机器学习中的对抗样本防御和隐私保护
发布时间:2021-11-16 04:52
近些年,机器学习技术推动了人工智能领域的飞速发展,在计算机视觉、医疗、自动驾驶等领域得到了广泛应用。与此同时,机器学习所带来的信息安全问题和隐私保护问题引起了人们的关注。在安全方面,机器学习模型可能受到投毒攻击、对抗样本攻击等,因而导致严重的安全事故;在隐私保护方面,因为机器学习模型的训练和预测都是在明文域上进行的,用户的数据隐私遭受着被泄露的威胁。本文调研了机器学习中的安全问题和隐私保护问题,对这些问题进行了分析和总结。针对众多机器学习安全和隐私保护问题,本文聚焦在两个具体场景下的问题。第一个问题是交通标志的对抗样本攻击,自动驾驶的交通标志识别系统基于神经网络模型,攻击者通过在交通标志上加入对抗样本噪声,就可以使识别系统发生故障并引发交通事故;第二个是云计算机器学习模型中用户数据隐私泄露问题,在用户使用云计算机器学习服务时,需要将自己的数据以明文的方式上传至服务器,用户的数据隐私可能被服务器泄露。本文对这两个具体场景下的问题提出了解决方案,主要贡献如下:(1)对基于神经网络模型的交通标志分类器遭受对抗样本攻击的问题,我们提出了一种基于传统图像斑点检测特征的防御方法。我们通过理论和实验...
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
多层感知机每层的结构和其整体结构
[45]。图2.2 激活函数 ReLU,Sigmoid Function,Tanh 的函数图像神经网络模型每一层的结构以及整体结构与多层感知机几乎相同,但是,神经网络模型在每一层的神经元计算中加入了激活函数。和多层感知机类似,每一层神经网络的计算先经过线性变换,然后在将线性变换结果输入下一层之前,需要经过激活函数的计算,这也就是神经网络和多层感知机最大的不同。由于经过了激活函数,神经网络就有了非线性拟合的能力。我们可以将神经网络的每一层计算表示为下面的公式:yj=f (∑Wij×xi+b) (2-2)其中的变量符号含义与多层感知机相同,其中的f ( )表示激活函数。经过f ( )计算的结
边为原始图像的 SIFT 特征点,右边为对抗样本图像的 SIFT 特征点。可以看出,虽然对抗样本图像的特征点多于原始图像,但是很多特征点都是相似的。图3.1 原始图像和对抗样本图像图3.2 原始图像和对抗样本图像的 SURF 特征点进一步,我们对这两张图像的 SIFT 特征点进行匹配,如图 3.3 所示,我们使用KNN 算法进行匹配,图中红色的连线表示匹配到的特征点,我们可以直观的看出匹
【参考文献】:
期刊论文
[1]机器学习安全及隐私保护研究进展.[J]. 宋蕾,马春光,段广晗. 网络与信息安全学报. 2018(08)
本文编号:3498184
【文章来源】:西安电子科技大学陕西省 211工程院校 教育部直属院校
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
多层感知机每层的结构和其整体结构
[45]。图2.2 激活函数 ReLU,Sigmoid Function,Tanh 的函数图像神经网络模型每一层的结构以及整体结构与多层感知机几乎相同,但是,神经网络模型在每一层的神经元计算中加入了激活函数。和多层感知机类似,每一层神经网络的计算先经过线性变换,然后在将线性变换结果输入下一层之前,需要经过激活函数的计算,这也就是神经网络和多层感知机最大的不同。由于经过了激活函数,神经网络就有了非线性拟合的能力。我们可以将神经网络的每一层计算表示为下面的公式:yj=f (∑Wij×xi+b) (2-2)其中的变量符号含义与多层感知机相同,其中的f ( )表示激活函数。经过f ( )计算的结
边为原始图像的 SIFT 特征点,右边为对抗样本图像的 SIFT 特征点。可以看出,虽然对抗样本图像的特征点多于原始图像,但是很多特征点都是相似的。图3.1 原始图像和对抗样本图像图3.2 原始图像和对抗样本图像的 SURF 特征点进一步,我们对这两张图像的 SIFT 特征点进行匹配,如图 3.3 所示,我们使用KNN 算法进行匹配,图中红色的连线表示匹配到的特征点,我们可以直观的看出匹
【参考文献】:
期刊论文
[1]机器学习安全及隐私保护研究进展.[J]. 宋蕾,马春光,段广晗. 网络与信息安全学报. 2018(08)
本文编号:3498184
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3498184.html
