本发明涉及计算机视觉和机器学习,具体涉及深度学习模型隐蔽攻击方法及系统。
背景技术:
1、随着深度学习技术的迅速发展,深度神经网络已广泛应用于图像识别、自然语言处理、自动驾驶等多个领域。然而,这些模型面临着安全性挑战,特别是对抗样本攻击——通过对输入数据进行精细修改使模型做出错误决策的攻击手段,已经成为检验模型鲁棒性的重要手段。
2、快速梯度符号法(fgsm):
3、出处:"goodfellow,ian j.,jonathon shlens,and christian szegedy."explaining and harnessing adversarial examples."arxiv preprint arxiv:1412.6572(2014).
4、主要内容:通过利用输入数据的梯度信息生成对抗样本。具体而言,通过对梯度符号的简单操作,对原始图像进行一次性更新,以产生对抗样本。例如公布号为cn117332843a的现有发明专利申请文献《一种对抗样本生成与测试方法、系统、设备及存储介质》,该现有方法包括:获取初始样本数据;根据rs-fgsm算法对初始样本数据进行计算,以获取对抗样本数据;将对抗样本数据输入神经网络模型,以获取测试结果;本方法通过rs-fgsm算法对初始样本数据进行计算得到的对抗样本数据,并对生成的对抗样本数据进行测试。
5、前述现有方案的问题和缺点:虽然操作简单且快速,但fgsm生成的对抗样本往往缺乏隐蔽性,易被防御机制检测。
6、投影梯度下降(pgd):
7、出处:"madry,aleksander,et al."towards deep learning models resistantto adversarial attacks."arxiv preprint arxiv:1706.06083(2017).主要内容:通过迭代优化过程在约束区域内寻找最优的对抗扰动。该方法被认为是生成强对抗样本的有效手段。现有技术中采用投影梯度下降pgd生产对抗样本的方案中。
8、前述现有方案的问题和缺点:pgd过程计算量较大,且同样面临生成样本隐蔽性不足的问题。
9、前述传统方案存在以下问题和缺点:
10、现有技术主要集中于提高攻击成功率,而在对抗样本的隐蔽性方面研究不足。在安全敏感领域,如医疗影像分析和自动驾驶系统中,高隐蔽性的对抗样本尤为重要,因为这些领域对错误决策的容忍度极低。现有方法生成的对抗样本往往在视觉上易于识别,导致攻击效果大打折扣。此外,现有技术很少考虑到对抗样本生成过程中对关键区域的精准定位及对特定区域特征的细致调整,从而在提升攻击效果的同时保持样本的隐蔽性。
11、尽管深度学习模型在多个领域内取得了显著的应用成果,它们对于精心设计的输入扰动——即对抗样本——却显示出了脆弱性。当前,对抗样本生成方法主要面临以下缺点:
12、1、缺乏隐蔽性:现有的对抗样本生成方法(如fgsm和pgd)虽能有效地误导深度学习模型,但所生成的对抗样本往往在视觉上易于被人类观察者识别,或被自动化的防御系统检测出来。这一点在安全敏感领域,如自动驾驶和医疗影像分析等,尤其重要,因为对抗样本的隐蔽性直接关系到攻击的实用性。
13、2、缺乏针对性的区域攻击策略:大多数现有技术未能有效利用模型的内部结构信息,如模型在做出预测时依赖的关键区域。没有精确定位和针对这些关键区域,会降低对抗攻击的效率和成功率。
14、3、透明度调整不足:在生成对抗样本时,对元素透明度的调整往往未被充分考虑。透明度是控制对抗样本隐蔽性的关键参数,通过精细调整透明度可以在保持攻击效力的同时,大幅提升样本的隐蔽性。
15、公布号为cn116258867a的现有发明专利申请文献《一种基于关键区域低感知性扰动的对抗样本生成方法》,该现有方法包括:获取包含对抗目标的原始图像;将原始图像输入预设的对抗样本生成网络获得对抗样本;所述对抗样本生成网络包括感知模块和生成器;将原始图像输入至感知模块获得感知区域掩模;将原始图像输入生成器生成初始扰动;将初始扰动经过平滑滤波模块进行滤波处理后与感知区域掩模进行相乘获得最终扰动;将最终扰动与所述原始图像叠加生成初始对抗样本;计算初始对抗样本与原始图像之间的网络损失l;根据网络损失l对对抗样本生成网络进行迭代优化;利用优化后的对抗样本生成网络将原始图像转化为最终对抗样本;生成的对抗样本更加接近真实图像。从该现有技术的具体实施内容可知,该现有方案中,对原始图像提取获得多尺度特征图a,将特征图a输入至rpn网络处理,经过非极大值抑制处理获得候选区域,对候选区域进行梯度加权类激活映射计算得到候选区域的权重值,对所有候选区域的权重值进行relu函数处理并进行累加获得特征m,再对特征m进行归一化处理。
16、1.热力图与感知区域掩模的生成:
17、在前述现有技术中,使用多尺度特征图和rpn网络来确定感知区域,通过梯度加权类激活映射计算候选区域的权重,并用relu函数处理后累加以得到感知区域掩模。这种方法基于现有的目标检测框架,重点在于通过网络结构本身来识别关键区域。该现有方案仅提供了对模型决策过程的深入视觉解释,攻击的针对性、隐蔽性仍有待加强。
18、2.生成补丁过程:
19、在前述现有技术中,将原始图像输入至感知模块获得感知区域掩模,再将原始图像输入生成器生成初始扰动,再将初始扰动经过平滑滤波模块进行滤波处理后与感知区域掩模进行相乘获得最终扰动,最后将最终扰动与所述原始图像叠加生成初始对抗样本。前述现有方案中,将个别像素交换再和感知模块生成的扰动复合的简单操作,缺少针对性。
20、3.对抗样本的调整和优化策略:
21、在前述现有技术中,主要依赖于生成初始扰动,通过平滑滤波处理以减少噪点,并结合感知区域掩模以形成最终扰动。这种方法虽然考虑了降低噪点和控制扰动区域,但对扰动的微调和透明度调节提供的控制较为有限。
22、4.迭代优化过程:
23、在前述现有技术中,基于网络损失,包括感知损失、gan损失等,对生成网络进行迭代优化。这种优化方法依赖于明确定义的损失函数,并可能需要多次迭代才能够达到理想的误导效果。
24、以及现有公开文献《基于梯度定位的深度卷积神经网络图像分类可解释性研究》,该现有文献中,基于cam的思想提出逐元素类激活映射方法,该方法使用逐元素的梯度信息和激活信息得到类激活图,为类判别区域与类别输出之间的关系给出了解释。文中通过推导说明了ecam是原始cam法的推广,可以不受cam方法中对于网络结构的限制,应用到基于卷积网络的深度学习模型中。提出梯度加权类激活映射(gradient-weighted classactivation mapping,grad-cam)方法。该方法计算类输出关于网络最后一层卷积层中每个特征图的梯度的均值作为相应特征图的权重,而后同样经过加权组合得到类判别区域。
25、1.梯度加权类激活映射(grad-cam)的应用改进:
26、前述现有技术中采用的ecam,基于元素级的梯度和激活信息来生成类激活图,这种方法虽然细粒度高,但在面对复杂的图像或多目标场景时可能会导致过度分散的关注点,降低对关键特征的集中表示能力。
27、2.进化策略的创新应用:
28、前述现有技术中:没有在对抗样本生成中使用进化算法来优化特定属性(如颜色和透明度)。
29、3.提高对抗样本的隐蔽性:
30、前述现有技术中,虽然ecam提高了定位精确性,但其生成的可视化解释可能不足以用于高隐蔽性的对抗样本生成。
31、以及现有公开文献《基于改进遗传算法的对抗样本生成方法》,该现有文献中,grad-cam使用反向传播中获取的通道梯度均值作为通道权重,将grad-cam解释方法引入到种群进化中,根据图像的热力值对像素进行分组,将扰动的进化过程控制在图像中的关键区域,以减少图像中添加的扰动,提高对抗样本的隐蔽性。grad-cam解释方法引入到种群初始化中,在图像关键区域添加随机扰动生成初始解,并将扰动进化区域限制在图像关键区域,以提升样本的隐蔽性,加速算法收敛。
32、1.提升误导效果的针对性和精确性:
33、前述现有方案《基于改进遗传算法的对抗样本生成方法》中的遗传算法虽然在图像的重要区域进行了扰动,但这种扰动的精确控制仍然不够具体,尤其是在需要精确误导深度学习模型的场景中。
34、2.优化算法的效率和迭代过程:
35、前述现有方案《基于改进遗传算法的对抗样本生成方法》使用了自适应概率函数和精英保留策略来提高遗传算法的效率,但这些改进可能仍需多次模型评估,这在实际应用中可能导致效率低下。
36、以及现有公开文献《针对图像分类的对抗样本生成与防御方法研究》,该现有文献中,引入cnn可解释性方法grad-cam,提出两段式单像素对抗攻击,在攻击成功率、隐蔽性和可迁移性上分别进行实验验证;提出了一种基于grad-cam的两段式单像素对抗攻击算法(two-stage one pixel adversarial attack based on grad-cam,topaa),引入类激活映射图。
37、1.更灵活的攻击:
38、现有技术:基于grad-cam的单像素对抗样本生成,该方法的创新点在于只修改单个像素,单像素对抗攻击是一种极限条件下的局部扰动对抗攻击方法,以仅仅修改图像单个像素的方式实现对抗攻击,提高了隐蔽性,但在某些复杂场景下,单像素修改可能不足以引起模型预测错误。
39、2.优化的迭代效率:
40、现有技术:基于高斯核与动量迭代梯度的对抗样本生成,对样本中的每个前景目标生成关键高斯圆,利用动量迭代梯度法生成对抗样本,将高斯圆和对抗样本相结合生成对抗补丁并在原图上进行替换,此方法通过特定区域的有针对性扰动,增强了攻击的针对性,但可能需要重复的迭代过程来找到有效的攻击点,效率较低。
41、减少了计算资源消耗和模型访问次数,提高了对抗样本生成的效率。
42、综上,现有技术存在对抗样本隐蔽性较差、缺乏针对性的区域攻击策略以及元素透明度调整不足的技术问题。
技术实现思路
1、本发明所要解决的技术问题在于:如何解决现有技术中对抗样本隐蔽性较差、缺乏针对性的区域攻击策略以及元素透明度调整不足的技术问题。
2、本发明是采用以下技术方案解决上述技术问题的:深度学习模型隐蔽攻击方法包括:
3、s1、利用梯度加权类激活映射grad-cam方法,分析目标深度学习模型,生成模型关注焦点热力图,以识别目标深度学习模型的预测决策中的贡献最大图像区域;
4、s2、根据模型关注焦点热力图、图像尺寸及分辨率以及贡献最大图像区域,确定补丁部署关键区域及补丁中心,据以进行补丁部署操作;
5、s3、在每个补丁部署关键区域内,初始化rgb圆片,其中,rgb圆片位于适用补丁内的像素点中心,为每个rgb圆片随机赋予初始颜色值,同时设置透明度范围;
6、s4、通过预置进化策略,调优rgb圆片的颜色、透明度,定义适应度函数,结合误分类置信度、对抗样本隐蔽性进行优化;其中,根据透明度,控制对抗样本隐蔽性;
7、s5、进行变异操作、选择操作以及重组操作,通过迭代优化获取最优rgb圆片属性组合;
8、s6、将最优rgb圆片属性组合,应用至原始图像,以生成对抗样本,验证对抗样本对目标深度学习模型的误导效果、对人类视觉的隐蔽性。
9、本发明开发一种新的对抗样本生成策略,能够生成在视觉上几乎无法被察觉、难以被自动化防御系统检测的对抗样本,特别适用于安全敏感的应用场景,提升了对抗样本的隐蔽性。
10、本发明能够精确定位深度学习模型的关注焦点,使得攻击可以更加集中在模型的关键判断区域,提高了对抗样本生成的针对性和效率。本发明相比于盲目地或全面地修改图像,能够以更少的扰动实现攻击目的,同时保持了图像的原貌。本发明结合梯度加权类激活映射(grad-cam)技术与进化策略(evolution strategies,es),实现了对深度学习模型的高效且难以察觉的误导。
11、在更具体的技术方案中,s1中,在梯度加权类激活映射grad-cam方法中,使用目标深度学习模型的最后一层卷积层,处理得到目标类别相关梯度信息,以得到梯度权重,利用梯度权重对卷积层输出的特征图进行加权操作,生成模型关注焦点热力图。
12、本发明通过上述步骤的组合实现了一种高效且隐蔽的对抗样本生成流程。具体地,grad-cam的精确区域定位,结合针对性的补丁部署和rgb圆片的透明度控制,本发明不仅提高了对抗样本的生成效率和成功率,也显著增强了对抗样本的隐蔽性。这种方法对于评估和增强深度学习模型的安全性提供了有效的工具,尤其在对隐蔽性有高要求的场合显示出其独特优势。
13、本发明利用grad-cam不仅可以更精确地识别决策关键区域,本方法通过进化策略精细调节rgb圆片的每个参数,如颜色深度和透明度,确保扰动在这些区域的较好效果。这样的针对性操作可以极大地提高误导的成功率,同时减少对图像整体质量的影响。
14、在更具体的技术方案中,s1包括:
15、s11、利用梯度加权类激活映射grad-cam方法,计算目标类别得分相对于目标深度学习模型的最后一个卷积层输出的梯度,通过全局平均池化操作,处理得到得到每个特征图的梯度权重
16、s12、再利用梯度权重生成类激活图据以根据高亮图像,预测目标深度学习模型的贡献最大图像区域,供模型决策;
17、s13、使用梯度权重加权特征图ak,应用下述relu函数,生成模型关注焦点热力图lc:
18、
19、具体地,grad-cam使用梯度信息来突出显示对深度学习模型预测结果影响最大的区域。通过对卷积层的输出进行加权,生成一个热力图,该热力图反映了各部分对模型决策的贡献程度。
20、前述方法能够精确定位图像中对模型输出影响最关键的部分,从而使得随后的扰动更加集中和有效。相较于传统的全图或随机扰动方法,grad-cam使得扰动更有目的性和效率,显著提高了对抗样本的成功率,并减少了生成对抗样本所需的计算资源。
21、本发明利用深度学习模型内部信息,如梯度加权类激活映射(grad-cam)技术,精确定位模型在做出预测时依赖的关键区域,并针对这些区域实施攻击,以提高攻击的效率和成功率。
22、本发明采用grad-cam方法直接从目标深度学习模型的最后一层卷积层获得关注焦点,生成热力图。本方法不仅提供了对模型决策过程的深入视觉解释,还允许精确控制对抗样本的部署位置,提高攻击的针对性和隐蔽性。
23、在更具体的技术方案中,s11中,利用下述逻辑,处理得到梯度加权类激活映射sgrad-cam:
24、
25、式中,代表针对类别c的类激活映射,ak代表特征图中第k个通道的激活,是特征图通道k对于类别c的重要性权重。
26、本技术:采用grad-cam,不仅定位影响深度学习模型决策的关键区域,还根据这些区域的特征集中部署对抗操作。这种方法在识别模型决策的关键因素时更加集中和高效,特别适合生成针对性强的对抗样本。
27、在更具体的技术方案中,s12中,通过对目标类别c的得分对于特征图ak的梯度,进行全局平均池化操作,以得到梯度权重
28、
29、式中,yc是模型对类别c的预测得分,是特征图ak在位置(i,j)的激活值,z是特征图ak的总元素数。
30、在更具体的技术方案中,s2包括:
31、s21、设计区域限制补丁,调整区域限制补丁的尺寸、形状,以覆盖模型关注焦点热力图中的主要关注点,对非目标区域干扰进行最小化处理,获取适用区域限制补丁;其中,利用下述逻辑,确定适用补丁的长度l:
32、
33、s22、在补丁部署关键区域内,根据补丁中心部署区域限制补丁。
34、本发明通过在区域限制补丁的部署过程中,限制补丁的尺寸和形状,并精确部署在关键区域,既提升了攻击的有效性,又显著增强了对抗样本的隐蔽性。这种方法解决了现有技术中对抗样本易被检测的问题,特别适合于安全敏感的应用场景。
35、在更具体的技术方案中,s3包括:
36、s31、根据适用补丁的尺寸、补丁部署关键区域的细节程度信息,调整rgb圆片的大小。其中,采用进化算法,以下述逻辑对rgb圆片的属性向量进行优化:
37、
38、式中,r表示半径,(r,g,b)代表颜色,α表示透明度;
39、s32、定义并根据属性向量以及适应度函数评估每个预置配置信息,对目标深度学习模型的误分类概率的影响,其中,利用下述适应度函数进行扰动评价、优化及选择操作:
40、
41、式中,s(xorig,xadv)表示原始图像xorig与对抗样本xadv之间的相似度度量,λ是一个权衡参数,用于平衡误分类置信度和样本隐蔽性之间的重要性。在本实施例中,相似度度量使用结构相似性指数ssim,隐蔽性为原图的相似度;
42、s33、初始化rgb圆片的半径r、颜色(r,g,b)、透明度α。
43、本发明直接通过在grad-cam方法获得的关键区域部署补丁,并通过预置进化策略,调优rgb圆片的颜色、透明度,定义适应度函数,生成有针对性和隐蔽性的对抗补丁。
44、本发明中进化策略的使用不仅提高了扰动搜索的效率,而且通过精心设计的适应度函数,能够在较少的迭代中达到更优的效果。此外,通过精确控制扰动的部署,该方法可以减少对模型的无效查询,从而进一步提高整体的攻击效率。
45、本发明通过grad-cam不仅定位到关键区域,而且利用进化策略对这些区域的rgb圆片进行颜色和透明度的优化,比传统技术中采用的单像素攻击更灵活,可以根据目标模型的具体反应调整扰动策略,从而提高攻击的成功率。提高了在复杂场景下的攻击成功率,解决了单像素攻击可能因影响过小而无法欺骗模型的问题。
46、本发明与传统技术中基于高斯核和动量迭代的方法相比,本技术通过进化策略优化扰动,可以在更少的迭代中找到更有效的扰动组合。这种方法通过评估不同变异的效果直接影响进化过程,提高了算法的收敛速度和效率。
47、在更具体的技术方案中,s33包括:
48、s331、随机确定圆片的半径:r~u(rmin,rmax),式中,rmin和rmax分别表示半径的最小值和最大值;
49、s332、随机生成rgb颜色值;
50、s333、随机设定圆片的透明度:α~u(0,1);在本实施例中,0表示完全透明,1表示完全不透明;其中,利用下述逻辑,随机设定圆片的透明度:
51、α~u(0,1)
52、
53、式中,s(xorig,xadv)代表了原始图像与对抗样本之间的相似度度量,λ是平衡两者重要性的权衡参数。
54、本发明引入了rgb圆片的概念,通过进化策略动态调整这些圆片的颜色和透明度,不仅可以更精确地模拟和调整对抗样本的视觉效果,还可以根据模型反应进行优化。这种方法增强了对抗样本的隐蔽性,并提高了误导效果。
55、本发明对rgb圆片的透明度和颜色的精细控制过程中,允许生成外观上与原始图像几乎无差异的对抗样本,大大提升了隐蔽性。透明度的精细调节机制是本发明的关键创新点之一,它使得攻击在视觉上更难以被察觉,同时保留了误导模型的能力。
56、本发明通过调整rgb圆片的颜色和透明度,生成的对抗样本在视觉上几乎无法区分于原始图像,极大地提高了其隐蔽性。
57、在更具体的技术方案中,s5包括:
58、s51、进行变异操作,调整rgb圆片的属性,以探索新解空间其中,利用下述逻辑,进行变异操作:
59、
60、s52、进行选择操作,保留使得适应度函数值最大化的rgb圆片的配置,其中,利用下述逻辑,进行选择操作:
61、
62、s53、在rgb圆片的配置适用时,进行重组操作,结合不少于2个rgb圆片的配置对应的特征,以生成新候选解,并设定迭代终止条件,其中,利用下述逻辑,进行下述重组操作:
63、
64、s54、在满足迭代终止条件时,停止迭代操作,确定最优rgb圆片属性组合,其中,利用下述逻辑,确定迭代终止条件:
65、迭代次数≥nmax或δf≤ò。
66、
67、具体地,进化策略通过模拟自然选择过程,例如:变异、选择以及遗传,来优化rgb圆片的属性,以达到最大化误导模型的效果。每一代rgb圆片的颜色和透明度都是基于它们对模型误导成功率的贡献进行选择和变异。
68、前述方法允许动态调整扰动策略,以应对模型的防御机制,提高扰动的隐蔽性和攻击成功率。
69、解决的缺陷:
70、对比单一扰动或少量参数调整的方法,进化策略提供了一种系统性的优化过程,可以在较短时间内找到最优或接近最优的扰动组合,从而有效提高了对抗样本生成的效率和成功率。
71、本发明通过进化策略对区域限制补丁上的rgb圆片进行颜色和透明度的精细调整,旨在找到最优化的透明度设置,从而在保证攻击效力的同时最大化对抗样本的隐蔽性,实现了对元素透明度的精细控制。
72、本发明采用进化策略进行优化,通过变异、选择和重组操作进行迭代优化。这不仅提供了更广泛的探索能力,还能更灵活地适应各种攻击场景和目标模型的特性,寻找最优的对抗样本配置。
73、本发明利用进化策略优化rgb圆片的颜色和透明度,通过变异、选择和重组等操作,持续改进对抗样本的隐蔽性和误导性能。这种方法提高了对抗样本在实际应用中的有效性和难以被检测的能力。
74、在更具体的技术方案中,深度学习模型隐蔽攻击系统包括:
75、目标模型分析模块,用以利用梯度加权类激活映射grad-cam方法,分析目标深度学习模型,生成模型关注焦点热力图,以识别目标深度学习模型的预测决策中的贡献最大图像区域;
76、补丁区域确定模块,用以根据模型关注焦点热力图、图像尺寸及分辨率以及贡献最大图像区域,确定补丁部署关键区域及补丁中心,据以进行补丁部署操作,补丁区域确定模块与目标模型分析模块连接;
77、rgb圆片初始化模块,用以在每个补丁部署关键区域内,初始化rgb圆片,其中,rgb圆片位于适用补丁内的像素点中心,为每个rgb圆片随机赋予初始颜色值,同时设置透明度范围,rgb圆片初始化模块与补丁区域确定模块连接;
78、对抗样本隐蔽性控制模块,用以通过预置进化策略,调优rgb圆片的颜色、透明度,定义适应度函数,结合误分类置信度、对抗样本隐蔽性进行优化;其中,根据透明度,控制对抗样本隐蔽性,对抗样本隐蔽性控制模块与rgb圆片初始化模块连接;
79、迭代优化模块,用以进行变异操作、选择操作以及重组操作,通过迭代优化获取最优rgb圆片属性组合,迭代优化模块与对抗样本隐蔽性控制模块连接;
80、对抗样本生成验证模块,用以将最优rgb圆片属性组合,应用至原始图像,以生成对抗样本,验证对抗样本对目标深度学习模型的误导效果、对人类视觉的隐蔽性,对抗样本生成验证模块与迭代优化模块连接。
81、本发明相比现有技术具有以下优点:
82、本发明开发一种新的对抗样本生成策略,能够生成在视觉上几乎无法被察觉、难以被自动化防御系统检测的对抗样本,特别适用于安全敏感的应用场景,提升了对抗样本的隐蔽性。
83、本发明能够精确定位深度学习模型的关注焦点,使得攻击可以更加集中在模型的关键判断区域,提高了对抗样本生成的针对性和效率。本发明相比于盲目地或全面地修改图像,能够以更少的扰动实现攻击目的,同时保持了图像的原貌。本发明结合梯度加权类激活映射(grad-cam)技术与进化策略(evolution strategies,es),实现了对深度学习模型的高效且难以察觉的误导。
84、本发明通过上述步骤的组合实现了一种高效且隐蔽的对抗样本生成流程。具体地,grad-cam的精确区域定位,结合针对性的补丁部署和rgb圆片的透明度控制,本发明不仅提高了对抗样本的生成效率和成功率,也显著增强了对抗样本的隐蔽性。这种方法对于评估和增强深度学习模型的安全性提供了有效的工具,尤其在对隐蔽性有高要求的场合显示出其独特优势。
85、本发明利用深度学习模型内部信息,如梯度加权类激活映射(grad-cam)技术,精确定位模型在做出预测时依赖的关键区域,并针对这些区域实施攻击,以提高攻击的效率和成功率。
86、本发明通过在区域限制补丁的部署过程中,限制补丁的尺寸和形状,并精确部署在关键区域,既提升了攻击的有效性,又显著增强了对抗样本的隐蔽性。这种方法解决了现有技术中对抗样本易被检测的问题,特别适合于安全敏感的应用场景。
87、本发明对rgb圆片的透明度和颜色的精细控制过程中,允许生成外观上与原始图像几乎无差异的对抗样本,大大提升了隐蔽性。透明度的精细调节机制是本发明的关键创新点之一,它使得攻击在视觉上更难以被察觉,同时保留了误导模型的能力。
88、本发明通过进化策略对区域限制补丁上的rgb圆片进行颜色和透明度的精细调整,旨在找到最优化的透明度设置,从而在保证攻击效力的同时最大化对抗样本的隐蔽性,实现了对元素透明度的精细控制。
89、本发明解决了现有技术中存在的对抗样本隐蔽性较差、缺乏针对性的区域攻击策略以及元素透明度调整不足的技术问题。
1.深度学习模型隐蔽攻击方法,其特征在于,所述方法包括:
2.根据权利要求1所述的深度学习模型隐蔽攻击方法,其特征在于,所述s1中,在所述梯度加权类激活映射grad-cam方法中,使用所述目标深度学习模型的最后一层卷积层,处理得到目标类别相关梯度信息,以得到梯度权重,利用所述梯度权重对所述卷积层输出的特征图进行加权操作,生成所述模型关注焦点热力图。
3.根据权利要求1所述的深度学习模型隐蔽攻击方法,其特征在于,所述s1包括:
4.根据权利要求3所述的深度学习模型隐蔽攻击方法,其特征在于,所述s11中,利用下述逻辑,处理得到梯度加权类激活映射sgrad-cam:
5.根据权利要求3所述的深度学习模型隐蔽攻击方法,其特征在于,所述s12中,通过对目标类别c的得分对于所述特征图ak的梯度,进行所述全局平均池化操作,以得到所述梯度权重
6.根据权利要求1所述的深度学习模型隐蔽攻击方法,其特征在于,所述s2包括:
7.根据权利要求1所述的深度学习模型隐蔽攻击方法,其特征在于,所述s3包括:
8.根据权利要求7所述的深度学习模型隐蔽攻击方法,其特征在于,所述s33包括:
9.根据权利要求1所述的深度学习模型隐蔽攻击方法,其特征在于,所述s5包括:
10.深度学习模型隐蔽攻击系统,其特征在于,所述系统包括:
