公开(公告)号：CN115659171B

公开(公告)日：2023-06-06

申请号：CN202211178731.6

申请日：2022-09-26

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  易鸣 ,  殷明勇 ,  邓凯 ,  胥迤潇 ,  许思博

IPC: G06F18/214 ,  G06F18/2415 ,  G06V10/774 ,  G06V10/764

Abstract: 本发明涉及机器学习安全领域，提供了一种基于多元特征交互的模型后门检测方法、装置及存储介质。主旨在于提高模型后门的识别率以及降低检测实现的计算开销。主要方案包括对于一个k分类模型F，对于每个类别i∈{1，2，...，k}，防御者准备大小为s的数据集将数据集的单个数据输入给模型F，得到模型F的logits层的输出向量然后对向量按类别做向量和得到用于判断后门的k维向量r，其中rm为向量r的第m个分量，rm代表所有步骤1准备的数据在F模型的logits层上第m类预测结果的logits累计值，给定阈值b，当第m类的logits累计值rm高于b时，则此类受到了模型后门攻击。

公开(公告)号：CN113033747A

公开(公告)日：2021-06-25

申请号：CN202110578878.3

申请日：2021-05-26

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  李璐璇 ,  殷明勇 ,  路海

IPC: G06K19/06 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种用于人机识别的图形识别码生成方法，属于网络安全测试领域，解决现有验证码容易被基于机器学习技术训练的机器人自动识别并跳过，以及现有的图片对抗样本生成方式处理时间长和计算规模大的问题。本发明预设图片尺寸,基于图片尺寸选取图片集，将图片集和图片集的分类结果输入对抗样本生成系统生成扰动，再将扰动添加在图片集的图片边框上,得到初始化的图片对抗样本集；基于初始化的图片对抗样本集，利用白盒训练模型对干扰进行优化，生成最终的图片对抗样本，即图片干扰边框；将图片干扰边框加入待干扰图片上，形成图片识别码，即图片验证码，其中，待干扰图片的尺寸与图片集中的图片的尺寸大小相同。本发明用于生成干扰框架。

公开(公告)号：CN112819109B

公开(公告)日：2021-06-18

申请号：CN202110416397.2

申请日：2021-04-19

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  胥迤潇 ,  殷明勇 ,  邓虎 ,  路海

IPC: G06K9/62 ,  G06K9/00 ,  G06F21/60

Abstract: 本发明公开了一种针对黑盒对抗样本攻击的视频分类系统安全性增强方法，属于人工智能安全领域，解决现有深度神经网络对添加了扰动后的违规视频的检测效率低的问题，即解决现有违规视频检测系统针对对抗样本没有抵抗能力的问题。本发明获取一违规视频作为原始样本，基于已训练好的、三种不同架构的白盒视频对抗样本生成模型分别对原始样本进行处理，得到预样本；基于区域划分函数，对预样本进行区域划分；利用黑盒梯度估计算法按划分的区域对预样本进行基于梯度的优化，生成对抗样本；基于生成的对抗样本对目标视频分类系统进行训练，并基于训练后的目标视频分类系统对视频进行分类。本发明用于违规视频检测。

公开(公告)号：CN117972375A

公开(公告)日：2024-05-03

申请号：CN202410149721.2

申请日：2024-02-01

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 丁康一 ,  刘小垒 ,  纪守领 ,  辛邦洲 ,  蒲誉文

IPC: G06F18/21 ,  G06F18/214 ,  G06F18/241

Abstract: 本发明属于人工智能安全领域，提供了一种访问受限条件下的深度学习分类模型的知识产权验证方法。主旨在于解决基于水印的有损方法会降低模型分类正确率，基于指纹的无损方法生成的测试用例泛化能力差等问题。主要方案包括对本地模型进行训练，包括替代模型和参考模型，这些模型将在测试用例生成阶段和阈值确定阶段使用；设计测试用例生成方案，利用对抗样本实现迁移攻击，以生成鲁棒的测试用例；设计测试用例置信度计算方式，评估测试用例的质量；在访问受限条件下，通过嫌疑模型输出的类别进行阈值计算和知识产权验证。本发明提升了测试用例验证的可靠性，提升了验证效率。

公开(公告)号：CN115510440B

公开(公告)日：2023-09-08

申请号：CN202211155036.8

申请日：2022-09-21

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  易鸣 ,  殷明勇 ,  胥迤潇 ,  许思博

IPC: G06F21/56 ,  G06F21/62 ,  G06F17/18 ,  G06N20/00

Abstract: 本发明公开了一种基于NES算法的黑盒模型反演攻击方法及系统，属于人工智能安全领域，解决现有技术中基于优化的反演攻击方法实用性相对较低，和基于模型训练的反演攻击方法隐藏性差、耗时长等问题。本发明基于给定的数据集训练一对GAN模型，包括与被攻击模型的输入类型相同的G模型和对G模型的输出进行评分的D模型，其中，被攻击模型即为目标模型；基于训练好的G模型和D模型，结合目标模型的输出，对目标模型发起反演攻击得到重构图像。本发明用于黑盒模型反演攻击。

公开(公告)号：CN112818407B

公开(公告)日：2021-06-22

申请号：CN202110409156.5

申请日：2021-04-16

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  胥迤潇 ,  邓虎 ,  路海 ,  殷明勇

IPC: G06F21/62 ,  G06K9/00 ,  G06K9/62 ,  G06N3/08

Abstract: 本发明公开了一种基于生成对抗网络的视频隐私保护方法，属于人工智能安全领域，解决现有技术中的隐私保护方法无法对视频进行隐私保护。本发明将点对点的图像生成系统作为对抗网络生成器，并基于视频数据集Image‑net训练得到一系列的视频对抗样本；将三种不同架构的视频分类系统作为对抗网络鉴别器，并基于一系列的对抗样本和对应的原始视频对对抗网络鉴别器进行训练，若训练后能分辨出对抗样本和原始视频的区别，根据训练后的对抗网络鉴别器的参数，利用梯度下降方法对中训练后的对抗网络生成器进行优化，并再次执行，否则，得到训练好的对抗网络生成器对隐私保护的视频进行处理，得到视频对抗样本。本发明用于视频隐私保护。

公开(公告)号：CN112818407A

公开(公告)日：2021-05-18

申请号：CN202110409156.5

申请日：2021-04-16

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  胥迤潇 ,  邓虎 ,  路海 ,  殷明勇

IPC: G06F21/62 ,  G06K9/00 ,  G06K9/62 ,  G06N3/08

Abstract: 本发明公开了一种基于生成对抗网络的视频隐私保护方法，属于人工智能安全领域，解决现有技术中的隐私保护方法无法对视频进行隐私保护。本发明将点对点的图像生成系统作为对抗网络生成器，并基于视频数据集Image‑net训练得到一系列的视频对抗样本；将三种不同架构的视频分类系统作为对抗网络鉴别器，并基于一系列的对抗样本和对应的原始视频对对抗网络鉴别器进行训练，若训练后能分辨出对抗样本和原始视频的区别，根据训练后的对抗网络鉴别器的参数，利用梯度下降方法对中训练后的对抗网络生成器进行优化，并再次执行，否则，得到训练好的对抗网络生成器对隐私保护的视频进行处理，得到视频对抗样本。本发明用于视频隐私保护。

公开(公告)号：CN116128700B

公开(公告)日：2023-09-12

申请号：CN202310320554.9

申请日：2023-03-29

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  易鸣 ,  丁康一 ,  胡腾 ,  胥迤潇 ,  殷明勇

IPC: G06T1/00 ,  G06V10/764 ,  G06V10/774

Abstract: 本发明公开了一种基于图像固有特征的模型水印植入和验证方法及系统，属于人工智能安全技术领域，解决现有技术使验证水印存在的方法失效的问题。本发明版权所有者选择图片的任一全局特征作为植入水印的基础，并基于选择的全局特征确定全局特征量化函数；给定阈值，并结合全局特征量化函数来构建输出结果为True或False的标准判断函数；基于全局特征量化函数和标准判断函数判断各图片对应的输出结果；若为True时，版权所有者将对应图片的原始标签y修改为验证标签，得到变更后的图片；版权所有者利用变更后的图片作为训练集训练模型，即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中，得到训练后的模型。本发明用于模型水印植入和验证。

公开(公告)号：CN116128700A

公开(公告)日：2023-05-16

申请号：CN202310320554.9

申请日：2023-03-29

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 刘小垒 ,  易鸣 ,  丁康一 ,  胡腾 ,  胥迤潇 ,  殷明勇

IPC: G06T1/00 ,  G06V10/764 ,  G06V10/774

Abstract: 本发明公开了一种基于图像固有特征的模型水印植入和验证方法及系统，属于人工智能安全技术领域，解决现有技术使验证水印存在的方法失效的问题。本发明版权所有者选择图片的任一全局特征作为植入水印的基础，并基于选择的全局特征确定全局特征量化函数；给定阈值，并结合全局特征量化函数来构建输出结果为True或False的标准判断函数；基于全局特征量化函数和标准判断函数判断各图片对应的输出结果；若为True时，版权所有者将对应图片的原始标签y修改为验证标签，得到变更后的图片；版权所有者利用变更后的图片作为训练集训练模型，即在此训练过程中以全局特征为触发器的水印将被植入到受保护的模型中，得到训练后的模型。本发明用于模型水印植入和验证。

公开(公告)号：CN116108477A

公开(公告)日：2023-05-12

申请号：CN202211475616.5

申请日：2022-11-23

Applicant: 中国工程物理研究院计算机应用研究所

Inventor： 辛邦洲 ,  杨润 ,  王玉龙 ,  刘小垒 ,  胡腾 ,  殷明勇 ,  谢家俊

IPC: G06F21/62 ,  G06F21/60

Abstract: 本发明公开了一种满足差分隐私的敏感数据生成方法，服务器将初始生成模型发送给任意一个客户端，客户端使用接收到的生成模型生成合成数据，并将合成数据添加到本地训练集中，然后采用生成对抗网络进行训练，客户端完成训练后，将训练过的模型随机传递给一个剩余的客户端，直到所有的客户端都参加了训练，然后将最终的模型返回给服务器；本发明能够在保障数据隐私安全的前提下，克服多个训练参与方不能在线同时训练的困难，顺序地在各参与方上训练机器学习模型，并且能解决因为数据非独立同分布而带来的模型发散的问题。最终得到的生成模型可以无限生成逼真的合成数据，改善由隐私导致的数据短缺问题。