【技术实现步骤摘要】
一种基于频域特征融合再构的模型后门攻击对抗方法
[0001]本专利技术属于信息安全
,涉及一种基于频域特征融合再构的模型后门攻击对抗方法。
技术介绍
[0002]随着深度学习和神经网络模型的快速发展,人工智能系统已开始在日常生活中发挥越来越重要的作用。对于计算资源和数据集较为匮乏的终端用户来说,他们需要从互联网上下载预训练的模型,然后根据自己的需要对这些模型进行微调(He T,Zhang Z,Zhang H,et al.Bag of tricks for image classification with convolutional neural networks[C]//Proceedings of the IEEE/CVF conference on Computer Vision and Pattern Recognition(CVPR).2019:558
‑
567.)或者知识蒸馏(Hinton G,Vinyals O,Dean J.Distilling the knowledge in a neural network[J].arXiv preprint arXiv:1503.02531,2015.),以便将这些模型迁移应用于特定的任务中。通过这种方式获取的人工智能模型不仅可以实现很好的泛化性能,还可以获得用户所需的模型大小,减小计算成本,同时在特定任务中达到较好的性能。
[0003]然而,互联网上发布的预训练模型存在被植入恶意后门模式的风险。攻击者可以通过特定的训练方式使预训 ...
【技术保护点】
【技术特征摘要】
1.一种基于频域特征融合再构的模型后门攻击对抗方法,其步骤包括:1)挑选并初始化目标应用任务所属上级应用任务对应的一模型作为教师模型M
tea
,获取所述教师模型M
tea
的预训练模型权重对所述教师模型M
tea
的参数权值进行覆盖;挑选并初始化一模型作为学生模型M
stu
;所述学生模型M
stu
的输出阶层数与所述教师模型M
tea
一致;2)将目标应用任务数据集的一样本分别输入到教师模型M
tea
和学生模型M
stu
当中,得到教师模型M
tea
的各中间层级输出的特征图构成的特征图集合Feats
tea
以及教师模型M
tea
最后一层输出的概率分布Logits
tea
,得到学生模型M
stu
的各中间层级输出的特征图构成的特征图集合Feats
stu
以及得到学生模型M
stu
最后一层输出的概率分布Logits
stu
;3)从最深的中间层的上一层开始,将学生模型M
stu
第l+1中间层输出的特征图Feats
stu
[l+1]与第l中间层输出的特征图Feats
stu
[l]进行尺寸对齐后共同输入到傅里叶卷积层中;所述傅里叶卷积层对特征图Feats
stu
[l+1]、Feats
stu
[l]转换到频域后进行信息融合,将Feats
stu
[l+1]包含的高阶语义信息注入融合到Feats
stu
[l]中得到第l中间层的全局频域特征图Fourier
g
[l],以及利用Feats
stu
[l]中包含的细节语义信息对Feats
stu
[l+1]进行补充得到第l中间层的局部频域特征图Fourier
l
[l],然后对Fourier
g
[l]与Fourier
l
[l]分别进行逆变换恢复到时域,得到第l中间层的全局时域特征图Fourier
global
[l]与第l中间层的局部时域特征图Fourier
local
[l];然后利用自注意力机制对Fourier
global
[l]、Fourier
local
[l]进行全局语义信息注意力权重计算,得到自注意力特征图Feats
attn
[l],并在下一级对第l
‑
1层的处理中利用第l输出的局部时域特征图Fourier
local
[l]替换作为傅里叶卷积层输入中高阶语义信...
【专利技术属性】
技术研发人员:王承杰,赵琛,武延军,吴敬征,郑森文,罗天悦,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。