【技术实现步骤摘要】
一种针对共享数据保护的定向对抗下毒攻击方法
[0001]本专利技术属于计算机图像处理
,尤其涉及一种针对共享数据保护的定 向对抗下毒攻击方法。
技术介绍
[0002]诸如水印嵌入技术之类的媒体版权保护因其重要性而被研究人员广泛强调。 基于水印属性的媒体版权保护分为两个不同的类别:视觉水印和不可见水印。可 视水印会降低数据可用性,因为数字标记的嵌入会影响有效信息。与视觉水印相 反,不可见水印技术仅对数据进行了微小的修改。但是,无论是视觉水印还是不 可见水印,它都属于被动取证,即通过泄漏的数据保护版权。
[0003]根据其他人提供的数据进行训练的机器学习模型很容易受到攻击,因为恶意 数据所有者可能会将伪造或有毒数据注入到训练数据集中,从而破坏神经网络的 性能。后门攻击可以看作是数字水印嵌入的一种特殊应用。攻击者将带有“触发 器”的微小中毒数据注入到数据中,并为其分配统一的标签,结果,经过中毒数 据训练的模型会将“触发器”与指定的对象类别相关联。后门攻击意味着当使用
ꢀ“
触发”输入样本时,模型将激活...
【技术保护点】
【技术特征摘要】
1.一种针对共享数据保护的定向对抗下毒攻击方法,其特征在于,步骤如下:S1、数据所有者采用对抗中毒攻击算法,将混合有毒物质注入训练数据,然后将中毒数据上传到第三方;S2、数据用户通过将下载的中毒数据输入购买的解毒剂中来重建可追溯的水印解毒数据;S3、数据所有者使用通用水印重建模块U
‑
net从泄漏的数据中恢复特定的身份信息,以保护版权;S4、通过降温优化方法平衡对抗中毒的攻击,排毒重建和水印重建性能;通过边界约束减少中毒数据的可用性。2.如权利要求1所述的针对共享数据保护的定向对抗下毒攻击方法,其特征在于,步骤S1具体步骤如下:T1、利用分类网络理解和构建数据分布:给定一组干净的样本I={i1,i2…
,i
n
}和预先分配的标签集L,攻击者喂食I进入训练模型,以更新模型M的参数,其中θ
M
表示模型参数,表示最小化损失函数更新模型参数,P表示标签L出现的概率;T2、将数据迁移到其他分布域,使得有序的训练数据分布变得混乱:将训练集分为A和B两类,并引入了双流对抗攻击中毒网络,然后从A和B中随机选择样本作为对应对象的目标映射,并优化攻击网络;随着模型权重的更新,对抗中毒样本的特征与原始样本有所不同,训练测试集的等价分布被破坏;其中F表示特征提取网络,J
A/B
是数据分布转移扰动,而{*;*}表示特征并置,T
A
表示从B到A的迁移特征,A表示数据分割后第一类的任意数据,θ
F
表示特征提取网络参数,J
A
表示聚合网络,θ
J
表示聚合网络参数,表示最小化损失函数更新网络参数,L
m
表示从B到A的优化损失函数,L表示交叉熵损失函数,L
A
表示A的标签,B表示数据分割后第二类的任意数据,θ
M
表示T1中模型参数;T3、引入有界约束来优化模块来影响数据集的等价分布:其中MIN表示传输噪声的下限,MAX表示数据集间传输分布的上限,L
b
表示有界约束,min表示获取两者中较小的值,T
B
表示从A到B的迁移特征,max表示获取两者中较大的值,abs表示取绝对值,||T
A
||2表示A迁移特征的二泛数,||T
B
||2表示B迁移特征的二泛数。3.如权利要求1所述的针对共享数据保护的定向对抗下毒攻击方法,其特征在于,步骤S2具体步骤如下:U1、解毒重建:
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。