【技术实现步骤摘要】
一种闭环的神经网络可迁移对抗攻击方法
[0001]本专利技术基于深度学习技术,设计了一种闭环的迁移对抗攻击范式
Closed
‑
loop Migratable Adversarial Attack(CMAA)。
在该范式中,首先训练了一个特殊的代理模型
。
训练目标是:对该代理模型的对抗攻击能够迁移到未知的目标模型上
。
为了实现这个训练目标,本专利技术也设计一个种新的白盒攻击方法
。
最终通过这个新的对抗攻击框架,比现有方法生成了更具有可迁移性的对抗攻击样本
。
本专利技术属于神经网络鲁棒性领域,具体涉及深度学习,对抗攻击,图像识别等技术
。
技术介绍
[0002]人工神经网络在识别正常图像方面已经取得了非常高的准确率,然而,当在正常图像上添加一些肉眼难以察觉的特殊噪音之后,人工神经网络就难以正常识别这样的图像
。
然而人类视觉能够正常识别这种添加了噪音之后的图像
。
因此,人工神经网络...
【技术保护点】
【技术特征摘要】
1.
一种闭环的神经网络可迁移对抗攻击方法,其特征在于:先集中解释一下符号的意义:输入到神经网络模型中的干净图片;
DNN
:神经网络模型;神经网络模型对
χ
的预测结果;
y
:
χ
的真实类别;
χ
对应的对抗样本;
Clip
:一个函数,功能为将输入的数值或图像限制在0到
255
值域范围内
ε
:对抗噪音的幅值
Δ
:对抗噪音在模型
P
β
上迭代第
i
次梯度上升时得到的攻击样本在模型
P
β
上迭代第
i
‑1次梯度上升时得到的攻击样本等价于
χθ
:训练模型
P
β
时,在
P
β
上生成的对抗样本的对抗噪音幅值
M
:训练模型
P
β
时,在
P
β
上生成对抗样本时的梯度上升迭代次数训练模型
P
β
时,在
P
β
上生成对抗样本时的第1次梯度上升时的梯度训练模型
P
β
时,在
P
β
上生成对抗样本时的第
i
次梯度上升时的梯度训练模型
P
β
时,在
P
β
上生成对抗样本时的第
i+1
次梯度上升时的梯度
F
:损失函数,损失函数是
crossentropyP
β
:代理模型
H1:第一个白盒模型
H
N
:第
N
个白盒模型
N
:白盒模型的个数
Sum
:求和函数,求解所有输入值的和
Abs
:绝对值函数,求解输入值的绝对值
Sign
:符号函数,当输入值是负数时,返回
‑1,当输入值是正数时,返回1求导符号
α
:学习率神经网络模型对干净图像的识别表示成如下公式:其中
χ
为原始干净的图像,为
DNN
对图像
χ
预测的类别;
χ
对应的对抗样本表示为其中
Clip
函数的功能...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。