【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及人工智能。
技術(shù)介紹
1、深度神經(jīng)網(wǎng)絡(luò)作為人工智能領(lǐng)域的重要分支,在許多領(lǐng)域取得了巨大成功。深度神經(jīng)網(wǎng)絡(luò)已經(jīng)被廣泛應(yīng)用到許多重要系統(tǒng)中,例如自動(dòng)駕駛、人臉識(shí)別、監(jiān)控系統(tǒng)、醫(yī)學(xué)圖像處理等。信息技術(shù)的快速發(fā)展為深度開發(fā)和廣泛利用信息資源創(chuàng)造了前所未有的條件,信息已是與材料和能源同等重要的戰(zhàn)略資源。人工智能技術(shù)作為一種高效、智能的信息處理手段近幾年得到了長(zhǎng)足的發(fā)展。其中以深度卷積神經(jīng)網(wǎng)絡(luò)為代表的智能視覺感知技術(shù)在過去的幾年內(nèi)已經(jīng)為人類帶來了巨大的經(jīng)濟(jì)和社會(huì)效益,成為了日常生活、科學(xué)研究和社會(huì)生產(chǎn)中不可缺少的有力工具。隨著智能視覺感知技術(shù)不斷地滲透進(jìn)人類社會(huì),其可信性問題開始得到越來越多的國(guó)家和知名機(jī)構(gòu)的關(guān)注。深度神經(jīng)網(wǎng)絡(luò)容易受到小擾動(dòng)的影響,這可能會(huì)導(dǎo)致部署的神經(jīng)網(wǎng)絡(luò)的安全性受到影響。對(duì)抗攻擊可以幫助增強(qiáng)模型的魯棒性和改進(jìn)現(xiàn)有模型訓(xùn)練算法。在自動(dòng)駕駛、圖像和語音識(shí)別等領(lǐng)域中,利用對(duì)抗攻擊技術(shù),研究人員可以找到并修復(fù)模型中的漏洞,從而提高模型的安全性和可靠性。
2、目前在對(duì)抗樣本生成領(lǐng)域的相關(guān)研究中,從攻擊者對(duì)目標(biāo)模型的了解程度可以將其分為黑盒攻擊和白盒攻擊,黑盒攻擊指攻擊者沒有目標(biāo)模型的信息,攻擊者知道目標(biāo)模型的結(jié)構(gòu)和參數(shù)細(xì)節(jié)等信息的攻擊則稱為白盒攻擊。由于黑盒攻擊要求攻擊者沒有目標(biāo)模型的相關(guān)信息,更符合現(xiàn)實(shí)情況。現(xiàn)有黑盒攻擊方法可分為以下幾類:基于遷移性的攻擊方法、基于分?jǐn)?shù)的攻擊方法和基于決策的攻擊方法,由于基于分?jǐn)?shù)的攻擊方法和基于決策的攻擊方法需要對(duì)目標(biāo)模型進(jìn)行大量的查詢操作,這可能會(huì)導(dǎo)致模型擁有者的防御
3、綜上所述,現(xiàn)有的攻擊算法存在幾個(gè)主要問題:第一、在迭代計(jì)算處理過程中,添加的擾動(dòng)是每次迭代中梯度的累積,這往往會(huì)過度擬合替代模型。這會(huì)導(dǎo)致生成的擾動(dòng)缺乏多樣性,降低對(duì)抗樣本的轉(zhuǎn)移攻擊成功率。第二、現(xiàn)有的方法只是使對(duì)抗性示例更接近錯(cuò)誤分類,在對(duì)抗樣本越過替代模型的分類分界線后就停止計(jì)算,這使得樣本沒有學(xué)到足夠多的錯(cuò)誤分類的特征,導(dǎo)致轉(zhuǎn)移攻擊成功率較低。第三、現(xiàn)有方法只在一個(gè)替代模型上生成對(duì)抗樣本,產(chǎn)生的對(duì)抗擾動(dòng)可能會(huì)過度擬合該模型,泛化能力低。第四、現(xiàn)有對(duì)抗攻擊算法生成的擾動(dòng)沒有集中在對(duì)模型分類有重要影響作用的關(guān)鍵特征上。
技術(shù)實(shí)現(xiàn)思路
1、本專利技術(shù)針對(duì)現(xiàn)有技術(shù)中在迭代計(jì)算處理過程中,添加的擾動(dòng)是每次迭代中梯度的累積,這往往會(huì)過度擬合替代模型。這會(huì)導(dǎo)致生成的擾動(dòng)缺乏多樣性,降低對(duì)抗樣本的轉(zhuǎn)移攻擊成功率的問題;其次,現(xiàn)有的方法只是使對(duì)抗性示例更接近錯(cuò)誤分類,在對(duì)抗樣本越過替代模型的分類分界線后就停止計(jì)算,這使得樣本沒有學(xué)到足夠多的錯(cuò)誤分類的特征,導(dǎo)致轉(zhuǎn)移攻擊成功率較低;最后,現(xiàn)有方法只在一個(gè)替代模型上生成對(duì)抗樣本,產(chǎn)生的對(duì)抗擾動(dòng)可能會(huì)過度擬合該模型,泛化能力低;最后、現(xiàn)有對(duì)抗攻擊算法生成的擾動(dòng)沒有集中在對(duì)模型分類有重要影響作用的關(guān)鍵特征上的問題,為解決上述技術(shù)問題本專利技術(shù)是通過以下技術(shù)方案實(shí)現(xiàn)的:
2、本專利技術(shù)提出了一種對(duì)抗樣本生成方法,所述方法包括以下步驟:
3、s1、訓(xùn)練至少一個(gè)的替代模型;
4、s2、設(shè)定s1中所述替代模型的參數(shù);
5、s3、從s1中至少一個(gè)的替代模型中隨機(jī)選取一個(gè)替代模型;
6、s4、將原始圖片輸入s3中所選取的替代模型中,并反向傳播,生成原始圖片的顯著圖;
7、s5、將原始圖片的像素根據(jù)其顯著圖的顯著性進(jìn)行排序;將顯著性分位大于95%分位的像素設(shè)定為前景,顯著性小于30%分位的像素設(shè)置為背景;
8、s6、將前景像素的最大連通分量設(shè)置為分割出的前景對(duì)象;
9、s7、根據(jù)s6中分割出的前景對(duì)象生成掩碼,得到只有前景對(duì)象的圖片;
10、s8、分別向替代模型中輸入只有前景對(duì)象的圖片并分別執(zhí)行s9至s13;
11、s9、計(jì)算有前景對(duì)象的圖片梯度;
12、s10、讓對(duì)抗樣本朝兩個(gè)方向分別前進(jìn),一個(gè)方向梯度上升,另一個(gè)方向梯度下降,若梯度下降方向已經(jīng)經(jīng)過極小值點(diǎn)則將其改為向梯度上升方向前進(jìn),其中前進(jìn)方向由nag算法計(jì)算得到;
13、s11、判斷是否完成設(shè)定的迭代次數(shù),若沒有,返回s4;
14、s12、根據(jù)s11中設(shè)定的迭代次數(shù)判斷生成的對(duì)抗樣本能否成功攻擊對(duì)抗樣本,若只有一個(gè)對(duì)抗樣本成功攻擊替代模型則選擇該樣本進(jìn)入下一步,若兩個(gè)對(duì)抗樣本均成功攻擊替代模型,則選擇擾動(dòng)最小的對(duì)抗樣本進(jìn)入下一步;
15、s13、計(jì)算對(duì)抗樣本梯度并使其朝著梯度上升方向前進(jìn)一步后返回此圖像;
16、s14、將所有替代模型的返回的圖像進(jìn)行加權(quán)平均后得到生成的對(duì)抗樣本。
17、進(jìn)一步的,提供一種優(yōu)選實(shí)施方式,s10中使用nag方法計(jì)算前進(jìn)方向的公式為:
18、
19、
20、xt′+1=clipx,ε{xt′+α·gt+1}
21、式中,表示當(dāng)前對(duì)抗樣本,表示更新后的對(duì)抗樣本,α為步長(zhǎng),μ為衰減率,gt為當(dāng)前梯度,表示a,b的交叉熵,clipx,ε{xt′+α·gt+1}表示將擾動(dòng)幅度限制在ε以內(nèi)。
22、進(jìn)一步的,提供一種優(yōu)選實(shí)施方式,s1中所述的替代模型包括resnet50,inc-v3,inc-v4,incres-v2,mnasnet1_0,mobilenet,densenet121和googlenet。
23、進(jìn)一步的,提供一種優(yōu)選實(shí)施方式,步驟二中設(shè)定的參數(shù)包括步長(zhǎng)α、迭代次數(shù)t、單個(gè)像素的最大擾動(dòng)幅度∈和衰減率μ。
24、方案二、一種對(duì)抗樣本生成系統(tǒng),所述系統(tǒng)包括:
25、訓(xùn)練模塊,用于訓(xùn)練至少一個(gè)的替代模型;
26、參數(shù)設(shè)定模塊,用于設(shè)定訓(xùn)練模塊所述替代模型的參數(shù);
27、選取模塊,用于從訓(xùn)練模塊中至少一個(gè)的替代模型中隨機(jī)選取一個(gè)替代模型;
28、顯著圖生成模塊,用于將原始圖片輸入選取模塊中所選取的替代模型中,并反向傳播,生成原始圖片的顯著圖;
29、排序模塊,用于將原始圖片的像素根據(jù)其顯著圖的顯著性進(jìn)行排序;將顯著性分位大于95%分位的像素設(shè)定為前景,顯著性小于30%分位的像素設(shè)置為背景;
30、分割模塊,用于將前景像素的最大連通分量設(shè)置為分割出的前景對(duì)象;
31、掩碼生成模塊,用于根據(jù)分割模塊中分割出的前景對(duì)象生成掩碼,得到只有前景對(duì)象的圖片;
32、數(shù)據(jù)輸入模塊,用于分別向替代模型中輸入只有前景對(duì)象的圖片并分別執(zhí)行計(jì)算模塊至對(duì)抗樣本梯度計(jì)算模塊;
33、圖片梯度計(jì)算模塊,用于計(jì)算有前景對(duì)象的圖片梯度;
34、方向判斷模塊,用于讓對(duì)抗樣本朝兩個(gè)方向分別前進(jìn),一個(gè)方向梯度上升,另一個(gè)方向梯度下降,若梯度下降方向已經(jīng)經(jīng)過極小值點(diǎn)則將本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
1.一種對(duì)抗樣本生成方法,其特征在于,所述方法包括以下步驟:
2.根據(jù)權(quán)利要求1所述的對(duì)抗樣本生成方法,其特征在于,S10中使用NAG方法計(jì)算前進(jìn)方向的公式為:
3.根據(jù)權(quán)利要求1所述的對(duì)抗樣本生成方法,其特征在于,S1中所述的替代模型包括ResNet50,Inc-v3,Inc-v4,IncRes-v2,MnasNet1_0,MobileNet,DenseNet121和GoogleNet。
4.根據(jù)權(quán)利要求1所述的對(duì)抗樣本生成方法,其特征在于,步驟二中設(shè)定的參數(shù)包括步長(zhǎng)α、迭代次數(shù)T、單個(gè)像素的最大擾動(dòng)幅度∈和衰減率μ。
5.一種對(duì)抗樣本生成系統(tǒng),其特征在于,所述系統(tǒng)包括:
6.計(jì)算機(jī)設(shè)備,包括存儲(chǔ)器和處理器,其特征在于,所述存儲(chǔ)器中存儲(chǔ)有計(jì)算機(jī)程序,當(dāng)所述處理器運(yùn)行所述存儲(chǔ)器存儲(chǔ)的計(jì)算機(jī)程序時(shí),所述處理器執(zhí)行權(quán)利要求1-4任意一項(xiàng)所述的方法。
7.計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其特征在于,所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-4任一項(xiàng)所述的方法的步驟。
【技術(shù)特征摘要】
1.一種對(duì)抗樣本生成方法,其特征在于,所述方法包括以下步驟:
2.根據(jù)權(quán)利要求1所述的對(duì)抗樣本生成方法,其特征在于,s10中使用nag方法計(jì)算前進(jìn)方向的公式為:
3.根據(jù)權(quán)利要求1所述的對(duì)抗樣本生成方法,其特征在于,s1中所述的替代模型包括resnet50,inc-v3,inc-v4,incres-v2,mnasnet1_0,mobilenet,densenet121和googlenet。
4.根據(jù)權(quán)利要求1所述的對(duì)抗樣本生成方法,其特征在于,步驟...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:王桐,歐陽敏,單子江,王路,趙春暉,高山,陳立偉,
申請(qǐng)(專利權(quán))人:哈爾濱工程大學(xué),
類型:發(fā)明
國(guó)別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。