【技术实现步骤摘要】
一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法
本专利技术涉及一种黑盒识别模型对抗样本生成方法,具体涉及一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,属于深度学习安全
技术介绍
深度神经网络(DNN)在各种识别任务中展现了令人印象深刻的性能,但容易受到对抗样本的攻击导致误判。目前,绝大多数的对抗攻击算法,使用基于Lp范数的约束生成对抗样本,然而,这种对抗样本在黑盒场景中成功率较低并且转移性较差,尤其是在攻击经过对抗训练的黑盒模型时表现不佳。已有工作表明,为了生成攻击成功率更高、转移性更强的对抗样本,需要向对抗样本中添加更大的对抗扰动,而这不可避免地导致人类更容易发现对抗样本,使得对抗样本失去隐蔽性。因此,必须基于一定限制生成对抗样本来妥协攻击效果,从而使扰动不被人眼发现。为了突破Lp范数的限制,有学者提出了新的指标,例如MSE、Horé等人提出的PSNR方法,以及Gupta等人提出的PSNR-HVS等指标,但是,这些指标仍然是一类简单的方法,无法从人类的角度反映图像的质量。其它强调结构信息...
【技术保护点】
1.一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,其特征在于,包括以下步骤:/n步骤1:初始化对抗样本,将原始图片输入攻击算法,作为当前对抗样本;/n步骤2:使用经过训练的ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,分别构建感知相似性实例;/n步骤3:选择步骤2构建的其中一个感知相似性实例,使用对抗攻击算法中的对抗损失向当前对抗样本添加扰动;使用感知相似性实例,计算当前对抗样本与原始图片的感知相似性距离,对抗攻击算法使用感知相似性距离优化对抗样本,通过不断迭代更新对抗样本。/n具体包括以下步骤:/n步骤3.1:使用ResNe...
【技术特征摘要】
1.一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,其特征在于,包括以下步骤:
步骤1:初始化对抗样本,将原始图片输入攻击算法,作为当前对抗样本;
步骤2:使用经过训练的ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,分别构建感知相似性实例;
步骤3:选择步骤2构建的其中一个感知相似性实例,使用对抗攻击算法中的对抗损失向当前对抗样本添加扰动;使用感知相似性实例,计算当前对抗样本与原始图片的感知相似性距离,对抗攻击算法使用感知相似性距离优化对抗样本,通过不断迭代更新对抗样本。
具体包括以下步骤:
步骤3.1:使用ResNet50网络,构建感知相似性实例D;
步骤3.2:使用C&W对抗攻击算法,作为对抗样本的生成算法;
步骤3.3:将原始图片x作为初始对抗样本x′;
步骤3.4:使用对抗攻击算法的对抗损失函数Ladv,向当前对抗样本x′i中添加扰动p,得到新的当前对抗样本x′i,x′i=x′i+p;
步骤3.5:使用感知相似性实例D,计算当前对抗样本x′i与原始图片x的感知相似性距离Ldist;
步骤3.6:对抗攻击算法使用Ldist作为目标函数优化对抗样本x′i;
步骤3.7:重复步骤3.4至步骤3.6,直到达到目标值或Ldist小于目标值,获得最终对抗样本x′=x′i;
步骤3.8:选择MI-FGSM对抗攻击算法,作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.9:选择HopSkipJumpAttack对抗攻击算法,作为对抗样本的生成算法,重复步骤3.3至步骤3.7,获得最终对抗样本x′;
步骤3.10:选择VGG19网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.11:选择Inception-v3网络构建感知相似性实例D,重复步骤3.2至步骤3.9;
步骤3.12:选择MobileNet-v2网络构建感知相似性实例D,重复步骤3.2至步骤3.9。
步骤4:将生成的对抗样本输入到相同网络结构和不同网络结构的模型中,计算成功率和转移性。
2.如权利要求1所述的一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法,其特征在于,步骤4包括以下步骤:
步骤4.1:使用ResNet50网络构建感知相似性实例,使用C&W对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v3和MobileNet-v2网络,计算成功率和转移性;
步骤4.2:使用ResNet50网络构建感知相似性实例,使用MI-FGSM对抗攻击算法生成的对抗样本,攻击ResNet-50、VGG19、Inception-v...
【专利技术属性】
技术研发人员:王亚杰,张全新,武上博,张正,谭毓安,李元章,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。