买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：吉林大学

摘要：一种考虑数据隐私的视觉分类网络对抗补丁生成方法，属于深度网络安全技术领域。本发明的目的是以典型视觉网络—分类网络为目标攻击网络，提出了一种考虑数据隐私的视觉分类网络对抗补丁生成方法。本发明的步骤是：目标攻击网络的选择，可用数据集的采集，基于APS指标的代理数据集选择，DF‑EoT算法的补丁生成。本发明所采用的方法易于实现，能够广泛应用于隐私敏感应用中视觉网络的安全漏洞检测，生成对抗补丁可用于基于漏洞弥补的防御策略的开发，促进安全视觉网络的发展。

主权项：1.一种考虑数据隐私的视觉分类网络对抗补丁生成方法，其特征在于：其步骤是：S1.目标攻击网络的选择：选择需要进行安全漏洞检测的视觉网络作为目标攻击网络，给定训练数据集内的任一图片X∈[0,1]d及其实际类别的数字编码y∈{1,2,...,m}，分类网络根据下式对X分类： 其中表网络对输入图片X的估计类别；表示m维向量的第j个分量，代表对X属于第j类的置信度；S2、可用数据集的采集：采集公开视觉数据集作为一组可用数据集以期从中选出合适的代理数据集用于代替训练数据集为对抗补丁生成提供背景图片；S3、基于APS指标的代理数据集选择，包括以下过程：根据下式进行代理数据集选择： 其中，为所选代理数据集；是代理数据集选择指标APS；代表选择网络为目标攻击网络时，基于数据集生成补丁的平均攻击性能；分别计算可用数据集...的APS值，并选择APS值最大的数据集作为代理数据集具体步骤如下：S3.1、EoT算法的对抗补丁组生成以均匀随机噪声初始化m个补丁{P1,P2,...,Pm}，逐一将初始化补丁作为输入，并利用从采样得到的图片，生成对抗补丁其中，的目标类别{y'1,y'2,...,y'm}与目标攻击分类网络的类别编码{1,2,...,m}一一对应相等；对抗补丁P*的生成可转化为 其中，补丁P∈[0,1]n的维度n远小于中图片的维度d；y'为补丁的目标类别；Z表示补丁在图像内所有可能位置的集合，z为从Z中均匀随机采样得到的位置；R集合表示物理场景中可能存在于补丁上的自然变换的集合，r为从R中均匀随机采样得到的自然变换；目标函数的定义为： 表示网络预测扰动图像XP属于目标类别y'的负对数概率值；扰动图片XP∈[0,1]d为： 其中为将补丁P粘贴在原始图片X上的粘贴操作函数；粘贴操作首先会利用自然变换r对补丁P进行变换，其中r＝r1,r2,...，补丁变换包括将补丁旋转度、放缩倍等；接着，粘贴操作会将变换补丁P'粘贴到图像X的位置z上，其中z＝z1,z2，得到扰动图片XP，其中z1,z2为P'在图片X中位置的横纵坐标；选择EoT算法对公式3对应的优化问题进行求解，EoT算法中为投影算子，可视为如下优化问题的求解： EoT算法：输入：数据集位置集合Z，自然变换集合R，目标类别y'，扰动更新步长α，粘贴操作函数目标函数投影算子总迭代次数T；输出：对抗补丁P*1.利用范围为[0,1]的均匀随机噪声初始化补丁P0，t←02.fort＜Tdo3.4.5.6.7.t←t+18.endfor9.P*←PT10.returnCS3.2、APS的获得利用生成的对抗补丁组依据下式计算数据集的APS值： 其中，为补丁攻击性能衡量指标-------PatchSaliency；对抗补丁P*的PS值计算过程，分为三个步骤：a、粘贴操作函数会将补丁P*粘贴在黑色背景图片的中心，得到扰动图片b、积分梯度函数会以扰动图片和补丁的目标类别y'为输入，输出显著图其中显著图衡量中每个像素对于y'的重要性；c、对抗补丁P*的PS值按下式得出： 其中： 符号[.]b表示内部向量的第b维分量；是对抗补丁P*在上的掩膜；运算符号⊙表示两个向量之间的哈达玛积；S3.3、APS计算的停止条件若可用数据集组中的任一数据集的APS值已知，则选择APS值最大的数据集作为代理数据集否则返回S3.1；S4、DF-EoT算法的补丁生成S4.1、对抗补丁初始化利用像素值范围为[0,1]的均匀随机噪声初始化对抗补丁S4.2、变换采样首先对代理数据集补丁位置集合Z及自然变换集合R进行均匀随机采样，获得背景图像X，位置坐标z，自然变换r；然后，粘贴操作会将变换后的补丁粘贴在背景图片X的位置z上，进而获得扰动图片XP；S4.3、背景更新得到扰动图片XP后，依据下式对图片背景Xback进行更新： 其中，Xback为扰动图片XP中除补丁P外的其余像素；目标函数见等式4；优化问题通过Xback像素的更新抑制XP分类为目标类别y'，模拟具备干扰性的图片背景；S4.4、补丁更新对扰动图片XP的背景Xback更新后，对XP中补丁P的像素进行更新，以求解如下优化问题： 其中，目标函数见等式4，优化问题通过补丁P像素值的更新促使XP分类为目标类别y'；S4.5、补丁更新停止条件判断补丁P的更新次数；若次数大于等于βtotal则进行下一步骤，否则返回步骤S4.2，进行补丁P的下轮迭代更新；S4.6、补丁生成停止条件设已有对抗补丁数目为i，保存步骤S4.5中获得P，并将其表示为若i+1≥k成立，则进行下一步骤，否则返回步骤4.1生成新的对抗补丁；S4.7、基于PS指标的重启选择从步骤S4.6保存的k个补丁中选出攻击性最强的补丁作为最终输出；重启选择步骤会分别计算k个补丁的PS值，并选择其中PS值最大的补丁作为DF-EoT算法的输出补丁P*。

全文数据：

权利要求：

百度查询： 吉林大学 考虑数据隐私的视觉分类网络对抗补丁生成方法