【技术实现步骤摘要】
视频分析神经网络模型的后门攻击方法
本专利技术属于神经网络安全
,具体涉及视频分析神经网络模型的后门攻击方法。
技术介绍
深度神经网络当前被广泛应用于图片识别、自然语言处理、视频分析等领域。尽管取得了很大的成功,近年来,研究发现神经网络由于其透明度低、可解释性差等特性,极易受到神经网络后门攻击,这会对人脸识别、自动驾驶、医疗诊断等方面带来很大的安全隐患。后门攻击是一种数据集污染攻击,攻击者将后门模式采用特定方法插入受害者的训练集样本中,受害者训练的时候后门模式和攻击目标值之间便会建立一个联系,模型将记住这种后门模式,然后在测试的时候无论输入什么,每当出现这种后门模式时模型将会预测攻击目标值,其他情况下模型将会进行正常的预测。当前的神经网络后门攻击主要经历了如下两个阶段的发展。文献[1]首次定义了神经网络领域的后门攻击概念。其中提出了BadNet攻击方法,即通过随机采样后将样本错误标注为攻击目标值来实施后门攻击。该方法由于标注与样本的不一致性,隐秘性低,容易被人为监测以及简单的数据过滤方法所检测到。
【技术保护点】
1.一种视频分析神经网络模型的后门攻击方法,其特征在于,使用视频后门污染样本构建框架,对视频分析神经网络模型进行后门攻击;所述的视频后门污染样本构建框架,包括三个部分:任务导向的模型高敏感度视频后门模式生成算法、特征模糊的模型低敏感度对抗噪声视频样本生成算法、污染样本生成与攻击算法;其中:/n所述任务导向的模型高敏感度视频后门模式生成算法,是将后门模式安插进原始数据集的视频样本中,并将其标注为攻击目标值输入网络,利用梯度信息迭代更新后门模式中的像素值,最终生成模型高敏感度视频后门模式;/n所述特征模糊的模型低敏感度对抗噪声视频样本生成算法,是按一定污染比例选取数据集中部分视...
【技术特征摘要】
1.一种视频分析神经网络模型的后门攻击方法,其特征在于,使用视频后门污染样本构建框架,对视频分析神经网络模型进行后门攻击;所述的视频后门污染样本构建框架,包括三个部分:任务导向的模型高敏感度视频后门模式生成算法、特征模糊的模型低敏感度对抗噪声视频样本生成算法、污染样本生成与攻击算法;其中:
所述任务导向的模型高敏感度视频后门模式生成算法,是将后门模式安插进原始数据集的视频样本中,并将其标注为攻击目标值输入网络,利用梯度信息迭代更新后门模式中的像素值,最终生成模型高敏感度视频后门模式;
所述特征模糊的模型低敏感度对抗噪声视频样本生成算法,是按一定污染比例选取数据集中部分视频样本,并将其标注为攻击目标值,然后采用PGD算法给样本加入对抗噪声,最终获得模型低敏感度对抗噪声视频样本;
所述的污染样本生成与攻击算法,是将生成的后门模式安插入加了对抗噪声的视频样本中,然后连同原始数据集中其余所有的干净样本,构建成污染数据集,提供给用户进行训练,至此完成一次完整的视频分析神经网络模型的后门攻击。
2.根据权利要求1所述的视频分析神经网络模型的后门攻击方法,其特征在于,所述的任务导向的模型高敏感度视频后门模式生成算法,具体步骤如下:
步骤1:给定受攻击者使用的数据集D、神经网络模型结构NN,预先在该D上通过常规训练该NN,得到一个好的模型M;
步骤2:确定后门的大小、形状以及视频帧中注入后门的位置,初始化该后门模式内的像素值;
步骤3:将D中的视频样本插入当前的后门模式,并标注为攻击目标值target,构成子数据集D1;
步骤4:将D1中的视频样本按批次输入模型M,利用输出层的梯度信息更新后门模式内的各像素值;
步骤5:循环步骤3、步骤4,经过一定迭代次数后,迭代终止,最终得到模型高敏感度视频后门模式trigger。
3.根据权利要求2所述的视频分析神经网络模型的后门攻击方法,其特征在于,步骤1中,所述的待攻击的数据集以及神经网络模型为针对视频分析领域的数据集与神经网络模型,正常训练得到的模型能够在干净的数据集上产生常规的正确的结果;
步骤2中,所述的后门的大小、形状任意设定;注入的位置是视频帧中的任意位置;后门内的像素值为任意的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。