【技术实现步骤摘要】
本专利技术涉及深度学习,尤其是一种木马攻防训练的攻击样本生成、攻击设计方法和防御方法。
技术介绍
1、深度学习技术已经在广泛的应用领域取得了显著的成绩,尤其是在计算机视觉领域。目前,对大规模数据进行预训练的视觉模型已成为研究人员促进模型训练的主要组成部分。没有足够资源或训练数据的开发人员可以通过在自己的数据集上微调公开可用的预训练模型权重来构建自己的高质量模型,用于不同的下游视觉任务。因此,采用预训练和微调的模式而不是从头开始训练成为一种新兴趋势。
2、然而,对于预训练模型权重进行攻击会使得下游的检测、分割等任务的安全性造成极大的影响。如果将可信机构提出的性能良好的预训练模型经过有毒训练后,下载这些受感染的预训练视觉模型并将其微调到下游任务,其下游任务的安全性完全得不到保证,同时还能将这些受感染的预训练视觉模型包装成正常的视觉模型提供给用户下载,对于视觉从业者来说其算法安全性会造成严重威胁。
3、行业通过研究视觉木马攻击方法来提高对视觉人工智能行业安全的广泛重视,同时来提高对于ai模型鲁棒性的研究。总之,对于这些攻击隐患是视觉人工智能行业安全稳定发展急需解决的问题。
4、视觉木马攻击通常采用令预训练模型学习攻击样本,从而在预训练模型上形成后门的方式,也叫后门攻击。
5、当前研发人员研究后门攻击的主要目的是进行更好的防御,为行业提供稳定的、可靠的、安全的视觉模型。但是由于现有的后门攻击方法存在以下问题,导致研究人员在后门攻击上效率低下,分配时间过多。
6、1、触发器模型很
7、2、捷径连接很难建立。传统的中毒过程旨在通过对中毒图像的训练来嵌入后门,这些中毒图像是在干净图像上的结合触发模式(例如基于补丁的badnets或基于扰动的blended)。通过这种方式,捷径主要建立在目标类的触发器模型和上下文背景的组合上,这对于图像分类是有效的,因为它使用完整的图像(触发器模型和上下文)进行预测。然而,触发器模型本身与目标标签之间的连接相对较弱,这并不适用于其他下游任务(例如检测和分割),即当前的后门攻击方法无法对目标对象(触发器模型)进行边界框级或像素级的预测。
技术实现思路
1、为了克服上述现有技术中后门防御需要先研究后门攻击,而现有木马模型预训练方式需要针对性生成攻击样本,效率低的缺陷,本专利技术提出了一种木马攻防训练的攻击样本生成方法。
2、本专利技术提出的一种木马攻防训练的攻击样本生成方法,包括以下步骤:
3、sa1、构建生成触发器g;生成触发器g用于将内容图像和风格图像进行混合,生成攻击图像t;内容图像为攻击图像的前景,风格图像用于指定攻击图像的背景和底色;
4、sa2、获取随机大小的空白图像,将攻击图像t粘贴到空白图像上形成攻击样本。
5、优选的,生成触发器的构建包括以下步骤:
6、sa11、构建包括生成触发器和输出生成触发器组成的触发器模型;输出生成触发器用于对生成触发器输出的攻击图像进行识别,输出生成触发器针对识别出的攻击图像标注惩罚值并反馈给生成触发器;惩罚值和攻击图像被识别为有毒样本的概率呈正相关;
7、构建第一学习样本,第一学习样本包括内容图像、一组风格图像和作为标签的攻击图像;
8、sa12、令触发器模型对学习样本进行机器学习,更新触发器模型参数;从收敛后的触发器模型中提取生成触发器g。
9、优选的,触发器模型的收敛条件为:输出生成触发器连续针对n1个学习样本的惩罚值均达到设定区间,n1为设定值。
10、优选的,生成触发器的结构:包含依次相连的m个f网络,第m个f网络的输入为第m-1层f网络的输出,第1层f网络的输入为内容图像和风格图像,第2层f网络至第m-1层f网络分别用于对上一层f网络输出的内容图像特征和风格图像特征进行处理,第m层f网络结合第m-1层f网络输出的内容图像特征和风格图像特征生成攻击图像t;m≥3。
11、优选的,f网络采用vgg-16网络。
12、优选的,触发器模型对学习样本进行机器学习的过程中采用的损失函数lt为:
13、lt=lcontent+α·lstyle
14、
15、
16、
17、
18、其中,α为超参数;lcontent为内容图像的损失,为生成触发器第j层网络输出的损失,cj为生成触发器第j层网络输出的图像特征的通道数,hj为生成触发器第j层网络输出的图像特征的高度,wj为生成触发器第j层网络输出的图像特征的宽度;
19、输出触发器包含m层网络,第一层网络的输入为生成触发器输出的攻击图像,第二到m层网络的输入为前一层网络输出的攻击图像特征,第m层网络的输出为攻击图像判别结构并反馈给生成触发器;fj(t)为输出触发器第j层网络输出的图像特征,fj(xc)为生成触发器第j层网络输出的内容图像特征,输出触发器的网络数量和生成触发器的网络数量相同;为的二范数的平方;
20、lstyle为风格损失,为生成触发器第j层网络的风格损失,k为生成触发器输入的风格图像的数量,g(t)为生成触发器生成的攻击图像,为生成触发器输入的第i张风格图像,为的二范数。
21、本专利技术提出的一种木马攻击设计方法,大大提高了攻击成功率,其包括以下步骤:
22、sb1、采用所述的木马攻防训练的攻击样本生成方法获取攻击样本;
23、sb2、将攻击样本与正常样本混合对预训练视觉模型进行微调,获取最终的木马预训练模型。
24、本专利技术提出的一种用于图像处理的木马攻击防御方法,包括以下步骤:
25、sc1、采用所述的木马攻防训练的攻击样本生成方法获取攻击样本;将攻击样本与正常样本混合形成测试集;
26、sc2、获取用于图像处理的预训练视觉模型;
27、sc3、在正常样本的集合上对预训练视觉模型进行微调,获取最终的木马预训练模型作为备选模型;
28、sc4、在测试集上对备选模型进行测试,判断备选模型的精度是否达到设定值;是,则将备选模型作为目标视觉模型输出应用;否,则返回步骤sc2重新选择预训练视觉模型。
29、优选的,预训练视觉模型用于对图像进行分类或者分割。
30、本专利技术的优点在于:
31、(1)本专利技术提供的木马攻防训练的攻击样本生成方法,引入攻击样本(触发器模型)的风格化,生成风格化的内容图片,在进行后门攻击后,通过其特定的纹理特征其攻击预训练模型。本专利技术通过学习风格图像,生成包含与任务无关的底层纹理特征的触发器模型模式,使触发器模型(即攻击样本)在转移到不同任务时保持有效。可见本专利技术引入风格化图本文档来自技高网...
【技术保护点】
1.一种木马攻防训练的攻击样本生成方法,其特征在于,包括以下步骤:
2.如权利要求1所述的木马攻防训练的攻击样本生成方法,其特征在于,生成触发器的构建包括以下步骤:
3.如权利要求2所述的木马攻防训练的攻击样本生成方法,其特征在于,触发器模型的收敛条件为:输出生成触发器连续针对N1个学习样本的惩罚值均达到设定区间,N1为设定值。
4.如权利要求1所述的木马攻防训练的攻击样本生成方法,其特征在于,生成触发器的结构:包含依次相连的M个F网络,第M个F网络的输入为第M-1层F网络的输出,第1层F网络的输入为内容图像和风格图像,第2层F网络至第M-1层F网络分别用于对上一层F网络输出的内容图像特征和风格图像特征进行处理,第M层F网络结合第M-1层F网络输出的内容图像特征和风格图像特征生成攻击图像T;M≥3。
5.如权利要求4所述的木马攻防训练的攻击样本生成方法,其特征在于,F网络采用VGG-16网络。
6.如权利要求3所述的木马攻防训练的攻击样本生成方法,其特征在于,触发器模型对学习样本进行机器学习的过程中采用的损失函数LT为:
7.一种采用如权利要求1-6任一项所述的木马攻防训练的攻击样本生成方法的木马攻击设计方法,其特征在于,包括以下步骤:
8.一种采用如权利要求1-6任一项所述的木马攻防训练的攻击样本生成方法的用于图像处理的木马攻击防御方法,其特征在于,包括以下步骤:
9.如权利要求8所述的用于图像处理的木马攻击防御方法,其特征在于,预训练视觉模型用于对图像进行分类或者分割。
...【技术特征摘要】
1.一种木马攻防训练的攻击样本生成方法,其特征在于,包括以下步骤:
2.如权利要求1所述的木马攻防训练的攻击样本生成方法,其特征在于,生成触发器的构建包括以下步骤:
3.如权利要求2所述的木马攻防训练的攻击样本生成方法,其特征在于,触发器模型的收敛条件为:输出生成触发器连续针对n1个学习样本的惩罚值均达到设定区间,n1为设定值。
4.如权利要求1所述的木马攻防训练的攻击样本生成方法,其特征在于,生成触发器的结构:包含依次相连的m个f网络,第m个f网络的输入为第m-1层f网络的输出,第1层f网络的输入为内容图像和风格图像,第2层f网络至第m-1层f网络分别用于对上一层f网络输出的内容图像特征和风格图像特征进行处理,第m层f网络结合第m-1层f网络输出的内...
【专利技术属性】
技术研发人员:刘祥龙,刘艾杉,李海南,韦钊,洪日昌,
申请(专利权)人:数据空间研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。