【技术实现步骤摘要】
一种高迁移性的对抗样本生成方法和系统
[0001]本专利技术属于人工智能安全
,尤其涉及一种高迁移性的对抗样本生成方法和系统。
技术介绍
[0002]深度学习网络(DNNs)对计算机视觉领域的各种真实场景任务具有革命性的影响,如图像分类、人脸识别、目标检测、语义分割等。但是最近的研究表明,DNNs很容易受到对抗样本的影响,恶意攻击者通过在干净图像中添加人类难以察觉的扰动就可以误导DNNs的最终决策,这给DNNs的现实部署带来很大的安全挑战。为了准确地评估DNNs的缺陷并提高其鲁棒性,有必要对对抗性攻击进行深入研究。许多对抗样本生成方法都是基于黑盒设置的,攻击者在这种设置下只拥有对目标模型的查询权限,无法访问目标模型的结构、参数等信息。基于迁移的对抗攻击可以轻松地越过这些限制,因为它只需要在本地代理模型上生成对抗样本就可以成功地误导目标模型,现有的迁移攻击方法,比如输入转换、梯度校准以及生成模型在黑盒设置下都表现出不俗的性能,但是这些方法都存在对抗样本与本地代理模型过度拟合的问题,无法有效地破坏原始图像在不同模型间共享的...
【技术保护点】
【技术特征摘要】
1.一种高迁移性的对抗样本生成方法,其特征在于,包括:S1,获取原始图像在指定的深度学习网络多个中间层的特征图;S2,根据中间层的激活值和梯度将所有特征图划分为正向特征区域和负向特征区域;S3,将所有指定中间层的不同区域加权求和作为损失函数,以使用动量法对损失函数进行处理得到每次迭代攻击的对抗样本;S4,判断迭代攻击次数是否达到预设次数;S5,如果是,则生成高迁移性的对抗样本;S6,如果否,则返回执行步骤S3的操作。2.根据权利要求1所述的高迁移性的对抗样本生成方法,其特征在于,所述根据中间层的激活值和梯度将所有特征图划分为正向特征区域和负向特征区域,包括:根据以下公式计算中间层每个特征图的空间位置的梯度:其中,为中间层每个特征图的空间位置(i,j)的梯度;f(x)[q]为深度学习网络f对于输入图像x属于类别q的预测分数;为深度学习网络第k层第c个特征图在空间位置(i,j)的激活值;根据以下公式计算中间层每个特征图的空间位置的重要性:其中,w
ij
为中间层每个特征图的空间位置(i,j)的重要性;relu为激活函数,以将负梯度设为0,正梯度保持不变;根据每个特征图的空间位置的重要性将所有特征图划分为正向特征区域和负向特征区域。3.根据权利要求2所述的高迁移性的对抗样本生成方法,其特征在于,所述根据每个特征图的空间位置的重要性将所有特征图划分为正向特征区域和负向特征区域,包括:根据以下公式将特征图划分为正向特征区域:其中,γ为超参数,以控制正向特征区域和负向特征区域所占的比例;和均代表当前中间层所有特征图空间位置(i,j)属于正向特征区域;为w
ij
的平均值;根据以下公式将特征图划分为负向特征区域:其中,和均代表当前中间层所有特征图空间位置(i,j)属于负向特征区域。
4.根据权利要求1所述的高迁移性的对抗样本生成方法,其特征在于,所述将所有指定中间层的不同区域加权求和作为损失函数,以使用动量法对损失函数进行处理得到每次迭代攻击的对抗样本,包括:根据以下公式计算损失函数:其中,L(x
adv
)为损失函数;m为指定的中间层的个数;s为第s个指定的中间层;为深度学习网络第k
s
层的聚合梯度;为深度学习网络对于输入的对抗图像x
adv
的第k
s
层激活值;为第k
s
层划分的正向特征区域;为第k
s
层划分的负向特征区域;α为超参数,以控制正向特征区域的破坏程度;β为超参数,以控制负向特征区域的破坏程度;构建动量法表达式:其中,g
t+1
为第t+1次迭代的加权累计梯度;μ为衰减因子;g
t
为第t次迭代的加权累计梯度;为第t次迭代生成的对抗图像;||
·
||1为范数运算。5.根据权利要求4所述的高迁移性的对抗样本生成方法,其特征在于,还包括:根据以下公式对每次迭代生成的对抗图像进行切片处理,以使所有像素落在[0,1]范围内:其中,Clip(
·
)为切片函数;为第t+1次迭代生成的对抗图像;σ为每次迭代攻击的步长;6.一种高迁移性的对抗样本生成系统,其特征在于,包括:特征图获取模块,用于获取...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。