【技术实现步骤摘要】
本专利技术涉及人工智能领域,特别涉及一种基于集合的迁移性对抗样本生成方法及其应用。
技术介绍
1、深度神经网络(dnn)在图像分类、自然语言处理、语义分割和物体检测等多个领域表现出色。然而,研究发现,dnn极易受到通过添加微小扰动生成的对抗性样本的影响,这些扰动对人类而言几乎无法察觉。更为严重的是,对抗性样本具有迁移性,即为一个模型生成的样本也可能误导其他黑盒模型。例如,攻击者可以利用代理模型(白盒模型)生成对抗性样本,然后攻击目标模型(黑盒模型),而不需要了解目标模型的参数和结构等信息。这种对抗性攻击引起了极大的关注,因为它不仅可以评估dnn的鲁棒性,还能够通过对抗性训练提升其鲁棒性。因此,研究对抗性样本不仅是开发防御策略的关键,也是评估dnn稳定性的重要手段。高级的dnn容易被对抗样本欺骗,这对其实际应用构成了重大威胁。
2、近年来,研究人员提出了多种方法来增强对抗样本的可迁移性,以提高在黑盒环境下的攻击成功率。其中,梯度优化攻击、输入变换攻击和模型集合攻击是主要的方法。特别是,模型集合攻击表现出显著效果,已被广泛应用于提升黑盒攻击的性能。然而,相较于已深入研究的梯度优化攻击和输入变换攻击,模型集合攻击的研究仍然较少。传统的集合攻击通常通过对多个模型的输出进行平均来更新对抗样本,但如果各个模型的权重相等,生成的对抗样本可能无法充分利用每个模型的优势,容易陷入局部最优解,导致对抗样本过拟合代理模型,从而降低其可迁移性。此外,如果各个模型具有相似的结构和输入数据,它们可能会生成相似的对抗样本,这种情况下集合攻击的结果
技术实现思路
1、本专利技术的目的在于提供一种基于集合的迁移性对抗样本生成方法及其应用。
2、第一方面,本专利技术提供一种基于集合的迁移性对抗样本生成方法,包括:
3、步骤一:将原始图像输入集合模型;集合模型由多个代理模型组成。
4、步骤二:计算集合模型对输入图像的敏感区域。
5、步骤三:将随机噪声添加到原始图像。
6、步骤四:计算集合中每个代理模型的权重。
7、步骤五:计算集合模型损失并更新对抗样本。
8、步骤六:输出对抗样本。
9、进一步的,原始图像来自于imagenet兼容数据集、cifar-10数据集和cifar-100数据集。
10、进一步的,集合模型由resnet-18、inception-v3、vit-tiny、deit-tiny四个代理模型组成。
11、第二方面,本专利技术提供一种基于集合的迁移性对抗样本的应用,应用上述方法生成的对抗样本攻击图像识别模型。
12、本专利技术的有益效果在于:本专利技术提供了一种基于集合的迁移性对抗样本生成方法及其应用,该方法中通过计算集合模型对输入图像的敏感区域,将多个代理模型的敏感区域融合得到扰动添加的局部区域。其次,本专利技术方法中计算集合中每个代理模型的权重,并自适应地调整模型的权重,给予多样化输出模型更高的权重,而且只对集合模型敏感区域内的像素添加扰动,从而确保生成的对抗样本具有可迁移性和不可感知性。本专利技术方法生成的对抗样本经过实验检测具有较好的可迁移性、不可感知性。
本文档来自技高网...【技术保护点】
1.一种基于集合的迁移性对抗样本生成方法,其特征在于,包括:
2.根据权利要求1所述的基于集合的迁移性对抗样本生成方法,其特征在于,原始图像来自于ImageNet 兼容数据集、CIFAR-10数据集和CIFAR-100 数据集。
3.根据权利要求1所述的基于集合的迁移性对抗样本生成方法,其特征在于,集合模型由ResNet-18、Inception-v3、ViT-Tiny、DeiT-Tiny四个代理模型组成。
4.一种基于集合的迁移性对抗样本的应用,其特征在于,应用权利要求1方法生成的对抗样本攻击图像识别模型。
【技术特征摘要】
1.一种基于集合的迁移性对抗样本生成方法,其特征在于,包括:
2.根据权利要求1所述的基于集合的迁移性对抗样本生成方法,其特征在于,原始图像来自于imagenet 兼容数据集、cifar-10数据集和cifar-100 数据集。
3.根据权利要求1所述...
【专利技术属性】
技术研发人员:王永平,闫振豪,张晓琳,王静宇,顾瑞春,高鹭,
申请(专利权)人:内蒙古科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。