(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111599832.6 (22)申请日 2021.12.24 (71)申请人 北京航空航天大 学 地址 100191 北京市海淀区学院路37号 (72)发明人 张宝昌　王润琪　薛松　段晓玥　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 乔慧 (51)Int.Cl. G06N 20/00(2019.01) G06F 17/13(2006.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于联想学习的选择性攻击方法及装 置 (57)摘要 本发明提供一种基于联想学习的选择性攻 击方法及装置， 所述方法包括： 根据输入图像的 全局扰动和空间注意力之间的耦合关系， 对所述 空间注意力进行优化， 以生成联想注意力； 根据 所述联想注意力和所述全局扰动生成选择性扰 动， 以根据所述选择性扰动对所述输入图像进行 选择性攻击。 本发明提供的基于联想学习的选择 性攻击方法及装置， 基于全局扰动和空间注意力 之间的耦合 关系， 对空间注意力进行优化生成联 想注意力， 并且基于联想注意力可以更好的实现 对输入图像的关键区域的攻击 。 权利要求书3页 说明书10页 附图2页 CN 114492832 A 2022.05.13 CN 114492832 A 1.一种基于联想学习的选择性 攻击方法， 其特 征在于， 包括： 根据输入图像的全局扰动和空间注意力之间的耦合关系， 对所述空间注意力进行优 化， 以生成联想注意力； 根据所述联想注意力和所述全局扰动 生成选择性扰动， 以根据 所述选择性扰动对所述 输入图像进行选择性 攻击。 2.根据权利要求1所述的基于联想学习的选择性攻击方法， 其特征在于， 在根据输入图 像的全局扰动和空间注意力之间的耦合关系， 对所述空间注意力进行优化之前， 获取输入 图像的全局扰动； 所述全局扰动的表达式为： 其中， δ为全局扰动， x∈RH×H表示输入图像x的尺寸为H ×H； G(W,x)为交叉熵损失函数， W 为深度神经网络模型的权重； ∈为扰动边界， 表示所述交叉熵损失函数关于x的 梯度， sign()为符号 函数。 3.根据权利要求2所述的基于联想学习的选择性攻击方法， 其特征在于， 所述根据输入 图像的全局扰动和空间注意力之间的耦合关系， 对所述空间注意力进行优化， 以生成联想 注意力， 包括： 设置对所述空间注意力进行优化的目标函数； 基于所述目标函数， 确定所述空间注意力的更新策略； 基于所述更新策略对所述空间注意力进行 更新， 以生成所述联想注意力； 所述目标函数的表达式为： 所述更新策略的表达式为： 其中， Φ{W,M, δ}为深度神经网络模型； M为所述空间注意力； y为所述输入图像x的标 签； Ma为所述联想注意力； ξ1为第一学习率， ξ2为第二学习率； Tr()表示矩阵的迹 。 4.根据权利要求3所述的基于联想学习的选择性攻击方法， 其特征在于， 所述基于所述 更新策略对所述空间注意力进行 更新， 以生成所述联想注意力， 包括： 设置 δ＝[δ1,…,δH]， M＝ [M1,…,MH]T； 将所述更新策略转 化为投影函数， 以对 进行回溯；权　利　要　求　书 1/3 页 2 CN 114492832 A 2其中， ξ2γ为回溯的步长； γ为 的线性核函数； P()为所述投影函数； 为列 向量； δ1,…, δH为列向量； M1,…,MH为行向量； 为Hadamard积运算符； 表示矩阵 的第n个 列向量。 5.根据权利要求4所述的基于联想学习的选择性攻击方法， 其特征在于， 在将所述更新 策略转化为投影函数， 以对 进行回溯之后， 设置回溯的触发条件； 所述触发条件的表达式为： 其中， 表示 的排名； ζ为预设 回溯阈值， Mn,m表示M矩阵的第n行， 第m列的 矩阵元素； 表示 矩阵的第n行， 第m列的矩阵元素； 表示Ma矩阵的第n行， 第m列 的矩阵元 素； δn,m表示 δ矩阵的第n行， 第m列的矩阵元 素。 6.根据权利要求5所述的基于联想学习的选择性攻击方法， 其特征在于， 所述根据 所述 联想注意力和所述全局扰动生成选择性扰动， 其计算公式为： 其中， η为选择性扰动； k(Ma)为Ma的核函数。 7.根据权利要求6所述的基于联想学习的选择性攻击方法， 其特征在于， 根据 所述选择 性扰动对所述输入图像进行选择性 攻击， 包括： 通过所述选择性扰动所对应的核函数的类型， 确定对所述输入图像进行选择性攻击的 关键区域， 以生成目标对抗 性样本； 基于所述目标对抗 性样本对所述深度神经网络模型进行对抗 性训练。 8.一种基于联想学习的选择性 攻击装置， 其特 征在于， 包括： 联想注意力生成模块， 用于根据输入图像的全局扰动和 空间注意力之间的耦合关系， 对所述空间注意力进行优化， 以生成联想注意力； 选择性攻击模块， 用于根据所述联想注意力和所述全局扰动生成选择性扰动， 以根据权　利　要　求　书 2/3 页 3 CN 114492832 A 3