CN114359653B 基于强化型通用补丁的对抗攻击方法、防御方法及装置 （北京邮电大学）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN114359653B(45)授权公告日2025.07.08

(21)申请号202111465111.6

(22)申请日2021.11.30

(65)同一申请的已公布的文献号申请公布号CN114359653A

(43)申请公布日2022.04.15

(73)专利权人北京邮电大学

地址100876北京市海淀区西土城路10号

(72)发明人郑霄龙刘亮傅毅男马华东

(74)专利代理机构北京金咨知识产权代理有限公司11612

专利代理师岳燕敏

GO6V10/96(2022.01)GO6N3/084(2023.01)

GO6N3/094(2023.01)

GO6N3/045(2023.01)

GO6N3/0464(2023.01)

GO6N3/0475(2023.01)GO6F21/57(2013.01)

(56)对比文件

CN113689338A,2021.11.23

审查员郭美城

(51)Int.CI.

GO6V10/774(2022.01)

GO6V10/80(2022.01)

GO6V10/82(2022.01)权利要求书2页说明书10页附图3页

(54)发明名称

基于强化型通用补丁的对抗攻击方法、防御方法及装置

(57)摘要

CN114359653B本发明提供一种基于强化型通用补丁的对抗攻击方法、防御方法及装置，所述对抗攻击方法包括：获取图像样本集；从所述图像样本集中随机选取第一图像样本作为第一待训练图像；获取原始补丁图像，将所述原始补丁图像与所述第一待训练图像进行图像融合得到第一对抗样本图像；将所述第一对抗样本图像输入至补丁生成模型，并基于梯度下降法更新补丁图像，以生成对抗补丁图像；从所述图像样本集中随机选取第二图像样本作为第二待训练图像；将所述对抗补丁图像与所述第二待训练图像进行图像融合得到第二对抗样本图像，将所述第二对抗样本图像

CN114359653B

获取图像样本集，从所述图像样本集中随机选取第一图像样本作为第一待训练图像

获取原始补丁图像，将所述原始补丁图像与所述第一待训练图像进行图像融合得到第一对抗样本图像

将所述第一对抗样本图像输入至补丁生成模型，并基于梯度下降法更新补丁图像，以生成对抗补丁图像

从所述图像样本集中随机选取第二图像样本作为第二待训练图像，将所述对抗补丁图像与所述第二待训练图像进行图像融合得到第二对抗样本图像，将

所述第二对抗样本图像输入至集成网络模型，并基于梯度下降法更新对抗补丁图像，以生成强化型通用补丁图像

CN114359653B权利要求书1/2页

2

1.一种基于强化型通用补丁的对抗攻击方法，其特征在于，所述方法包括：

获取图像样本集，从所述图像样本集中随机选取第一图像样本作为第一待训练图像；

获取原始补丁图像，将所述原始补丁图像与所述第一待训练图像进行图像融合得到第一对抗样本图像；

将所述第一对抗样本图像输入至补丁生成模型，并基于梯度下降法更新补丁图像，以生成对抗补丁图像；

从所述图像样本集中随机选取第二图像样本作为第二待训练图像，将所述对抗补丁图像与所述第二待训练图像进行图像融合得到第二对抗样本图像，将所述第二对抗样本图像输入至集成网络模型，并基于梯度下降法更新对抗补丁图像，以生成强化型通用补丁图像；

将所述对抗补丁图像与所述第一待训练图像进行图像融合得到第三对抗样本图像，基于所述第一待训练图像对应的原始标签以及所述第三对抗样本图像对所述补丁生成模型进行鲁棒性训练；其中，所述第三对抗样本图像为被分类模型成功误分类为目标类别的对抗样本，所述第一待训练图像和所述第二待训练图像为不同的图像。

2.根据权利要求1所述的基于强化型通用补丁的对抗攻击方法，其特征在于，所述集成网络模型为多个卷积神经网络串联模型。

3.根据权利要求1所述的基于强化型通用补丁的对抗攻击方法，其特征在于，将所述原始补丁图像与所述第一待训练图像进行图像融合得到第一对抗样本图像，包括：

基于CAM算法获取所述第一待训练图像的焦点；

将所述原始补丁图像与所述第一待训练图像的远离所述焦点的区域进行融合。

4.一种基于强化型通用补丁的防御方法，其特征在于，所述方法包括：

获取待识别