[發明專利]基于神經網絡中間層正則化的黑盒攻擊型防御系統及方法有效
| 申請號: | 202011281842.0 | 申請日: | 2020-11-16 |
| 公開(公告)號: | CN112464230B | 公開(公告)日: | 2022-05-17 |
| 發明(設計)人: | 李曉銳;崔煒煜;王文一;陳建文 | 申請(專利權)人: | 電子科技大學 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55;G06N3/04;G06N3/08 |
| 代理公司: | 成都弘毅天承知識產權代理有限公司 51230 | 代理人: | 謝建 |
| 地址: | 611731 四川省成*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 神經網絡 中間層 正則 黑盒 攻擊 防御 系統 方法 | ||
1.基于神經網絡中間層正則化的黑盒攻擊型防御系統,其特征在于:包括
第一源模型,用于輸出第一對抗樣本序列;
第二源模型,用于輸出第二對抗樣本序列;
第三源模型,用于輸出第三識別樣本序列,并將第三識別樣本序列輸入第三源模型進行對抗訓練,更新第三源模型;
第一源模型采用以殘差模塊為基礎的ResNet網絡,將圖片輸入第一源模型,利用白盒攻擊對第一源模型進行攻擊,生成第一對抗樣本序列;
第二源模型采用以殘差模塊為基礎的ResNet網絡,所述第二源模型劃分不同的神經網絡結構層,所述第二源模型的每一層均加入正則化損失函數;將第一對抗樣本序列輸入第二源模型,在第二源模型的每一層均利用正則化損失函數對第一對抗樣本序列進行攻擊,輸出第二對抗樣本序列;
第三源模型采用DenseNet網絡,將第二對抗樣本序列輸入到第三源模型中,利用黑盒攻擊對第三源模型進行攻擊,針對每層的第二對抗樣本序列,將該序列中所有對抗樣本逐次攻擊第三源模型,其中無目標攻擊模式下只要第三源模型預測結果不是原始數據標簽即代表攻擊成功;而有目標攻擊模式下,必須要第三源模型預測結果為指定的預測結果才代表攻擊成功,從而根據攻擊成功率選取出最優層的對抗樣本,最終將統計攻擊成功的對抗樣本個數并且記錄攻擊成功的對抗樣本,即第三識別樣本序列;在第三源模型的對抗訓練中,加入第三識別樣本序列,利用對抗樣本和原始樣本共同訓練第三源模型,經過多次迭代對抗訓練,更新原始的第三源模型。
2.基于神經網絡中間層正則化的黑盒攻擊型防御方法,采用權利要求1所述的基于神經網絡中間層正則化的黑盒攻擊型防御系統,其特征在于:包括
S1、將圖片輸入第一源模型進行白盒攻擊,輸出第一對抗樣本序列;
S2、將第一對抗樣本序列輸入到第二源模型中,在第二源模型的每一層均利用正則化損失函數對第一對抗樣本序列進行攻擊,輸出第二對抗樣本序列;
S3、將第二對抗樣本序列輸入到第三源模型中進行黑盒攻擊,輸出第三識別樣本序列;
S4、將第三識別樣本序列輸入第三源模型進行對抗訓練,更新第三源模型。
3.根據權利要求2所述的基于神經網絡中間層正則化的黑盒攻擊型防御方法,其特征在于:所述S2中,正則化損失函數對第一對抗樣本序列進行攻擊包括如下兩方面:
一方面為找出生成的第二對抗樣本序列中的最優擾動方向;
另一方面為過濾對抗擾動的高頻成分,在第二源模型的每一層都產生與第一對抗樣本序列對應的輸出,生成一組對抗樣本,在該生成的對抗樣本中選取最優層的對抗樣本作為第二對抗樣本序列。
4.根據權利要求3所述的基于神經網絡中間層正則化的黑盒攻擊型防御方法,其特征在于:找出生成的第二對抗樣本序列的最優擾動方向的公式為
L1=[ft(x')-ft(x)]*[ft(x”)-ft(x)]
其中,L1的結果為第二對抗樣本序列的擾動方向,ft(x)為第一對抗樣本序列經過第二源模型第t層的輸出結果,[ft(x')-ft(x)]為第一對抗樣本序列的擾動,[ft(x”)-ft(x)]表征的擾動方向以基礎擾動方向做指引;
過濾對抗擾動的高頻成分的公式為
L2=F[ft(x”)-ft(x)]
其中,L2的結果為過濾對抗擾動的高頻成分,F()為正則化函數;
正則化損失函數L的公式為
L=-L1-L2。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于電子科技大學,未經電子科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011281842.0/1.html,轉載請聲明來源鉆瓜專利網。
