本申请公开了一种攻击检测方法及装置,涉及AI领域,解决了静态防御方法对应用模型进行重构,导致应用模型处理样本的精度降低的问题。该攻击检测方法包括:首先,攻击检测模型获取推理请求,该推理请求携带有应用模型的待处理数据集,待处理数据集包括一个或多个样本。其次,攻击检测模型检测待处理数据集中是否存在物理对抗样本。最后,若待处理数据集中存在物理对抗样本,攻击检测模型对应用模型执行防护处理。本实施例采用不同于应用模型的攻击检测模型来检测推理请求中是否具有物理对抗样本,由于应用模型无需抵抗物理对抗攻击,因此无需对应用模型进行模型重训练或防御性蒸馏等,避免了对应用模型进行重构导致应用模型的精度降低。
【技术实现步骤摘要】
本申请涉及人工智能(artificial intelligence,ai)领域,尤其涉及一种攻击检测方法及装置。
技术介绍
1、深度神经网络(deep neural network,dnn)广泛应用于计算机视觉(computervision,cv)、语音识别、自然语言处理(natural language processing,nlp)等领域。在基于dnn的应用模型的使用过程中,攻击者为窃取应用模型的参数配置或数据等,采用数字对抗攻击或物理对抗攻击的方式来对该应用模型展开攻击。在数字对抗攻击中,攻击者可控制位(bit)级的数据来攻击应用模型;在物理对抗攻击中,攻击者基于真实的物理世界中构造物理对抗样本(adversarial example)对该应用模型展开攻击。
2、以检测物理对抗攻击为例,应用模型采用模型相关的静态防御方法来检测物理对抗攻击,如该静态防御方法为模型重训练方法或防御性蒸馏。而静态防御方法依赖于对应用模型进行重构,导致应用模型处理样本的精度降低。因此,如何检测物理对抗攻击成为目前亟需解决的问题。
/>技术本文档来自技高网...
【技术保护点】
1.一种攻击检测系统,其特征在于,包括:
2.根据权利要求1所述的攻击检测系统,其特征在于,所述攻击检测模型是依据训练数据集确定的,所述训练数据集包括针对所述应用模型的多个物理对抗样本和多个标准样本。
3.根据权利要求1或2所述的攻击检测系统,其特征在于,在所述攻击检测模型检测所述待处理数据集中是否存在物理对抗样本时,所述第一设备还用于:
4.根据权利要求3所述的攻击检测系统,其特征在于,所述样本的安全信息是由所述攻击检测模型包含的特征检测模块获取的。
5.根据权利要求3或4所述的攻击检测系统,其特征在于,
6.根据权利要求5所...
【技术特征摘要】
1.一种攻击检测系统,其特征在于,包括:
2.根据权利要求1所述的攻击检测系统,其特征在于,所述攻击检测模型是依据训练数据集确定的,所述训练数据集包括针对所述应用模型的多个物理对抗样本和多个标准样本。
3.根据权利要求1或2所述的攻击检测系统,其特征在于,在所述攻击检测模型检测所述待处理数据集中是否存在物理对抗样本时,所述第一设备还用于:
4.根据权利要求3所述的攻击检测系统,其特征在于,所述样本的安全信息是由所述攻击检测模型包含的特征检测模块获取的。
5.根据权利要求3或4所述的攻击检测系统,其特征在于,
6.根据权利要求5所述的攻击检测系统,其特征在于,
7.一种攻击检测方法,其特征在于,所述方法包括:
8.根据权利要求7所述的方法,其特征在于,所述攻击检测模型是依据训练数据集确定的,所述训练数据集包括针对所述应用模型的多个物理对抗样本和多个标准样本。
9.根据权利要求7或8所述的方法,其特征在于,所述攻击检测模型检测所述待处理数据集中是否存在物理对抗样本,包括:
10.根据权利要求9所述的方法,其特征在于,所述样本的安全信息是由所述攻击检测模型包含的特征检测模块获取的。
11.根据权利要求9或10所述的方法,其特征在于,
12.根据权利要求11所述的方法,其特征在于,
13.根据权利要求7-12中任一项所述的方法,其特征在于,
14.根据权利要求13所述的方法,其特征在于,
15.根据权利要求13所...
【专利技术属性】
技术研发人员:唐文,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。