【技术实现步骤摘要】
基于遗传算法的攻击方法、装置及计算机程序产品
[0001]本公开涉及人工智能
,具体涉及计算机视觉、图像识别和深度学习技术,尤其涉及基于遗传算法的攻击方法、装置、电子设备、存储介质以及计算机程序产品,可用于对抗攻击场景下。
技术介绍
[0002]图像处理是人工智能技术的一个重要的应用,随着基于神经网络模型的图像处理模型的不断普及,近年来出现了许多针对图像识别模型的攻击算法。通过对原始图像添加一个微小的扰动就可以干扰模型对改变后的图像的识别结果,但又不影响人眼对图像的识别。此技术如果被不正当使用,会导致违规违法内容可以绕过自动审查模型进行发布,引发公共事件,造成恶劣的社会影响。因此,在模型的研发和测试阶段进行更加严格的鲁棒性测试就显得更为重要。通过模拟恶意攻击样本对目标模型进行攻击,能有效提升模型对恶意攻击的防御能力。
[0003]目前的攻击方法一般在所允许的最大扰动范围内生成随机扰动,以通过迭代方式寻找对抗样本,计算量大,进行一次攻击所需的时间较长。
技术实现思路
[0004]本公开提供了一种基...
【技术保护点】
【技术特征摘要】
1.一种基于遗传算法的攻击方法,包括:获取目标图像;从初始扰动范围开始,采用遗传算法,在当前扰动范围内基于所述目标图像确定目标模型的对抗样本,并在未成功确定对抗样本的情况下增加扰动范围以继续对所述目标模型进行对抗攻击,直至达到预设结束条件;确定基于攻击所述目标模型而最终得到的攻击数据。2.根据权利要求1所述的方法,其中,还包括:确定攻击任务所允许的最大扰动范围和每次增加的预设范围;以及所述从初始扰动范围开始,采用遗传算法,在当前扰动范围内基于所述目标图像确定目标模型的对抗样本,并在未成功确定对抗样本的情况下增加扰动范围以继续对所述目标模型进行对抗攻击,直至达到预设结束条件,包括:从所述初始扰动范围开始,采用遗传算法,在当前扰动范围内基于所述目标图像确定目标模型的对抗样本;响应于确定在预设时长内未成功确定所述目标模型的对抗样本,在当前扰动范围的基础上增加预设范围,并基于增加预设范围后的扰动范围继续对所述目标模型进行对抗攻击,直至达到所述预设结束条件,其中,所述预设结束条件包括达到所述最大扰动范围以前成功确定对抗样本、直至达到所述最大扰动范围仍未确定对抗样本。3.根据权利要求1或2所述的方法,其中,所述采用遗传算法,在当前扰动范围内基于所述目标图像确定目标模型的对抗样本,包括:根据上一扰动范围对应的上一攻击过程,从基于所述目标图像得到的上一攻击样本集群中选择目标攻击父样本;在当前扰动范围内,基于所述目标攻击父样本中的扰动信息的交叉操作,得到交叉子样本;基于所述目标攻击父样本、所述交叉子样本得到当前攻击样本集群,并通过所述当前攻击样本集群攻击所述目标模型。4.根据权利要求3所述的方法,其中,所述根据上一扰动范围对应的上一攻击过程,从基于所述目标图像得到的上一攻击样本集群中选择目标攻击父样本,包括:将所述上一攻击样本集群输入所述目标模型,确定所述上一攻击样本集群中的各攻击样本对应的损失信息;根据各攻击样本对应的损失信息,从所述上一攻击样本集群中选择所述目标攻击父样本。5.根据权利要求2所述的方法,其中,所述确定基于攻击所述目标模型而最终得到的攻击数据,包括:响应于达到所述最大扰动范围以前成功确定对抗样本,确定基于攻击所述目标模型而最终得到的对抗样本;响应于直至达到所述最大扰动范围仍未确定对抗样本,根据对所述目标模型的攻击效果,确定基于攻击所述目标模型而最终得到的最优攻击样本。6.根据权利要求1所述的方法,其中,还包括:获取攻击任务的攻击限制时间,其中,所述攻击限制时间用于限制所述目标任务对所
述目标模型的攻击时间;根据对所述目标模型的攻击效果,确定达到所述攻击限制时间以前的最优攻击样本。7.根据权利要求1
‑
6中任一项所述的方法,其中,还包括:通过所确定的对抗样本调整所述目标模型。8.一种基于遗传算法的攻击装置,包括:第一获取单元,被配置成获取目标图像;攻击单元,被配置成从初始扰动范围开始,采用遗传算法,在当前扰动范围内基于所述目标图像确定目标模型的对抗样本,并在未成功确定对抗样本的情况下增加扰动...
【专利技术属性】
技术研发人员:干逸显,王洋,张华正,黄英仁,吕中厚,田伟娟,
申请(专利权)人:百度在线网络技术北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。