买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:西安电子科技大学
摘要:本发明公开了一种利用少量数据和对抗攻击的探测黑盒神经网络类型方法,其实现步骤为:生成训练集,构建替代网络,任意选取一个未训练过的替代网络,训练所选取的替代网络,扩充当前数据集,直到更新后的替代网络满足训练终止条件,利用训练好的替代网络生成的攻击样本集攻击待探测的黑盒神经网络,再次扩充当前训练集,直到所有替代网络均生成攻击样本集后判定待探测黑盒神经网络的类型。本发明能够使用少量数据探测云服务平台的只拥有访问权限的黑盒神经网络模型的类型,具有使用数据少,消耗资源少的优点。
主权项:1.一种利用少量数据和对抗攻击的探测黑盒神经网络类型方法,其特征在于,使用少量数据和知识蒸馏技术训练替代网络,每次训练替代网络后使用该替代网络生成对抗样本扩充训练集;该方法的步骤包括如下:步骤1,生成训练集:1a选取至少500张图片组成数据集,该数据集中含有个数相同但图片种类不同的至少3种图片;1b将所有图片尺寸统一为28×28个像素后再对其进行归一化处理;1c将归一化后的每张图片输入到待探测的黑盒神经网络中,输出每张图片对应的类别概率数组;1d将归一化后的所有图片和其对应的类别概率数组组成训练集;步骤2,构建替代网络:2a搭建c×k个替代网络,每个替代网络至少有r层,每个替代网络的结构不同,其中,c表示替代网络的类型,为卷积神经网络、循环神经网络、全连接网络三种类型中的任意一种,k表示每种类型的替代网络的个数,k的取值是根据应用环境的软件和硬件资源确定的,k≥3,r≥3;2b替代网络为卷积神经网络且输入图片为灰度图片时,其输入维度为1,为彩色图片时输入维度为3;替代网络为循环神经网络且输入图片为灰度图片时,其输入维度为28,为彩色图片时输入维度为84;替代网络为全连接网络且输入图片为灰度图片时,其输入维度为784,为彩色图片时输入维度为2352;所有替代网络的输出层均为全连接层,激活函数为softmax,输出维度均与训练集中图片种类数相等;步骤3,任意选取一个未训练过的替代网络;步骤4,训练所选取的替代网络:将当前训练集输入到所选替代网络中,计算替代网络的损失值,利用反向传播算法用该损失值更新所选替代网络;重复执行本过程3次,得到更新三次后的替代网络和三次更新替代网络时替代网络的损失值的均值;步骤5,扩充当前训练集:5a选取至少100张能够被正确分类的图片;5b使用所选的图片和更新后的替代网络,利用对抗样本生成算法,生成与每个所选的图片对应的加噪后的对抗样本图片;5c将每个对抗样本图片输入到待探测的黑盒神经网络中,输出该对抗样本图片对应的类别概率数组;5d将所有的对抗样本图片及每个图片对应的类别概率数组添加到当前训练集中,得到更新后的训练集;步骤6,判断更新后的替代网络是否满足训练终止条件,若是,则得到训练好的替代网络执行步骤7,否则,将更新后的训练集作为当前训练集后执行步骤4;步骤7,利用对抗攻击法探测黑盒神经网络:7a选取至少300张能够被正确分类的图片;7b使用所选的图片和训练好的替代网络,采用与步骤5b、5c相同的方法,得到至少300张对抗样本图片和每张对抗样本图片对应的类别概率数组;从所有的对抗样本图片中筛选能够成功攻击训练好的替代网络的对抗样本图片组成攻击样本集;7c将攻击样本集中的图片依次输入到待探测的黑盒神经网络中,输出该攻击样本对应的类别概率数组;7d用能够成功攻击待探测的黑盒神经网络的图片的总数,除以攻击样本集中能够成功攻击训练好的替代网络的图片的总数,得到该攻击样本集的攻击成功率;步骤8,再次扩充当前训练集:将攻击样本集和待探测的黑盒神经网络输出的每张图片对应的类别概率数组,加入到步骤5d更新后的训练集中,得到再次更新后的训练集;步骤9,判断是否选取完所有的替代网络,若是,则执行步骤10,否则,将再次更新后的训练集作为当前训练集后执行步骤3;步骤10,判定待探测的黑盒神经网络的类型:将替代网络中同一类型的训练好的替代网络的攻击成功率相加,将其中最大的值对应的替代网络的类型作为待探测的黑盒神经网络的类型。
全文数据:
权利要求:
百度查询: 西安电子科技大学 利用少量数据和对抗攻击的探测黑盒神经网络类型方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。