【技术实现步骤摘要】
指定标签的对抗样本生成方法、装置、电子设备及介质
本申请涉及图像识别
,具体涉及一种指定标签的对抗样本生成方法及装置、一种电子设备以及一种计算机可读介质。
技术介绍
近年来,卷积神经网络(ConvolutionalNeuralNetworks,CNN)在计算机视觉的多个应用领域,如图像分类、物体检测、语义分割等,取得了突破性的进展。2014年Szegedy等人发现在图片上添加微小的扰动就可以使得CNN产生分类错误,随即引发了广泛的关注,这种样本称为对抗样本。对抗样本可以划分为多种形式,其中按照CNN模型结构和参数的已知情况,可以分为白盒攻击和黑盒攻击。白盒攻击指攻击者知道神经网络的结构和参数,可以根据神经网络的情况进行针对性的攻击。白盒攻击相对比较容易,但是在现实条件中很难满足。黑盒攻击指攻击者不知道神经网络的具体信息,例如只知道网络的结构而不知道网络的参数或者两者信息都不知道。黑盒攻击还可分为有探测的和无探测的,有探测的指攻击者可以通过向神经网络输入数据来观察输出,根据输入输出情况对网络进行攻击。无探测的指无...
【技术保护点】
1.一种指定标签的对抗样本生成方法,其特征在于,包括:/n将原始图像样本输入预设多标签分类网络,得到用于对所述原始图像样本进行多标签分类的各个标签的预测分数值;/n从所述各个标签的预测分数值中抽取指定标签对应的预测分数值;/n根据所述指定标签对应的预测分数值,采用动量快速梯度迭代MI-FGSM方法生成第一攻击扰动;/n利用梯度权值类别响应图Grad-CAM方法对所述第一攻击扰动进行裁剪,得到第二攻击扰动;/n将所述第二攻击扰动叠加到所述原始图像样本上,生成与所述指定标签对应的对抗样本。/n
【技术特征摘要】
1.一种指定标签的对抗样本生成方法,其特征在于,包括:
将原始图像样本输入预设多标签分类网络,得到用于对所述原始图像样本进行多标签分类的各个标签的预测分数值;
从所述各个标签的预测分数值中抽取指定标签对应的预测分数值;
根据所述指定标签对应的预测分数值,采用动量快速梯度迭代MI-FGSM方法生成第一攻击扰动;
利用梯度权值类别响应图Grad-CAM方法对所述第一攻击扰动进行裁剪,得到第二攻击扰动;
将所述第二攻击扰动叠加到所述原始图像样本上,生成与所述指定标签对应的对抗样本。
2.根据权利要求1所述的方法,其特征在于,所述预设多标签分类网络包括:依次连接的特征提取骨干网络、全连接层和激活函数。
3.根据权利要求1所述的方法,其特征在于,所述根据所述指定标签对应的预测分数值,采用动量快速梯度迭代MI-FGSM方法生成第一攻击扰动,包括:
步骤S1、设置MI-FGSM迭代参数,所述迭代参数包括动量momentum、扰动值范围epsilon、迭代步数iternum、迭代步长α;
步骤S2、计算出所述指定标签对应的预测分数值关于所述原始图像样本的偏导数grad,以初始化梯度;
步骤S3、根据公式攻击扰动noise=momentum×noise+α×grad更新攻击扰动,并根据扰动值范围epsilon对更新后攻击扰动进行裁剪;
步骤S4、重复步骤S3,直到迭代了iternum步为止,得到第一攻击扰动。
4.根据权利要求1所述的方法,其特征在于,所述利用梯度权值类别响应图Grad-CAM方法对所述第一攻击扰动进行裁剪,得到第二攻击扰动,包括:
通过所述指定标签对应的损失函数对所述原始图像样本在所述预设多标签分类网络的各特征层的特征图像求导并加权求和,得到目标特征图像;
通过双线性插值方法将所述目标特征图像还原到与所述原始图像样本相同的尺度,得到Grad-CAM;
根据所述Grad-CAM对所述第一攻击扰动进行噪声裁剪,生成第二攻击扰动。
5.一种指定标签的对抗样本生成装置,其特征在于,包括:
预测模块,用于将原始图像样本输入预设多标签分类网络,得到用于对...
【专利技术属性】
技术研发人员:乔鹏,林扬飞,窦勇,姜晶菲,李荣春,牛新,苏华友,潘衡岳,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。