【技术实现步骤摘要】
基于强化型通用补丁的对抗攻击方法、防御方法及装置
[0001]本专利技术涉及图像识别
,尤其涉及一种基于强化型通用补丁的对抗攻击方法、防御方法及装置。
技术介绍
[0002]深度学习在我们的生活中的各个领域发挥着重要的作用,包括计算机视觉(CV),模式识别(PR),自然语言处理(NLP)等各个方面。同时越来越多的研究表明深度神经网络容易受到对抗样本的攻击,这不仅发生在实验室环境中,同样可以对现实世界中的各类CNN图像识别系统进行攻击。
[0003]现实世界的攻击,对抗补丁的存在证明了这类扰动不管在实验室环境或者现实环境下都能轻易对白盒神经网络进行攻击。然而在视觉感知上对抗补丁和目标类别的特征仍然存在距离,对抗防御也可利用这一特性对对抗样本做出判定。主要原因还是对抗补丁的生成依赖于大量的数据训练,而白盒的训练中,往往在补丁生成的早期会发生过早收敛的问题,而过早收敛的补丁往往不能充分挖掘目标类别深层次特征。现实世界攻击的防御,已有的方法大多是通过图像与补丁的梯度差异性,依靠检测手段对对抗样本做出判定。一方面这些方法...
【技术保护点】
【技术特征摘要】
1.一种基于强化型通用补丁的对抗攻击方法,其特征在于,所述方法包括:获取图像样本集,从所述图像样本集中随机选取第一图像样本作为第一待训练图像;获取原始补丁图像,将所述原始补丁图像与所述第一待训练图像进行图像融合得到第一对抗样本图像;将所述第一对抗样本图像输入至补丁生成模型,并基于梯度下降法更新补丁图像,以生成对抗补丁图像;从所述图像样本集中随机选取第二图像样本作为第二待训练图像,将所述对抗补丁图像与所述第二待训练图像进行图像融合得到第二对抗样本图像,将所述第二对抗样本图像输入至集成网络模型,并基于梯度下降法更新对抗补丁图像,以生成强化型通用补丁图像。2.根据权利要求1所述的基于强化型通用补丁的对抗攻击方法,其特征在于,所述方法还包括:将所述对抗补丁图像与所述第一待训练图像进行图像融合得到第三对抗样本图像,基于所述第一待训练图像对应的原始标签以及所述第三对抗样本图像对所述补丁生成模型进行鲁棒性训练。3.根据权利要求1所述的基于强化型通用补丁的对抗攻击方法,其特征在于,所述集成网络模型为多个卷积神经网络串联模型。4.根据权利要求1所述的基于强化型通用补丁的对抗攻击方法,其特征在于,将所述原始补丁图像与所述第一待训练图像进行图像融合得到第一对抗样本图像,包括:基于CAM算法获取所述第一待训练图像的焦点;将所述原始补丁图像与所述第一待训练图像的远离所述焦点的区域进行融合。5.一种基于强化型通用补丁的防御方法,其特征在于,所述方法包括:获取待识别图像,将所述待识别图像输入至网络模型以生成所述待识别图像的热力图,并基于所述热力图确定所述待识别图像的关键区域;对所述待识别图像进行多尺度高斯模糊处理,以得到...
【专利技术属性】
技术研发人员:郑霄龙,刘亮,傅毅男,马华东,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。