公开(公告)号：CN113723564B

公开(公告)日：2024-09-06

申请号：CN202111072894.1

申请日：2021-09-14

Applicant: 燕山大学

Inventor： 张世辉 ,  张晓微 ,  宋丹丹 ,  路佳琪 ,  杨永亮 ,  左东旭

IPC: G06F18/214 ,  G06F18/241 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/084 ,  G06N3/094

Abstract: 本发明涉及一种对抗样本防御模型训练方法、系统及其应用，首先获取训练集，训练集包括对抗样本和真实样本。然后构建初始防御模型，初始防御模型包括生成器、判别器和分类器。最后利用训练集对初始防御模型进行训练，得到防御模型，本发明通过构造相应逆扰动来重构对抗样本，得到近似于真实样本的重构样本，从而获得较好的对抗样本防御效果。在对对抗样本进行分类时，先利用上述防御模型对待分类对抗样本进行对抗扰动消除，得到重构样本，所得到的重构样本可近似真实样本，将该重构样本输入至分类模型，能够使得分类模型正确分类，避免对抗扰动导致分类模型错误分类的问题，显著提高分类模型对对抗样本的分类正确率。

公开(公告)号：CN113674140B

公开(公告)日：2023-09-26

申请号：CN202110960092.8

申请日：2021-08-20

Applicant: 燕山大学

Inventor： 张世辉 ,  杨永亮 ,  王磊 ,  左东旭 ,  张晓微

IPC: G06T3/00 ,  G06V10/774 ,  G06V10/82 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种物理对抗样本生成方法及系统。该方法包括：获取原始图像集、风格图像集以及图像集的攻击蒙版图像；采用原始图像集作为训练样本，采用模型窃取法，确定黑盒目标模型的替代模型；基于图像集、对应的攻击蒙版图像和替代模型，采用风格迁移技术思想和基于梯度的对抗样本生成方法生成原始图像集中各图像的攻击区域的风格扰动；对原始图像集进行仿射变换生成变换图像集，并基于替代模型，采用基于梯度的对抗样本生成方法生成变换图像集的自适应扰动；将风格扰动和自适应扰动添加到原始图像集的攻击区域，生成每一张原始图像的物理对抗样本。本发明针对黑盒目标模型生成一种扰动不可察的对抗样本，以准确评估黑盒目标模型的安全性。

公开(公告)号：CN114399630A

公开(公告)日：2022-04-26

申请号：CN202111655287.8

申请日：2021-12-31

Applicant: 燕山大学

Inventor： 张世辉 ,  左东旭 ,  杨永亮 ,  张晓微 ,  王磊

IPC: G06V10/25 ,  G06V10/774 ,  G06V10/82 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明提供了一种基于信念攻击和显著区域扰动限制的对抗样本生成方法，涉及深度神经网络技术领域和计算机视觉领域，本发明包含以下步骤：提供原始图像和白盒目标模型，使用包含原始图像的数据集作为数据集，利用类激活映射技术生成关于原始图像的显著区域二进制掩码，利用基于信念的攻击方法融合迭代的快速梯度方法生成全局对抗扰动；将生成的全局对抗扰动和显著区域二进制掩码融合生成显著区域对抗扰动；将显著区域对抗扰动添加到输入图像，并迭代地进行更新直到达到预设的终止条件，输出最后的一次迭代的图像对抗样本作为生成的对抗样本。该发明生成的对抗样本具备低扰动、高迁移性。

公开(公告)号：CN113674140A

公开(公告)日：2021-11-19

申请号：CN202110960092.8

申请日：2021-08-20

Applicant: 燕山大学

Inventor： 张世辉 ,  杨永亮 ,  王磊 ,  左东旭 ,  张晓微

IPC: G06T3/00 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种物理对抗样本生成方法及系统。该方法包括：获取原始图像集、风格图像集以及图像集的攻击蒙版图像；采用原始图像集作为训练样本，采用模型窃取法，确定黑盒目标模型的替代模型；基于图像集、对应的攻击蒙版图像和替代模型，采用风格迁移技术思想和基于梯度的对抗样本生成方法生成原始图像集中各图像的攻击区域的风格扰动；对原始图像集进行仿射变换生成变换图像集，并基于替代模型，采用基于梯度的对抗样本生成方法生成变换图像集的自适应扰动；将风格扰动和自适应扰动添加到原始图像集的攻击区域，生成每一张原始图像的物理对抗样本。本发明针对黑盒目标模型生成一种扰动不可察的对抗样本，以准确评估黑盒目标模型的安全性。

公开(公告)号：CN114399630B

公开(公告)日：2024-10-29

申请号：CN202111655287.8

申请日：2021-12-31

Applicant: 燕山大学

Inventor： 张世辉 ,  左东旭 ,  杨永亮 ,  张晓微 ,  王磊

IPC: G06V10/25 ,  G06V10/774 ,  G06V10/82 ,  G06N3/0499

Abstract: 本发明提供了一种基于信念攻击和显著区域扰动限制的对抗样本生成方法，涉及深度神经网络技术领域和计算机视觉领域，本发明包含以下步骤：提供原始图像和白盒目标模型，使用包含原始图像的数据集作为数据集，利用类激活映射技术生成关于原始图像的显著区域二进制掩码，利用基于信念的攻击方法融合迭代的快速梯度方法生成全局对抗扰动；将生成的全局对抗扰动和显著区域二进制掩码融合生成显著区域对抗扰动；将显著区域对抗扰动添加到输入图像，并迭代地进行更新直到达到预设的终止条件，输出最后的一次迭代的图像对抗样本作为生成的对抗样本。该发明生成的对抗样本具备低扰动、高迁移性。

公开(公告)号：CN113723564A

公开(公告)日：2021-11-30

申请号：CN202111072894.1

申请日：2021-09-14

Applicant: 燕山大学

Inventor： 张世辉 ,  张晓微 ,  宋丹丹 ,  路佳琪 ,  杨永亮 ,  左东旭

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种对抗样本防御模型训练方法、系统及其应用，首先获取训练集，训练集包括对抗样本和真实样本。然后构建初始防御模型，初始防御模型包括生成器、判别器和分类器。最后利用训练集对初始防御模型进行训练，得到防御模型，本发明通过构造相应逆扰动来重构对抗样本，得到近似于真实样本的重构样本，从而获得较好的对抗样本防御效果。在对对抗样本进行分类时，先利用上述防御模型对待分类对抗样本进行对抗扰动消除，得到重构样本，所得到的重构样本可近似真实样本，将该重构样本输入至分类模型，能够使得分类模型正确分类，避免对抗扰动导致分类模型错误分类的问题，显著提高分类模型对对抗样本的分类正确率。