CN111047006A - 一种基于对偶式生成网络的对抗攻击防御模型及应用 - Google Patents

一种基于对偶式生成网络的对抗攻击防御模型及应用 Download PDF

Info

Publication number
CN111047006A
CN111047006A CN201911031923.2A CN201911031923A CN111047006A CN 111047006 A CN111047006 A CN 111047006A CN 201911031923 A CN201911031923 A CN 201911031923A CN 111047006 A CN111047006 A CN 111047006A
Authority
CN
China
Prior art keywords
model
sample
network
defense
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911031923.2A
Other languages
English (en)
Other versions
CN111047006B (zh
Inventor
陈晋音
朱伟鹏
郑海斌
王雪柯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University of Technology ZJUT
Original Assignee
Zhejiang University of Technology ZJUT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University of Technology ZJUT filed Critical Zhejiang University of Technology ZJUT
Priority to CN201911031923.2A priority Critical patent/CN111047006B/zh
Publication of CN111047006A publication Critical patent/CN111047006A/zh
Application granted granted Critical
Publication of CN111047006B publication Critical patent/CN111047006B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于对偶式生成网络的对抗攻击防御模型,包括训练好的生成模型Gt和判别模型Dt,其中,所述生成模型Gt用于对输入的对抗样本进行去扰动,输出良性样本,所述判别模型Dt用于对输入的良性样本进行防御判别,输出正确的判别结果。该基于对偶式生成网络的对抗攻击防御模型实现了对已知攻击和部分未知攻击进行防御。还公开了上述基于对偶式生成网络的对抗攻击防御模型在人脸识别领域和无线信号调制类型识别领域中的应用。

Description

一种基于对偶式生成网络的对抗攻击防御模型及应用
技术领域
本发明属于图像识别与数据的安全领域,具体涉及一种基于对偶式生成网络的对抗攻击防御模型及应用。
背景技术
深度学习能够通过学习和计算大量数据的潜在联系,获得比一般算法更准确的分类结果,具有强大的特征学习能力和特征表达能力。因此,深度学习技术被广泛地应用于人工智能领域。深度学习利用参数庞大的神经网络,例如典型的有卷积神经网络(CNN)和循环神经网络(RNN),进行特征抽取,能够有效地完成对图像数据和时序数据的处理。
而生成式对抗网络,Generative Adversarial Nets,简称GAN,自2014年在NIPS上被Goodfellow和Bengio等人提出后,就一直表现出高速的发展效力和强大的发展潜力。GAN中利用两个模型:生成式模型(generative model)和判别式模型(discriminative model)充当双方博弈的主角。生成模型G捕捉样本数据的分布,判别模型D是一个二分类器,估计一个样本来自于训练数据(而非生成数据)的概率。而GAN在图像处理领域能够取得如此巨大的成就,无疑取决于GAN在博弈下不断提高建模能力,最终实现以假乱真的图像生成。
近年来,在机器翻译领域有一种新的做法是对偶学习,这种学习利用对称的翻译模型结构,提高了对未标记样本的利用度,未解决无监督学习中的各种困难提供了思路。“Zili Yi”等人在“DualGAN:Unsupervised Dual Learning for Image-to-ImageTranslation”一文中就提出了借用对偶学习的思路完成DualGAN的设计。实验证明,DualGAN在大大降低标签成本上,进一步提高了稳定性。
生成式对抗网络作为一种自由度非常高的神经网络结构,不需要设计遵循任何种类的因式分解的模型,任何生成器网络和任何鉴别器都会有用;无需利用马尔科夫链反复采样,无需在学习过程中进行推断,回避了近似计算棘手的概率的难题;并且GAN能够训练任何一种生成器网络。但同样,过于简单的约束条件,非常容易出现迷失训练方向的问题。并且,GAN结构仍然存在着一般深度学习模型在各大领域统一的缺陷——对抗样本的存在仍然没有得到解决。
szegedy等人提出,深度模型很容易受到细微扰动的攻击。这些细小的扰动对于人类视觉***来说是几乎无法察觉的,但却可以使得深度模型分类错误,甚至对错误的分类结果表现出很高的置信度。同时Omid Poursaeed等人,在“Generative AdversarialPerturbations”一文中提出了,对于深度学习模型可能存在着一种通用扰动,迫使模型在识别,分类中产生偏移,做出错误的分类结果。
发明内容
为了提高深度学习模型在针对对抗攻击的防御能力,本发明提供了一种基于对偶式生成网络的对抗攻击防御模型及应用,该对抗攻击防御模型是通过搭建合适的对偶式生成对抗网络模型,利用效果较好的对抗样本,对神经网络结构完成交替训练,而产生的防御GAN,以提高模型鲁棒性。
本发明的技术方案为:
一种基于对偶式生成网络的对抗攻击防御模型,包括训练好的生成模型Gt和判别模型Dt,其中,所述生成模型Gt用于对输入的对抗样本进行去扰动,输出良性样本,所述判别模型Dt用于对输入的良性样本进行防御判别,输出正确的判别结果;
所述对抗攻击防御模型通过以下步骤构建:
(1)构建对偶式生成对抗网络,所述对偶式生成对抗网络包括对抗生成对抗网络和防御生成对抗网络,其中,所述对抗生成对抗网络包括用于基于输入的良性样本输出对抗样本的生成模型Gp和判别输入的对抗样本真伪的判别模型Dp,所述防御生成对抗网络包括用于基于输入的对抗样本输出良性样本的生成模型Gt和判别输入的良性样本真伪的判别模型Dt;
(2)利用良性样本初始化对抗生成对抗网络,利用对抗样本初始化防御生成对抗网络,具体过程为:
(2-1)将已有的良性样本true及其置信度输入至生成模型Gp,输出对抗样本truep,将对抗样本truep及其置信度输入至生成模型Gt,输出逆扰动样本true';
(2-2)将已有的对抗样本perturb及其置信度输入至生成模型Gt,得到逆对抗样本perturbt,对逆对抗样本perturbt及其置信度输入至生成模型Gp,输出扰动样本perturb';
(3)利用对偶式生成对抗网络的损失函数训练对偶式生成对抗网络,训练结束后,以训练好的生成模型Gt和判别模型Dt组成对抗攻击防御模型,对偶式生成对抗网络的损失函数包括:
判别模型Dp的损失函数
Figure BDA0002250394880000031
为:
Figure BDA0002250394880000032
判别模型Dt的损失函数
Figure BDA0002250394880000041
为:
Figure BDA0002250394880000042
生成模型Gp的损失函数
Figure BDA0002250394880000043
为:
loss1=a||conv(truep)-worstp||2+b||conv(perturb')-worstp||2
loss2=c||truep-true||2+d||perturb'-perturb||2
Figure BDA0002250394880000044
生成模型Gt的损失函数
Figure BDA0002250394880000045
为:
Figure BDA0002250394880000046
其中,conv(·)为置信度,conv(truep)为对抗样本truep的置信度,a,b,c和d为四个大于零的系数。
一种基于对偶式生成网络的对抗攻击防御模型在人脸识别中防御对抗攻击的应用,将正常人脸图像作为良性样本,将添加扰动的人脸图像作为对抗样本,利用上述基于对偶式生成网络的对抗攻击防御模型中的对抗攻击防御模型的构建步骤来构建针对人脸图像识别的对抗攻击防御模型,利用构建得到的对抗攻击防御模型来实现人脸图像识别的对抗攻击的防御。
一种基于对偶式生成网络的对抗攻击防御模型在无线信号调制类型识别中防御对抗攻击的应用,将正常无线信号作为良性样本,将添加扰动的无线信号作为对抗样本,利用上述基于对偶式生成网络的对抗攻击防御模型中的对抗攻击防御模型的构建步骤来构建针对无线信号调制类型识别的对抗攻击防御模型,利用构建得到的对抗攻击防御模型来实现无线信号调制类型识别的对抗攻击的防御。
与现有技术相比,本发明具有的有益效果为:
本发明提供的基于对偶式生成网络的对抗攻击防御模是利用生成式对抗网络能够配合博弈思想,借用对偶GAN的参数拟合,产生了一种具有普遍防御效益的防御GAN,不需要对抗训练的参与,就能够达到在不改动模型内部结构的基础上,实现对已知攻击和部分未知攻击进行防御。且强大的防御GAN提高模型鲁棒性,在提升深度学习模型防御能力方面上有着极其重要的理论与实践意义。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动前提下,还可以根据这些附图获得其他附图。
图1是本发明提供的获得对偶式生成网络初始化的过程;
图2利用本发明提供的防御GAN对对抗性攻击进行防御的过程示意图;
图3(a)为原始对抗样本,图3(b)为利用防御GAN获得的良性样本。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
本发明利用利用对偶GAN的强大的对称学习能力,让两侧的生成式对抗网络分别担任攻击者与防御者的角色,凭借生成式对抗网络双结构的交替训练的强大潜力,不断的加强防御GAN的防御能力,最后达到能够防御各类已知或者未知攻击的效果。因此,实施例提出了一种基于对偶式生成网络的对抗攻击防御模型,该对抗攻击防御模型旨在利用生成式对抗网络强大的自由度,完成防御GAN的产生以及强化,从而提高对各类已知或者未知攻击的防御效果。
具体地,对偶式生成网络的对抗攻击防御模型的构建过程为:
(1)构建对偶式生成对抗网络(简称对偶GAN)。
本发明中,对偶GAN包含功能对称的两个GAN结构,即包括对抗生成对抗网络(简称对抗GAN)和防御生成对抗网络(简称防御GAN),完成产生扰动以及添加逆扰动的平衡操作。对偶GAN的每一侧神经网络结构通过参数拟合的方法,在尽可能保证对偶GAN平衡不被破坏的情况下,优化各自的扰动,来达到尽可能全面防御强大的攻击方法。
其中,对抗GAN包括生成模型Gp和判别模型Dp的对抗结构,主要完成对抗性扰动添加的任务,即生成模型Gp用于基于输入的良性样本输出对抗样本,判别模型Dp用于判别输入的对抗样本真伪。对抗GAN采用无监督的学习方式训练,配合博弈论中零和博弈的思想,通过生成模型Gp和判别模型Dp不断博弈,进而使生成模型Gp学习到拟合通用扰动的分布。
在博弈训练中,生成模型Gp不断地依据参照扰动,良性样本及其置信度,产生半对抗性样本,半对抗性样本就是在添加一些扰动后会形成对抗样本,即不断的训练过程中,生成模型Gp会最终产生对抗样本。判别模型Dp用于以区分半对抗性样本与对抗样本为目标,间接锻炼生成模型Gp产生更具对抗性,且更加不易察觉的对抗样本。这要求在促进对抗样本不断在与良性样本更加相似的同时,可以很好地限制扰动的大小。如果用到图像生成上,则训练完成后,生成模型Gp可以从一段随机数中生成逼真的对抗图像。
博弈论中零和博弈的思想,使得生成网络在和判别网络的不断博弈过程中,趋向于完美。所以,在深度学***衡,还能够使得整体结构更快趋向最终的纳什均衡点。
因此,在构建对抗GAN时,要尽量使对抗GAN中的生成模型Gp和判别模型Dp的网络复杂度相似,进而保证在生成模型Gp和判别模型Dp相互训练的过程中,能尽可能的达到最大博弈训练的效果,同时保证对样GAN能够完成扰动矩阵的产生,提供较为强大的对抗性。
防御GAN包括生成模型Gt和判别模型Dt的对抗结构,主要完成对抗扰动的过滤任务。即生成模型Gt用于基于输入的对抗样本输出良性样本,判别模型Dt用于判别输入的良性样本真伪。防御GAN采用无监督的学习方式训练,配合博弈论中零和博弈的思想,,通过生成模型Gt和判别模型Dt不断博弈,进而使生成模型Gt学习到拟合通用逆扰动的分布。
在博弈训练中,生成模型Gt不断地依据参照扰动,对抗样本及其置信度,产生半良性样本,半良性样本就是对抗样本在扰动过滤后得到的良性样本,即在不断的训练过程中,生成模型Gt会最终产生良性样本。判别模型Dt是以区分半良性样本与良性样本为目标,间接锻炼生成模型Gt产生更加不易受到攻击的半良性样本。这不仅要求生成模型Gt能够产生具有普遍有效性的通用逆扰动,还意味着通用逆扰动的防御能力能够比绝大多数攻击方法坚强。
同时,在追求通用逆扰动防御指标上,即追求防御GAN能够对对抗样本的对抗扰动达到有效的过滤效果上,还要保证对偶GAN的对抗GAN和防御GAN的神经网络复杂度平衡,避免在对偶训练出现对偶GAN崩溃的现象。因为对偶GAN由两个对称的对抗GAN和防御GAN组成,其中对抗GAN是为了增加通用扰动的攻击性,防御GAN是为了提高通用逆扰动的防御能力,两者相互牵制,因此能够完成博弈训练。但是,当一方因为各种原因过于强大后,对偶GAN往往会出现奔溃的现象,难以完成交替训练。
具体地,生成模型Gp的结构为卷积神经网络结构,判别模型Dp的结构为卷积神经网络结构,生成模型Gt的结构为卷积神经网络结构,判别模型Dt的结构为卷积神经网络结构。
(2)利用良性样本初始化对抗生成对抗网络,利用对抗样本初始化防御生成对抗网络。
本发明中的对抗样本来自于各种攻击方法,包括各类的黑盒攻击,白盒攻击,以及利用通用扰动攻击等等。本实施中,对抗样本来自于以下几种攻击方法:(a)“Carlini andWagner Attacks(C&W)”利用限制范数保证扰动在具有对抗性的过程中逐步逼近不可见;(b)“DeepFool”通过迭代计算方法产生最小规范扰动,来完成对抗攻击;(c)“FastGradient Sign Method(FGSM)”通过计算梯度添加相应不可见的对抗扰动,达到对抗攻击的效果。上述三种攻击方法尽可能的保证对抗性扰动最大程度的普遍化,使得最后的防御GAN更加的强壮,将得到各类对抗样本统称为perturb。
本发明中,利用已有的对抗样本和良性样本完成对偶GAN的初始化,使得对偶GAN结构在满足结构对称后,完成初始化的对立。初始化的对立包括两个部分,第一部分为对抗GAN和防御GAN进行着相反的图像处理攻击,意味着对抗GAN和防御GAN能够利用对方的标准相互监督交替训练。生成模型Gp在对良性样本或者逆对抗样本附加扰动时,权重传递上与生成模型Gt相互牵制,从而就可以利用博弈的想法,对对抗GAN和防御GAN进行攀比式训练。
第二部分为对立指的是,通过生成模型Gp产生的对抗样本,进一步作为生成模型Gt的输入,将对抗GAN和防御GAN在循环中寻求对立性的强化。其中,将置信度作为对抗GAN和防御GAN的一部分输入是为了加强对偶GAN两侧结构的联系,相当于在损失函数限制下,添加一条负反馈途径,方便模型优化自身。
初始化的具体过程为:
(2-1)将已有的良性样本true及其置信度输入至生成模型Gp,输出对抗样本truep,将对抗样本truep及其置信度输入至生成模型Gt,输出逆扰动样本true';
(2-2)将已有的对抗样本perturb及其置信度输入至生成模型Gt,得到逆对抗样本perturbt,对逆对抗样本perturbt及其置信度输入至生成模型Gp,输出扰动样本perturb'。
(3)利用对偶式生成对抗网络的损失函数训练对偶式生成对抗网络,训练结束后,以训练好的生成模型Gt和判别模型Dt组成对抗攻击防御模型。
在训练时,对偶式生成对抗网络的损失函数包括:
判别模型Dp的损失函数
Figure BDA0002250394880000101
为:
Figure BDA0002250394880000102
其中,||·||2为二范数,conv(·)为置信度,conv(truep)为对抗样本truep的置信度,即抗性样本对抗样本truep输入至判别模型Dp得到的置信度,conv(perturb')为扰动样本perturb'的置信度,即扰动样本perturb'输入至判别模型Dp得到的置信度;
判别模型Dp是为了区分各个对抗样本的可信度,也就是检测对抗样本是否达到有效的攻击能力,bestp表达判别Dp的能力足够强时,对抗样本表现出来的置信度;另外,a和b为两个大于零的系数,因为对偶GAN结构上的对称以及初始化过程中的对立,导致了能够影响判别网络能力的是所有的对抗性样本,只不过比重不同方便调节模型的实际偏移。
判别模型Dt的损失函数
Figure BDA0002250394880000103
为:
Figure BDA0002250394880000104
其中,conv(perturbt)为逆对抗样本perturbt的置信度,即逆对抗样本perturbt输入至判别模型Dt得到的置信度,conv(true')为逆扰动样本true'的置信度,即逆扰动样本true'输入至判别模型Dt得到的置信度。
判别模型Dt是为了区分各个良性样本的可信度,也就是检测良性样本是否达到有效的纯净度,bestt表达判别模型Dt的能力足够强时,良性样本表现出来的置信度;另外,a和b为两个大于零的系数,因为对偶GAN结构上的对称以及初始化过程中的对立,导致了能够影响判别网络能力的是所有的良性样本,只不过比重不同方便调节模型的实际偏移。
生成模型Gp的损失函数
Figure BDA0002250394880000111
为:
loss1=a||conv(truep)-worstp||2+b||conv(perturb')-worstp||2
loss2=c||truep-true||2+d||perturb'-perturb||2
Figure BDA0002250394880000112
loss1是保证生成模型Gp添加的对抗性性扰动能够具有有效的攻击对抗性,worstp表达生成模型Gp的能力足够强时,对抗样本在判别模型Dp被欺骗以后表现出来的置信度。loss2是为了限制生成模型Gp添加的对抗性性扰动的大小,保证对抗性扰动处于不可见。另外,a,b,c和d为四个大于零的系数,同样是为了在实际训练中调整各个部分的占比,调节训练进展。
生成模型Gt的损失函数
Figure BDA0002250394880000113
为:
Figure BDA0002250394880000114
与生成模型Gp的损失函数不同的是对于生成模型Gt,并没有限制扰动的大小,因为防御性的逆扰动只要保证样本能够继续保持良性就好,对扰动大小没有必定的要求。另外,
Figure BDA0002250394880000115
是保证生成网络添加的防御性逆扰动能够具有有效的防御能力,worstt表达生成模型Gt的能力足够强时,良性样本在判别模型Dt被欺骗以后表现出来的置信度。另外,a和b为大于零的系数,同样是为了在实际训练中调整各个部分的占比,调节训练进展。
在以上4个损失函数的基础上,以迭代次数为限制的条件下,依次交替训练生成模型Gp、生成模型Gt、判别模型Dp、判别模型Dt。训练结束后,以训练好的生成模型Gt和判别模型Dt组成对抗攻击防御模型。
在获得以上对抗攻击防御模型后,将良性样本中添加通用逆扰动,获得对抗样本,利用对抗攻击防御模型(也即是防御GAN)对对抗样本进行检测,如图2所示,即将图3(a)所示的对抗样本输入至防御GAN中的生成模型Gt,获得图3(b)所示的良性样本,利用判别模型Dt获得检测结果,具体根据检测结果来观察对抗攻击防御模型的防御效果。
应用例
以上获得的对抗攻击防御模型可以应用到图像识别领域中和信号识别领域中,具体地,对于人脸图像识别领域中,将正常人脸图像作为良性样本,将添加扰动的人脸图像作为对抗样本,利用上述的对抗攻击防御模型的构建过程来构建针对人脸图像识别的对抗攻击防御模型,利用构建得到的对抗攻击防御模型来实现人脸图像识别的对抗攻击的防御。
对于无线信号调制类型识别领域,将正常无线信号作为为良性样本,将添加扰动的无线信号作为对抗样本,上述的对抗攻击防御模型的构建过程来构建针对无线信号调制类型识别的对抗攻击防御模型,利用构建得到的对抗攻击防御模型来实现无线信号调制类型识别的对抗攻击的防御。
以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明,应理解的是以上所述仅为本发明的最优选实施例,并不用于限制本发明,凡在本发明的原则范围内所做的任何修改、补充和等同替换等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于对偶式生成网络的对抗攻击防御模型,其特征在于,包括训练好的生成模型Gt和判别模型Dt,其中,所述生成模型Gt用于对输入的对抗样本进行去扰动,输出良性样本,所述判别模型Dt用于对输入的良性样本进行防御判别,输出正确的判别结果;
所述对抗攻击防御模型通过以下步骤构建:
(1)构建对偶式生成对抗网络,所述对偶式生成对抗网络包括对抗生成对抗网络和防御生成对抗网络,其中,所述对抗生成对抗网络包括用于基于输入的良性样本输出对抗样本的生成模型Gp和判别输入的对抗样本真伪的判别模型Dp,所述防御生成对抗网络包括用于基于输入的对抗样本输出良性样本的生成模型Gt和判别输入的良性样本真伪的判别模型Dt;
(2)利用良性样本初始化对抗生成对抗网络,利用对抗样本初始化防御生成对抗网络,具体过程为:
(2-1)将已有的良性样本true及其置信度输入至生成模型Gp,输出对抗样本truep,将对抗样本truep及其置信度输入至生成模型Gt,输出逆扰动样本true';
(2-2)将已有的对抗样本perturb及其置信度输入至生成模型Gt,得到逆对抗样本perturbt,对逆对抗样本perturbt及其置信度输入至生成模型Gp,输出扰动样本perturb';
(3)利用对偶式生成对抗网络的损失函数训练对偶式生成对抗网络,训练结束后,以训练好的生成模型Gt和判别模型Dt组成对抗攻击防御模型,对偶式生成对抗网络的损失函数包括:
判别模型Dp的损失函数
Figure FDA0002250394870000021
为:
Figure FDA0002250394870000022
判别模型Dt的损失函数
Figure FDA0002250394870000023
为:
Figure FDA0002250394870000024
生成模型Gp的损失函数
Figure FDA0002250394870000025
为:
loss1=a||conv(truep)-worstp||2+b||conv(perturb')-worstp||2
loss2=c||truep-true||2+d||perturb'-perturb||2
Figure FDA0002250394870000026
生成模型Gt的损失函数
Figure FDA0002250394870000027
为:
Figure FDA0002250394870000028
其中,conv(·)为置信度,conv(truep)为对抗样本truep的置信度,a,b,c和d为四个大于零的系数。
2.如权利要求1所述的基于对偶式生成网络的对抗攻击防御模型,其特征在于,所述生成模型Gp和所述判别模型Dp的结构复杂度相似,所述生成模型Gt和所述判别模型Dt的结构复杂度相似。
3.如权利要求1所述的基于对偶式生成网络的对抗攻击防御模型,其特征在于,所述生成模型Gp的结构为卷积神经网络结构,所述判别模型Dp的结构为卷积神经网络结构。
4.如权利要求1所述的基于对偶式生成网络的对抗攻击防御模型,其特征在于,所述的生成模型Gt的结构为卷积神经网络结构,所述判别模型Dt的结构为卷积神经网络结构。
5.一种如权利要求1~4任一项所述的基于对偶式生成网络的对抗攻击防御模型在人脸识别中防御对抗攻击的应用,其特征在于,
将正常人脸图像作为良性样本,将添加扰动的人脸图像作为对抗样本,利用权利要求1~4任一项所述的基于对偶式生成网络的对抗攻击防御模型中的对抗攻击防御模型的构建步骤来构建针对人脸图像识别的对抗攻击防御模型,利用构建得到的对抗攻击防御模型来实现人脸图像识别的对抗攻击的防御。
6.如权利要求1~4任一项所述的基于对偶式生成网络的对抗攻击防御模型在无线信号调制类型识别中防御对抗攻击的应用,其特征在于,
将正常无线信号作为良性样本,将添加扰动的无线信号作为对抗样本,利用权利要求1~4任一项所述的基于对偶式生成网络的对抗攻击防御模型中的对抗攻击防御模型的构建步骤来构建针对无线信号调制类型识别的对抗攻击防御模型,利用构建得到的对抗攻击防御模型来实现无线信号调制类型识别的对抗攻击的防御。
CN201911031923.2A 2019-10-28 2019-10-28 一种基于对偶式生成网络的对抗攻击防御模型及应用 Active CN111047006B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911031923.2A CN111047006B (zh) 2019-10-28 2019-10-28 一种基于对偶式生成网络的对抗攻击防御模型及应用

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911031923.2A CN111047006B (zh) 2019-10-28 2019-10-28 一种基于对偶式生成网络的对抗攻击防御模型及应用

Publications (2)

Publication Number Publication Date
CN111047006A true CN111047006A (zh) 2020-04-21
CN111047006B CN111047006B (zh) 2023-04-21

Family

ID=70231813

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911031923.2A Active CN111047006B (zh) 2019-10-28 2019-10-28 一种基于对偶式生成网络的对抗攻击防御模型及应用

Country Status (1)

Country Link
CN (1) CN111047006B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111444731A (zh) * 2020-06-15 2020-07-24 深圳市友杰智新科技有限公司 模型训练方法、装置和计算机设备
CN112116026A (zh) * 2020-09-28 2020-12-22 西南石油大学 一种对抗样本生成方法、***、存储介质和装置
CN113114633A (zh) * 2021-03-24 2021-07-13 华南理工大学 一种入侵检测***对抗攻击防御方法、***、装置及介质
CN113450271A (zh) * 2021-06-10 2021-09-28 南京信息工程大学 一种基于人类视觉模型的鲁棒自适应对抗样本生成方法
CN114757351A (zh) * 2022-04-24 2022-07-15 北京理工大学 一种深度强化学习模型对抗攻击的防御方法
CN115481719A (zh) * 2022-09-20 2022-12-16 宁波大学 一种防御基于梯度的对抗攻击的方法
US11967124B2 (en) 2020-10-30 2024-04-23 Samsung Electronics Co., Ltd. Method and apparatus for classification using neural network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107909621A (zh) * 2017-11-16 2018-04-13 深圳市唯特视科技有限公司 一种基于双生成对抗网络的医学图像合成方法
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
CN109413068A (zh) * 2018-10-29 2019-03-01 浙江工业大学 一种基于对偶gan的无线信号加密方法
CN109671018A (zh) * 2018-12-12 2019-04-23 华东交通大学 一种基于生成式对抗网络和ResNets技术的图像转换方法及***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107909621A (zh) * 2017-11-16 2018-04-13 深圳市唯特视科技有限公司 一种基于双生成对抗网络的医学图像合成方法
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
CN109413068A (zh) * 2018-10-29 2019-03-01 浙江工业大学 一种基于对偶gan的无线信号加密方法
CN109671018A (zh) * 2018-12-12 2019-04-23 华东交通大学 一种基于生成式对抗网络和ResNets技术的图像转换方法及***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李卓蓉: "生成式对抗网络研究及其应用" *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111444731A (zh) * 2020-06-15 2020-07-24 深圳市友杰智新科技有限公司 模型训练方法、装置和计算机设备
CN111444731B (zh) * 2020-06-15 2020-11-03 深圳市友杰智新科技有限公司 模型训练方法、装置和计算机设备
CN112116026A (zh) * 2020-09-28 2020-12-22 西南石油大学 一种对抗样本生成方法、***、存储介质和装置
US11967124B2 (en) 2020-10-30 2024-04-23 Samsung Electronics Co., Ltd. Method and apparatus for classification using neural network
CN113114633A (zh) * 2021-03-24 2021-07-13 华南理工大学 一种入侵检测***对抗攻击防御方法、***、装置及介质
CN113450271A (zh) * 2021-06-10 2021-09-28 南京信息工程大学 一种基于人类视觉模型的鲁棒自适应对抗样本生成方法
CN113450271B (zh) * 2021-06-10 2024-02-27 南京信息工程大学 一种基于人类视觉模型的鲁棒自适应对抗样本生成方法
CN114757351A (zh) * 2022-04-24 2022-07-15 北京理工大学 一种深度强化学习模型对抗攻击的防御方法
CN115481719A (zh) * 2022-09-20 2022-12-16 宁波大学 一种防御基于梯度的对抗攻击的方法
CN115481719B (zh) * 2022-09-20 2023-09-15 宁波大学 一种防御基于梯度的对抗攻击的方法

Also Published As

Publication number Publication date
CN111047006B (zh) 2023-04-21

Similar Documents

Publication Publication Date Title
CN111047006A (zh) 一种基于对偶式生成网络的对抗攻击防御模型及应用
CN110443203B (zh) 基于对抗生成网络的人脸欺骗检测***对抗样本生成方法
CN109639710B (zh) 一种基于对抗训练的网络攻击防御方法
CN111680292B (zh) 一种基于高隐蔽性通用扰动的对抗样本生成方法
CN111163472B (zh) 一种基于生成式对抗网络的信号识别攻击的防御方法
CN106326886B (zh) 基于卷积神经网络的手指静脉图像质量评估方法
CN108446765A (zh) 面向深度学习对抗性攻击的多模型协同防御方法
CN110941794A (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN112087774B (zh) 一种基于残差神经网络的通信辐射源个体识别方法
CN111325324A (zh) 一种基于二阶方法的深度学习对抗样本生成方法
CN112597993A (zh) 基于补丁检测的对抗防御模型训练方法
CN111047054A (zh) 一种基于两阶段对抗知识迁移的对抗样例防御方法
CN115588226A (zh) 一种高鲁棒性的深度伪造人脸检测方法
CN113033822A (zh) 基于预测校正和随机步长优化的对抗性攻击与防御方法及***
CN113808165A (zh) 面向三维目标跟踪模型的点扰动对抗攻击方法
CN110969242A (zh) 一种基于生成式对抗产生通用逆扰动的防御方法
CN114049537B (zh) 一种基于卷积神经网络的对抗样本防御方法
Shan et al. Class-incremental semantic segmentation of aerial images via pixel-level feature generation and task-wise distillation
CN115048983A (zh) 数据流形拓扑感知的人工智能***对抗样本防御方法
CN117011508A (zh) 一种基于视觉变换和特征鲁棒的对抗训练方法
CN115510986A (zh) 一种基于AdvGAN的对抗样本生成方法
CN114579777A (zh) 一种改进的符号优化对抗攻击方法
CN111325341B (zh) 一种自适应对抗强度的对抗训练方法
CN110458219B (zh) 一种基于stft-cnn-rvfl的φ-otdr振动信号识别算法
CN112560795A (zh) 一种基于cn-gan与cnn的sar图像目标识别算法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant