公开(公告)号：CN113947579A

公开(公告)日：2022-01-18

申请号：CN202111212059.3

申请日：2021-10-18

Applicant: 北京计算机技术及应用研究所

Inventor： 曾颖明 ,  王斌 ,  方永强 ,  张顺 ,  石波 ,  郭敏 ,  马晓军 ,  桓琦

IPC: G06T7/00 ,  G06V10/764 ,  G06V10/82 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  G06N3/12

Abstract: 本发明涉及一种针对图像目标探测神经网络的对抗样本检测方法，涉及人工智能安全技术领域。该方法包括步骤：构建对抗样本检测数据集；利用目标探测神经网络模型提取对抗样本检测特征数据集；搭建对抗样本检测神经网络；进行对抗样本检测神经网络训练，得到对抗样本检测模型；进行对抗样本检测模型性能测试。本发明利用目标探测神经网络生成的目标探测框之间存在顺序关系，提升了对抗样本检测准确率，并且通过浅层特征共享机制避免了过多额外计算。

公开(公告)号：CN118095406A

公开(公告)日：2024-05-28

申请号：CN202410297400.7

申请日：2024-03-15

Applicant: 北京计算机技术及应用研究所

Inventor： 方永强 ,  靳咏雷 ,  郭敏 ,  桓琦 ,  张箐蓓 ,  田少山 ,  曾颖明 ,  李宁 ,  薛晓萱

IPC: G06N3/094 ,  G06N3/084 ,  G06V40/16 ,  G06V10/82

Abstract: 本发明涉及一种针对智能人脸识别模型的随机对抗训练方法，属于人工智能安全领域。包括：1.搭建人脸识别模型并初始化算法参数、构造人脸图片训练集；2.将人脸图片训练集随机划分为多个互不相交的训练子集；3.利用划分后的训练子集生成对抗训练子集；4.利用对抗训练子集和加权损失函数对人脸识别模型进行反向传播训练；5.判断是否满足所有训练子集全部完成对抗训练，是则执行步骤6，否则返回步骤3；6.判断人脸识别模型迭代次数是否达到终止条件，是则输出最终鲁棒人脸识别模型，否则返回步骤2继续执行。本发明能同时抵御人脸伪装攻击和人脸逃逸攻击，增强人脸识别模型抵御攻击且能保证干净人脸样本的识别准确率，增强模型的鲁棒性和泛化能力。

公开(公告)号：CN113948067B

公开(公告)日：2022-05-27

申请号：CN202111170083.5

申请日：2021-10-08

Applicant: 北京计算机技术及应用研究所

Inventor： 王斌 ,  方永强 ,  曾颖明 ,  张箐碚 ,  陈志浩 ,  郭敏 ,  童帅鑫 ,  马晓军 ,  桓琦

IPC: G10L15/06 ,  G10L15/22 ,  G10L19/005 ,  G10L25/18 ,  G10L25/30 ,  H04L9/40

Abstract: 本发明涉及一种具有听觉高保真度特点的语音对抗样本修复方法，涉及人工智能安全技术领域。该方法包括步骤：构建对抗样本修复训练数据集；搭建RAE网络并设置网络参数；构建高保真音频重构损失，即基于信号均方误差的高保真度策略改进；设置训练参数并训练网络；利用训练好的RAE网络进行对抗样本修复，借助语音识别模型判断是否修复成功。与目前传统常用的语音信号修复方法相比，通过本发明算法生成的音频修复样本具有较高的听觉保真度和修复成功率，能够适用于更低信噪比情况下的对抗样本。

公开(公告)号：CN114332446A

公开(公告)日：2022-04-12

申请号：CN202111212057.4

申请日：2021-10-18

Applicant: 北京计算机技术及应用研究所

Inventor： 方永强 ,  郭敏 ,  王斌 ,  张顺 ,  陈志浩 ,  曾颖明 ,  许文睿 ,  马晓军 ,  桓琦

IPC: G06V10/24 ,  G06V10/774 ,  G06V10/764 ,  G06V10/82 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种在物理世界下具有旋转鲁棒性的图像对抗样本生成方法，涉及人工智能安全技术领域。主要步骤包括1.初始化算法参数与图像预处理得到当前对抗样本；2.利用当前对抗样本旋转得到旋转后的对抗样本；3.判断是否满足迭代终止条件，是则输出最终对抗样本并执行步骤7，否则执行步骤4；4.计算旋转不变联合梯度矩阵；5.对旋转不变联合梯度矩阵进行均值滤波；6.当前对抗样本更新，并返回步骤23；7.在真实物理世界下利用最终对抗样本进行测试，观察不同旋转角度下的对抗攻击效果。本发明生成的对抗样本在物理世界下具有旋转鲁棒性，解决了对抗样本在旋转过后攻击存在失效的情况，进一步提高了攻击成功率。

公开(公告)号：CN113935913A

公开(公告)日：2022-01-14

申请号：CN202111170040.7

申请日：2021-10-08

Applicant: 北京计算机技术及应用研究所

Inventor： 王斌 ,  郭敏 ,  曾颖明 ,  卢宏业 ,  马书磊 ,  方永强 ,  马晓军 ,  桓琦

IPC: G06T5/00 ,  G06N3/04 ,  G06N3/08 ,  G06N3/12

Abstract: 本发明涉及一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法，涉及人工智能安全技术领域。主要技术方案包括：1初始化算法参数以及对抗样本集合；2根据对抗攻击效果挑选优势对抗样本子集；3判断最优对抗样本是否攻击成功，如果攻击成功，则转到步骤6；4否则利用对抗样本子集交叉产生新的对抗样本集合；5按照一定概率添加隐蔽性噪声；6输出对抗样本并进行测试。本发明利用视觉感知的掩蔽效应，使产生的对抗样本与原始图像的视觉感知相似度高，具有良好的隐蔽性，能够在不被察觉的情况下发动黑盒对抗攻击。

公开(公告)号：CN113362822A

公开(公告)日：2021-09-07

申请号：CN202110635286.0

申请日：2021-06-08

Applicant: 北京计算机技术及应用研究所

Inventor： 曾颖明 ,  郭敏 ,  方永强

IPC: G10L15/22 ,  G10L15/16 ,  G10L15/02

Abstract: 本发明涉及一种具有听觉隐蔽性的黑盒语音对抗样本生成方法，涉及人工智能安全技术领域。本发明主要技术方案包括初始化模拟退火参数；读入原始音频，初始化音频对抗样本；根据输入音频计算黑盒噪声，并做隐蔽性处理，即基于信号方差的时变噪声策略和基于人耳听觉效应的隐蔽性改进；利用黑盒噪声合成新的对抗样本；输入黑盒语音识别模型，判断是否攻击成功，如果攻击成功，则停止迭代，输出音频对抗样本，如果没有攻击成功，则按照Markov准则产生新解作为输入音频继续迭代，直到迭代完成或者攻击成功为止。本发明方法生成的音频对抗样本与原始音频相似度较高，更符合人耳听觉效应，具有较强的隐蔽性，能够在不被察觉的情况下攻击成功。

公开(公告)号：CN111680292A

公开(公告)日：2020-09-18

申请号：CN202010524788.1

申请日：2020-06-10

Applicant: 北京计算机技术及应用研究所

Inventor： 郭敏 ,  曾颖明 ,  赵晓燕 ,  韩磊 ,  方永强

IPC: G06F21/55

Abstract: 本发明涉及一种基于高隐蔽性通用扰动的对抗样本生成方法，涉及人工智能安全技术领域。本发明首先将攻击目标函数优化问题，由最大化单一图像的损失，调整为最大化某特定类别图像的期望损失，以实现扰动的通用性；其次，为提高对抗样本的不易察觉性，本发明设置多目标优化函数，使特定类别的图像被错误识别的同时，保证其他类别的图像不受干扰影响，仍能被正确决策；最后，在隐蔽性方面，经前期实验发现，传统的梯度方法能够较快地产生具有对抗效果的扰动，而低频噪声往往更隐蔽更稳定，因此，本发明在使用传统梯度方法生成初步的对抗扰动后，进一步采用低通滤波器来消除通用扰动中的高频尖锐噪音，在实现通用攻击的同时保证对抗样本的隐蔽性。