Robust-InTemp:基于对抗扰动和局部信息增强的进阀温度预测

预测进阀温度的变化趋势对阀冷系统的运行状态有重要参考价值.针对传统方法存在数据收集时间跨度大和传感器存在误差等问题,本文提出了一种基于对抗扰动和局部信息增强的进阀温度预测模型Robust-InTemp.具体来说,Robust-InTemp通过对原始数据添加基于规则的高斯噪声,并使用基于梯度的对抗训练方法(projected gradient descent,PGD),增强了模型的泛化能力和抵抗噪声干扰的鲁棒性.同时,引入相对位置编码、一维卷积以及门控线性单元(gated linear unit,GLU),以增强模型对局部特征的学习能力,从而提高预测准确性.实验结果表明,与多种基准模型相比,Robust-InTemp在预测性能和抗干扰能力方面均有明显优势,进一步的消融实验也验证了模型中各个组件的有效性.

基于高斯分布的对抗扰动后门攻击方法研究

在图像分类模型的攻防研究中,大部分后门攻击都是基于白盒模式的场景下发生的,攻击者需要控制训练数据和训练过程才可以实现后门攻击。这一条件导致了后门攻击难以在现实场景下发生。为了提高后门攻击的可行性,本文采用一种基于“灰盒”模式下的攻击场景,攻击者只需要控制训练数据,不必参与训练过程也可以实现后门攻击。现有的后门攻击方式通常是在干净样本中添加补丁作为后门触发器,这样的攻击方式很容易被人工发现或者被防御模型检测出来,而使用对抗攻击可以减少扰动量的异常分布,从而提高有毒样本的隐蔽性。基于这一思想,提出一种满足高斯分布的对抗扰动算法来生成后门触发器,与现有的对抗扰动不同,通过往每轮的对抗迭代中添加一次满足高斯分布的噪声,最后迭代完成后生成的后门触发器更加稳定和隐蔽,在逃避防御检测方面也有更好的效果。实验结果表明,只有平均不到10%的有毒样本会被防御检测到异常,相比于传统的方法被检测率降低了13%左右。

基于通用对抗扰动的图像验证码保护方法

卷积神经网络的发展使得图像验证码已经不再安全。基于卷积神经网络中存在的通用对抗扰动,提出了一种图像验证码的保护方法。提出了一种快速生成通用对抗扰动的算法,将方向相似的对抗扰动向量进行叠加以加快生成通用对抗扰动的速度。基于此算法设计了图像验证码的保护方案,将通用对抗扰动加入到验证码的图像中使其无法被卷积神经网络模型识别。在ImageNet数据集上进行的仿真实验结果表明,该方案比现有工作Deep-CAPTCHA具有更低的破解率,能有效保护图像验证码不被主流的卷积神经网络模型破解。

基于生成式对抗网络的通用性对抗扰动生成方法

深度神经网络在图像分类应用中具有很高的准确率,然而,当在原始图像中添加微小的对抗扰动后,深度神经网络的分类准确率会显著下降。研究表明,对于一个分类器和数据集存在一种通用性对抗扰动,其可对大部分原始图像产生攻击效果。文章设计了一种通过生成式对抗网络来制作通用性对抗扰动的方法。通过生成式对抗网络的训练,生成器可制作出通用性对抗扰动,将该扰动添加到原始图像中制作对抗样本,从而达到攻击的目的。文章在CIFAR-10数据集上进行了无目标攻击、目标攻击和迁移性攻击实验。实验表明,生成式对抗网络生成的通用性对抗扰动可在较低范数约束下达到89%的攻击成功率,且利用训练后的生成器可在短时间内制作出大量的对抗样本,利于深度神经网络的鲁棒性研究。

基于通用性对抗扰动的图像验证码系统研究

验证码(Completely Automated Public Turing test to tell Computers and Humans Apart,CAPTCHA)是一种反图灵测试,许多网站用此来鉴别机器与人工访问,以防止自动机器对网站的访问。然而,由于深度神经网络可以被恶意攻击者利用,对图像验证码的安全性造成了很大威胁。深度神经网络在对抗扰动上的脆弱性,反而在图像验证码的安全性上有积极作用,因此使用对抗扰动制作的对抗样本图像作为验证码系统的候选图像集可以提高验证码系统的安全性。然而,已有图像验证码系统存在含有扰动的验证码图像制作缓慢和系统不易拓展的问题。利用基于残差网络的通用性对抗扰动生成方法(Universal Adversarial Perturbation with ResNet,UAP-RN)可以快速制作对抗样本的特点,设计基于UAP-RN制作对抗验证码候选图像集的方法,并构建了基于微服务架构的图像验证码系统。基于ImageNet数据集对系统进行了功能与安全性测试。实验表明,文中所设计的图像验证码系统在对抗验证码图像制作方面可达到单张0.04 s的速度,同时在相对扰动为0.05的情况下针对监督学习方式攻击的防御率为96.3%。

局部可视对抗扰动生成方法

深度神经网络极易受到局部可视对抗扰动的攻击.文中以生成对抗网络为基础,提出局部可视对抗扰动生成方法.首先,指定被攻击的分类网络作为判别器,并在训练过程中固定参数不变.再构建生成器模型,通过优化欺骗损失、多样性损失和距离损失,使生成器产生局部可视对抗扰动,并叠加在不同输入样本的任意位置上攻击分类网络.最后,提出类别比较法,分析局部可视对抗扰动的有效性.在公开的图像分类数据集上实验表明,文中方法攻击效果较好.

基于逆扰动融合生成对抗网络的对抗样本防御方法

为了有效抵御对抗样本误导深度神经网络模型,提出一种基于逆扰动融合生成对抗网络的对抗样本防御方法(Inverse Perturbation Fusing Generative Adversarial Network,IP-GAN).充分利用对抗样本中的对抗扰动信息,确定以逆扰动作为对抗样本防御方法的研究出发点,并从高维特征空间进行有效性分析.IP-GAN方法借鉴生成对抗网络思想,以生成器架构作为逆扰动构造模型,依据对抗样本构造相应的逆扰动用于获取重构样本,并引入深度神经网络模型指导逆扰动优化方向,最终将重构样本输入至深度神经网络模型获取正确分类结果.实验结果表明,所构造的逆扰动可有效消除对抗扰动,辅助DNN模型正确识别并分类对抗样本,与现有最新防御方法相比,IP-GAN方法在MNIST和ImageNet数据集上防御成功率分别平均提高了0.86%和2.96%.

结合最大内接圆的图像对抗样本生成算法

深度学习算法已经广泛应用于对抗样本领域.针对图像领域模型生成对抗样本,是发掘图像领域模型的弱点并完善对抗样本检测方法的关键.本文提出一种结合最大内接圆的图像对抗样本生成算法,通过作决策边界的最大内接圆计算出最近决策边界与该圆的切点即为对抗样本点,有效提升了生成对抗样本的成功率和欺骗性.实验使用ImageNet和Cifar10数据集对ResNet18,GoogLeNet,VGG16,MobileNetV2模型生成对抗样本.在本文选取的样本中,ImageNet数据集对这4个模型生成的平均对抗扰动量分别降低了0.1093、0.1697、0.0952、0.0905,Cifar10数据集对这4个模型分别降低了0.0045、0.0049、0.0072、0.0041.这体现了本文方法的优越性与普遍适用性.

文本对抗验证码的研究

图像识别等深度学习技术的发展使得传统的文本验证码安全性下降,利用对抗样本这一深度神经网络存在的缺陷来增强文本验证码的安全性具有重要研究意义。通过将多种对抗样本生成算法应用到文本验证码上,生成文本对抗验证码,并从耗时、扰动大小、黑白盒识别率等多个方面衡量生成的对抗验证码的实际效果。基于验证码生成频率较高的应用场景特点,筛选出将通用对抗扰动应用到文本验证码上的方案;在应用快速通用对抗扰动(Fast-UAP)算法时,为了克服Fast-UAP的不稳定性,提出了I-FUAP(initialized-FUAP)算法,通过利用通用对抗扰动来进行初始化,实验表明,在不显著影响扰动成功率和对抗样本攻击效果的前提下,改进后的算法相比于原来的Fast-UAP能更快地生成通用对抗扰动,生成耗时减少约30.22%。

利用主成分分析的通信调制识别通用对抗攻击方法

深度学习容易被对抗样本所攻击。以通信调制识别为例,在待传输的通信信号中加入对抗性扰动,可以有效防止非合作的用户利用深度学习方法识别信号的调制方式,进而提升通信安全。针对现有对抗样本生成技术难以满足自适应和实时性的问题,通过对数据集中抽取的小部分数据产生的对抗扰动进行主成分分析,得到适用于整个数据集的通用对抗扰动。通用对抗扰动的计算可以在离线条件下进行,然后实时添加到待发射的信号中,可以满足通信的实时性要求,实现降低非合作方调制识别准确率的目的。实验结果表明该方法相对基线方法具有更优的欺骗性能。

面向个人信息保护的对抗性图像扰动算法研究

通过研究对抗性图像扰动算法,应对深度神经网络对图像中个人信息的挖掘和发现以保护个人信息安全。将对抗样本生成问题转换为一个含有限制条件的多目标优化问题,考虑神经网络的分类置信度、扰动像素的位置以及色差等目标,利用差分进化算法迭代得到对抗样本。在MNIST和CIFAR-10数据集上,基于深度神经网络LeNet和ResNet进行了对抗样本生成实验,并从对抗成功率、扰动像素数目、优化效果和对抗样本的空间特征等方面进行了对比和分析。结果表明,算法在扰动像素极少的情况下(扰动均值为5)依然可以保证对深度神经网络的有效对抗,并显著优化了扰动像素的位置及色差,达到不破坏原图像的情况下保护个人信息的目的。该研究有助于促进信息技术红利共享与个人信息安全保障之间的平衡,也为对抗样本生成及深度神经网络中分类空间特征的研究提供了技术支撑。

一种面向人脸活体检测的对抗样本生成算法

近年来,基于深度卷积神经网络的人脸活体检测技术取得了较好的性能.然而,深度神经网络被证明容易受到对抗样本的攻击,影响了人脸系统的安全性.为了建立更好的防范机制,需充分研究活体检测任务对抗样本的生成机理.相对于普通分类问题,活体检测任务具有类间距离小,且扰动操作难度大等特性.在此基础上,提出了基于最小扰动维度和人眼视觉特性的活体检测对抗样本生成算法,将扰动集中在少数几个维度上,并充分考虑人眼的视觉连带集中特性,加入扰动点的间距约束,以便最后生成的对抗样本更不易被人类察觉.该方法只需平均改变输入向量总维度的1.36%,即可成功地欺骗网络,使网络输出想要的分类结果.通过志愿者的辨认,该方法的人眼感知率比DeepFool方法降低了20%.

融合多粒度动态语义表征的文本分类模型

在对化工领域类文本进行分类任务时,由于文本的专业性以及复杂多样性,仅仅依靠现有的词向量表征方式,很难对其中的专业术语以及其他化工领域内相关字词的语义进行充分表征,从而导致分类任务的准确率不高.本文提出一种融合多粒度动态语义表征的文本分类模型,首先在词嵌入层使用动态词向量表征语义信息并引入对抗扰动,使得词向量具有更好的表征能力,然后利用多头注意力机制进行词向量权重分配,获得带有关键语义信息的文本表示,最后使用提出的多尺度残差收缩深层金字塔形的卷积神经网络与混合注意力胶囊双向LSTM网络模型分别提取不同粒度的文本表示,融合后对得到的最终文本表示进行分类.实验结果表明,相比于现有模型,所提出的模型使用不同词向量表示时,在化工领域文本数据集上F1-Score最高可达84.62%,提升了0.38~5.58个百分点;在公开中文数据集THUCNews和谭松波酒店评论数据集ChnSentiCorp上进行模型泛化性能评估,模型也有较好表现.

一种基于关键信息监督的隧道雷达数据衬线识别算法

【目的】探索探地雷达数据解析和基建病理检测新的处理方法。探地雷达作为桥梁和隧道缺陷检测中常用无损技术手段,一直面临数据解析困难问题,提高解析结果的准确性,对交通基础设施的缺陷检测具有重大应用价值。【方法】将衬砌结构作为识别对象,分解为关键点和曲线来表示。关键点检测基于双热图方法,借助“软标注”来加快模型收敛。曲线拟合模块通过神经网络回归拟合,加入对抗扰动机制,抗图像噪声干扰。【结果】结果表明,该算法识别的衬砌线较真实偏移量为2.23个像素点,较CenterNet网络提升1.24个像素点,较CornerNet网络提升0.71个像素点。【结论】解析识别效果提升显著,具有较高应用价值。

基于PGN-CL的文本摘要生成模型

基于Seq2Seq框架的生成式文本摘要模型取得了不错的研究进展,但此类模型大多存在未登录词、生成文本重复、曝光偏差问题。为此,本文提出基于对抗性扰动对比学习的指针生成器网络PGN-CL来建模文本摘要生成过程,该模型以指针生成器网络PGN为基本架构,解决摘要模型存在的未登录词和生成文本重复的问题;采用对抗性扰动对比学习作为一种新的模型训练方式来解决曝光偏差问题。在PGN模型的训练过程中,通过向目标序列添加扰动并建立对比损失函数来生成对抗性正负样本,使负样本与目标序列在嵌入空间相似但语义差别很大,正样本与目标序列在语义空间很相近但嵌入空间差距较大,这些区分困难的正负样本可以引导PGN模型在特征空间更好地学习到正负样本的区分特征,获得更准确的摘要表示。在LCSTS数据集上的实验结果表明,提出的模型在ROUGE评价指标上的表现优于对比基线,证明了融合指针生成器网络和对抗性扰动对比学习对摘要质量提升的有效性。

针对交通标志检测模型的安全性研究

近几年研究表明,现有对抗算法在攻击目标检测模型时,易受到光照、角度、天气等环境因素的影响,导致生成的对抗扰动攻击成功率较低,鲁棒性较差。为进一步提高攻击目标检测模型的成功率,提出了一种对抗算法IFASC⁃TS(Improved Fooling Automated Surveillance Cameras on Traffic Signs),其攻击对象是交通标志检测模型。IFASC⁃TS引入约束对抗扰动输入与原始图像输入之间的预期有效距离误差损失函数和多类别数据增强方法,以提高对抗扰动的攻击成功率和鲁棒性。基于YOLOv2在GTSRB测试集上的实验结果表明,IFASC⁃TS算法生成的对抗扰动使交通检测模型的mAP值降低至25.6%,相较于FASC算法的30.0%,IFASC⁃TS算法对抗性能提升了4.4%。

结合扰动约束的低感知性对抗样本生成方法

目的对抗样本是指在原始数据中添加细微干扰使深度模型输出错误结果的合成数据。视觉感知性和攻击成功率是评价对抗样本的两个关键指标。当前大多数对抗样本研究侧重于提升算法的攻击成功率,对视觉感知性的关注较少。为此,本文提出了一种低感知性对抗样本生成算法,构造的对抗样本在保证较高攻击成功率的情况下具有更低的视觉感知性。方法提出在黑盒条件下通过约束对抗扰动的面积与空间分布以降低对抗样本视觉感知性的方法。利用卷积网络提取图像中对输出结果影响较大的关键区域作为约束,限定扰动的位置。之后结合带有自注意力机制的生成对抗网络在关键区域添加扰动,最终生成具有低感知性的对抗样本。结果在3种公开分类数据集上与多种典型攻击方法进行比较,包括7种白盒算法FGSM(fast gradient sign method)、BIM(basic iterative method)、DeepFool、PerC-C&W(perceptual color distance C&W)、JSMA(Jacobian-based saliency map attacks)、APGD(auto projected gradient descent)、AutoAttack和2种黑盒算法One Pixel、AdvGAN(adversarial generative adversarial network)。在攻击成功率(attack success rate,ASR)上,本文算法与对比算法处于同一水平。在客观视觉感知性对比中,本文算法较Adv GAN在低分辨率数据集上,均方误差(mean square error,MSE)值降低了42.1%,结构相似性值(structural similarity,SSIM)提升了8.4%;在中高分辨率数据集上,MSE值降低了72.7%,SSIM值提升了12.8%。与视觉感知性最好的对比算法Deep Fool相比,在低分辨率数据集上,本文算法的MSE值降低了29.3%,SSIM值提升了0.8%。结论本文分析了当前算法在视觉感知性上存在的问题,提出了一种对抗样本生成方法,在攻击成功率近似的情况下显著降低了对抗样本的视觉感知性。

一种面向图像识别的神经网络通用扰动生成算法

近年来,基于深度神经网络的图像识别技术表现出良好的性能,然而研究表明神经网络容易受到对抗扰动攻击而发生分类错误,施加一个小的通用扰动就能使神经网络在整个数据集上失效.为构建更加健壮的神经网络,对通用扰动生成的研究显得至关重要.通用扰动生成问题要求得到一个扰动向量对整个数据集产生指定扰动率的攻击效果,相较于单张图片扰动生成问题其约束条件更严格,计算难度更大.目前已有算法得到的通用扰动范数较大,容易被人眼识别.文章基于优化理论提出新的通用扰动生成算法,在达到指定扰动率的同时能产生更小的通用扰动.算法结合PCA降维思想克服了问题的规模性带来的困难;然后利用单张对抗扰动向量的均值叠加随机噪声,得到满足扰动率的初始通用扰动;最后改进梯度下降方法在保证扰动率的同时得到更小的通用扰动.实验表明,该方法可有效攻击各类先进神经网络:在达到相同扰动率的情况下,所得通用扰动的范数较Uni.Perturbation算法的结果平均降低了54%.