专利示意图

一、技术领域

对抗安全技术领域

二、专利介绍

1.专利信息

专利类型：发明

专利权人：清华大学深圳国际研究生院

申请号：202211539264.5

发明人：肖喜、曹钰鑫、夏树涛、江勇、郑海涛、陆孺牛

2.专利说明书摘要

本发明公开了一种基于风格迁移的黑盒视频对抗攻击方法，包括如下步骤：设计风格数据集，并为干净视频选择最优风格图像；根据最优风格图像对干净视频进行视频风格迁移得到风格化视频；对风格化视频进行梯度估计，并迭代更新，输出对抗视频。本发明通过根据最优风格图像对干净视频进行视频风格迁移得到风格化视频，对风格化视频进行梯度估计，并迭代更新的设置，有利于维持对抗视频的感官舒适度与降低所需要的查询次数；通过考虑语义不变的无限制对抗扰动，提高了黑盒攻击效率，并可以绕过现有的对抗防御方法，是一种低成本、高效、实用的新型视频攻击方法。

3.创新点

（1）本发明涉及对抗安全领域，针对视频对抗攻击中存在的查询效率低，抵抗防御能力弱的问题，提出了一种基于风格迁移的黑盒视频对抗攻击方法；

（2）该方法通过有针对性地风格选择，对视频进行风格迁移，并通过少量对抗优化得到对抗样本，能够大幅降低查询次数，提高对抗样本抵御防御的能力；

（3）本方法提高了黑盒视频攻击效率，并可以绕过现有的对抗防御方法，是一种低成本、高效、实用的新型视频攻击方法。

4.痛点问题

（1）攻击查询效率低；

（2）对抗样本无法抵御对抗防御方法。

5.技术优势

（1）考虑不改变视频语义的无限制扰动，打破了传统的范数限制扰动的束缚；

（2）通过风格迁移优化对抗样本，可以大幅减小查询次数，提高攻击效率；

（3）无限制扰动有利于绕过现有的对抗防御方法。

三、产业化信息

1.应用场景

视频分类系统的攻击，包括数字层面和物理层面。

（1）可以在数字层面利用计算机实现更加高效的攻击，生成对抗样本的成本更低，且可以抵御对抗防御方法；

（2）通过更改风格迁移图像，可以生成大批量对抗样本；

（3）可以通过针对固定的风格图像事先离线训练出固定的风格迁移模型，并实现在线攻击；

（4）可以在物理层面实现商用视频分类器的攻击。

2.商业价值

此项技术拥有巨大的商业前景，对于对抗攻击行业有以下市场价值：

（1）本技术可以实现商用视频分类系统的大批量攻击；

（2）本技术有助于商用视频分类系统开发者及时发现模型漏洞，以保护和提高模型的鲁棒性。

3.发展规划

该技术未来可应用于对抗防御方法的设计，以提高模型对对抗样本的鲁棒性。

4.合作方式

面议

注:所有成果未经授权，请勿转载

联系方式：ttc@sz.tsinghua.edu.cn