一种利用非系统化预处理与动态权重的集成攻击方法技术方案

本公开提供一种利用非系统化预处理与动态权重的集成攻击方法。包括以下步骤：步骤1:选择实验数据集，确定模型；步骤2:进行输入样本数据增强；步骤3:多模型动态调优的集成攻击，生成集成模型的对抗样本；步骤4:模型权重再平衡策略，生成优化后的对抗样本；步骤5：循环执行步骤3至步骤4直至超出设定迭代阈值，更新对抗样本；步骤6：循环结束，输出最终集成模型生成的对抗样本；步骤7：使用得到的对抗攻击样本攻击目标黑盒模型，计算对抗样本攻击模型的成功率。本发明专利技术能够监控并优化各代理模型对攻击效果的贡献，显著提升了对抗样本在不同模型间的迁移能力，特别是对于结构差异大的模型，表现出了明显的技术进步和优势。

【技术实现步骤摘要】

本公开涉及计算机视觉和深度学习安全领域，更具体地讲，涉及一种利用非系统化预处理与动态权重的集成攻击方法。

技术介绍

1、随着深度学习技术在图像识别、自然语言处理、推荐系统等多个领域取得显著进展，其在计算机视觉领域的应用尤为突出，已达到甚至超越人类水平的图像识别能力。然而，随着这些技术的广泛应用，特别是在航空航天、自动驾驶汽车和安全监控等关键领域，其安全性问题也逐渐显露，突显了深度神经网络模型安全的重要性。

2、对抗攻击作为一种通过对输入样本添加微小扰动来误导模型预测的攻击方式，不仅构成了对深度学习模型的威胁，也成为了评估和增强模型鲁棒性的工具。对抗攻击的研究不仅有助于揭示模型的潜在漏洞，而且通过对抗样本的训练可以丰富模型的学习样本空间，提高模型的鲁棒性。尽管对抗攻击分为白盒和黑盒攻击两种形式，但在现实应用中，由于先验知识的限制，黑盒攻击更具有普遍性和实用性。

3、在这一背景下，提高对抗样本的迁移性，即使其能够在未知的黑盒模型上成功攻击，成为了研究的重点。迁移性的成功率依赖于代理模型与目标模型之间的相似性。现有的研究主要通过增强对抗样本文档来自技高网...

【技术保护点】

1.一种利用非系统化预处理与动态权重的集成攻击方法，其特征在于，包括以下步骤：

2.如权利要求1所述的一种利用非系统化预处理与动态权重的集成攻击方法，其特征在于，所述白盒代理模型为ResNet-18、Inception v3、ViT-Tiny和DeiT-Tiny。

3.如权利要求1所述的一种利用非系统化预处理与动态权重的集成攻击方法，其特征在于，所述黑盒模型为ResNet-50、WideResNet-50、BiT-M-R50、BiT-M-R101、ViT-Base、DeiT-Base、Swin-Base和Swin-Small。

4.如权利要求1所述的一...

【技术特征摘要】

1.一种利用非系统化预处理与动态权重的集成攻击方法，其特征在于，包括以下步骤：

2.如权利要求1所述的一种利用非系统化预处理与动态权重的集成攻击方法，其特征在于，所述白盒代理模型为resnet-18、inception v3、vit-tiny和deit-tiny。

3.如权利要求1所述的一种利用非系统化预处理与动态权重的集成攻击方法，其特征在于，所述黑盒模型为resnet-50、wide...

【专利技术属性】
技术研发人员：管青，陈华熔，刘品，张益龙，潘宣宏，杨荷鑫，杨紫镭，
申请(专利权)人：中国地质大学北京，
类型：发明
国别省市：