本发明专利技术提供了一种多样本对抗扰动生成方法、装置、存储介质和计算设备,该方法包括获取多个样本图像和对抗扰动;根据所述多个样本图像和对抗扰动生成对应的多个对抗样本;将所述多个对抗样本输入预设的判别模型,得到所述多个对抗样本的识别结果;根据所述多个对抗样本的识别结果以及所述多个对抗样本对应的样本图像的标签得到所述多个对抗样本的识别置信度;按照由大到小的顺序根据所述识别置信度为所述多个对抗样本排序;选取排序在前的预设比例的多个对抗样本;根据第一损失函数基于选取到的多个对抗样本获取在判别模型下的损失;根据所述损失优化所述对抗扰动。从而生成的对抗扰动能够与更广泛的样本图像配合成功攻击图像识别模型。
【技术实现步骤摘要】
多样本对抗扰动生成方法、装置、存储介质和计算设备
本专利技术的实施方式涉及计算机视觉
,更具体地,本专利技术的实施方式涉及多样本对抗扰动生成方法、装置、存储介质和计算设备。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。对抗样本可以通过在正常样本(例如图片)上添加对抗噪声得到,能够使机器学习模型的预测发生错误。多样本对抗扰动是指一个对抗噪声可以成功攻击多个可知或未知的样本目标。例如,通用对抗扰动(UP,UniversalPerturbation)是指一个对抗噪声可以成功攻击多张图片,使模型在这些图片上都预测错误;而遍历变换期望(EoT,ExpectationOverTransformation)是指一个对抗噪声可以成功攻击同一个图片的多个不同变换,使模型在这些经过变换的图片上都预测错误;密集对抗生成(DAG,DenseAdversaryGeneration)是指一个对抗噪声可以成功攻击目标检测器中不同尺度、不同位置和不同边界框的预测值,使模型在这些预测值上都预测错误。
技术实现思路
在本上下文中,本专利技术的实施方式期望提供一种多样本对抗扰动生成方法、装置、存储介质和计算设备。在本专利技术实施方式的第一方面中,提供了一种多样本对抗扰动生成方法,包括:获取多个样本图像和对抗扰动;根据所述多个样本图像和对抗扰动生成对应的多个对抗样本;将所述多个对抗样本输入预设的判别模型,得到所述多个对抗样本的识别结果;根据所述多个对抗样本的识别结果以及所述多个对抗样本对应的样本图像的标签得到所述多个对抗样本的识别置信度;按照由大到小的顺序根据所述识别置信度为所述多个对抗样本排序;选取排序在前的预设比例的多个对抗样本;根据第一损失函数基于选取到的多个对抗样本获取在判别模型下的损失;根据所述损失优化所述对抗扰动。在本实施方式的一个实施例中,所述第一损失函数为交叉熵损失函数。在本实施方式的一个实施例中,通过第二损失函数选取识别置信度排序在前的多个对抗样本计算在判别模型下的所述损失以优化所述对抗扰动,所述第二损失函数以使对抗扰动能够最大化多个对抗样本在判别模型下的分类错误率为目标构建,所述第二损失函数通过第三损失函数选取识别置信度排序在前的多个对抗样本计算在判别模型下的所述损失。在本实施方式的一个实施例中,所述第三损失函数为:,其中x是样本图像,Δx是对抗扰动,I(⋅)是一个示性函数,rank(padv(xi,ti))∈topN%表示对抗样本xi基于对应的样本图像的标签ti的识别置信度按照大小顺序在所有样本中位于前N%,Lce(xi)=-logpadv(xi,ti)是交叉熵损失函数,padv(xi,ti)表示叠加了对抗扰动Δx后的第i个对抗样本xi在它对应的样本图像的标签ti下的识别置信度。在本专利技术实施方式的第二方面中,提供了一种多样本对抗扰动生成装置,包括:获取模块,被配置为获取多个样本图像和对抗扰动;以及根据所述多个样本图像和对抗扰动生成对应的多个对抗样本;损失计算模块,被配置为根据所述多个对抗样本计算在预设的判别模型下的损失;包括:识别置信度计算单元,被配置为将所述多个对抗样本输入预设的判别模型,得到所述多个对抗样本的识别结果;以及根据所述多个对抗样本的识别结果以及所述多个对抗样本对应的样本图像的标签得到所述多个对抗样本的识别置信度;损失计算单元,被配置为按照由大到小的顺序根据所述识别置信度为所述多个对抗样本排序;以及选取排序在前的预设比例的多个对抗样本;以及根据第一损失函数基于选取到的多个对抗样本获取在判别模型下的损失;优化模块,被配置为根据所述损失优化所述对抗扰动。在本实施方式的一个实施例中,所述第一损失函数为交叉熵损失函数。在本实施方式的一个实施例中,所述损失计算模块还被配置为通过第二损失函数选取识别置信度排序在前的多个对抗样本计算在判别模型下的所述损失以优化所述对抗扰动,所述第二损失函数以使对抗扰动能够最大化多个对抗样本在判别模型下的分类错误率为目标构建,所述第二损失函数通过第三损失函数选取识别置信度排序在前的多个对抗样本计算在判别模型下的所述损失。在本实施方式的一个实施例中,所述第三损失函数为:,其中x是样本图像,Δx是对抗扰动,I(⋅)是一个示性函数,rank(padv(xi,ti))∈topN%表示对抗样本xi基于对应的样本图像的标签ti的识别置信度按照大小顺序在所有样本中位于前N%,Lce(xi)=-logpadv(xi,ti)是交叉熵损失函数,padv(xi,ti)表示叠加了对抗扰动Δx后的第i个对抗样本xi在它对应的样本图像的标签ti下的识别置信度。在本专利技术实施方式的第三方面中,提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可以实现所述多样本对抗扰动生成方法。在本专利技术实施方式的第四方面中,提供了一种计算设备,包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于执行上述多样本对抗扰动生成方法。根据本专利技术实施方式的多样本对抗扰动生成方法、装置、存储介质和计算设备,在进行对抗扰动的生成时,基于由大到小的顺序排序对抗样本,并获取识别置信度排序在前的多个对抗样本计算损失以优化所述对抗扰动,从而能够筛选样本图像中更加不容易被攻击的样本图像,并以此为基础迭代对抗扰动,使得最后生成的对抗扰动能够与更广泛的样本图像配合成功攻击图像识别模型。附图说明通过参考附图阅读下文的详细描述,本专利技术示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本专利技术的若干实施方式,其中:图1为本专利技术一实施例提供的多样本对抗扰动生成方法的流程示意图;图2为本专利技术一实施例提供的多样本对抗扰动生成装置的模块示意图;图3为本专利技术一实施例提供的一种存储介质的示意图;图4为本专利技术一实施例提供的一种计算设备的示意;在附图中,相同或对应的标号表示相同或对应的部分。具体实施方式下面将参考若干示例性实施方式来描述本专利技术的原理和精神。应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本专利技术,而并非以任何方式限制本专利技术的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。本领域技术人员知道,本专利技术的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。根据本专利技术的实施方式,提出了一种多样本对抗扰动生成方法、介质、装置和计算设备。在本文中,需要理解的是,对抗扰动、对抗补丁和对抗噪声表示本文档来自技高网...
【技术保护点】
1.一种多样本对抗扰动生成方法,包括:/n获取多个样本图像和对抗扰动;/n根据所述多个样本图像和对抗扰动生成对应的多个对抗样本;/n将所述多个对抗样本输入预设的判别模型,得到所述多个对抗样本的识别结果;/n根据所述多个对抗样本的识别结果以及所述多个对抗样本对应的样本图像的标签得到所述多个对抗样本的识别置信度;/n按照由大到小的顺序根据所述识别置信度为所述多个对抗样本排序;/n选取排序在前的预设比例的多个对抗样本;/n根据第一损失函数基于选取到的多个对抗样本获取在判别模型下的损失;/n根据所述损失优化所述对抗扰动。/n
【技术特征摘要】
1.一种多样本对抗扰动生成方法,包括:
获取多个样本图像和对抗扰动;
根据所述多个样本图像和对抗扰动生成对应的多个对抗样本;
将所述多个对抗样本输入预设的判别模型,得到所述多个对抗样本的识别结果;
根据所述多个对抗样本的识别结果以及所述多个对抗样本对应的样本图像的标签得到所述多个对抗样本的识别置信度;
按照由大到小的顺序根据所述识别置信度为所述多个对抗样本排序;
选取排序在前的预设比例的多个对抗样本;
根据第一损失函数基于选取到的多个对抗样本获取在判别模型下的损失;
根据所述损失优化所述对抗扰动。
2.如权利要求1所述的多样本对抗扰动生成方法,其中,所述第一损失函数为交叉熵损失函数。
3.如权利要求1或2所述的多样本对抗扰动生成方法,其中,通过第二损失函数选取识别置信度排序在前的多个对抗样本计算在判别模型下的所述损失以优化所述对抗扰动,所述第二损失函数以使对抗扰动能够最大化多个对抗样本在判别模型下的分类错误率为目标构建,所述第二损失函数通过第三损失函数选取识别置信度排序在前的多个对抗样本计算在判别模型下的所述损失。
4.如权利要求3所述的多样本对抗扰动生成方法,其中,所述第三损失函数为:
,
其中x是样本图像,Δx是对抗扰动,I(⋅)是一个示性函数,rank(padv(xi,ti))∈topN%表示对抗样本xi基于对应的样本图像的标签ti的识别置信度按照大小顺序在所有样本中位于前N%,Lce(xi)=-logpadv(xi,ti)是交叉熵损失函数;padv(xi,ti)表示叠加了对抗扰动Δx后的第i个对抗样本xi在它对应的样本图像的标签ti下的识别置信度。
5.一种多样本对抗扰动生成装置,包括:
获取模块,被配置为获取多个样本图像和对抗扰动;以及根据所述多个样本图像和对抗扰动生成对应的多个对抗样本;
损失计算模块,被配置为根据所述多个对抗样本计算在预设的判别模型下的损失,包括...
【专利技术属性】
技术研发人员:萧子豪,朱军,田天,
申请(专利权)人:北京智源人工智能研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。