CN113688914A - 一种实用相对顺序对抗攻击方法 - Google Patents

一种实用相对顺序对抗攻击方法 Download PDF

Info

Publication number
CN113688914A
CN113688914A CN202110998691.9A CN202110998691A CN113688914A CN 113688914 A CN113688914 A CN 113688914A CN 202110998691 A CN202110998691 A CN 202110998691A CN 113688914 A CN113688914 A CN 113688914A
Authority
CN
China
Prior art keywords
sample
model
attack
relative
candidate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110998691.9A
Other languages
English (en)
Other versions
CN113688914B (zh
Inventor
王乐
周默
周三平
陈仕韬
辛景民
郑南宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ningbo Shun'an Artificial Intelligence Research Institute
Xian Jiaotong University
Original Assignee
Ningbo Shun'an Artificial Intelligence Research Institute
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ningbo Shun'an Artificial Intelligence Research Institute, Xian Jiaotong University filed Critical Ningbo Shun'an Artificial Intelligence Research Institute
Priority to CN202110998691.9A priority Critical patent/CN113688914B/zh
Publication of CN113688914A publication Critical patent/CN113688914A/zh
Application granted granted Critical
Publication of CN113688914B publication Critical patent/CN113688914B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/50Information retrieval; Database structures therefor; File system structures therefor of still image data
    • G06F16/53Querying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/50Information retrieval; Database structures therefor; File system structures therefor of still image data
    • G06F16/53Querying
    • G06F16/538Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种实用相对顺序对抗攻击方法,属于深度学习与计算机视觉领域。包括以深度排序模型作为目标模型,利用深度排序模型计算查询样本和被选中的候选样本集合之间的距离度量;当深度排序模型的参数获取成功时,使用白盒威胁模型进行相对顺序对抗攻击,得到对抗样本;将所得对抗样本输入到深度排序模型中,输出排序结果;所得的排序结果中,候选样本集合之间的相对顺序已经修改,实现所述实用相对顺序对抗攻击方法。其中,当深度排序模型的参数无法获取时,使用黑盒威胁模型进行相对顺序对抗攻击。本发明所述方法,解决了现有技术中忽视相对顺序对抗攻击可能性、对选中样本相对顺序不敏感、不适用于黑盒威胁模型等问题。

Description

一种实用相对顺序对抗攻击方法
技术领域
本发明属于深度学习与计算机视觉领域,涉及一种实用相对顺序对抗攻击方法。
背景技术
对抗攻击方法在包括深度排序在内的各种深度学***性有着重大影响。本发明属于一种针对深度排序模型的对抗攻击方法,主要旨在通过对图像查询样本进行肉眼不可视的对抗扰动,使得一组被选中的候选样本之间在图像检索结果中的相对顺序按照攻击者指定的排列矢量进行改变。目前针对深度排序模型的对抗攻击普遍存在下列问题:(1)这些方法无一例外是针对候选样本的绝对位置进行攻击,而完全忽视了针对候选样本之间的相对顺序进行对抗攻击的可能性,从而使得深度排序模型的鲁棒性体现相对片面。然而在实际应用层面上,类似基于图像搜索的网络购物等应用可能会因为相对顺序对抗攻击而引起商品之间相对销量的变化;(2)针对绝对位置的对抗攻击方法无法直接应用于针对相对顺序的攻击目标上,且对选中样本之间的相对顺序不敏感;(3)现有方法因为没有显式考虑到黑盒威胁模型下的各种约束,不能实现在黑盒威胁模型下的相对顺序攻击。通过在深度排序模型中的相对顺序对抗攻击方法可以指导未来的深度排序模型进行更加鲁邦化的设计。
发明内容
为了克服上述现有技术的缺点,本发明的目的在于提供一种实用相对顺序对抗攻击方法,以解决上述存在的忽视相对顺序对抗攻击可能性、对选中样本相对顺序不敏感、以及不能适用于黑盒威胁模型等问题。
为了达到上述目的,本发明采用以下技术方案予以实现:
本发明公开了一种实用相对顺序对抗攻击方法,包括:
步骤一、以深度排序模型f(·,·)作为目标模型,利用深度排序模型f(.,·)计算查询样本q和被选中的候选样本集合C={c1,c2,...,ck}之间的距离度量;当深度排序模型f(·,·)的参数获取成功时,使用白盒威胁模型进行相对顺序对抗攻击;
步骤二、使用白盒威胁模型进行相对顺序对抗攻击,包括以下步骤:
设置一个长度为k的排序矢量p,利用排序矢量p标记候选样本集合C中每个样本的相对顺序后进行重排序;重排序后的候选样本集合为Cp={cp1,cp2,...,cpk},以重排序后的候选样本集合Cp中的样本作为攻击对象样本;
针对攻击对象样本,计算其中每个样本与查询样本的组合之间的三元组相对顺序损失;将每两个样本的组合之间的三元组相对顺序损失进行加和,得到一个整体的相对顺序损失函数;基于所得相对顺序损失函数,追加语义保留损失函数,将整体的相对顺序损失函数与追加语义保留损失函数求和,得到总体的带有语义保留性质的相对顺序损失函数;使用投影梯度下降法迭代更新查询样本q,得到对抗样本
Figure BDA0003234783890000021
步骤三、将所得对抗样本
Figure BDA0003234783890000022
输入到深度排序模型f(·,·)中,输出排序结果;所得的排序结果中,候选样本集合C之间的相对顺序已经修改,实现所述实用相对顺序对抗攻击方法。
优选地,步骤一中,从深度排序模型的候选样本数据库X中选择出k个候选样本,得到候选样本集合C={c1,c2,...,ck};其中,每个候选样本从候选样本数据库X中选出。
优选地,步骤二中,每两个样本的组合之间计算三元组相对顺序损失的公式为:
[f(q,cpi)-f(q,cpj)]+
其中,[…]+表示ReLU激活函数,cpi与cpj中cpi是比cpj在期望排序中靠前的候选样本,i的取值范围从1到k,而相应的j的范围则从i遍历到k;
得到整体的相对顺序损失函数的公式为:
Figure BDA0003234783890000031
式中,参数
Figure BDA0003234783890000032
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量;i,j,k均为遍历集合的临时变量;cpi与cpj则分别为根据排序矢量p进行重排序的集合Cp={cp1,cp2,...,cpk}中的第i和第j位元素;数学符号[…]+代表ReLU激活函数。
进一步优选地,基于所得相对顺序损失函数追加语义保留损失函数,使每一个来自选中的候选样本集合的样本,比任意一个来自候选样本数据库X的样本x更加靠近给定的修改后的查询样本,即对抗样本
Figure BDA0003234783890000033
其中,得到追加语义保留损失函数的公式为:
Figure BDA0003234783890000034
式中,参数
Figure BDA0003234783890000035
为对抗样本;C为选定的候选样本集合;c,x均为遍历集合的临时变量;数学符号[…]+代表ReLU激活函数;集合X是包含集合C在内的所有候选样本的集合,亦即深度排序模型的整个检索数据库。
其中,优选地,总体的带有语义保留性质的相对顺序损失函数,其公式为:
Figure BDA0003234783890000036
式中,ξ为手工设置的平衡超参数,是一个大于0的任意实数;参数
Figure BDA0003234783890000037
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量;LReO(…)与LQA(…)分别为上述步骤中求得的相对顺序损失函数以及语义保留损失函数。
优选地,使用投影梯度下降法更新查询样本q,得到对抗样本
Figure BDA0003234783890000038
包括以下步骤:
使用投影梯度下降法更新查询样本q,其公式为:
Figure BDA0003234783890000041
式中,r为对抗样本中的扰动量,其下标t代表迭代次数;Clip(…)函数表示将其参数截断至可行域Ωq中;η为手工设置的学习率或更新步长;sign(…)是标准的符号函数;
Figure BDA0003234783890000042
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量。
其中,迭代次数t从1到一个预设的值T;ro初始化为0,且最后一次迭代后的查询样本即为符合要求的对抗样本
Figure BDA0003234783890000043
优选地,步骤一中,当深度排序模型f(·,·)的参数无法获取时,使用黑盒威胁模型进行相对顺序对抗攻击;
步骤二中,使用黑盒威胁模型进行相对顺序对抗攻击,包括以下步骤:
设置一个长度为k的排序矢量p,利用排序矢量p标记候选样本集合C中每个样本的相对顺序后进行重排序;重排序后的候选样本集合为Cp={cp1,cp2,...,cpk},以重排序后的候选样本集合Cp中的样本作为攻击对象样本;
初始化零矩阵S,遍历零矩阵S的下三角矩阵部分,遍历过程中的每一个矩阵元素计算其分数,并将所得分数放入矩阵对应位置;对计入分数后的零矩阵S的下三角求平均数,得到短距排序相关性系数τs
使用黑盒优化算法,对所得短距排序相关性系数τs通过添加对抗扰动r的方式修改查询样本q进行最大化,得到对抗样本
Figure BDA0003234783890000044
进一步优选地,遍历过程中的每一个矩阵元素计算其分数的计算方法如下:
遍历零矩阵S的下三角矩阵部分,即行号i从1到k,而列号从1到i-1;
如果候选样本ci或候选样本cj中的任意一个不属于深度排序模型检索结果的前N个检索结果组成的集合,则记为-1分;
如果ci在Cp中的位置在cj之前,且ci在模型前N个检索结果列表中也在cj之前,或者如果ci在Cp中的位置在cj之后,且ci在模型前N个检索结果列表中也在cj之后,则记为1分;
如果ci在Cp中的位置在cj之前,而ci在模型前N个检索结果列表中在cj之后,或者如果ci在Cp中的位置在cj之后,而ci在模型前N个检索结果列表中在cj之前,则记为-1分。
进一步优选地,黑盒优化算法包括:随机搜索法、粒子群算法、自然进化策略或基于共同扰动梯度近似的多元随机近似算法。
进一步优选地,使用黑盒优化算法,对所得短距排序相关性系数τs通过修改查询样本q进行最大化,得到对抗样本
Figure BDA0003234783890000051
其公式为:
Figure BDA0003234783890000052
式中,r*为(近似的)优化问题最优解,即后式中argmax(...)部分的解;
Figure BDA0003234783890000053
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量。
与现有技术相比,本发明具有以下有益效果:
本发明公开了供一种实用相对顺序对抗攻击方法,所述方法中通过使用投影梯度下降法优化带有语义保留性质的整体相对顺序损失函数得到对抗样本,或者通过使用黑盒优化算法最大化短距排序相关性从而得到对抗样本,能够实现在对无关样本造成有限影响的条件下改变深度排序模型实际检索结果中被选中候选样本集合中元素之间的相对顺序。因此,本发明所述实用相对顺序对抗攻击方法,首次针对深度排序模型提出相对顺序攻击方法,能够有效解决此前针对深度排序模型的绝对顺序对抗攻击方法忽视了相对顺序攻击的可能性的技术缺陷,同时提高了深度排序模型的绝对顺序对抗攻击方法对相对顺序敏感程度,因此,本发明所述方法能够很好地适配实际黑盒攻击所面临的约束的问题。
进一步地,本发明提出整体相对顺序损失函数,对相对顺序敏感,可以用于实施白盒威胁模型下的相对顺序对抗攻击。
进一步地,本发明提出短距排序相关性的度量具体计算方法,可以用于实施黑盒威胁模型下的相对顺序对抗攻击。
综上所述,本发明中首次实现了针对深度排序模型的相对顺序对抗攻击,并且针对白盒与黑盒两种威胁模型均适用。具有以下优点:
1)本发明首次针对深度排序模型提出相对顺序攻击方法;
2)本发明提出的方法对排序结果的相对顺序敏感;
3)本发明在白盒与黑盒威胁模型下均适用。
附图说明
图1为本发明实用相对顺序对抗攻击方法的总体结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面将结合附图以及具体实施实例来详细说明本发明的背景条件以及具体实施方式。在此本发明的示意图及实例仅作为本发明的解释说明,并不作为针对本发明的限定。
本发明所述实用相对顺序对抗攻击方法的总体结构框图如图1所示,具体包括如下步骤:
一、给定一个查询样本q以及k个从候选样本数据库中选出的候选样本集合C={c1,c2,...,ck},以及一个深度排序模型f(·,·)。其中深度排序模型f(q,ci)是一个可学习的距离度量函数,用于度量查询样本q与候选样本ci(i=1,2,3,...,k)之间的欧氏或者余弦距离,而候选样本集合C是全体候选样本X的一个子集。接下来,根据深度排序模型f(·,·)梯度是否可以获取到来判断使用针对白盒威胁模型的方法进行攻击。当深度排序模型f(·,·)的参数可以获取则使用白盒威胁模型对应的方法,否则使用黑盒威胁模型对应的方法。
二、白盒威胁模型下的相对顺序对抗攻击具体步骤
1.攻击对象样本选择
1)算法使用者按照任意攻击目标从深度排序模型的候选样本数据库X中选择出k个从候选样本数据库中选出的候选样本集合C={c1,c2,...,ck};其中,每个候选样本从候选样本数据库X中选出。
2)算法使用者按照任意攻击目标设置一个长度为k的排序矢量p,用于标记攻击者期望的上述选中k个候选样本的相对顺序。重排序后的候选样本集合为Cp={cp1,cp2,...,cpk}。
2.计算相对顺序三元组损失函数
1)对于重排序之后的候选样本集合Cp之中的样本,每两个样本的组合与查询样本q之间都计算一个三元组相对顺序损失[f(q,cpi)-f(q,cpj)]+,其中[·]+表示ReLU激活函数,cpi与cpj中cpi是比cpj在期望排序中靠前的候选样本,具体来讲i的取值范围从1到k,而相应的j的范围则从i遍历到k。
2)对上述样本之间两两计算的三元组相对顺序损失进行加和,得到一个整体的相对顺序损失函数。亦即:
Figure BDA0003234783890000081
式中,参数
Figure BDA0003234783890000082
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量;i,j,k均为遍历集合的临时变量;cpi与cpj则分别为根据排序矢量p进行重排序的集合Cp={cp1,cp2,...,cpk}中的第i和第j位元素;数学符号[…]+代表ReLU激活函数。
3)在整体的相对顺序损失函数的基础上,追加一个语义保留损失函数。具体来讲,对于每一个来自选中的候选样本集合的样本c∈C,都使得c比任意一个来自深度排序模型的候选样本数据库X的样本x更加靠近给定的查询样本
Figure BDA0003234783890000083
亦即:
Figure BDA0003234783890000084
式中,参数
Figure BDA0003234783890000085
为对抗样本;C为选定的候选样本集合;c,x均为遍历集合的临时变量;数学符号[…]+代表ReLU激活函数;集合X是包含集合C在内的所有候选样本的集合,亦即深度排序模型的整个检索数据库。
4)将步骤2)与步骤3)得到的损失函数进行求和,得到总体的带有语义保留性质的相对顺序损失函数,得到总体的带有语义保留性质的相对顺序损失函数(由于根据使用场景总需要语义保留性质,如图1中所示,相对顺序(三元组)损失函数均默认带有语义保留损失函数)。即:
Figure BDA0003234783890000086
式中,参数ξ为手工设置的平衡超参数,是一个大于0的任意实数;参数
Figure BDA0003234783890000087
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量;LReO(…)与LQA+(…)分别为上述步骤中求得的相对顺序损失函数以及语义保留损失函数。在Fashion-MNIST数据集上的设置为ξ=101,而在Stanford Online Products数据集上的设置为ξ=103
3.使用投影梯度下降法更新查询样本q。即:
Figure BDA0003234783890000091
式中,r为对抗样本中的扰动量,其下标t代表迭代次数;Clip(…)函数表示将其参数截断至可行域Ωq中;η为手工设置的学习率或更新步长;sign(…)是标准的符号函数;
Figure BDA0003234783890000092
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量。
其中迭代次数t从1到一个预设的值T。ro初始化为0,且最后一次迭代后的查询样本即为符合要求的对抗样本
Figure BDA0003234783890000093
4.将得到的对抗样本
Figure BDA0003234783890000094
作为查询样本输入到目标深度排序模型中。该深度排序模型所得出的排序结果中,所选样本(候选样本集合C)之间的相对顺序已经被修改,且查询样本本身的语义并没有发生显著变化。
三、黑盒威胁模型下的相对顺序对抗攻击具体步骤
1.攻击对象样本选择
1)算法使用者按照任意攻击目标深度排序模型的候选样本数据库中选择出k个从候选样本库中选出的候选样本集合C={c1,c2,...,ck}。
2)算法使用者按照任意攻击目标设置一个长度为k的排序矢量p,用于标记攻击者期望的上述选中k个候选样本的相对顺序。重排序后的候选样本集合为Cp={cp1,cp2,...,cpk}。
2.计算短距排序相关性
1)初始化一个零矩阵S,其尺寸为k×k。
2)遍历零矩阵S的下三角矩阵部分,即行号i从1到k,而列号从1到i-1。遍历过程中对于每一个矩阵元素,都计算一个分数,放入矩阵对应位置。其中,该分数的计算方法如下:a.如果候选样本ci或候选样本cj中的任意一个不属于深度排序模型检索结果的前N个检索结果组成的集合,则记为-1分。b.如果ci在Cp中的位置在cj之前,且ci在模型前N个检索结果列表中也在cj之前,或者如果ci在Cp中的位置在cj之后,且ci在模型前N个检索结果列表中也在cj之后,则记为1分。c.如果ci在Cp中的位置在cj之前,而ci在模型前N个检索结果列表中在cj之后,或者如果ci在Cp中的位置在cj之后,而ci在模型前N个检索结果列表中在cj之前,则记为-1分。
3)对零矩阵S的下三角矩阵部分求平均数得到短距排序相关性τs
3.使用任一黑盒优化算法,比如随机搜索法、粒子群算法(PSO),自然进化策略(NES),基于共同扰动梯度近似的多元随机近似算法(SPSA)等,对短距排序相关性系数τs通过修改查询样本q进行最大化,从而得到相应的对抗样本
Figure BDA0003234783890000101
Figure BDA0003234783890000102
式中,r*为(近似的)优化问题最优解,即后式中argmax(...)部分的解;
Figure BDA0003234783890000103
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量。
在实践中,对短距排序相关性系数的黑盒优化算法默认采用基于共同扰动梯度近似的多元随机近似算法(SPSA)。
4.将得到的对抗样本
Figure BDA0003234783890000104
输入到目标深度排序模型中。所得出的排序结果中,所选样本之间的相对顺序已经被修改,且查询样本本身的语义并没有发生显著变化。
表1,表2分别是白盒攻击方法和黑盒攻击方法在Fashion-MNIST数据集上的实验结果。表3,表4分别是白盒攻击方法和黑盒攻击方法在Stanford Online Product数据集上的实验结果。
表1在Fashion-MNIST上的白盒攻击实验结果
Figure BDA0003234783890000105
表2在Fashion-MNIST上的黑盒攻击实验结果
Figure BDA0003234783890000111
表3在Stanford Online Product上的白盒实验结果
Figure BDA0003234783890000112
表2在Stanford Online Product上的黑盒攻击实验结果
Figure BDA0003234783890000113
综上所述,本发明涉及了一种基于短距排序相关性的实用相对顺序对抗攻击方法,属于深度学习与计算机视觉领域。本发明针对现有深度排序攻击方法忽视在相对顺序层面上进行攻击的可能性这一问题,提出针对深度排序***的相对顺序攻击,在不引起重大排序错误的前提下在最终排序结果中根据攻击者指定的排列矢量调整一个被选中候选样本集合之间的相对顺序:将攻击目标公式化为一个直接体现目标不等式组的三元组风格损失函数。在此基础上,本发明针也针对黑盒威胁模型的限制引入短距排序相关性指标作为三元组风格损失函数的代理优化目标,从而在黑盒场景下近似达到白盒攻击的效果。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。

Claims (10)

1.一种实用相对顺序对抗攻击方法,其特征在于,包括:
步骤一、以深度排序模型f(·,·)作为目标模型,利用深度排序模型f(·,·)计算查询样本q和被选中的候选样本集合C={c1,c2,...,ck}之间的距离度量;当深度排序模型f(·,·)的参数获取成功时,使用白盒威胁模型进行相对顺序对抗攻击;
步骤二、使用白盒威胁模型进行相对顺序对抗攻击,包括以下步骤:
设置一个长度为k的排序矢量p,利用排序矢量p标记候选样本集合C中每个样本的相对顺序后进行重排序;重排序后的候选样本集合为Cp={cp1,cp2,...,cpk},以重排序后的候选样本集合Cp中的样本作为攻击对象样本;
针对攻击对象样本,计算其中每个样本与查询样本的组合之间的三元组相对顺序损失;将每两个样本的组合之间的三元组相对顺序损失进行加和,得到一个整体的相对顺序损失函数;基于所得相对顺序损失函数,追加语义保留损失函数,将整体的相对顺序损失函数与追加语义保留损失函数求和,得到总体的带有语义保留性质的相对顺序损失函数;使用投影梯度下降法迭代更新查询样本q,得到对抗样本
Figure FDA0003234783880000011
步骤三、将所得对抗样本
Figure FDA0003234783880000012
输入到深度排序模型f(·,·)中,输出排序结果;所得的排序结果中,候选样本集合C之间的相对顺序已经修改,实现所述实用相对顺序对抗攻击方法。
2.根据权利要求1所述的一种实用相对顺序对抗攻击方法,其特征在于,步骤一中,从深度排序模型的候选样本数据库X中选择出k个候选样本,得到候选样本集合C={c1,c2,...,ck};其中,每个候选样本从候选样本数据库X中选出。
3.根据权利要求1所述的一种实用相对顺序对抗攻击方法,其特征在于,步骤二中,每两个样本的组合之间计算三元组相对顺序损失的公式为:
[f(q,cpi)-f(q,cpj)]+
其中,[…]+表示ReLU激活函数,cpi与cpj中cpi是cpj在期望排序中靠前的候选样本,i的取值范围从1到k,而相应的j的范围则从i遍历到k;
得到整体的相对顺序损失函数的公式为:
Figure FDA0003234783880000021
式中,参数
Figure FDA0003234783880000022
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量;i,j,k均为遍历集合的临时变量;cpi与cpj则分别为根据排序矢量p进行重排序的集合Cp={cp1,cp2,...,cpk}中的第i和第j位元素;数学符号[…]+代表ReLU激活函数。
4.根据权利要求3所述的一种实用相对顺序对抗攻击方法,其特征在于,
基于所得相对顺序损失函数追加语义保留损失函数,使每一个来自选中的候选样本集合的样本,比任意一个来自候选样本数据库X的样本x更加靠近给定的修改后的查询样本,即对抗样本
Figure FDA0003234783880000023
其中,得到追加语义保留损失函数的公式为:
Figure FDA0003234783880000024
式中,参数
Figure FDA0003234783880000025
为对抗样本;C为选定的候选样本集合;c,x均为遍历集合的临时变量;数学符号[…]+代表ReLU激活函数;集合X是包含集合C在内的所有候选样本的集合,亦即深度排序模型的整个检索数据库。
5.根据权利要求4所述的一种实用相对顺序对抗攻击方法,其特征在于,总体的带有语义保留性质的相对顺序损失函数,其公式为:
Figure FDA0003234783880000026
式中,ξ为手工设置的平衡超参数,是一个大于0的任意实数;参数
Figure FDA0003234783880000027
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量;LReO(…)与LQA+(…)分别为上述步骤中求得的相对顺序损失函数以及语义保留损失函数。
6.根据权利要求1所述的一种实用相对顺序对抗攻击方法,其特征在于,使用投影梯度下降法更新查询样本q,得到对抗样本
Figure FDA0003234783880000031
包括以下步骤:
使用投影梯度下降法更新查询样本q,其公式为:
Figure FDA0003234783880000032
式中,r为对抗样本中的扰动量,其下标t代表迭代次数;Clip(…)函数表示将其参数截断至可行域Ωq中;η为手工设置的学习率或更新步长;sign(…)是标准的符号函数;
Figure FDA0003234783880000033
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量。
7.根据权利要求1所述的一种实用相对顺序对抗攻击方法,其特征在于,步骤一中,当深度排序模型f(·,·)的参数无法获取时,使用黑盒威胁模型进行相对顺序对抗攻击;
步骤二中,使用黑盒威胁模型进行相对顺序对抗攻击,包括以下步骤:
设置一个长度为k的排序矢量p,利用排序矢量p标记候选样本集合C中每个样本的相对顺序后进行重排序;重排序后的候选样本集合为Cp={cp1,cp2,...,cpk},以重排序后的候选样本集合Cp中的样本作为攻击对象样本;
初始化零矩阵S,遍历零矩阵S的下三角矩阵部分,遍历过程中的每一个矩阵元素计算其分数,并将所得分数放入矩阵对应位置;对计入分数后的零矩阵S的下三角求平均数,得到短距排序相关性系数τs
使用黑盒优化算法,对所得短距排序相关性系数τs通过添加对抗扰动r的方式修改查询样本q进行最大化,得到对抗样本
Figure FDA0003234783880000034
8.根据权利要求7所述的一种实用相对顺序对抗攻击方法,其特征在于,遍历过程中的每一个矩阵元素计算其分数的计算方法如下:
遍历零矩阵S的下三角矩阵部分,即行号i从1到k,而列号从1到i-1;
如果候选样本ci或候选样本cj中的任意一个不属于深度排序模型检索结果的前N个检索结果组成的集合,则记为-1分;
如果ci在Cp中的位置在cj之前,且ci在模型前N个检索结果列表中也在cj之前,或者如果ci在Cp中的位置在cj之后,且ci在模型前N个检索结果列表中也在cj之后,则记为1分;
如果ci在Cp中的位置在cj之前,而ci在模型前N个检索结果列表中在cj之后,或者如果ci在Cp中的位置在cj之后,而ci在模型前N个检索结果列表中在cj之前,则记为-1分。
9.根据权利要求7所述的一种实用相对顺序对抗攻击方法,其特征在于,黑盒优化算法包括:随机搜索法、粒子群算法、自然进化策略或基于共同扰动梯度近似的多元随机近似算法。
10.根据权利要求7所述的一种实用相对顺序对抗攻击方法,其特征在于,使用黑盒优化算法,对所得短距排序相关性系数τs通过修改查询样本q进行最大化,得到对抗样本
Figure FDA0003234783880000041
其公式为:
Figure FDA0003234783880000042
式中,r*为(近似的)优化问题最优解,即argmax(...)部分的解;
Figure FDA0003234783880000043
为对抗样本;C为选定的候选样本集合;p为此前定义的排序矢量。
CN202110998691.9A 2021-08-27 2021-08-27 一种实用相对顺序对抗攻击方法 Active CN113688914B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110998691.9A CN113688914B (zh) 2021-08-27 2021-08-27 一种实用相对顺序对抗攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110998691.9A CN113688914B (zh) 2021-08-27 2021-08-27 一种实用相对顺序对抗攻击方法

Publications (2)

Publication Number Publication Date
CN113688914A true CN113688914A (zh) 2021-11-23
CN113688914B CN113688914B (zh) 2022-12-09

Family

ID=78583568

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110998691.9A Active CN113688914B (zh) 2021-08-27 2021-08-27 一种实用相对顺序对抗攻击方法

Country Status (1)

Country Link
CN (1) CN113688914B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108446765A (zh) * 2018-02-11 2018-08-24 浙江工业大学 面向深度学习对抗性攻击的多模型协同防御方法
CN111027060A (zh) * 2019-12-17 2020-04-17 电子科技大学 基于知识蒸馏的神经网络黑盒攻击型防御方法
CN111967006A (zh) * 2020-08-13 2020-11-20 成都考拉悠然科技有限公司 基于神经网络模型的自适应黑盒对抗攻击方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108446765A (zh) * 2018-02-11 2018-08-24 浙江工业大学 面向深度学习对抗性攻击的多模型协同防御方法
CN111027060A (zh) * 2019-12-17 2020-04-17 电子科技大学 基于知识蒸馏的神经网络黑盒攻击型防御方法
CN111967006A (zh) * 2020-08-13 2020-11-20 成都考拉悠然科技有限公司 基于神经网络模型的自适应黑盒对抗攻击方法

Also Published As

Publication number Publication date
CN113688914B (zh) 2022-12-09

Similar Documents

Publication Publication Date Title
Belkhir et al. Per instance algorithm configuration of CMA-ES with limited budget
CN102214169B (zh) 关键词信息与目标信息的提供方法及装置
Nikolić Measuring similarity of graph nodes by neighbor matching
CN112949678A (zh) 深度学习模型对抗样本生成方法、***、设备及存储介质
CN105975596A (zh) 一种搜索引擎查询扩展的方法及***
CN106294859A (zh) 一种基于属性耦合矩阵分解的项目推荐方法
CN106453224B (zh) 基于蚁群分类挖掘过程的网络渗透攻击检测方法
CN114399630A (zh) 基于信念攻击和显著区域扰动限制的对抗样本生成方法
Gong et al. Global biological network alignment by using efficient memetic algorithm
Bonnici et al. PanDelos: a dictionary-based method for pan-genome content discovery
CN112241554A (zh) 基于差分隐私指数机制的模型窃取防御方法和装置
US7734633B2 (en) Listwise ranking
CN104714977B (zh) 一种实体与知识库项的关联方法及装置
Raudhatunnisa et al. Performance Comparison of Hot-Deck Imputation, K-Nearest Neighbor Imputation, and Predictive Mean Matching in Missing Value Handling, Case Study: March 2019 SUSENAS Kor Dataset
CN113688914B (zh) 一种实用相对顺序对抗攻击方法
CN113935496A (zh) 一种面向集成模型的鲁棒性提升防御方法
CN105760965A (zh) 预估模型参数的训练方法、服务质量预估方法及对应装置
CN105787296B (zh) 一种宏基因组和宏转录组样本相异度的比较方法
CN116245146A (zh) 基于进化条件生成对抗网络的排序学习方法、***及应用
Casaer et al. Analysing space use patterns by Thiessen polygon and triangulated irregular network interpolation: a non-parametric method for processing telemetric animal fixes
Goetschalckx et al. Coactive learning for locally optimal problem solving
CN116186384A (zh) 一种基于物品隐含特征相似度的物品推荐方法及***
CN116668060A (zh) 基于图神经网络的单目标硬标签社区检测对抗攻击方法
CN115510986A (zh) 一种基于AdvGAN的对抗样本生成方法
CN105912724B (zh) 一种面向微博检索的基于时间的微博文档扩展方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant