对抗样本检测的特征压缩得分算法.pdfVIP

目录 摘要 Ⅰ Abstract Ⅱ 第一章 绪论 1 1.1 研究背景及意义 1 1.2 国内外研究现状 3 1.2.1 对抗样本生成技术文献综述 3 1.2.2 对抗样本检测技术文献综述 5 1.3 本文主要工作 7 1.4 本文组织结构 8 第二章 相关工作 9 2.1 对抗样本生成技术 10 2.1.1 基于L 范数的对抗样本生成方法 11 2.1.2 基于 L0 范数的对抗样本攻击方法 12 2.1.3 基于 L2 范数的对抗样本攻击方法 13 2.2 对抗样本检测技术 15 2.2.1 输入解离 15 2.2.2 分布统计 16 2.2.3 特征学习 17 第三章 基于压缩得分的特征压缩联合检测方法 19 3.1 算法框架设计 19 3.2 对抗样本生成器 20 3.2.1 快速梯度符号法：FGSM 20 3.2.2 基本迭代算法：BIM 21 3.2.3 DeepFool 算法22 3.2.4 Carlini/Wagner 攻击22 3.3 特征压缩器 24 3.3.1 颜色深度压缩 24 3.3.2 空间平滑 26 3.4 图像分类器 26 3.4.1 压缩得分 27 3.4.2 训练阈值 28 第四章 实验分析 29 IV 4.1 数据集 29 4.1.1 MNIST 数据集 29 4.1.2 CIFAR-10 数据集29 4.2 实验设计 30 4.2.1 实验环境 30 4.2.2 网络模型结构 30 4.2.3 参数设置 33 4.2.4 实验评价指标 33 4.3 实验结果与分析 34 4.3.1 在 MNIST 数据集上的实验 34 4.3.2 在 CIFAR-10 数据集上的实验 40 第五章 总结与展望 45 5.1 论文总结 45 5.2 研究展望 46 参考文献 47 致谢 声明 V 图目录 图 1 对抗样本区域 2 图 2 可打印对抗式眼镜示例 2 图 3 检测流程框架图 7 图 4 PGD 攻击的对抗样本示例12 图 5 OnePixel 攻击的对抗样本示例13 图 6 Deepfool 攻击算法图解14 图 7 普遍对抗性扰动攻击算法图解14 图 8 算法框架图 19 图 9 FGSM 攻击算法图解21 图 10 二值分类模型中的最小扰动距离 22 图 11 颜色深度压缩后的图像 25 图 12 从 MNIST 数据集中提取的对抗性攻击和特征压缩方法的示例 25 图 13 MNIST 数据集示例图片29 图 14 CIFAR-10 数据集示例图片30 图 15 卷积神经网络搭建流程图 31 图 16 DenseNet 网络的密集连接机制32 图 17 MNIST 数据集对抗样本示例36 图 18 基于最大值的权重取值图一 36 图 19 基于最大值的权重取值图二 37 图 20 基于平均值的权重取值图 37 图 21 MNIST 数据集上阈值与准确率和假阳性率关系图 38 图 22 MNIST 数据集检测对比结果39 图 23 CIFAR-10 数据集对抗样本示例41 图 24 CIFAR-10 数据集上阈值与准确率和假阳性率关系图 42 图 25 CIFAR-10 数据集检测对比结果43 VI 表目录 表 1 对抗样本生成算法 11 表 2 实验环境 30 表 3 目标 DNN 模型的性能 3