本发明专利技术提供了一种语义自适应的点云后门攻击方法,包括以下步骤:构建模型学习所需数据集;根据收集的数据集训练一个对应领域代理模型;将分割后数据集投入模型;随机对测试数据集中选取若干样本植入触发器;修改植入的标签,在代理模型上进行攻击测试,将所得成功率添加到列表中;穷举各个类别中每个可植入后门的位置以及可能存在该位置其他类别点云,计算生成每一种触发器攻击成功率;根据实际任务需要选择待攻击点云类别,从列表中获取最优触发器生成方案,生成触发器后修改带毒样本标签,投入被攻击分类器训练集中
【技术实现步骤摘要】
一种语义自适应的点云后门攻击方法
[0001]本专利技术属于信息安全
,特别涉及一种语义自适应的点云后门攻击方法
。
技术介绍
[0002]近年来,学术界和工业界的深度学习探索呈爆炸式增长
。
已发现深度神经网络在各种领域显著优于以前的机器学习技术,深度学习在
3D
视觉领域同样发展十分迅速,这使其成为各种热门应用领域的主要选择,例如自动驾驶
、
场景重建
、
机器人控制和医疗数据分析等
。
然而,这些模型容易受到攻击,攻击通常旨在在分类器的操作过程中引起错误分类,例如将行人错误地识别为汽车
。
在自动驾驶等安全敏感领域,这样的错误分类可能后果是灾难性的
。
因此,
AI
安全问题变得越来越重要
。
[0003]后门攻击是
AI
安全中的新兴领域,针对有关模型希望在模型的训练过程中通过某种方式在模型中埋藏后门,埋藏好的后门通过攻击者预先设定的触发器激发
。
在后门未被激发时,被攻击的模型具有和正常模型类似的表现;而当模型中埋藏的后门被攻击者激活时,模型的输出变为攻击者预先指定的标签以达到恶意的目的
。
[0004]在现有的
3D
点云领域中,后门攻击方式的实现方式为预先确定触发器形状,将该触发器与样本结合后修改其标签让被攻击模型进行训练,当投入的带毒样本达到一定数量后,模型就能学习到触发器与修改后的标签之间的联系,当模型再次见到该触发器时,该联系会被激活,导致点云分类器分类出错
。
技术实现思路
[0005]有鉴于现有技术的上述缺陷,本专利技术的目的在于提供一种语义自适应的点云后门攻击方法,包括以下步骤:
[0006]S1.
获取预设领域下的预设任务中的点云数据,基于所述点云数据构建模型训练数据集,并将数据集中每个点云场景中的物体分割为各个部件;
[0007]S2.
根据所述数据集训练一个对应所述预设领域的代理模型,该模型用于模拟被攻击模型的性能;
[0008]S3.
将分割后的数据集投入所述代理模型,学习在预设领域内的语义知识和场景中的语义关系,得到有关该数据集中每个类别的点云的语义关系列表;
[0009]S4.
根据
S3
所得语义关系列表信息随机对所述数据集中选取若干样本并植入触发器;
[0010]S5.
修改所述触发器植入的标签,在所述代理模型上进行攻击测试,得到攻击成功率,将该成功率添加到所述语义关系列表中;
[0011]S6.
穷举各个类别中每个可植入后门的位置以及可能存在该位置的其他类别点云,计算生成的每一种触发器的攻击成功率,添加至所述语义关系列表,最终得到每一个类别的点云攻击成功率最高的触发器;
[0012]S7.
得到优化好的列表后,根据实际任务的需要选择待攻击的点云类别,从列表中
获取最优触发器生成方案,生成触发器后修改带毒样本标签,投入被攻击分类器的训练集中
。
[0013]进一步地,所述步骤
S3
中,所述语义关系列表包括各个点云周围可存在的其他点云物体与其空间位置关系以及各个点云附近出现其他点云类别的概率
。
[0014]进一步地,所述步骤
S4
中,所述触发器生成步骤包括:
[0015]S101.
选择一个固定的
3d
形体;
[0016]S102.
根据从所述语义关系列表信息中得到的可植入后门位置以及其他类别点云在该位置存在的概率,选择该位置处存在可能性最高的
k
个类别,从该类别中随机选择一个点云;
[0017]S103.
将所述
3d
形体与步骤
S102
中所选点云进行结合
。
[0018]进一步地,所述步骤
S4
中,所述选取标准为依照该列表中存在概率最高的位置和类别植入触发器
。
[0019]进一步地,所述步骤
S6
中,所得每一个类别的点云攻击成功率最高的触发器包括与该类点云的空间位置关系以及作为触发器的点云类别
。
[0020]本专利技术提供了一种语义自适应的点云后门攻击方法,具备以下有益效果:
[0021]通过学习了点云和场景特征,可以知道不同分类点云的周围场景语义信息,可以有根据地生成不同触发器,相比于其他方法需要触发器显眼不隐蔽,触发器种类固定,基于本方法的后门攻击方式可以确保不同类别的点云中含有不同触发器,并保证其隐蔽性
。
附图说明
[0022]图1是本专利技术具体流程示意图
。
具体实施方式
[0023]下面对本专利技术的实施例作详细说明,下述的实施例在以本专利技术技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本专利技术的保护范围不限于下述的实施例
。
[0024]一种语义自适应的点云后门攻击方法,如图1所示,包括:首先明确预设任务,比如是分类任务,还是分割任务;并进一步确定预设任务所属领域,比如是动植物领域,还是自动驾驶领域,还是医学领域等;然后获取预设领域下的预设任务中的点云数据,基于所述点云数据构建模型训练数据集,并将数据集中每个点云场景中的物体分割为各个部件,并利用所述数据集与已知的模型任务,训练一个代理模型,代理模型要求与原模型性能接近,使用代理模型用于之后优化攻击成功率
。
[0025]然后,收集好数据后统计收集该领域的语义特征和场景特征,这里的语义特征和场景特征是指,对于用作训练的数据集中每个点云,对其分类周围可能存在的其他分类的物体概率进行统计,依概率选择出现在其周围可能性最大的其他分类的物体,具体步骤为:根据分割好的数据集,统计对应领域内的语义知识和场景中的语义关系,得到有关该数据集中每个类别的点云的一个语义关系列表,如表1所示,所述语义关系列表中包括了该点云周围可存在的其他点云物体与其空间位置关系以及该点云附件可能出现的点云类别的概率
。
[0026]表1[0027][0028]进一步地,得到语义特征和场景特征后,以此作为生成触发器和触发器植入位置的信息来源,让模型学习这些特征以此生成攻击成功率最高的触发器,具体步骤为:根据语义关系列表信息随机对所述数据集中选取若干样本植入触发器,植入的方法按照该列表中存在概率最高的位置和类别植入触发器
。
所述触发器生成步骤具体为:选择一个固定的球体;根据所述语义关系列表信息中得到的可植入后门位置以及其他类别点云在该位置存在的概率,选择该位置处存在可能性最高的
k
个类别,从该类别中随机选择一个点云;将所述球体与所选点云进行结合
。
[0029]进一步地,触发器生成完成本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种语义自适应的点云后门攻击方法,其特征在于,包括以下步骤:
S1.
获取预设领域下的预设任务中的点云数据,基于所述点云数据构建模型训练数据集,并将数据集中每个点云场景中的物体分割为各个部件;
S2.
根据所述数据集训练一个对应所述预设领域的代理模型,该模型用于模拟被攻击模型的性能;
S3.
将分割后的数据集投入所述代理模型,学习在预设领域内的语义知识和场景中的语义关系,得到有关该数据集中每个类别的点云的语义关系列表;
S4.
根据
S3
所得语义关系列表信息随机对所述数据集中选取若干样本并植入触发器;
S5.
修改所述触发器植入的标签,在所述代理模型上进行攻击测试,得到攻击成功率,将该成功率添加到所述语义关系列表中;
S6.
穷举各个类别中每个可植入后门的位置以及可能存在该位置的其他类别点云,计算生成的每一种触发器的攻击成功率,添加至所述语义关系列表,最终得到每一个类别的点云攻击成功率最高的触发器;
S7.
得到优化好的列表后,根据实际任务的需要选择待攻击的点云类别,从列表中获取最优触发器生成方案,生成触发器后修改带毒样本标签,投入被攻击分类器的训练集中
。2.
根据权利要求1所述的语义自适应的点云...
【专利技术属性】
技术研发人员:唐可可,王振苏,王乐,田志宏,李树栋,彭伟龙,李默涵,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。