本发明专利技术属于人工智能与深度学习领域,公开了一种基于贝塞尔曲线的图像分类神经网络攻击方法。首先搭建多个图像分类神经网络并加载预训练参数;然后从经典的ImageNet数据集中选取一千张满足同分布的图像样本,利用图像样本对搭建好的神经网络进行参数微调,提高准确率;在原图像的基础上随机生成一条贝塞尔曲线;然后利用差分进化算法,在大量随机生成的贝塞尔曲线中寻找最优曲线;最后即可得到含有最优贝塞尔曲线的对抗图像样本,误导图像分类神经网络将其错误分类。
【技术实现步骤摘要】
一种基于贝塞尔曲线的图像分类神经网络攻击方法
本专利技术属于人工智能与深度学习领域,具体涉及一种基于贝塞尔曲线的图像分类神经网络攻击方法。
技术介绍
众所周知,基于卷积神经网络的深度学习在人工智能领域的表现已经超过了传统机器学习方法,在图像识别、自然语言处理和语音处理等领域起着主导作用,尤其是在图像分类领域,最先进模型的表现已经超过了人类。然而,Szegedy等人发现当对图像添加对抗扰动后,模型会变得脆弱不堪。同时,这些扰动对人类说几乎不可分辨。随后几年,多个针对对抗样本生成的算法表明,对抗图像可以在攻击正常模型时获得极高的正确率。目前针对深度学习模型的攻击算法大多数是以在扰动最小的情况下攻击分类模型为目标,通过限制l2或l∞来保证扰动添加的变化范围。以实现扰动的添加不会被人类察觉或者说不影响人类对图像的判断。但是很少有算法考虑到,这种限制扰动的办法是否足够合理,或者说足够有效。阿里天池比赛中,以l∞为限制标准,使用基于梯度的算法对分类模型进行攻击的展示。每个像素点的最大改动值为32像素。当在蜗牛、蜣螂和蜘蛛的图像上进行有目标分类的攻击时,这些图像在人类看来竟然变成了玉米、电子称和狗。在32像素改动值的限制下,对图像进行修改后,原图像可以变得人类都会识别错误,更不用说是分类模型了。出现这种情况的主要原因是,像素修改值的大小并不代表着被修改图像在人类看来的变化大小,扰动像素点的数量相比扰动像素点的值,对人类识别图像的影响更大。综上所述,找到一个有效且对人类识别影响较小的图像分类神经网络攻击方法具有重要的研究意义。
技术实现思路
为了克服上述方法的缺点,本专利技术提出了一种基于贝塞尔曲线的图像分类神经网络攻击方法,能够解决修改后的图像对人类识别效果影响较大的问题,而且可以有效地对图像分类神经网络进行攻击。具体方法的实现包括以下步骤:步骤1:搭建多个图像分类神经网络并加载预训练参数;步骤2:从ImageNet数据集中选取一千张满足同分布的图像样本,利用图像样本对搭建好的神经网络进行参数微调;步骤3:在原图像的基础上随机生成一条贝塞尔曲线;步骤4:利用差分进化算法,在大量随机生成的贝塞尔曲线中寻找最优曲线;步骤5:将寻找出的最优贝塞尔曲线加入到图像样本上,误导图像分类神经网络将其错误分类;步骤6:重复步骤3-步骤5,即可对所有图像添加最优贝塞尔曲线;所述步骤1中,分别搭建3个经典的图像分类神经网络:VGG16,ResNet50,DenseNet201,并加载各自的预训练参数。所述步骤2中,从ImageNet数据集中选取满足同分布的一千张图像,以更好地验证所提出方法的有效性。并且利用这些样本对神经网络进行参数微调,保证每个神经网络对这些样本的准确识别率为100%。所述步骤3中,随机生成的贝塞尔曲线,其像素点值均为同一个随机化的初始值,并且其位置和方向也是随机生成。所使用的贝塞尔曲线公式的理论基础为伯恩斯坦多项式:其中,βi是伯恩斯坦系数,bi,n(t)为:其中,i=0,1,…,n,当伯恩斯坦系数是一个位于二维平面上的固定点序列时(比如:P0,P1,P2),伯恩斯坦多项式就变成了贝塞尔曲线公式。通过限定n=2,可以得到二次贝塞尔曲线公式:B(t)=(1-t)2P0+2t(1-t)P1+t2P2,t∈[0,1](3)贝塞尔曲线可以仅仅根据很少的点就能生成一条复杂的光滑曲线。通过二次贝塞尔曲线公式,给定三个随机生成的坐标点,就可以画出一条光滑的贝塞尔曲线。随机生成大量的贝塞尔曲线的三个关键坐标点值及RGB值,并在原图像的大量拷贝图像上绘制出这些不同的贝塞尔曲线,以供步骤4使用。所述步骤4中,使用差分进化算法对步骤3中生成的大量贝塞尔曲线进行全局优化,寻找最优贝塞尔曲线。差分进化算法的基本思想是:从随机产生的初始种群开始,将种群中任意两个个体的向量差与第三个个体的向量求和,生成新个体,然后将新个体与当代种群中相应个体进行比较,如果新个体的适应能力强于现有个体,那么新个体将在下一代取代旧个体;通过不断的进化,保持好的个体,消除坏的个体,引导搜索到最优解。差分进化算法不需要模型的梯度信息,因此与基于梯度的方法相比,它可以应用于更广泛的优化问题。差分进化算法结构简单、收敛快速、鲁棒性强,被广泛应用在数据挖掘、模式识别、人工神经网络、等领域。所述步骤5中,将寻找出的最优贝塞尔曲线加入到图像样本,并使用步骤2中得到的经过参数微调的神经网络对其进行分类,记录分类结果。与现有技术相比,本专利技术的优点在于:首先,提出不将l2或l∞距离作为衡量改动大小的标准,避免了出现改动图像在人类看来无法识别甚至识别错误。其次,采用差分进化算法为优化策略,启发式地寻找最优的贝塞尔曲线,仅仅在图像中改动一条曲线的像素值,就实现了对分类模型的攻击。同时,这条曲线完全不会影响人类对图像的识别。最后,由于差分进化算法不需要模型本身的梯度信息,可以应用于更广泛的优化问题,并且具有收敛快、鲁棒性强等特点。附图说明图1为本专利技术提出的基于贝塞尔曲线的图像分类神经网络攻击方法的具体流程图。图2为9个攻击成功样本的图像展示,图像原标签和攻击后模型预测的标签在下方注明。图3为差分进化算法优化贝塞尔曲线时的迭代损失图。图4为利用本专利技术攻击ResNet50时预测标签编号的命中数展示图。图5为利用本专利技术攻击VGG16时预测标签编号的命中数展示图。图6为利用本专利技术攻击DenseNet201时预测标签编号的命中数展示图。具体实施方式为进一步介绍本专利技术的
技术实现思路
、计算过程及方法有效性,结合附图及以下实例,作以下详细说明:实施流程图如图1所示。按照步骤1的要求搭建三个神经网络模型:ResNet50,VGG16,DenseNet201,下载相应的预训练参数并加载到模型中,加载完成后对其进行一次测试,保证程序中参数及模型的正确性。同时,为了便于后续步骤的调用,将模型的输入输出接口设置好。按照步骤2的要求从ImageNet数据集中选取满足同分布的一千张图像样本,然后利用图像样本对步骤1搭建好的三个模型分别进行参数微调,要求整个数据集的训练次数不得大于10次,防止过拟合现象的发生,最终将图像样本的判别准确率提升至100%。按照步骤3的要求在原图像基础上随机生成贝塞尔曲线,即通过随机产生的P0,P1,P2三个点作为贝塞尔曲线关键点,利用式(3)B(t)=(1-t)2P0+2t(1-t)P1+t2P2计算贝塞尔曲线的具体坐标值,并随机生成其RGB值。这里需要注意的是:要保证贝塞尔曲线的坐标点位置不超过图像的最大范围,因此需要设定贝塞尔曲线权重为2,曲线宽度为随机值。按照步骤4的要求,将步骤3中生成的大量贝塞尔曲线输入到差分进化算法中,进行迭代优化。差分进化算法的具体设定为:种群数量200,迭代次数本文档来自技高网...
【技术保护点】
1.一种基于贝塞尔曲线的图像分类神经网络攻击方法,其特征在于,包含以下步骤:/n步骤1:搭建多个图像分类神经网络并加载预训练参数;/n步骤2:从ImageNet数据集中选取一千张满足同分布的图像样本,利用图像样本对搭建好的神经网络进行参数微调;/n步骤3:在原图像的基础上随机生成一条贝塞尔曲线;/n步骤4:利用差分进化算法,在大量随机生成的贝塞尔曲线中寻找最优曲线;/n步骤5:将寻找出的最优贝塞尔曲线加入到图像样本上,误导图像分类神经网络将其错误分类;/n步骤6:重复步骤3-步骤5,即可对所有图像添加最优贝塞尔曲线。/n
【技术特征摘要】
1.一种基于贝塞尔曲线的图像分类神经网络攻击方法,其特征在于,包含以下步骤:
步骤1:搭建多个图像分类神经网络并加载预训练参数;
步骤2:从ImageNet数据集中选取一千张满足同分布的图像样本,利用图像样本对搭建好的神经网络进行参数微调;
步骤3:在原图像的基础上随机生成一条贝塞尔曲线;
步骤4:利用差分进化算法,在大量随机生成的贝塞尔曲线中寻找最优曲线;
步骤5:将寻找出的最优贝塞尔曲线加入到图像样本上,误导图像分类神经网络将其错误分类;
步骤6:重复步骤3-步骤5,即可对所有图像添加最优贝塞尔曲线。
2.根据权利要求1所述的一种基于贝塞尔曲线的图像分类神经网络攻击方法,其特征在于,所述步骤1中,分别搭建3个经典的图像分类神经网络:VGG16,ResNet50,DenseNet201,并加载各自的预训练参数。
3.根据权利要求1所述的一种基于贝塞尔曲线的图像分类神经网络攻击方法,其特征在于,所述步骤2中,从ImageNet数据集中选取满足同分布的一千张图像,以更好地验证所提出方法的有效性;并且利用这些样本对神经网络进行参数微调,保证每个神经网络对这些样本的准确识别率为100%。
4.根据权利要求1所述的一种基于贝塞尔曲线的图像...
【专利技术属性】
技术研发人员:栗智,邢永康,
申请(专利权)人:重庆大学,
类型:发明
国别省市:重庆;50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。