【技术实现步骤摘要】
一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法
[0001]本专利技术涉及人工智能安全
,具体涉及一种具有视觉感知 隐蔽性的黑盒图像对抗样本生成方法。
技术介绍
[0002]随着大数据的出现与大规模计算能力的提升,人工智能在社会的 方方面面得到了广泛的应用,尤其是图像识别领域,人工智能在图像 分类、目标检测、图像分割等方面取得了许多优异的成果。然而随着 对人工智能的深入研究与广泛应用,其安全问题也逐渐暴露出来。 Christian Szegedy在2014年提出了对抗样本的概念,即在输入数据中 故意添加细微的干扰,导致模型对输入以高置信度给出错误的输出。 多数卷积神经网络对于对抗样本都有脆弱性,因此对抗样本逐渐成为 了人工智能安全领域的研究热点。
[0003]广州大学在其申请的专利“一种图像对抗样本生成方法”(申请 专利号:202011317776.8,公开号:CN112529047A)中提出了一种基 于梯度屏蔽的对抗样本生成方法。该方法包括:S1,将原始输入图像 X表示成a
×
b的矩阵D,...
【技术保护点】
【技术特征摘要】
1.一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法,其特征在于,包括以下步骤:(1)初始化遗传算法参数以及对抗样本集合:(2)基于步骤1,根据对抗攻击效果从对抗样本集合中挑选优势对抗样本子集:(3)基于步骤2,判断最优对抗样本是否攻击成功,若成功,则转到步骤(6),否则转到步骤(4):(4)利用所述优势对抗样本子集交叉产生新的对抗样本集合:(5)基于步骤1、步骤4,按照一定概率添加隐蔽性对抗噪声,并返回步骤(2):(6)输出对抗样本并进行测试。2.如权利要求1所述的方法,其特征在于,步骤1包括:(1a)初始化遗传算法参数,包括:种群大小n、精英个体数目m、变异率p、信噪比s、迭代终止阈值(1b)计算原始图像方差矩阵;(1c)利用得到的原始图像方差矩阵与信噪比s计算噪声标准差矩阵;(1d)将原始图像复制n次,作为对抗样本集合。3.如权利要求2所述的方法,其特征在于,步骤2包括:(2a)将对抗样本集合输入图像识别模型,根据输出结果衡量对抗攻击效果;(2b)选取对抗攻击效果最好的m个对抗样本作为所述优势对抗样本子集。4.如权利要求3所述的方法,其特征在于,步骤3包括:(3a)选取所述优势对抗样本子集中对抗攻击效果最好的对抗样本;(3b)若效果最好的对抗样本的攻击效果达到所述迭代终止阈值则停止迭代并转到步骤(6),否则转到步骤(4)。5.如权利要求4所述的方法,其特征在于,步骤4包括:(4a)在所述优势对抗样本子集中随机选取两个对抗样本,分别作为父样本和母样本;(4b)将所述父样本与母样本交叉,产生子对抗样本;(4c)重复步骤(4a)、步骤(4b)n次,得到n个子对抗样本作为新的对抗样本集合。6.如权利要求5所述的方法,其特征在于,步骤5包括:(5a)利用(1c)中得到的噪声标准差矩阵,产生隐蔽性对抗噪声;(5b)在所述新的...
【专利技术属性】
技术研发人员:王斌,郭敏,曾颖明,卢宏业,马书磊,方永强,马晓军,桓琦,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。