申请/专利权人：南京航空航天大学

申请日：2021-06-21

公开（公告）日：2024-04-02

公开（公告）号：CN113486736B

主分类号：G06V20/56

分类号：G06V20/56;G06V10/28;G06V10/44;G06V10/764;G06N3/126

优先权：

专利状态码：有效-授权

法律状态：2024.04.02#授权;2021.10.26#实质审查的生效;2021.10.08#公开

摘要：本发明公开一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法,包括步骤如下：1采用图像分割技术，确定原始图像中对扰动较为敏感的活跃子空间；2利用低秩进化策略计算、更新附加在活跃子空间中的扰动；3配合基于安全裕度的目标函数；4种群中的每个个体随机选择区域实现活跃子空间失活；5满足迭代停止条件，输出对抗样本。本发明能实现生成高质量、低查询次数、低成本的对抗样本分布，所得对抗样本扩展性好、质量高。

主权项：1.一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法，其特征在于，包括如下步骤：1采用图像分割技术，确定原始图像中含有信息的位置，该位置囊括对扰动敏感的边界、线条，被称为活跃子空间；2设计基于安全裕度的目标函数；3利用低秩进化策略计算、更新附加在活跃子空间中的扰动；4采用基于安全裕度的目标函数，对种群中的每个个体随机选择区域实现活跃子空间失活，将不敏感区域的扰动置为零；经过迭代排序，保留优秀个体继续进行参数更新；5满足迭代停止条件，输出对抗样本；所述步骤2的目标函数f定义为： 其中，||·||p代表扰动的范数，p取值为常数，是评价对抗样本质量的指标；k是损失值与样本质量之间的平衡参数； D·代表被攻击模型的输出结果，xclean是被模型正确分类为类别y的原始输入，c代表模型的预测结果；则Dxclean+θy是真实标签y的概率，是最大候选类别的概率；θ是在图像增加的扰动；γ是引入的非负值常数，代表安全裕度；所述步骤3实现步骤如下：31通过采样来估计梯度，选用协方差矩阵自适应进化策略CMA-ES，将优化目标函数问题转化为优化采样样本的期望值Jθ问题： 其中，ξ是分布参数，E是fθ的期望；32对样本用均值m和协方差矩阵C参数化的高斯分布空间：ξ＝m，C33基于CMA-ES的参数更新方法： 其中，xi是每代中的第i个个体，维度与活跃子空间大小一致；η是学习率；wi是第i个最优个体对应的权重，由高到低排列；N为种群中个体个数；均值与协方差矩阵的角标t为第t代，t+1为下一代；34低秩进化策略协方差分解；采用秩1进化策略R1-ES，将R1-ES协方差矩阵的更新表示为： 其中，α，β∈0，1为控制参数；I为单位矩阵；pt∈Rn为主要搜索方向，代表协方差矩阵最大特征值对应的特征向量，R为实数集；n是扰动维度；35基于低秩进化策略的参数更新；将每代种群中的个体xi按照目标函数值进行排序：fx1：λ≤fx2：λ≤…≤fxλ：λ其中,x1：λ代表在大小为λ的种群中，最优个体；xλ：λ则代表最差个体，第一个角标代表个体在种群中的排序值，第二个角标代表种群的大小；分布均值更新为： 从整个种群中挑选前μ个优秀个体，更新下一代分布的均值；主搜索方向更新： 其中，v为变化率，取值为σt为第t代的步长；将父代与子代个体的目标函数值分别以Ft，Ft+1表示，则父代与子代的个体合并为Ft∪Ft+1，并按照目标函数值进行排序，则Ft，Ft+1分别对应于代数的序列值表示为Rt，Rt+1；则序列值差异q表示为： 子代累积秩率st+1根据父代累积秩率st表示为：st+1＝1-csst+csq-q*其中，q*为目标比；cs为关于累积秩率的变化率；子代步长σt+1根据父代步长σt与阻尼系数dσ进行更新,其中阻尼系数决定了lnσt的变化幅度： 其中，dσ≥1；36对抗样本生成：为便于将扰动附加于原始图片，以零填充非活跃子空间区域，扰动θt表示为：θt＝fillmt，xpos，ypos，w，h其中，fill表示用零填充非活跃子空间区域；xpos表示活跃子空间区域起点的横坐标,ypos表示活跃子空间区域起点的纵坐标，ω表示活跃子空间区域的宽度，h表示活跃子空间区域的长度。

全文数据：

权利要求：

百度查询： 南京航空航天大学 一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD