申请/专利权人：复旦大学;中电金信数字科技集团股份有限公司

申请日：2024-04-10

公开（公告）日：2024-06-25

公开（公告）号：CN118247603A

主分类号：G06V10/774

分类号：G06V10/774;G06V10/82;G06N3/045;G06N3/0475;G06N3/094;G06N3/084;G06N3/0985;G06V10/764

优先权：

专利状态码：在审-公开

法律状态：2024.06.25#公开

摘要：本发明提供了一种基于梯度修改的黑盒对抗样本生成方法及装置，具有这样的特征，包括以下步骤：步骤S1初始化参数；步骤S2根据干净样本和代理模型得到干净输出；步骤S3根据噪声和干净样本得到对抗样本；步骤S4根据对抗样本和代理模型得到对抗输出；步骤S5根据干净输出和对抗输出得到损失；步骤S6根据损失得到更新参数；步骤S7根据更新参数和梯度得到新梯度；步骤S8根据新梯度和噪声得到新噪声；步骤S9判断迭代次数是否已满，若是则进入步骤S10，若否则将新梯度作为梯度并将新噪声作为噪声进入步骤S3；步骤S10根据新噪声和干净样本得到最终对抗样本。总之，本方法能够快速生成高攻击成功率的对抗样本。

主权项：1.一种基于梯度修改的黑盒对抗样本生成方法，用于根据代理模型和干净样本x生成对应的最终对抗样本x'，其特征在于，包括以下步骤：步骤S1，设置当前迭代数i为0、迭代总次数为N、噪声Δxi为以及梯度gi为步骤S2，将所述干净样本x输入所述代理模型得到干净输出步骤S3，将所述噪声Δxi和所述干净样本x相加，得到对抗样本xi；步骤S4，将所述对抗样本xi输入所述代理模型得到对抗输出步骤S5，根据所述干净输出和所述对抗输出计算得到损失LΔxi；步骤S6，根据所述损失LΔxi，通过反向传播计算得到更新参数步骤S7，根据所述更新参数更新所述梯度gi，得到梯度gi+1；步骤S8，根据所述梯度gi+1更新所述噪声Δxi，得到噪声Δxi+1；步骤S9，所述当前迭代数i加1，判断所述当前迭代数i是否等于所述迭代总次数，若是，则进入步骤S10，若否，则将所述梯度gi+1作为所述梯度gi并将所述噪声Δxi+1作为所述噪声Δxi，进入步骤S3；步骤S10，将所述噪声Δxi+1与所述干净样本x相加，得到所述最终对抗样本x'，其中，所述代理模型通过对具有Transformer结构的神经网络模型插入梯度修改层构成，所述梯度修改层仅在所述反向传播中工作，根据输入的梯度G输出对应的梯度G_out，所述梯度G'的计算表达式为：G'＝maxminG,μ+λ*σ,μ-λ*σ，G_out＝G′*γ，式中μ为所述梯度G的均值，σ为所述梯度G的标准差，λ和γ均为预设的超参数。

全文数据：

权利要求：

百度查询： 复旦大学;中电金信数字科技集团股份有限公司 基于梯度修改的黑盒对抗样本生成方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD