本发明涉及人工智能安全,特别涉及一种多补丁对抗攻击方法。
背景技术:
1、对抗补丁攻击技术主要是指将图像的一部分完全替换为扰动补丁,随后将扰动补丁被随机应用到随机图像时导致目标误分类的概率,并通过模型对补丁执行随机仿射变换使得扰动补丁按需更新,最后将扰动补丁打印出来,粘贴到真实场景中拍摄图像,实现物理世界迁移攻击。
2、现有的对抗补丁攻击技术所用的损失函数以及所用的更新参数的方式过于简单,难以引导模型收敛到足够好的效果,现有的损失函数更新方法常见有引入权重自适应调节的方式对其权重进行调整,其思路是引入额外的训练步骤,自适应地针对各函数的特点进行分配,但往往其所用的损失函数主要面向不同样本,即只有一个损失函数,需要利用不同权重分配面向不同的样本,考虑的是训练过程中先后用不同样本引导模型收敛方向,但在同一批样本中时,需要考虑在不同的周期对同一批样本的不同方面进行训练优化,因此,对于损失函数具有周期性要求,现有的损失函数的权重仅是根据不同样本进行调整,并没有考虑周期性变化的调整,模型对噪声、干扰或不确定性的适应能力较弱,并且难以避免模型在训练过程中避免陷入局部最优解的情况。
3、因此,研究可周期性变化的损失函数分配方法对对抗补丁攻击模型的训练优化具有重要意义。
技术实现思路
1、本发明的目的在于提供一种多补丁对抗攻击方法,以解决现有多补丁对抗攻击方法在训练时损失函数无法周期性变化,使得模型对噪声、干扰或不确定性的适应能力较弱,并且容易陷入局部最优解的问题。
2、为了解决上述技术问题,本发明提供了一种多补丁对抗攻击方法,包括以下步骤:
3、s1,构建多个损失子函数;根据预设条件确定多个权重函数;将所述识别损失子函数和对应所述权重函数组合,得到周期性损失函数;其中,所述预设条件为每个所述权重函数均为周期函数且在任意时刻上所有所述权重函数之和均为1;
4、s2,获取补丁和图像,并将所述补丁设于所述图像上;
5、s3,将带有所述补丁的图像输入至所述图像识别模型,利用所述周期性损失函数训练所述图像识别模型,得到识别损失;
6、s4,基于所述识别损失并利用优化算法更新所述补丁,得到更新后的补丁;
7、s5,重复步骤s2至步骤s4,得到多次迭代后的所述补丁,并将所述迭代后的补丁贴到攻击目标上。
8、在其中一个实施例中,在步骤s1中,所述损失子函数和对应所述权重函数乘积再相加的组合。
9、在其中一个实施例中,在步骤s1中,所述根据预设条件确定多个权重函数,具体包括以下步骤:
10、确定所述识别子损失函数的数量;
11、根据设定条件构造出过渡函数,其中,所述设定条件为所述过渡函数是一次线性函数,且所述过渡函数使得的多个所述权重函数的最小正周期一致;
12、根据确定好的所述识别子损失函数的数量,将所述过渡函数代入球面坐标变换,得到多个所述权重函数。
13、在其中一个实施例中,在步骤s1中,多个所述权重函数如下:
14、
15、式中,xi(t)(i=1,2...n)是权重函数,i是所述识别子损失函数的数量,为过渡函数,t是记录训练批次数目的递增变量。
16、在其中一个实施例中,在步骤s1中,多个所述识别损失子函数均为同源的损失函数。
17、在其中一个实施例中,在步骤s1中,所述识别损失子函数包括交叉熵损失函数和平滑交叉熵损失函数。
18、在其中一个实施例中,在步骤s2中,具体包括以下步骤:
19、获取补丁和图像;
20、将所述补丁设于所述图像的四个角上,且所述补丁的中心与所述图像临近边的设置距离相同;
21、所述设置距离的公式如下:
22、d=pd―bd―dt+β
23、式中,d为所述设置距离,pd为图像宽度,bd为补丁直径,dt为补丁平移范围,β为绝对值小于平移范围的随机数。
24、在其中一个实施例中,在步骤s1中,将所述权重函数代入对应的所述识别损失子函数内。
25、本发明的有益效果如下:
26、由于本方案设置的周期性损失函数具有能分配各个子损失函数的权重,即每个子损失函数的权重都具有周期性,所以可在不同的周期对同一批样本的不同方面进行训练优化,其有益效果至少包括以下各点。
27、一、权重的周期性设置可以为同一批样本提供不同的优化方向,通过周期性地调整侧重的损失函数,可以提供不同的优化方向,使模型能够更全面地学习样本的特征。这种多样性的优化方向有助于模型在训练过程中避免陷入局部最优解,提高整体性能。
28、二、权重的周期性设置可以强化模型鲁棒性,通过周期性地侧重不同损失函数,可以帮助模型学习更鲁棒的特征表示,从而提高其对噪声、干扰或不确定性的适应能力。这种鲁棒性的提升可能导致更稳健的模型性能。
29、三、通过周期性地调整损失函数的权重分配,可以改变训练过程中的动态和收敛速度,不同损失函数可能对应着不同的训练路径和优化空间,通过在不同阶段侧重不同损失函数,可以帮助模型跳出局部最优解、探索更广阔的优化空间,并以更快的速度收敛到更好的解。
30、四、本方案的权重变化的函数可以提前设置好,训练时不影响训练速度。
1.一种多补丁对抗攻击方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种多补丁对抗攻击方法,其特征在于,在步骤s1中,所述损失子函数和对应所述权重函数线性组合。
3.根据权利要求2所述的一种多补丁对抗攻击方法,其特征在于,在步骤s1中,所述根据预设条件确定多个权重函数,具体包括以下步骤:
4.根据权利要求3所述的一种多补丁对抗攻击方法,其特征在于,在步骤s1中,多个所述权重函数如下:
5.根据权利要求1所述的一种多补丁对抗攻击方法,其特征在于,在步骤s1中,多个所述识别损失子函数均为同源的损失函数。
6.根据权利要求5所述的一种多补丁对抗攻击方法,其特征在于,在步骤s1中,所述识别损失子函数包括交叉熵损失函数和平滑交叉熵损失函数。
7.根据权利要求1所述的一种多补丁对抗攻击方法,其特征在于,在步骤s2中,具体包括以下步骤:
8.根据权利要求1所述的一种多补丁对抗攻击方法,其特征在于,在步骤s1中,将所述权重函数代入对应的所述识别损失子函数内。
