【技术实现步骤摘要】
基于优化算法和不变性的智能对抗样本生成方法及系统
[0001]本专利技术属于图像识别数据处理
,特别涉及一种基于优化算法和不变性的智能对抗样本生成方法及系统。
技术介绍
[0002]在图像识别领域,相关标准数据集上的实验结果表明,深度神经网络的识别能力可以达到甚至是超过了人类的水平。然而研究人员发现深度神经网络是很脆弱的。如,Szegedy等人首次发现深度神经网络的有趣特性:即向原始干净图像中添加人类无法察觉的微小扰动可以使深度神经网络以高置信度给出错误的输出。添加了扰动的图像即是对抗样本;尽管对抗样本的存在严重影响了深度神经网络的安全使用,但是具有强攻击性能的对抗样本却可以用来评估甚至是提升模型的鲁棒性。
[0003]在了解神经网络结构和权重参数的情况下,有许多方法可以成功的生成对抗样本并实现白盒攻击,包括基于优化的方法,如L
‑
BFGS(limited
‑
memory BFGS),基于单步梯度的方法,如快速梯度符号法(Fast Gradient Sign Method,F...
【技术保护点】
【技术特征摘要】
1.一种基于优化算法和不变性的智能对抗样本生成方法,其特征在于,包含如下内容:收集带有正确标签的原始图像数据;并构建用于对抗样本生成的神经网络模型及模型损失函数,通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动;基于原始图像数据和神经网络模型,利用Adabelief迭代快速梯度法梯度迭代法及裁剪不变性方法对原始输入图像进行迭代求解,依据迭代终止条件来获取最终生成的对抗样本,其中,每轮迭代求解中,利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本,并为每个裁剪图像副本设置权重并分配给对应的神经网络模型,利用裁剪图像副本求取神经网络模型损失函数梯度,将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动;利用约束条件对对抗扰动进行约束,并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。2.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法,其特征在于,利用裁剪函数对部分区域进行随机裁剪,生成若干对应的裁剪图像副本数据,其中,部分区域为边界区域。3.根据权利要求1或2所述的基于优化算法和不变性的智能对抗样本生成方法,其特征在于,针对每个迭代轮次,依据预设的衰减因子及上一轮迭代生成对抗样本时神经网络模型损失结果获取当前迭代轮次中损失函数的梯度及当前梯度对生成的对抗样本的影响参数,并求解对抗扰动。4.根据权利要求3所述的基于优化算法和不变性的智能对抗样本生成方法,其特征在于,利用上一轮迭代时的影响参数及当前迭代梯度和累计迭代梯度差值的平方来获取当前迭代轮次对对抗样本的影响参数。5.根据权利要求3所述的基于优化算法和不变性的智能对抗样本生成方法,其特征在于,损失函数的梯度包含当前迭代梯度和累计迭代梯度;并根据累计梯度、影响参数及预设迭代步长计算扰动参数权重,根据该扰动参数权重来约束对抗扰动。6.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法,其特征在于,依据约束的对抗扰动及上一轮迭代生...
【专利技术属性】
技术研发人员:张恒巍,杨博,李晨蔚,刘志林,刘小虎,张玉臣,王晋东,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。