本发明专利技术公开了一种对智能系统的多模型结构进行对抗样本攻击的方法,包括:步骤1,根据多模型结构中各模型之间的协作关系构建多个模型的内部网络;步骤2,根据多个模型的内部网络结合单个模型的信息,分配每个模型的攻击权重和攻击方式;步骤3,按所述步骤2分配的每个模型的攻击权重和攻击方式对所述多模型结构整体进行对抗样本攻击,生成能欺骗过整个多模型结构的对抗样本。本发明专利技术对多模型结构进行对抗样本攻击的方法,对比现有的多模型攻击,支持更加复杂的内部模型结构,并且利用到了模型之间的关联信息与模型自身结构来提升攻击的效率,能节省计算开销。能节省计算开销。能节省计算开销。
【技术实现步骤摘要】
一种对智能系统的多模型结构进行对抗样本攻击的方法
[0001]本专利技术涉及计算机视觉的机器学习多模型协作领域,尤其涉及一种对智能系统的多模型结构进行对抗样本攻击的方法。
技术介绍
[0002]计算力的提升让现有的智能系统可以使用多模型结构对任务进行分析,例如:人脸识别系统的运算可以使用多个不同的机器学习模型来对图片进行处理,并将结果融合来达到更高的准确率,或是要使用多个功能不同的模型来完成更加复杂的分析任务。
[0003]而对抗样本攻击是针对深度学习模型弱点的一种攻击方法,可以针对模型生成对抗样本来让模型对它的分析完全错误,甚至可以指定在攻击者想要的输出结果上,对抗样本攻击的相关方法大多集中在攻击单个模型上。对于多模型结构的对抗样本攻击可以用到更多的多模型结构中的信息,从而让攻击更快更有效。
[0004]现有对多模型结构生成对抗样本攻击的方向集中在:对多个模型同时进行等价的攻击,这种方法可以处理一些简单联系的多模型结构问题,但是仍存在如下局限性:
[0005](1)需要很大的计算开销:对多个模型同时进行等价的攻击,目前的方法没有利用到结构中各模型的信息与差异,也没有很好的利用到多模型结构中多个模型之间协作的信息,因此不能很好的节省计算时间。
[0006](2)各模型之间没有协作关系:现有的多模型对抗攻击方法都是将多个模型视为多个个体,而没有考虑到它们之间进行协作的情况,应用范围较小。
[0007](3)白盒模型假设:现有的多模型对抗样本攻击方法都假设已知多模型结构中模型的白盒信息,即在对各模型进行攻击时需要模型的许多详细信息,而对于很多已经在使用的模型结构而言,得知完全的白盒信息是不现实的,这让现有方法难以扩展。
技术实现思路
[0008]针对现有方法所存在的问题,本专利技术的目的是提供一种对多模型结构进行对抗样本攻击的方法,能解决现有对多个模型同时进行等价攻击的对多模型结构生成对抗样本攻击的方法,所存在的计算开销大、各模型之间没有协作关系以及无法得到完全的白盒信息难以扩展等问题。
[0009]本专利技术的目的是通过以下技术方案实现的:
[0010]本专利技术实施方式提供一种对智能系统的多模型结构进行抗样本攻击的方法,包括:
[0011]步骤1,确定多模型结构中各模型之间的协作关系;
[0012]步骤2,根据各模型之间的协作关系结合单个模型的结构信息,分配每个模型的攻击权重和攻击方式;
[0013]步骤3,按所述步骤2分配的每个模型的攻击权重和攻击方式对所述多模型结构整体进行对抗样本攻击,生成能欺骗过整个多模型结构的对抗样本。
[0014]由上述本专利技术提供的技术方案可以看出,本专利技术实施例提供的多模型结构对抗样本攻击的方法,其有益效果为:
[0015]通过先确定多模型结构中的各模型之间协作关系,再利用各模型之间协作关系和单个模型信息分配每个模型的攻击方式与攻击权重,进而对多模型结构整体进行对抗样本攻击,生成能欺骗过多模型结构的对抗样本。由于利用了多模型结构的各模型之间协作关系的内部信息以及每个模型自身的结构信息,能优化对整个多模型结构进行攻击的计算开销,解决了复杂模型协作时的对抗样本攻击问题,同时该方法不需要白盒假设,和实际情况相较来说更加类似,因此更加具有可行性,该方法能够更加高效的对多模型结构生成对抗样本来对多模型结构进行欺骗。
附图说明
[0016]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0017]图1为本专利技术实施例提供的对多模型结构进行对抗样本攻击的方法流程图;
[0018]图2为本专利技术实施例提供的对多模型结构进行对抗样本攻击方法的具体流程示意图;
[0019]图3为本专利技术实施例提供的并联协作关系的两个模型通过权重相加进行协作的多模型结构示意图;
[0020]图4为本专利技术实施例提供的串联协作关系的两个模型通过层级相连进行协作的多模型结构示意图。
具体实施方式
[0021]下面结合本专利技术的具体内容,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术的保护范围。本专利技术实施例中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
[0022]如图1所示,本专利技术实施方式提供一种对多模型结构进行对抗样本攻击的方法,通过对多模型结构中模型之间的关系进行构建与分析,实现对整个多模型结构的更具有效率的对抗样本攻击,方法包括:
[0023]如图1、2所示,本专利技术实施例提供一种对智能系统的多模型结构进行抗样本攻击的方法,包括:
[0024]步骤1,确定多模型结构中各模型之间的协作关系;
[0025]步骤2,根据各模型之间的协作关系结合单个模型的结构信息,分配每个模型的攻击权重和攻击方式;
[0026]步骤3,按所述步骤2分配的每个模型的攻击权重和攻击方式对所述多模型结构整体进行对抗样本攻击,生成能欺骗过整个多模型结构的对抗样本。
[0027]上述方法的步骤1中,确定的多模型结构中各模型之间的协作关系为并联协作关系或串联协作关系。
[0028]上述方法的步骤2中,
[0029]对各模型之间的协作关系为并联协作关系的多个模型,按各模型加权平均的权值,为各模型分配对应的攻击权重;
[0030]若并联协作关系的各模型的结构不相同,则为每个模型分配顺序攻击方式;若并联协作关系的各模型的结构相同,则为每个模型分配同时攻击方式;各模型的结构不相同表明了各模型之间差异较大,即模型复杂度相差较大或模型结构使用到不同的技术,此时为每个模型分配顺序攻击方式;若各模型的结构相同,则表明了各模型之间差异较小,即模型复杂度相差较小或模型结构使用到的技术相似,则为每个模型分配同时攻击方式;
[0031]对各模型之间的协作关系为串联协作关系的多个模型,根据各模型之间的层级关系,确定出最适合进行攻击的路径,将该路径上需要被欺骗的各模型视为并联协作关系,用对并联协作关系的攻击方式为各模型分配攻击方式。
[0032]上述方法的步骤3中,根据所述步骤2分配的每个模型的攻击权重和攻击方式迭代对所述多模型结构进行对抗样本攻击,最终生成能欺骗过多模型结构的对抗样本。
[0033]如图3所示,假设有两个模型A和B,顺序攻击指的是先针对模型A生成对抗样本,再在保持对抗样本能欺骗模型A的情况下继续对样本添加噪声使得样本能欺骗模型B,这么一来就能生成同时欺骗A和B的对抗样本了。而同时攻击指的是两个模型之间不存在顺序联系,同时对它们进行对抗样本攻击,最终也能生成对抗样本。而为模型分配权重指的是对每个模型进本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种对智能系统的多模型结构进行抗样本攻击的方法,其特征在于,包括:步骤1,确定多模型结构中各模型之间的协作关系;步骤2,根据各模型之间的协作关系结合单个模型的结构信息,分配每个模型的攻击权重和攻击方式;步骤3,按所述步骤2分配的每个模型的攻击权重和攻击方式对所述多模型结构整体进行对抗样本攻击,生成能欺骗过整个多模型结构的对抗样本。2.根据权利要求1的对智能系统的多模型结构进行抗样本攻击的方法,其特征在于,所述步骤1中,确定的多模型结构中各模型之间的协作关系为并联协作关系或串联协作关系。3.根据权利要求2的对智能系统的多模型结构进行抗样本攻击的方法,其特征在于,所述步骤2中,对各模型之间的协作关系为并联协作关...
【专利技术属性】
技术研发人员:张兰,黎子翀,李向阳,
申请(专利权)人:中国科学技术大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。