CN114359653B 基于强化型通 用补丁的对抗攻击方法、防御方法及装置 （北京邮电大学）

本发明提供一种基于强化型通用补丁的对一待训练图像进行图像融合得到第一对抗样本丁图像与所述第二待训练图像进行图像融合得2获取原始补丁图像，将所述原始补丁图像与所述第一待从所述图像样本集中随机选取第二图像样本作为第二待训练图像，将所将所述对抗补丁图像与所述第一待训练图像进行图像融合得到第三于所述第一待训练图像对应的原始标签以及所述第三对抗样本图像对所述补丁生成模型将所述原始补丁图像与所述第一待训练图像的远离所述焦点的获取待识别图像，将所述待识别图像输入至网络模型以生成所述待识别图像的热力计算不同尺度下的第一低清图像的差值，并基于不同尺度下的差值按照比例融合并与放大系数相乘得到不同尺度下的第一低清图像的全局细节信息，各全局细节信息与关键区域的掩码相乘得到不同尺度获取所述增强图像的局部细节信息，并将获取到的所述增强将处理后的待识别图像输入防御模型；若待识别图像为正常图像，计算不同尺度下的第二低清图像的差值，并基于不同尺度下38.一种基于强化型通用补丁的对抗攻击及防行时实现如权利要求1至7中任意一项所述方4[0002]深度学习在我们的生活中的各个领域发挥着重要的作用，包整实现补丁对位置和角度的鲁棒性；Karmon在此基础上对损失函数进行了一系列的优化，无法生成更多目标类别语义信息；从而就会进一步导致对抗补丁在黑盒环境下迁移性不[0005]另外，通用补丁块的防御策略主要分为基于检测与扰动和检测与修复两大类，5通用补丁以及如何针对通用对抗补丁进行有效防御是亟待解[0007]根据本发明的一个方面，本发明公开了一种基于强化型通用补丁的对抗攻击方[0010]将所述第一对抗样本图像输入至补丁生成模型，并基于梯度下降法更新补丁图[0013]将所述对抗补丁图像与所述第一待训练图像进行图像融合得到第三对抗样本图6于本领域普通技术人员在研究下文后部分地变得明显，或者可以根据本发明的实践而获7出了与根据本发明的方案密切相关的结构和/或处理步骤，而省略了与本发明关系不大的生成清华型通用补丁。而另由于目前的通用性补丁防御方式存在着防御能力不足的问题，理的防御方式进行防御。[0047]图1为本发明一实施例的基于强化型通用补丁的对抗攻击方法的流程示意图，如8该步骤中，将步骤S30生成的对抗补丁图像进一步的被添加至第二待训练图像上生成第二络模型替换掉步骤S30中的补丁生成模型；并且将添加了对抗补丁图像的第二待训练图像[0059]上述实施例中的基于强化型通用补丁的对抗攻击方法挖掘目标类别更深层的语9权值对最后一层特征图加权线性组合送入激活函数得到所需热力图M度下的局部细节信息。在该步骤中，具体的可先计算不同尺度下的第一低清图像(模糊图细节信息与步骤S001中获取到的关键区域掩码相乘得到图像的IC为未在纯净图像上添加通用型对抗补丁的样本图像，而Iadv为在纯净图像上添加了通用且区域图像梯度也较高，因此Iadv的不同尺度下的高斯模糊差值会高于IC的不同尺度下的密集性与高强度的细节信息。进一步的将获取到的细节信息添加至纯净原图I做归一化处图像在不同尺度下的局部细节信息。上述步骤也可理解为对步骤S002和S003进行重复执的防御方法能够充分利用正常图像与补丁的细微梯度差异性，并放大其对预处理的影响。一步的生成增强型的通用型对抗补丁，对第一次迭代的前100张输入图像采用了本发明的[0086]进一步采用本发明的防御方法评估了对普通对抗补丁和强化型通用对抗补丁的于每种类型的补丁，从测试数据中随机选取3000个攻击成功的对抗性样本(添加了对抗补以看出，无论是目前常用的对抗补丁还是通过本发明的对抗攻击方法生成的强化型补丁，发明的防御方法在防御各类对抗补丁时都具有较[0090]通过上述实施例可以发现，本发明提出的基于强化型通施方式中以相同方式或以类似方式使用，和/或与其他实施方式的