【技术实现步骤摘要】
一种基于贝叶斯优化的对抗样本生成方法
本专利技术属于计算机数字图像处理领域,具体涉及一种对抗样本生成方法。
技术介绍
深度学习在解决过去难以解决的复杂问题方面取得了重大突破,例如,在重建脑回路、分析DNA中的突变、预测潜在药物分子的活性结构、分析粒子加速器数据等问题上都有应用。深度神经网络(DeepNeuralNetwork,DNN)也成为解决语音识别和自然语言理解中等许多具有挑战性的任务的首选方法。虽然DNN以惊人的精度执行各种计算机视觉任务,但DNN却极易受到对抗攻击的影响,这种攻击的形式是在图像中添加对人类视觉系统来说几乎不可察觉的微小图像扰动。这种攻击可以使DNN分类器完全改变其关于图像的预测,受到攻击的模型对错误的预测高度信任。而且,相同的图像扰动可以欺骗多个神经网络分类器。这种可以改变DNN分类器预测结果的被扰动图片被称为对抗样本。目前生成对抗样本的方法大致可以分为两类:白盒攻击与黑盒攻击。白盒攻击假设已有目标模型的所有知识,包括它的参数值、架构、训练方法等,甚至目标模型的训练数据都是可知的,利用这些知识生成对抗样本来欺骗目标模型。例如,FGSM计算目...
【技术保护点】
1.一种基于贝叶斯优化的对抗样本生成方法,其特征在于,该方法包括如下步骤:步骤一、获取源图像x的真实类别yc及其概率Mc以原始图像x作为以θ为参数的目标DNN分类器的输入,获得原始图像的概率输出向量M(x;θ);取概率输出向量中最大值对应的类别作为原始图像的类别预测yc,概率输出向量中最大值为Mc;步骤二、确定待优化的目标函数使用迭代的方法生成对抗样本,为了降低计算的复杂度,在每个迭代中仅扰动图像向量的某一维度;设扰动值为z,并将扰动值z赋值到Δx的对应维度;扰动值满足||z||<ε,以确保图像质量,ε为设定的阈值;将x+Δx输入到参数为θ的深层神经网络DNN分类器中,得到...
【技术特征摘要】
1.一种基于贝叶斯优化的对抗样本生成方法,其特征在于,该方法包括如下步骤:步骤一、获取源图像x的真实类别yc及其概率Mc以原始图像x作为以θ为参数的目标DNN分类器的输入,获得原始图像的概率输出向量M(x;θ);取概率输出向量中最大值对应的类别作为原始图像的类别预测yc,概率输出向量中最大值为Mc;步骤二、确定待优化的目标函数使用迭代的方法生成对抗样本,为了降低计算的复杂度,在每个迭代中仅扰动图像向量的某一维度;设扰动值为z,并将扰动值z赋值到Δx的对应维度;扰动值满足||z||<ε,以确保图像质量,ε为设定的阈值;将x+Δx输入到参数为θ的深层神经网络DNN分类器中,得到预测输出向量M(x+Δx;θ);令M(x+Δx;θ)中除yc类别外的最大概率值为Mt,其对应的类别为yt,目标函数定义为B(z)=log(Mc)-log(Mt);优化的目标是B(z)≤0,从而改变目标DNN分类器对被扰动图像的分类结果;Δx是与x具有相同维度的全0扰动向量;步骤三、确定此次迭代中需要优化的坐标与通道在第T次迭代中,计算当前扰动图像x′=x+Δx与随机图像xG的结构相似度的梯度选择其中最小梯度值对应的维度s作为需要的优化维...
【专利技术属性】
技术研发人员:刘林兴,冯建文,
申请(专利权)人:杭州电子科技大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。