【技术实现步骤摘要】
基于注意力机制的可迁移的对抗样本攻击方法
本专利技术属于对抗攻击
,具体涉及一种基于注意力机制的可迁移的对抗样本攻击方法。
技术介绍
随着深度学习的飞速发展,使得研究人员能够解决诸如图像分类、分割等很多计算机视觉任务。然而,由于对抗样本的出现,人们对于卷积神经网络的缺点投入了更加广泛的关注。对抗样本指的是通过在原始输入图片上加入一些人眼无法感知的、细微的扰动,使得卷积神经网络无法正确预测该图片。目前生成对抗样本的方法可通过攻击的目标或者期望分为非目标攻击和目标攻击,前者指的是攻击者的目标仅仅是使得分类模型给出错误预测即可,而后者是攻击方想要将预测结果改变为某些预先指定的目标标签。其次,通过攻击者对模型的了解程度可分为白盒攻击和黑盒攻击,在前者情况下攻击者拥有被攻击模型所有的信息,包括模型参数、结构等;而后者是攻击者无法获取模型的所有信息,仅仅能获取模型对应输入的预测结果。因此,对抗样本的迁移性成为了黑盒攻击的关键,迁移性指的是通过攻击某类模型生成的对抗样本可能能让其他模型也预测错误。一般来说,对抗攻击通常是通过...
【技术保护点】
1.一种基于注意力机制的可迁移的对抗样本攻击方法,其特征在于,包括以下步骤:/nS1、选择一个本地替代网络模型,并构建特征库将原始图片映射到特征空间中;/nS2、采用基于动量累积的迭代快速梯度符号攻击方法将原始图片的特征远离原始类别区域,同时使其靠近目标类别区域;/nS3、将步骤S2攻击得到的对抗样本输入到黑盒分类模型中,误导模型输出目标类别。/n
【技术特征摘要】
1.一种基于注意力机制的可迁移的对抗样本攻击方法,其特征在于,包括以下步骤:
S1、选择一个本地替代网络模型,并构建特征库将原始图片映射到特征空间中;
S2、采用基于动量累积的迭代快速梯度符号攻击方法将原始图片的特征远离原始类别区域,同时使其靠近目标类别区域;
S3、将步骤S2攻击得到的对抗样本输入到黑盒分类模型中,误导模型输出目标类别。
2.根据权利要求1所述的基于注意力机制的可迁移的对抗样本攻击方法,其特征在于,所述步骤S1中选择一个本地替代网络模型具体为:
选择一个用于图片分类的本地替代网络模型,选择分类网络的中间层作为浅层,选择分类网络的Softmax的前一层作为深层。
3.根据权利要求2所述的基于注意力机制的可迁移的对抗样本攻击方法,其特征在于,所述步骤S1中构建特征库将原始图片映射到特征空间中具体为:
对本地替代网络模型的验证集中每个类别,分别在选择的分类网络的浅层和深层中计算所有被本地替代网络模型分类成功的图片的质心,构建不同层的特征库。
4.根据权利要求3所述的基于注意力机制的可迁移的对抗样本攻击方法,其特征在于,所述所有被本地替代网络模型分类成功的图片的质心的计算公式为:
其中,n为在j类别中所有被本地替代网络模型分类正确的图片数量,Fl为本地替代网络模型中间第l层,为j类别中第i张图片,yj为j类别的真实分类标签。
5.根据权利要求1所述的基于注意力机制的可迁移的对抗样本攻击方法,其特征在于,所述步骤S2具体包括以下分步骤:
S21、对于每张原始图片,在第l层的特征库中选择一个与原始图片相同类别的质心作为负样本,随机选择一个与原始图片不同类别的质心作为正样本,并与原始图片的第l层的特征共同组成三元组损失函数;
S22、根据三元组损失函数构建本地替代网络模型的总损失函数;
S23、采用基于动量累积的迭代快速梯度符号攻击方法对原始图片的特征生成扰动。
6.根据权利要求5所述的基于注意力机制...
【专利技术属性】
技术研发人员:宋井宽,黄梓杰,高联丽,
申请(专利权)人:贵州大学,电子科技大学,
类型:发明
国别省市:贵州;52
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。