买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：西安电子科技大学

摘要：本发明属于深度学习安全技术领域，公开了一种基于隐写的通用对抗扰动生成方法、介质及计算机设备，所述基于隐写的通用对抗扰动生成方法包括获取原始样本集、目标模型和隐写模型；初始化掩码和模式；计算扰动，并将扰动隐写到原始样本中得到对抗样本；计算损失，优化掩码和模式；判断是否满足终止条件；检查是否触发了早停机制，进行新一轮的迭代；计算并保存最终的扰动。本发明可应用于图像识别、自动驾驶、生物特征识别等各种图像分类场景，通过深度隐写模型将局部的对抗噪声隐写到目标样本的全局范围内，在不被察觉下对人工智能系统发动攻击，影响系统的正常功能，以攻促防，推动人工智能系统朝着更健壮的方向发展。

主权项：1.一种基于隐写的通用对抗扰动生成方法，其特征在于，所述基于隐写的通用对抗扰动生成方法，包括：步骤一，获取原始样本集、目标模型和隐写模型；步骤二，初始化掩码mask和模式pattern；步骤三，由mask和pattern计算扰动，并将扰动隐写到原始样本中得到对抗样本；步骤四，计算损失，优化mask和pattern；步骤五，epoch自增，若epoch小于总的迭代次数epochs，则执行步骤六，否者执行步骤七，其中epoch表示当前迭代次数，epoch的初始值为0，epochs≥500；步骤六，检查是否触发了早停机制，若满足早停条件，则执行步骤七，若不满足，重复步骤三-步骤六，进行新一轮的迭代；步骤七，计算并保存最终的扰动；所述步骤一中获取原始样本集、目标模型和隐写模型过程为：第一步，从含有M个类别的目标数据集中选取样本，为数据集中每一个类别随机选择N个不重复的样本，将选择的这些样本变换成相同尺寸W*H*C，组成规模为M×N的原始样本集X，将ImageNet数据集作为目标数据集，M＝1000，N＝10，W＝224，H＝224；第二步，获取预先训练好的目标模型的网络结构和权重，得到目标模型，将VGG16作为目标模型；第三步，获取预先训练好的隐写模型的网络结构和权重，得到隐写模型；隐写模型HNet·，将原始样本与通用对抗扰动图像的数据格式都使用transpose函数转化为[C，H，W]格式，C表示通道，H表示图像的高度，W表示图像的宽度；使用concat函数在C所在维度上拼接原始图像和扰动图像，拼接后的图像作为该隐写模型的输入；所述步骤三中由mask和pattern计算扰动，并将扰动隐写到原始样本中得到对抗样本过程为：A、将mask与pattern对应位置元素相乘，表示为mask⊙pattern，得到扰动图像；B、使用预先训练好的隐写模型将通用对抗扰动隐写到原始样本中，获得对抗样本；隐写的实现方式为xadv＝HNetmask⊙pattern，x，即将原始样本x与通用对抗扰动mask⊙pattern按照步骤一中的第三步进行拼接，将拼接后的图像送入到隐写模型进行隐写，将通用对抗扰动mask⊙pattern隐写到原始样本x中，得到隐写扰动后的对抗样本；C、按照步骤B的方式在样本集的每个样本上进行扰动隐写，即步骤B需要重复执行M×N次；所述步骤四中计算损失，优化mask和pattern过程为：1、将一批添加了扰动的样本输入预先训练好的目标模型获得预测值，这批样本的数量为M×N，计算这批样本的平均攻击成功率acc；2、计算原始样本和扰动样本的正则化损失loss_reg，采用L2正则化方法，再将loss_reg、目标模型对于扰动样本的预测值以及样本的真实标签代入无目标损失函数中，得到总的损失loss；3、最小化损失loss，使用优化器优化mask和pattern，用Adam优化器进行优化；4、当同时满足acc＜ε和loss_reg＜reg_best两个条件时，令mask_best＝mask、pattern_best＝pattern、reg_best＝loss_reg，其中ε为攻击阈值，要求0＜ε≤1，reg_best为最好正则化的值，其初始值为无穷大，mask_best、pattern_best分别为当前最好的mask和pattern，两者各个元素的初始值都为0，ε＝0.9999。

全文数据：

权利要求：

百度查询： 西安电子科技大学 基于隐写的通用对抗扰动生成方法、介质及计算机设备