【技术实现步骤摘要】
无限制对抗样本生成方法、装置、电子设备及存储介质
[0001]本申请涉及对抗样本生成
,具体而言,本申请涉及一种无限制对抗样本生成方法、装置、电子设备及存储介质。
技术介绍
[0002]神经网络在很多领域都有用到,包括银行的信用评价、自动驾驶的行人识别、安防系统的入侵者识别、高危工作中的风险操作识别等,所以保证神经网络的安全十分重要。目前有一种攻击神经网络的方式,叫做对抗样本,生成对抗样本的方法就是对抗攻击,对抗攻击在数据输入神经网络之前对数据进行修改,使得修改后的图片在人眼看来和原图差别不大,或者符合真实的图片分布,但是却会被神经网络识别错误。为了使得神经网络的鲁棒性得以提升,越来越多工作开始研究如何生成对抗样本、如何进行对抗防御。更加强大、迁移性更强的攻击样本能够使得对抗训练后的模型鲁棒性越强,并且随着对抗样本研究的深入,其对模型可解释性以及对抗样本迁移性的研究,都给深度学习中神经网络的设计与训练提供了更有依据的指导。
[0003]然而,现有技术中存在着生成的无限制对抗样本形状扭曲,不符合真实分布以及用作人...
【技术保护点】
【技术特征摘要】
1.一种无限制对抗样本生成方法,其特征在于,所述方法包括:基于扩散模型的后向过程,得到当前时刻的去噪图像和对应的预测图像;通过对所述预测图像进行的对抗攻击,生成所述预测图像及其对抗样本之间的扰动;将所述扰动迁移至当前时刻的去噪图像,并通过所述扩散模型的后向过程对当前时刻经迁移的去噪图像进行去噪,直至生成无限制对抗样本。2.如权利要求1所述的方法,其特征在于,所述通过对所述预测图像进行的对抗攻击,生成所述预测图像及其对抗样本之间的扰动,包括:将所述预测图像输入被攻击模型进行分类预测,在第一阶段,利用所述被攻击模型中的真实分类器生成扰动;所述第一阶段是指真实分类器预测到的所述预测图像所属预测类别与真实类别一致;根据所述对抗样本与所述预测图像的差异,生成所述预测图像及其对抗样本之间的扰动。3.如权利要求2所述的方法,其特征在于,所述通过对所述预测图像进行的对抗攻击,生成所述预测图像及其对抗样本之间的扰动,包括:在第二阶段,利用经过加噪训练的自然分类器生成扰动;所述第二阶段是指所述真实分类器预测到的所述预测图像所属预测类别与真实类别不一致。4.如权利要求1所述的方法,其特征在于,所述基于扩散模型的后向过程,得到当前时刻的去噪图像和对应的预测图像,包括:从测试数据集中获取测试样本;通过所述扩散模型的前向过程对所述测试样本进行加噪,得到目标时刻的加噪图像;通过所述扩散模型的后向过程对目标时刻的加噪图像进行去噪,得到当前时刻的去噪图像和对应的预测图像。5.如权利要求1所述的方法,其特征在于,所述基于扩散模型的后向过程,得到当前时刻的去噪图像和对应的预测图像之后,所述方法还包括:基于所述扩散模型的前向过程,确定所述测试样本在当前时刻的加噪图像;将当前时刻的去噪图像和当前时刻的加噪图像进行图像中低频信息的比较,得到对应的误差;根据所述误差在测试样本上的分布区域,对当前时刻的去噪图像中的低频信息进行补齐,以基于补齐后的...
【专利技术属性】
技术研发人员:陈鑫泉,高希彤,赵娟娟,叶可江,须成忠,
申请(专利权)人:中国科学院深圳先进技术研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。