本发明专利技术涉及深度神经网络领域,且公开了一种十字形的对抗补丁攻击方法,基于十字形的对抗补丁攻击通过将扰动区域限制为十字形来进行攻击。在以往的攻击中,大部分攻击只考虑对抗补丁的位置和内容,而很少考虑对抗补丁的形状,对抗补丁被默认为是矩形的。基于这个发现,本发明专利技术通过改变对抗补丁的形状来进行对抗补丁攻击。首先我们对对抗补丁的内容进行初始化,并在原始图像中随机位置处覆盖该对抗补丁,从而形成初始候选样本。然后迭代地优化对抗补丁的内容和位置。本发明专利技术基于一个特殊的分布来使用随机搜索的策略来进行候选对抗补丁的生成。大量的实验结果证明了本发明专利技术的优越性。性。性。
【技术实现步骤摘要】
一种十字形的对抗补丁攻击方法
[0001]本专利技术涉及深度神经网络领域,具体为一种十字形的对抗补丁攻击方法。
技术介绍
[0002]深度神经网络已在许多领域显示出显著的成功,如图像分类、自然语言处理、数据挖掘等。尽管深度神经网络取得了很大的成就,但最近的研究表明,深度神经网络很容易受到对抗样本的影响。也就是说说,已经训练好的模型会对精心制作的对抗对抗样本进行错误分类,这种对抗样本通过在原始图像上添加不易察觉的扰动而产生的。因此,深度神经网络在安全领域的应用受到限制,如自动驾驶的交通标志识别、门禁系统和其他关键任务。因此,对抗性攻击和防御已经成为近年来的研究热点。
[0003]根据受害者模型的不同,对抗攻击可以分为白盒攻击和黑盒攻击。这两种攻击的区别在于受害模型的泄漏信息种类,对于白盒攻击,攻击者获得了关于受害者模型的所有信息,包括架构、参数等等。因此,在这种情况下,对抗样本可以很容易地通过反向传播产生。对于黑盒攻击,只允许攻击者查询受害模型并接收相应的预测结果。这种设置是最具挑战性的,但也是最实用的,因为攻击方在现实中几乎没有机会知道关于受害模型的所有信息。黑盒攻击进一步可分为基于迁移的攻击和基于查询的攻击。
[0004]经典的工作大多数主要是密集攻击,即对原始图像的所有像素进行不可察觉的扰动。然而,这种对抗性的例子在现实世界中很难制造。与改变整个图像不同,稀疏攻击的重点是用可感知的扰动来改变原始图像极少数的像素且不改变图像原本的语义来进行攻击。更重要的是,这种扰动可以很容易地在物理世界中打印出来。这种只在原始图像的局部且连续区域内有扰动的对抗样本被称为补丁攻击,近年来引起了越来越多的关注。以前的工作大多数没有考虑对抗补丁的形状,它通常是矩形的。
[0005]现有技术方案1:杨弋鋆,两阶段目标类指引的行人检测对抗补丁生成算法。
[0006]该技术提出了针对行人检测的对抗补丁生成算法。在第一阶段中,该技术使用目标类进行引导来训练对抗补丁,该算法利用目标类设计了一个新的损失函数,使得生成的对抗样本能被行人检测器识别为目标类;该技术通过优化第一阶段中存在的自我抑制问题,进一步改进损失函数,设计了补丁增强训练方法,提升了对抗补丁的攻击性能。
[0007]现有技术方案2:叶斌,基于对抗补丁的交通标牌攻击。
[0008]该技术验证了对抗补丁攻击会对交通标志识别产生一定的威胁。该技术使用不同大小(占图比5%~50%)的对抗补丁在德国的交通标志数据集(The German Traffic Sign Recognition Benchmark,GTSRB)上对VGG16分类模型进行攻击,研究不通大小的补丁的攻击效果,并分析对抗补丁方法的鲁棒性。
[0009]现有技术方案3:司念文,基于对抗补丁的可泛化的Grad
‑
CAM攻击方法。
[0010]该技术提出一种攻击模型解释Grad
‑
CAM的对抗补丁攻击,即在原始图像上添加对抗补丁,且保证模型分类结果不变,但Grad
‑
CAM的解释结果始终偏向目标区域,从而产生错误的解释。这个过程包括两个过程,保持分类不变和引导Grad
‑
CAM偏向补丁区域,该技术针
对这两个优化目标,设计了一个损失函数来实现攻击
[0011]现有技术的缺点:
[0012]对于现有技术方案1:该方案存在的缺点是:1)该方案要求要求目标模型是白盒模型,使用Adam反向传播,攻击者在现实生活中很难获得白盒信息;2)该方案只验证了Yolo
‑
v2,并没有验证其他目标检测模型,不能很好地验证方案的有效性。
[0013]对于现有技术方案2:该方案存在的缺点是:1)该方案只验证了白盒攻击时的攻击效果,未验证黑盒攻击;2)该方案在更小占图比(小于5%)的对抗补丁攻击效果性能差。
[0014]对于现有技术方案3:该方案存在的缺点是:1)该方案要求目标网络是白盒模型,这在现实生活中很难实现。2)该方案只在一个数据集上进行了验证,不能很好地验证方案的有效性。
[0015]基于上述内容,我们提出了一种十字形的对抗补丁攻击方法。
技术实现思路
[0016](一)解决的技术问题
[0017]针对现有技术的不足,本专利技术提供了一种十字形的对抗补丁攻击方法,解决了上述的问题。
[0018](二)技术方案
[0019]为实现上述所述目的,本专利技术提供如下技术方案:一种十字形的对抗补丁攻击方法,包括以下步骤:
[0020]第一步:迭代地在水平条状或垂直条状的随机位置上覆盖一小段连续的单色块,从而生成初始化补丁的内容,对抗补丁覆盖在原图的某个随机位置,该随机位置由十字形补丁的交点坐标(i,j)确定,使用映射函数生成位置掩码m,将改扰动图像送入受害模型进行查询,得到模型返回的关于这张扰动图像的置信度,进而通过损失函数计算出初始loss值,记为当前最佳损失loss
best
;
[0021]第二步:迭代地对对抗补丁的内容δ和位置δ进行更新;
[0022]第三步:每一次迭代需要采样新的对抗补丁或者内容;
[0023]第四步:基于损失函数来判断迭代更新中通过随机采样而形成的新的候选对抗补丁是否更优,如果损失值变小了,该候选对抗补丁将被保留,即更新了对抗补丁,否则将不保留此次对抗补丁,会进下一次迭代;
[0024]第五步:基于十字形的白盒对抗补丁攻击。
[0025]优选的,所述第一步映射函数:
[0026][0027]优选的,所述第二步包括以下内容:
[0028]设置采样候选位置的迭代间隔t,每一次迭代从一个特殊的采样分布中采样一个新的对抗补丁的内容δ
new
和位置m
new
构造新的扰动图像,并通过查询受害模型计算出新的损
失值loss
new
,如果新的损失值loss
new
小于当前最佳损失loss
best
,那么新的对抗补丁的内容或者位置保存为当前所能找到的最佳解,并将该新的损失值loss
new
更新为当前最佳损失loss
best
,否则舍弃这一次采样的对抗补丁的新内容δ
new
或新位置m
new
,不做任何处理,进行下一次迭代。
[0029]优选的,所述第三步中的具体内容为:
[0030]在第i次查询时,采样l
c
(i)个长度为l
c
(i),宽度为w
c
的单色条状并覆盖在十字形状的对抗补丁的水平条或者垂直条;
[0031]将l
c
(i)设计为以下分段减少策略:
[0032][0033]其中l
c
、w
c
是十字形补丁的水平条的长和宽,2l
c
w
c
...
【技术保护点】
【技术特征摘要】
1.一种十字形的对抗补丁攻击方法,其特征在于,包括以下步骤:第一步:迭代地在水平条状或垂直条状的随机位置上覆盖一小段连续的单色块,从而生成初始化补丁的内容,对抗补丁覆盖在原图的某个随机位置,该随机位置由十字形补丁的交点坐标(i,j)确定,使用映射函数生成位置掩码m,将改扰动图像送入受害模型进行查询,得到模型返回的关于这张扰动图像的置信度,进而通过损失函数计算出初始loss值,记为当前最佳损失loss
best
;第二步:迭代地对对抗补丁的内容δ和位置δ进行更新;第三步:每一次迭代需要采样新的对抗补丁或者内容;第四步:基于损失函数来判断迭代更新中通过随机采样而形成的新的候选对抗补丁是否更优,如果损失值变小了,该候选对抗补丁将被保留,即更新了对抗补丁,否则将不保留此次对抗补丁,会进下一次迭代;第五步:基于十字形的白盒对抗补丁攻击。2.根据权利要求1所述的一种十字形的对抗补丁攻击方法,其特征在于:所述第一步映射函数:3.根据权利要求1所述的一种十字形的对抗补丁攻击方法,其特征在于:所述第二步包括以下内容:设置采样候选位置的迭代间隔t,每一次迭代从一个特殊的采样分布中采样一个新的对抗补丁的内容δ
new
和位置m
new
构造新的扰动图像,并通过查询受害模型计算出新的损失值loss
new
,如果新的损失值loss
new
小于当前最佳损失loss
best
,那么新的对抗补丁的内容或者位置保存为当前所能找到的最佳解,并将该新的损失值loss
【专利技术属性】
技术研发人员:王员根,冉钰,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。