31 | 海南阿凡题科技有限公司 | 针对场景文字识别模型的白盒对抗样本生成方法 |
CN111767786A (zh) * | 2020-05-11 | 2020-10-13 | 北京航空航天大学 | 基于三维动态交互场景的对抗攻击方法和装置 |
CN111767786B (zh) * | 2020-05-11 | 2023-01-24 | 北京航空航天大学 | 基于三维动态交互场景的对抗攻击方法和装置 |
CN112115761A (zh) * | 2020-05-12 | 2020-12-22 | 吉林大学 | 自动驾驶汽车视觉感知***漏洞检测的对抗样本生成方法 |
CN112115761B (zh) * | 2020-05-12 | 2022-09-13 | 吉林大学 | 自动驾驶汽车视觉感知***漏洞检测的对抗样本生成方法 |
CN111754519A (zh) * | 2020-05-27 | 2020-10-09 | 浙江工业大学 | 一种基于类激活映射的对抗防御方法 |
CN111754519B (zh) * | 2020-05-27 | 2024-04-30 | 浙江工业大学 | 一种基于类激活映射的对抗防御方法 |
CN111625820A (zh) * | 2020-05-29 | 2020-09-04 | 华东师范大学 | 一种基于面向AIoT安全的联邦防御方法 |
CN111783085B (zh) * | 2020-06-29 | 2023-08-22 | 浙大城市学院 | 一种对抗样本攻击的防御方法、装置及电子设备 |
CN111783085A (zh) * | 2020-06-29 | 2020-10-16 | 浙大城市学院 | 一种对抗样本攻击的防御方法、装置及电子设备 |
CN111783629A (zh) * | 2020-06-29 | 2020-10-16 | 浙大城市学院 | 一种面向对抗样本攻击的人脸活体检测方法及装置 |
CN111860681B (zh) * | 2020-07-30 | 2024-04-30 | 江南大学 | 一种双注意力机制下的深度网络困难样本生成方法及应用 |
CN111860681A (zh) * | 2020-07-30 | 2020-10-30 | 江南大学 | 一种双注意力机制下的深度网络困难样本生成方法及应用 |
CN111881436A (zh) * | 2020-08-04 | 2020-11-03 | 公安部第三研究所 | 基于特征一致性实现黑盒人脸对抗攻击样本生成的方法、装置及其存储介质 |
CN112016686A (zh) * | 2020-08-13 | 2020-12-01 | 中山大学 | 一种基于深度学习模型的对抗性训练方法 |
CN112016686B (zh) * | 2020-08-13 | 2023-07-21 | 中山大学 | 一种基于深度学习模型的对抗性训练方法 |
CN112085069A (zh) * | 2020-08-18 | 2020-12-15 | 中国人民解放军战略支援部队信息工程大学 | 基于集成注意力机制的多目标对抗补丁生成方法及装置 |
CN112035834A (zh) * | 2020-08-28 | 2020-12-04 | 北京推想科技有限公司 | 对抗训练方法及装置、神经网络模型的应用方法及装置 |
CN112215151B (zh) * | 2020-10-13 | 2022-10-25 | 电子科技大学 | 一种利用3d对抗样本增强目标检测***抗干扰能力的方法 |
CN112215151A (zh) * | 2020-10-13 | 2021-01-12 | 电子科技大学 | 一种利用3d对抗样本增强目标检测***抗干扰能力的方法 |
CN112541404A (zh) * | 2020-11-22 | 2021-03-23 | 同济大学 | 一种面向交通信息感知的物理攻击对抗样本生成方法 |
CN112507811A (zh) * | 2020-11-23 | 2021-03-16 | 广州大学 | 一种检测人脸识别***抵御伪装攻击的方法和*** |
CN112488321B (zh) * | 2020-12-07 | 2022-07-01 | 重庆邮电大学 | 面向广义非负矩阵分解算法的对抗性机器学习防御方法 |
CN112488321A (zh) * | 2020-12-07 | 2021-03-12 | 重庆邮电大学 | 面向广义非负矩阵分解算法的对抗性机器学习防御方法 |
CN112580822B (zh) * | 2020-12-16 | 2023-10-17 | 北京百度网讯科技有限公司 | 机器学习模型的对抗训练方法装置、电子设备和介质 |
CN112580822A (zh) * | 2020-12-16 | 2021-03-30 | 北京百度网讯科技有限公司 | 机器学习模型的对抗训练方法装置、电子设备和介质 |
CN112804231A (zh) * | 2021-01-13 | 2021-05-14 | 广州大学 | 面向大规模网络的攻击图分布式构建方法、***和介质 |
CN112949678A (zh) * | 2021-01-14 | 2021-06-11 | 西安交通大学 | 深度学习模型对抗样本生成方法、***、设备及存储介质 |
WO2022184019A1 (zh) * | 2021-03-05 | 2022-09-09 | 腾讯科技(深圳)有限公司 | 图像处理方法、装置、设备及存储介质 |
CN113076980B (zh) * | 2021-03-24 | 2023-11-14 | 中山大学 | 一种基于注意力增强以及输入扰动的分布外图像检测方法 |
CN113076980A (zh) * | 2021-03-24 | 2021-07-06 | 中山大学 | 一种基于注意力增强以及输入扰动的分布外图像检测方法 |
CN113611323B (zh) * | 2021-05-07 | 2024-02-20 | 北京至芯开源科技有限责任公司 | 一种基于双通道卷积注意力网络的语音增强方法及*** |
CN113611323A (zh) * | 2021-05-07 | 2021-11-05 | 北京至芯开源科技有限责任公司 | 一种基于双通道卷积注意力网络的语音增强方法及*** |
CN113344090A (zh) * | 2021-06-18 | 2021-09-03 | 成都井之丽科技有限公司 | 一种用于中间层有目标对抗攻击的图像处理方法 |
CN113344090B (zh) * | 2021-06-18 | 2022-11-22 | 成都井之丽科技有限公司 | 一种用于中间层有目标对抗攻击的图像处理方法 |
CN113571067B (zh) * | 2021-06-21 | 2023-12-26 | 浙江工业大学 | 一种基于边界攻击的声纹识别对抗样本生成方法 |
CN113571067A (zh) * | 2021-06-21 | 2021-10-29 | 浙江工业大学 | 一种基于边界攻击的声纹识别对抗样本生成方法 |
CN113485313A (zh) * | 2021-06-25 | 2021-10-08 | 杭州玳数科技有限公司 | 自动驾驶车辆的抗干扰方法和装置 |
CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击*** |
CN113392932B (zh) * | 2021-07-06 | 2024-01-30 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击*** |
CN113780557B (zh) * | 2021-11-11 | 2022-02-15 | 中南大学 | 基于免疫理论的对抗图像攻击方法、装置、产品及介质 |
CN113780557A (zh) * | 2021-11-11 | 2021-12-10 | 中南大学 | 基于免疫理论的对抗图像攻击方法、装置、产品及介质 |
CN114092856A (zh) * | 2021-11-18 | 2022-02-25 | 西安交通大学 | 对抗与注意力联合机制的视频弱监督异常检测***及方法 |
CN114092856B (zh) * | 2021-11-18 | 2024-02-06 | 西安交通大学 | 对抗与注意力联合机制的视频弱监督异常检测***及方法 |
CN114241268A (zh) * | 2021-12-21 | 2022-03-25 | 支付宝(杭州)信息技术有限公司 | 一种模型的训练方法、装置及设备 |
CN114492832A (zh) * | 2021-12-24 | 2022-05-13 | 北京航空航天大学 | 一种基于联想学习的选择性攻击方法及装置 |
CN114332569A (zh) * | 2022-03-17 | 2022-04-12 | 南京理工大学 | 基于注意力机制的低扰动对抗攻击方法 |
CN114742170B (zh) * | 2022-04-22 | 2023-07-25 | 马上消费金融股份有限公司 | 对抗样本生成方法、模型训练方法、图像识别方法及装置 |
CN114742170A (zh) * | 2022-04-22 | 2022-07-12 | 马上消费金融股份有限公司 | 对抗样本生成方法、模型训练方法、图像识别方法及装置 |
CN114978654A (zh) * | 2022-05-12 | 2022-08-30 | 北京大学 | 一种基于深度学习的端到端通信***攻击防御方法 |
CN114612688B (zh) * | 2022-05-16 | 2022-09-09 | 中国科学技术大学 | 对抗样本生成方法、模型训练方法、处理方法及电子设备 |
CN114612688A (zh) * | 2022-05-16 | 2022-06-10 | 中国科学技术大学 | 对抗样本生成方法、模型训练方法、处理方法及电子设备 |
CN115062306A (zh) * | 2022-06-28 | 2022-09-16 | 中国海洋大学 | 一种针对恶意代码检测***的黑盒对抗攻击方法 |
CN114943641A (zh) * | 2022-07-26 | 2022-08-26 | 北京航空航天大学 | 基于模型共享结构的对抗纹理图像生成方法和装置 |
CN116450187A (zh) * | 2023-05-05 | 2023-07-18 | 四川励致科技有限公司 | 应用于ai分析的数字化在线应用处理方法及ai应用*** |
Also Published As
Publication number | Publication date |
---|---|
CN109948658B (zh) | 2021-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109948658A (zh) | 面向特征图注意力机制的对抗攻击防御方法及应用 | |
CN106096538B (zh) | 基于定序神经网络模型的人脸识别方法及装置 | |
CN112364915B (zh) | 一种不可察觉的对抗补丁生成方法及应用 | |
Su et al. | Optimized hyperspectral band selection using particle swarm optimization | |
CN108322349A (zh) | 基于对抗式生成网络的深度学习对抗性攻击防御方法 | |
CN109858368B (zh) | 一种基于Rosenbrock-PSO的人脸识别攻击防御方法 | |
CN114067177B (zh) | 一种基于自监督学习的遥感图像分类网络鲁棒性提升方法 | |
CN108615048A (zh) | 基于扰动进化对图像分类器对抗性攻击的防御方法 | |
CN111161191B (zh) | 一种图像增强方法 | |
Pare et al. | A context sensitive multilevel thresholding using swarm based algorithms | |
CN110334749A (zh) | 基于注意力机制的对抗攻击防御模型、构建方法及应用 | |
CN109272107A (zh) | 一种改进深层卷积神经网络的参数个数的方法 | |
CN111414964A (zh) | 一种基于对抗样本防御的图像安全识别方法 | |
CN105718889A (zh) | 基于GB(2D)2PCANet深度卷积模型的人脸身份识别方法 | |
CN106650667A (zh) | 一种基于支持向量机的行人检测方法及*** | |
CN110309854A (zh) | 一种信号调制方式识别方法及装置 | |
CN110175646A (zh) | 基于图像变换的多通道对抗样本检测方法及装置 | |
CN108345856A (zh) | 基于异构卷积神经网络集成的sar自动目标识别方法 | |
CN111047054A (zh) | 一种基于两阶段对抗知识迁移的对抗样例防御方法 | |
CN116824485A (zh) | 一种基于深度学习的开放场景伪装人员小目标检测方法 | |
CN114724189A (zh) | 一种目标识别的对抗样本防御模型训练方法、***及应用 | |
CN117057408A (zh) | 一种基于gan的黑盒可迁移性对抗攻击方法 | |
CN113222120B (zh) | 基于离散傅立叶变换的神经网络后门注入方法 | |
CN113610109A (zh) | 一种基于放大镜观测效应的可见光伪装目标识别方法 | |
CN117011508A (zh) | 一种基于视觉变换和特征鲁棒的对抗训练方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |