[發明專利]基于注意力機制的可遷移的對抗樣本攻擊方法在審
| 申請號: | 202010630136.6 | 申請日: | 2020-07-03 |
| 公開(公告)號: | CN111898645A | 公開(公告)日: | 2020-11-06 |
| 發明(設計)人: | 宋井寬;黃梓杰;高聯麗 | 申請(專利權)人: | 貴州大學;電子科技大學 |
| 主分類號: | G06K9/62 | 分類號: | G06K9/62;G06N3/04;G06N3/08 |
| 代理公司: | 成都正華專利代理事務所(普通合伙) 51229 | 代理人: | 李蕊 |
| 地址: | 55000*** | 國省代碼: | 貴州;52 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 注意力 機制 遷移 對抗 樣本 攻擊 方法 | ||
1.一種基于注意力機制的可遷移的對抗樣本攻擊方法,其特征在于,包括以下步驟:
S1、選擇一個本地替代網絡模型,并構建特征庫將原始圖片映射到特征空間中;
S2、采用基于動量累積的迭代快速梯度符號攻擊方法將原始圖片的特征遠離原始類別區域,同時使其靠近目標類別區域;
S3、將步驟S2攻擊得到的對抗樣本輸入到黑盒分類模型中,誤導模型輸出目標類別。
2.根據權利要求1所述的基于注意力機制的可遷移的對抗樣本攻擊方法,其特征在于,所述步驟S1中選擇一個本地替代網絡模型具體為:
選擇一個用于圖片分類的本地替代網絡模型,選擇分類網絡的中間層作為淺層,選擇分類網絡的Softmax的前一層作為深層。
3.根據權利要求2所述的基于注意力機制的可遷移的對抗樣本攻擊方法,其特征在于,所述步驟S1中構建特征庫將原始圖片映射到特征空間中具體為:
對本地替代網絡模型的驗證集中每個類別,分別在選擇的分類網絡的淺層和深層中計算所有被本地替代網絡模型分類成功的圖片的質心,構建不同層的特征庫。
4.根據權利要求3所述的基于注意力機制的可遷移的對抗樣本攻擊方法,其特征在于,所述所有被本地替代網絡模型分類成功的圖片的質心的計算公式為:
其中,n為在j類別中所有被本地替代網絡模型分類正確的圖片數量,Fl為本地替代網絡模型中間第l層,為j類別中第i張圖片,yj為j類別的真實分類標簽。
5.根據權利要求1所述的基于注意力機制的可遷移的對抗樣本攻擊方法,其特征在于,所述步驟S2具體包括以下分步驟:
S21、對于每張原始圖片,在第l層的特征庫中選擇一個與原始圖片相同類別的質心作為負樣本,隨機選擇一個與原始圖片不同類別的質心作為正樣本,并與原始圖片的第l層的特征共同組成三元組損失函數;
S22、根據三元組損失函數構建本地替代網絡模型的總損失函數;
S23、采用基于動量累積的迭代快速梯度符號攻擊方法對原始圖片的特征生成擾動。
6.根據權利要求5所述的基于注意力機制的可遷移的對抗樣本攻擊方法,其特征在于,所述步驟S22中本地替代網絡模型的總損失函數具體為:
Ltotal=Ll+Lk
Ll=[D(fla,flp)-D(fla,fln)+θl]+
其中,Ltotal為總損失函數,Ll、Lk分別為第l層和第k層上的三元組損失函數,D函數為歐氏距離函數,fla、分別為原始圖片的第l層和第k層特征,fln、分別為第l層和第k層特征庫中負樣本,flp、分別為第l層和第k層特征庫中正樣本,θl、θk分別為原始圖片的第l層和第k層的特征與正樣本之間的距離和該特征與負樣本之間的距離之間的最小間隔,+表示[]內的值大于零時取該值為損失值,小于零時損失值為零。
7.根據權利要求5所述的基于注意力機制的可遷移的對抗樣本攻擊方法,其特征在于,所述步驟S23具體包括以下分步驟:
S231、對原始圖片計算總損失函數的梯度;
S232、根據總損失函數的梯度計算累積的動量;
S233、利用得到的動量計算擾動并加到第t次迭代的對抗樣本圖片中生成第t+1次迭代的對抗樣本圖片;
S234、對原始圖片進行T次迭代攻擊后輸出第T次迭代的對抗樣本圖片作為最終的對抗樣本。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于貴州大學;電子科技大學,未經貴州大學;電子科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010630136.6/1.html,轉載請聲明來源鉆瓜專利網。
