Document
拖动滑块完成拼图
首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

一种基于难度引导可变攻击策略的对抗防御方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:电子科技大学

摘要:本发明公开了一种基于难度引导可变攻击策略的对抗防御方法,首先根据图像xi的分类损失函数确定图像的难度阈值ρi,然后根据图像的难度阈值ρi动态调整攻击策略攻击步数Ii和最大扰动强度∈i,攻击策略不再依赖于固定参数,这样,改进了对抗性样本的生成,从空间分布的角度来看,每个样本对目标网络即目标网络的鲁棒性有一致的贡献,并能更好地学习攻击信息以增强目标网络的鲁棒性。同时,本发明难度阈值ρi会根据训练次数t的增加而增加,使得用于对抗训练的对抗样本的难度需要随着训练的进行不断增加,以使目标网络的鲁棒性收敛并接近鲁棒边界。此外,本发明排除了被错误分类为异常值的图像,这样减轻错误分类对目标网络鲁棒性整体改进的负面影响,尽可能地保持原始数据结构,从而减少目标网络分类准确性的衰减。

主权项:1.一种基于难度引导可变攻击策略的对抗防御方法,其特征在于,包括以下步骤:1、确定最大训练次数T,初始训练次数t=12、难度引导对抗样本生成2.1、生成与样本相关的攻击策略在训练数据集合中,取出一批n张图像,对于第i张图像xi,给定标准对抗攻击下图像xi的初始攻击策略通过标准对抗攻击生成初始对抗样本其中g·是标准对抗样本生成器,为扰动,θ为目标网络的可训练参数,目标网络为一个针对图像分类设计的深度神经网络,表示初始攻击步数,表示初始最大扰动强度;然后,生成与图像xi相关的攻击策略当初始对抗样本xiin的分类结果等于干净样本即图像xi的分类结果时,攻击策略为: 当初始对抗样本xiin的分类结果不等于干净样本即图像xi的分类结果时,攻击策略为: 其中,Ii为攻击步数,∈i为最大扰动强度,fθ表示可训练参数为θ的目标网络针对输入样本的预测概率值,KI表示攻击策略中可选择的最大攻击步数,K∈表示攻击策略中可选择的最大扰动强度的上限值,clamp·,min,max表示限制变量·的值在[min,max]范围内,ρi为难度阈值,难度阈值越大表示图像难度越大,根据图像xi的分类损失函数确定: 其中,β,γ是缩放权重,用于确保难度阈值ρi满足: 2.2、生成对抗样本样本相关即图像xi的对抗样本xi′生成的过程为: 3、目标网络训练将图像xi输入到目标网络进行分类,得到图像xi的分类结果如果分类结果不等于图像xi的真实分类值yi,则将对抗样本xi′替换为图像xi即将对抗样本xi′丢弃,将图像xi作为对抗样本xi′,然后使用n张对抗样本xi′更新目标网络的可训练参数θ;然后,在训练数据集合中,取出另一批n张图像,按照步骤2.1、2.2的方法生成n张对抗样本xi′并更新目标网络的可训练参数θ,这样不断更新,直到训练数据集合中的所有图像都取出,完成依次训练;4、判断判断训练次数t是否等于最大训练次数T,如果大于,则目标网络训练完成,否则,t=t+1,返回步骤2,再次将训练数据集合中的图像按批取出生成对抗样本并训练目标网络。

全文数据:

权利要求:

百度查询: 电子科技大学 一种基于难度引导可变攻击策略的对抗防御方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。

相关技术
相关技术
相关技术
相关技术