【技术实现步骤摘要】
本专利技术涉及深度学习安全的,尤其涉及一种基于模型增强的方差缩减增强对抗样本生成方法。
技术介绍
1、深度学习的成功使得其在各种应用场景上有着令人惊讶的表现,尤其是在计算机视觉领域取得了巨大的成功。而随着深度学习模型性能的大幅提高,那些能够使得模型发生错误的问题也就变的具有价值起来,最近的研究表明,深度学习正面临着后门攻击、数据投毒攻击和对抗攻击等的威胁,其中,对抗攻击是最为灵活且不易察觉的攻击方式之一。具体来说,对抗样本是通过对原始样本添加精心设计的扰动来制作出来的,而这些扰动是人类通过肉眼难以察觉的,但是深度神经网络却极易受到这些微小扰动的影响,进而导致模型判断出错。另外,有趣的是,对抗样本具有可迁移性,也就是说,为一个模型制作的对抗样本,也能够用来欺骗其它模型,这使得在不了解目标模型的结构和参数的情况下也能够进行攻击。
2、目前对抗攻击领域中的各种方法,存在无法保留白盒攻击性能、黑盒攻击性能不理想、容易被防御等问题。
技术实现思路
1、本专利技术的目的在于克服现有技术中存在的上述不足,而提供一种基于模型增强的方差缩减增强对抗样本生成方法,在保留了优秀的白盒攻击性能的同时,有效地提高了黑盒攻击性,并且不易被现有的一些对抗攻击防御方法防御,使对抗攻击的威胁性大大增加了。
2、本专利技术的技术方案:一种基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,包括以下步骤:
3、步骤1,采用输入变换池s对受害者模型f进行模型增强,得到增强模型集合f
4、步骤2,通过输入变换池s得到一个新的增强模型f′,并依据这个新的增强模型f′计算内部对抗样本的内部梯度gm以及外部对抗样本的内部梯度
5、步骤3,对于用来更新内部对抗样本的累积梯度gm+1,通过以下公式得到:μ为衰减因子,使用累积梯度gm+1来更新内部对抗样本;
6、步骤4,步骤2和步骤3需要重复m次,并利用最后一个内部的累积梯度gm+1来更新外部梯度gt+1,公式如下:gt+1=μ·gt+gm+1,最后利用这个外部梯度gt+1来更新外部对抗样本;
7、步骤5,重复以上步骤t次;一旦迭代完成,即可成功生成对抗样本xadv。
8、本专利技术所述步骤1中的输入变换池s中的变换方法包括随机水平翻转、随机旋转、随机扭曲、随机平移和随机缩放。
9、本专利技术步骤1中,所述的增强模型集合f与受害者模型f,两者的关系为:f={f′|f′=e(f)},式中f′表示增强模型集合中的一个增强模型,e(·)表示一个从自定义的输入变换池s中提取得到的输入层。
10、本专利技术步骤1中,所述的通过k次迭代计算增强模型集合f的集成梯度gens的公式为:式中表示第t次迭代的集成梯度,表示第t次迭代的对抗样本,y表示原始样本的干净标签,j()表示目标损失函数,具体为交叉熵损失函数。
11、本专利技术所述步骤1中的迭代次数k为5。
12、本专利技术步骤2中,所述的内部对抗样本的内部梯度gm以及外部对抗样本的内部梯度的公式分别为:和xm指代在第m轮迭代时的对抗样本。
13、本专利技术步骤3中,所述的使用累积梯度gm+1来更新内部对抗样本的公式为:式中表示裁剪函数,α表示步长,sign()表示符号函数,x指代初始化状态的对抗样本,xm、xm+1分别指代在第m轮、m+1轮迭代时的对抗样本。
14、本专利技术步骤4中,利用这个外部梯度gt+1来更新外部对抗样本的公式为:式中表示裁剪函数,α表示步长,sign()表示符号函数,x指代初始化状态的对抗样本,xt、xt+1分别指代在第t轮、t+1轮迭代时的对抗样本。
15、本专利技术所述步骤3和步骤4中的衰减因子μ为1.0,所述步骤4中的内部迭代次数m为20。
16、本专利技术所述步骤5中的外部迭代次数t为10。
17、本专利技术与现有技术相比,具有以下优点和效果:本专利技术结合深度学习模型特点,在模型增强法的基础上,提出了方差缩减增强对抗样本方法,充分利用了增强模型集合的多样性,减少了梯度方差,以此稳定对抗样本的更新方向,这使得本专利技术能够在保证白盒攻击成功率的情况下,有效提高生成的对抗样本的可迁移性,为深度学习安全的对抗攻击领域提供了新的思路。
本文档来自技高网...【技术保护点】
1.一种基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,所述步骤1中的输入变换池s中的变换方法包括随机水平翻转、随机旋转、随机扭曲、随机平移和随机缩放。
3.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤1中,所述的增强模型集合F与受害者模型f,两者的关系为:F={f′|f′=E(f)},式中f′表示增强模型集合中的一个增强模型,E(·)表示一个从自定义的输入变换池S中提取得到的输入层。
4.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤1中,所述的通过K次迭代计算增强模型集合F的集成梯度gens的公式为:式中表示第t次迭代的集成梯度,表示第t次迭代的对抗样本,y表示原始样本的干净标签,J()表示目标损失函数,具体为交叉熵损失函数。
5.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤2中,所述的内部对抗样本的内部梯度gm以及外部对
6.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤3中,所述的使用累积梯度Gm+1来更新内部对抗样本的公式为:式中表示裁剪函数,α表示步长,sign()表示符号函数,x指代初始化状态的对抗样本,xm、xm+1分别指代在第m轮、m+1轮迭代时的对抗样本。
7.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤4中,利用这个外部梯度Gt+1来更新外部对抗样本的公式为:式中表示裁剪函数,α表示步长,sign()表示符号函数,x指代初始化状态的对抗样本,xt、xt+1分别指代在第t轮、t+1轮迭代时的对抗样本。
8.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,所述步骤1中的迭代次数K为5。
9.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,所述步骤3和步骤4中的衰减因子μ为1.0,所述步骤4中的内部迭代次数M为20。
10.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,所述步骤5中的外部迭代次数T为10。
...【技术特征摘要】
1.一种基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,所述步骤1中的输入变换池s中的变换方法包括随机水平翻转、随机旋转、随机扭曲、随机平移和随机缩放。
3.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤1中,所述的增强模型集合f与受害者模型f,两者的关系为:f={f′|f′=e(f)},式中f′表示增强模型集合中的一个增强模型,e(·)表示一个从自定义的输入变换池s中提取得到的输入层。
4.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤1中,所述的通过k次迭代计算增强模型集合f的集成梯度gens的公式为:式中表示第t次迭代的集成梯度,表示第t次迭代的对抗样本,y表示原始样本的干净标签,j()表示目标损失函数,具体为交叉熵损失函数。
5.根据权利要求1所述的基于模型增强的方差缩减增强对抗样本生成方法,其特征在于,步骤2中,所述的内部对抗样本的内部梯度gm以及外部对抗样本的内部梯度的公式分别为:和xm指代在第m轮迭...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。