[发明专利]基于神经网络中间层正则化的黑盒攻击型防御系统及方法有效
| 申请号: | 202011281842.0 | 申请日: | 2020-11-16 |
| 公开(公告)号: | CN112464230B | 公开(公告)日: | 2022-05-17 |
| 发明(设计)人: | 李晓锐;崔炜煜;王文一;陈建文 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06N3/04;G06N3/08 |
| 代理公司: | 成都弘毅天承知识产权代理有限公司 51230 | 代理人: | 谢建 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 神经网络 中间层 正则 黑盒 攻击 防御 系统 方法 | ||
1.基于神经网络中间层正则化的黑盒攻击型防御系统,其特征在于:包括
第一源模型,用于输出第一对抗样本序列;
第二源模型,用于输出第二对抗样本序列;
第三源模型,用于输出第三识别样本序列,并将第三识别样本序列输入第三源模型进行对抗训练,更新第三源模型;
第一源模型采用以残差模块为基础的ResNet网络,将图片输入第一源模型,利用白盒攻击对第一源模型进行攻击,生成第一对抗样本序列;
第二源模型采用以残差模块为基础的ResNet网络,所述第二源模型划分不同的神经网络结构层,所述第二源模型的每一层均加入正则化损失函数;将第一对抗样本序列输入第二源模型,在第二源模型的每一层均利用正则化损失函数对第一对抗样本序列进行攻击,输出第二对抗样本序列;
第三源模型采用DenseNet网络,将第二对抗样本序列输入到第三源模型中,利用黑盒攻击对第三源模型进行攻击,针对每层的第二对抗样本序列,将该序列中所有对抗样本逐次攻击第三源模型,其中无目标攻击模式下只要第三源模型预测结果不是原始数据标签即代表攻击成功;而有目标攻击模式下,必须要第三源模型预测结果为指定的预测结果才代表攻击成功,从而根据攻击成功率选取出最优层的对抗样本,最终将统计攻击成功的对抗样本个数并且记录攻击成功的对抗样本,即第三识别样本序列;在第三源模型的对抗训练中,加入第三识别样本序列,利用对抗样本和原始样本共同训练第三源模型,经过多次迭代对抗训练,更新原始的第三源模型。
2.基于神经网络中间层正则化的黑盒攻击型防御方法,采用权利要求1所述的基于神经网络中间层正则化的黑盒攻击型防御系统,其特征在于:包括
S1、将图片输入第一源模型进行白盒攻击,输出第一对抗样本序列;
S2、将第一对抗样本序列输入到第二源模型中,在第二源模型的每一层均利用正则化损失函数对第一对抗样本序列进行攻击,输出第二对抗样本序列;
S3、将第二对抗样本序列输入到第三源模型中进行黑盒攻击,输出第三识别样本序列;
S4、将第三识别样本序列输入第三源模型进行对抗训练,更新第三源模型。
3.根据权利要求2所述的基于神经网络中间层正则化的黑盒攻击型防御方法,其特征在于:所述S2中,正则化损失函数对第一对抗样本序列进行攻击包括如下两方面:
一方面为找出生成的第二对抗样本序列中的最优扰动方向;
另一方面为过滤对抗扰动的高频成分,在第二源模型的每一层都产生与第一对抗样本序列对应的输出,生成一组对抗样本,在该生成的对抗样本中选取最优层的对抗样本作为第二对抗样本序列。
4.根据权利要求3所述的基于神经网络中间层正则化的黑盒攻击型防御方法,其特征在于:找出生成的第二对抗样本序列的最优扰动方向的公式为
L1=[ft(x')-ft(x)]*[ft(x”)-ft(x)]
其中,L1的结果为第二对抗样本序列的扰动方向,ft(x)为第一对抗样本序列经过第二源模型第t层的输出结果,[ft(x')-ft(x)]为第一对抗样本序列的扰动,[ft(x”)-ft(x)]表征的扰动方向以基础扰动方向做指引;
过滤对抗扰动的高频成分的公式为
L2=F[ft(x”)-ft(x)]
其中,L2的结果为过滤对抗扰动的高频成分,F()为正则化函数;
正则化损失函数L的公式为
L=-L1-L2。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011281842.0/1.html,转载请声明来源钻瓜专利网。
