【技术实现步骤摘要】
面向深度神经网络的抗压缩对抗性图像生成方法
本专利技术涉及一种面向深度神经网络的抗压缩对抗性图像生成方法,属于人工智能安全领域。
技术介绍
近年来,深度学习技术发展迅速,深度神经网络在各种领域展现出接近甚至超过人类的表现,如:图像分类、目标检测、自然语言处理等。因此,深度神经网络被广泛地用于解决各类实际任务,如无人驾驶、语音识别、智能监控等。然而近期研究表明深度神经网络对于特定的攻击十分脆弱:将输入图像加上精心构建的人类难以察觉的噪声,深度神经网络会输出错误甚至攻击者期望的结果,这类修改后的输入称之为对抗性图像。这类对抗性图像对于深度神经网络具有极高的攻击成功率,且具有可转移性:通过特定的网络生成的对抗性图像可以攻击一系列的网络结构。这类对抗性图像攻击给基于深度学习技术的安全敏感应用带来了巨大的威胁。然而,通过对现有对抗性图像算法进行研究,我们发现生成的对抗性图像并不能抵御图像压缩:对于图像而言,其大部分都会经过图像压缩来节省存储空间和网络传输资源,并且常用的图像压缩算法大部分都是有损图像压缩,即图像压缩前后会有一定的质量损失,也即图像的像素值会发生变化。同样对于对抗性图像而言,其加入的对抗性噪声是经过精心构造的,在其经过压缩之后,像素值的变化会影响构造的特定的噪声,使得对抗性图像失效,造成对抗性图像具有较差的鲁棒性和实用性。由于现有的攻击算法在生成噪声的时候只考虑目标模型来进行优化,这会导致生成的噪声会过拟合目标模型,这样的对抗性图像虽然能够达到高攻击成功率,但使得生成的对抗性图像稍加经过处理便会失效,无法...
【技术保护点】
1.一种面向深度神经网络的抗压缩对抗性图像生成方法,其特征在于,包含如下步骤:/n1)给定一个目标分类器模型,给定原始图像,该原始图像经过图像压缩后,输入到目标分类器能得到其分类到所有类别的置信度;攻击者拥有对目标模型的白盒访问权限,并设定目标类别;/n2)将图像压缩算法注入到对抗性图像的优化求解过程,使用基于梯度的优化算法生成抗压缩的对抗性图像;/n3)设计神经网络来近似图像压缩算法,训练后的神经网络可以作为压缩算法的可微近似形式;/n4)将已训练好的神经网络模型加入到现有的对抗图像优化算法的求解过程中,生成抗压缩的对抗性图像,使目标模型分类到目标类别。/n
【技术特征摘要】
1.一种面向深度神经网络的抗压缩对抗性图像生成方法,其特征在于,包含如下步骤:
1)给定一个目标分类器模型,给定原始图像,该原始图像经过图像压缩后,输入到目标分类器能得到其分类到所有类别的置信度;攻击者拥有对目标模型的白盒访问权限,并设定目标类别;
2)将图像压缩算法注入到对抗性图像的优化求解过程,使用基于梯度的优化算法生成抗压缩的对抗性图像;
3)设计神经网络来近似图像压缩算法,训练后的神经网络可以作为压缩算法的可微近似形式;
4)将已训练好的神经网络模型加入到现有的对抗图像优化算法的求解过程中,生成抗压缩的对抗性图像,使目标模型分类到目标类别。
2.如权利要求1所述的面向深度神经网络的抗压缩对抗性图像生成方法,其特征在于:输入的原始图像首先经过图像压缩处理x′=comp(x),其中x为输入的原始图像,comp()是图像压缩函数,x′是压缩后的图像;目标图像分类器可以表示为f(x′,θ)=y,θ为模型参数,y为模型输出;模型输出倒数第二层被称作logits层,输出图像对应的每种类别的置信度;而最后一层称作softmax层,输出logits层结果归一化后的结果,即分类到每种类别的概率;分类器最后的输出y即为softmax层的最大值,表示为:
f(x,θ)=max(softmax(logits(comp(x))))=y
攻击者对目标模型具有白盒访问权限,即能够访问目标模型的参数和权重,但不能获得采用的是哪种压缩函数和压缩程度等参数,攻击者对给定图像设定目标类别,生成抗压缩的对抗性图像使得目标模型将其分类到目标类别。
3.如权利要求1所述的面向深度神经网络的抗压缩对抗性图像生成方法,其特征在于:针对步骤2)中的优化求解过程采用如下的优化公式:
s.t.f(comp(x′),θ)=t,
x′=x+r∈[0,1]n,
其中r是期望优化得到的扰动,x′即为得到的对抗性图像,该对抗性图像经过图像压缩算法comp()压缩后,依旧可以使模型输出为指定目标。
4.如权利要求3所述的面向深度神经网络的抗压缩对抗性图像生成方法,其特征在于:步骤3)中的神经网络模型如下:
ComModel(x,θ1)≈comp(x)
其中ComModel表示设计的神经网...
【专利技术属性】
技术研发人员:王志波,郭恒昌,宋梦凯,郑思言,王骞,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。