买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
摘要:本发明属于人工智能安全技术领域,公开了一种高强度对抗补丁样本生成方法及应用,首先通过Grad‑CAM计算图像中对CNNs分类决策影响较大的区域,并将该区域作为图像的特征贡献区域CFRs;然后利用掩膜机制定位该区域,使得能够在确定的特征贡献区域完成加扰。本发明重新定义一个损失函数作为优化的目标函数,进而利用随机梯度下降优化算法并引入超参数寻找高效的扰动,即可获得基于CFRs的对抗样本。本发明通过只在特征贡献区域加扰以及将扰动范围限制在人眼难以察觉的微小范围内,实现了对抗强度和不可感知性之间良好的平衡,在CIFAR‑10和ILSVRC2012数据集上得到了实验验证。本发明产生的对抗样本应用于对抗训练,可有效提高深度学习防御能力。
主权项:1.一种基于网络可解释性的生成人眼难以察觉的对抗补丁的方法,其特征在于,所述基于网络可解释性的生成人眼难以察觉的对抗补丁的方法包括:通过Grad-CAM计算图像中对CNNs分类决策影响较大的区域,并将所述区域作为图像的特征贡献区域;利用掩膜机制定位所述区域,在确定的特征贡献区域完成加扰;所述基于网络可解释性的生成人眼难以察觉的对抗补丁的方法具体包括:1利用Grad-CAM搜索获取的图像的特征贡献区域CFRs;2通过掩膜定位图像CFRs,与原始图像进行Hadamard乘积后获得扰动区域;3生成对抗样本损失函数和扰动的l2范数作为优化的目标函数,利用随机梯度下降算法优化计算特征贡献区域的对抗补丁,叠加到原始图像后得到只有局部扰动的补丁对抗样本;所述利用Grad-CAM搜索获取的图像的特征贡献区域包括:1将获取的原始图像X通过CNN,在最后一层卷积层输出图像X的高层特征表示为A,其中用表示高层特征A中第k个卷积核的激活输出,卷积核的大小为u×v;A经过一个全连接层FC后,输出每个类的得分向量Y;2采用全局平均池化操作,计算第k个卷积核的权重 其中,Z=u×v,为第k个卷积核i,j处的激活输出;YC表示第C类的Logits值;表示YC对Ak的梯度;所述用于衡量第k个卷积核对第C类的分类预测重要性;3结合权重对Ak进行加权求和,得到关于第C类的一个特征激活映射并对加权结果进行一次ReLU激活处理,得到第C类的激活映射: 4以热力图的形式可视化其中红色区域即为对分类器分类到第C类的特征贡献区域CFRs;所述掩膜包括:所述掩膜为一个与输入图像同样大小的0-1矩阵maskX;利用阈值机制即可得到maskX: 其中,1表示保留像素的区域即CFRs的像素位置;0表示不保留像素的区域;t为阈值,表示输入图像X为第C类激活映射;所述目标函数包括生成对抗样本的损失函数和局部扰动δCFR的l2正则化函数;所述目标函数如下: 其中,β是一个超参数,用于控制失真的程度;T表示超参数;所述对局部扰动进行迭代优化包括: 其中,表示1F在δCFR的梯度;LR是一个超参数,表示学习率。
全文数据:
权利要求:
百度查询: 浙江科技学院 一种不可察觉的对抗补丁生成方法及应用
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。