【技术实现步骤摘要】
本专利技术属于图像处理的,具体涉及到一种基于生成对抗网络的可迁移对抗攻击方法。
技术介绍
1、可迁移对抗攻击(transferable adversarial attacks)是指通过在一个神经网络上生成的对抗样本,成功攻击另一个或多个不同的神经网络模型。攻击时使用生成网络对输入数据进行微小的、有针对性的扰动,使目标神经网络产生错误预测或误分类。可迁移对抗攻击用于评估模型的鲁棒性、推动对抗性安全研究、改善模型的安全性,并为对抗攻击的防御提供指导。它帮助揭示深度学习模型可能存在的弱点,进而促进模型的发展和提高模型的安全性。
2、传统可迁移对抗攻击方法的关键在于生成对抗样本,并验证其在不同模型上的迁移性能。攻击者通过分析和改进攻击方法,利用源模型上的脆弱性或共享特征,成功攻击其他模型,揭示模型的漏洞并推动模型的改进和加强。传统的可迁移对抗攻击方法存在生成样本的多样性不足,对模型结构的依赖性以及低效性和高计算成本等不足点。这些问题限制了攻击方法的泛化能力和实用性。
3、通过对输入进行微小的干扰,攻击者可以生成对抗样本。使用对抗网络生成对抗样本,生成的对抗样本与原始干净样本非常接近,但却能够欺骗深度神经网络,导致错误的判断。对抗样本的出现使得人工智能的安全性问题变得更加突出,尤其是在涉及人身安全、财产安全等敏感领域,如自动驾驶和刷脸支付。
4、基于生成对抗网络的可迁移对抗攻击具有更高的生成样本质量、自适应生成能力、广泛的攻击应用以及多样性的攻击策略等优点。它能够提高攻击的效果和泛化能力,但是容易过拟合
技术实现思路
1、本专利技术旨在解决现有技术在对抗样本攻击方面存在的不足之处。为此,该专利技术采用了生成对抗网络(gan)作为基础框架,并在生成器中引入了一个辅助网络,即辅助生成器(auxiliary generator),以改进对抗样本的生成质量和样本多样性。通过引入辅助生成器,该方法旨在提高生成器的性能和效果。辅助生成器与主生成器相互配合,共同生成对抗样本。辅助生成器的引入可以增加生成器的生成能力,提高生成样本的逼真度和多样性。通过引入辅助生成器,该方法能够更好地捕捉数据分布,并生成更具迷惑性和欺骗性的对抗样本。另外,本专利技术还增加了残差块模型,以增强网络对特征的提取能力。残差块模型利用残差连接,有助于减轻训练过程中的梯度消失问题,并提高网络的非线性建模能力。通过增强网络特征的提取能力,可以更好地捕捉输入图像和辅助信息之间的关联性,从而生成更具有攻击性和迷惑性的对抗样本。此外,在瓶颈层中,本专利技术还引入了金字塔分割注意力机制。该机制通过使用金字塔分割注意力,允许生成器在不同尺度上关注不同的特征。这样能够更好地捕捉图像中的重要区域和特征,提高生成样本的质量和攻击效果。
2、为实现上述效果,本专利技术的技术方案如下所述:辅助生成器通过高斯金字塔模块生成金字塔特征这个辅助生成器可以用于在生成器训练过程中产生辅助信息,辅助生成器的输出可以和主生成器的输出一起用于生成样本。高斯金字塔模块包含一系列的卷积操作,可以将输入特征逐层下采样,生成金字塔特征。将金字塔特征展平为一维向量,展平特征进行拼接,得到一个大的特征向量,输入到线性层和激活函数中,进行映射和非线性变换。通过线性层和sigmoid激活函数将映射后的特征输出为辅助信息。
3、将辅助生成器生成的辅助信息与输入的图像在通道维度上进行拼接,然后通过生成器g。输入图像经过一系列卷积层和实例归一化层,提取图像特征,每个卷积层后经过leakyrelu激活函数进行非线性变换,在瓶颈层中使用残差块增强生成能力和深度,经过金字塔分割注意力机制得到加权的特征图,在反卷积层进行上采样操作,将特征图逐渐还原为原始图像的大小,最后输出对抗扰动。
4、在训练过程中对生成器和判别器进行梯度更新。使用生成的扰动对原始样本进行调整,并进行像素值的限制,得到对抗样本。利用判别器网络d对生成的对抗样本进行预测,得到判别器对生成样本的预测结果。计算判别器d的整体损失,对判别器进行梯度更新,计算生成器对抗性损失、扰动损失和总体损失,对辅助生成器ag和生成器g进行梯度更新。
5、相比于现有技术,本专利技术具有如下有益效果。
6、本专利技术在生成对抗网络的基础上,引入辅助生成器,该方法能够增强生成器的性能,提高生成对抗样本的质量和多样性。辅助生成器网络生成辅助信息,并与原始图像进行拼接,从而为生成器提供更丰富的输入信息,进一步改善生成效果。引入了金字塔注意力模块,允许网络在不同的尺度上关注图像的重要区域和特征,通过一系列神经网络层的处理和转换,生成一张高分辨率、逼真且包含扰动的图像。经过改进生成的对抗样本在黑盒对抗攻击中具有更高的攻击成功率,并且具有一定的迁移性。相比现有的黑盒攻击方法,该方案为黑盒场景下的对抗攻击提供了一个有效的解决方法。
本文档来自技高网...【技术保护点】
1.一种基于基于生成对抗网络的可迁移对抗攻击方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于生成对抗网络的可迁移对抗攻击方法,其特征在于:辅助生成器AG与生成器G生成对抗网络中同时进行训练和优化的过程,辅助生成器AG定义了一个由多个卷积层组成的高斯金字塔,在线性层通过定义输出维度来控制辅助信息的数量。在生成高斯金字塔特征时通过循环迭代金字塔的层数,使用对应的卷积层对输入进行卷积操作,对于每个金字塔层 i,输入图像经过卷积操作得到金字塔特征 Xi,其大小为 Bi ×Ci,其中 Bi = B / (2i),Ci = C/ (2i)。这里假设金字塔层的索引从0开始,即顶层为原始图像。展平金字塔特征:将每个金字塔特征 Xi 展平为形状为 (batch_size, -1) 的二维张量,作Xflat,最后将所有展平后的金字塔特征Xflat 在维度1上进行拼接。
3.根据权利要求1所述的基于生成对抗网络的可迁移对抗攻击方法,其特征在于:原始图像经过辅助生成器后,将辅助输出与原始图像在通道维度上进行拼接,以得到一个维度扩展的输入张量供生成器G使用。这里使用双
4.根据权利要求1所述的基于生成对抗网络的可迁移对抗攻击方法,其特征在于:在对辅助生成器AG和生成器G进行梯度更新时,使用AMSGrad优化算法。初始学习率设置为1×10-4,β1=0.9,β2=0.999,此后的学习率随着迭代次数的增加而减小。其中AMSGrad优化算法在更新一阶矩估计变量 m 和二阶矩估计变量 v时,修正二阶矩估计变量 v 的更新,将变量v改为历史上观察到的梯度方差的最大值。
...【技术特征摘要】
1.一种基于基于生成对抗网络的可迁移对抗攻击方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于生成对抗网络的可迁移对抗攻击方法,其特征在于:辅助生成器ag与生成器g生成对抗网络中同时进行训练和优化的过程,辅助生成器ag定义了一个由多个卷积层组成的高斯金字塔,在线性层通过定义输出维度来控制辅助信息的数量。在生成高斯金字塔特征时通过循环迭代金字塔的层数,使用对应的卷积层对输入进行卷积操作,对于每个金字塔层 i,输入图像经过卷积操作得到金字塔特征 xi,其大小为 bi ×ci,其中 bi = b / (2i),ci = c/ (2i)。这里假设金字塔层的索引从0开始,即顶层为原始图像。展平金字塔特征:将每个金字塔特征 xi 展平为形状为 (batch_size, -1) 的二维张量,作xflat,最后...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。