一种多补丁对抗攻击方法技术

本发明专利技术公开了一种多补丁对抗攻击方法，包括以下步骤：S1，构建多个损失子函数；根据预设条件确定多个权重函数；将识别损失子函数和对应权重函数组合，得到周期性损失函数；其中预设条件为每个权重函数均为周期函数且在任意时刻上所有权重函数之和均为1；S2，获取补丁和图像，并将补丁设于图像上；S3，将带有补丁的图像输入至图像识别模型，利用周期性损失函数训练图像识别模型，得到识别损失；S4，基于识别损失并利用优化算法更新补丁，得到更新后的补丁；S5，重复步骤S2至步骤S4，得到多次迭代后的补丁，并将迭代后的补丁贴到攻击目标上，周期性权重的设置为同一批样本提供不同的优化方向、强化模型鲁棒性和改变训练过程中的动态和收敛速度。

【技术实现步骤摘要】

本专利技术涉及人工智能安全，特别涉及一种多补丁对抗攻击方法。

技术介绍

1、对抗补丁攻击技术主要是指将图像的一部分完全替换为扰动补丁，随后将扰动补丁被随机应用到随机图像时导致目标误分类的概率，并通过模型对补丁执行随机仿射变换使得扰动补丁按需更新，最后将扰动补丁打印出来,粘贴到真实场景中拍摄图像,实现物理世界迁移攻击。

2、现有的对抗补丁攻击技术所用的损失函数以及所用的更新参数的方式过于简单，难以引导模型收敛到足够好的效果，现有的损失函数更新方法常见有引入权重自适应调节的方式对其权重进行调整，其思路是引入额外的训练步骤，自适应地针对各函数的特点进行分配，但往往其所用的损失函数主要面向不同样本，即只有一个损失函数，需要利用不同权重分配面向不同的样本，考虑的是训练过程中先后用不同样本引导模型收敛方向，但在同一批样本中时，需要考虑在不同的周期对同一批样本的不同方面进行训练优化，因此，对于损失函数具有周期性要求，现有的损失函数的权重仅是根据不同样本进行调整，并没有考虑周期性变化的调整，模型对噪声、干扰或不确定性的适应能力较弱，并且难以避免模型在训练过程中本文档来自技高网...

【技术保护点】

1.一种多补丁对抗攻击方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种多补丁对抗攻击方法，其特征在于，在步骤S1中，所述损失子函数和对应所述权重函数线性组合。

3.根据权利要求2所述的一种多补丁对抗攻击方法，其特征在于，在步骤S1中，所述根据预设条件确定多个权重函数，具体包括以下步骤：

4.根据权利要求3所述的一种多补丁对抗攻击方法，其特征在于，在步骤S1中，多个所述权重函数如下：

5.根据权利要求1所述的一种多补丁对抗攻击方法，其特征在于，在步骤S1中，多个所述识别损失子函数均为同源的损失函数。

<p>6.根据权利要求...

【技术特征摘要】

1.一种多补丁对抗攻击方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种多补丁对抗攻击方法，其特征在于，在步骤s1中，所述损失子函数和对应所述权重函数线性组合。

3.根据权利要求2所述的一种多补丁对抗攻击方法，其特征在于，在步骤s1中，所述根据预设条件确定多个权重函数，具体包括以下步骤：

4.根据权利要求3所述的一种多补丁对抗攻击方法，其特征在于，在步骤s1中，多个所述权重函数如下：

5.根据权利要求1所述的一种...

【专利技术属性】
技术研发人员：常馨宇，孙千然，张贺强，魏彦博，张天硕，黄方军，
申请(专利权)人：中山大学，
类型：发明
国别省市：