本发明专利技术提出了一种基于图像预处理与对抗训练结合的防御对抗样本的方法。包括:1)将原始图像和对抗样本分割为小块,进行DCT变换,并设计量化表,所述对抗样本是由原始图像和对抗性噪声线性叠加而成;2)将量化表按比例缩放得到实现不同压缩比所需要的量化表,对原始图像应用不同压缩比进行压缩得到不同的数据集,再添加噪声作为训练对抗样本,原始图像和训练对抗样本构成训练数据集,送入深度神经网络进行训练得到不同的分类器;3)将待分类图像以不同压缩比进行压缩得到不同的图像,并送入对应压缩比数据集训练得到的分类器,由多个分类器投票得到最终结果。与现有方法相比,该方法能够保证原始图像的分类精度,并提高对抗样本的防御效率。御效率。御效率。
【技术实现步骤摘要】
一种基于图像预处理与对抗训练结合的防御对抗样本的方法
[0001]本专利技术属于图像处理与深度学习领域,具体涉及一种提高神经网络分类器抵御对抗样本的鲁棒性方法。
技术介绍
[0002]在图像识别与分类中,预测的结果往往会容易受到对抗样本的影响。Christian Szegedy等提出了对抗样本(Adversarial examples)的概念,即在数据集中通过故意添加细微噪声所形成的输入样本,受干扰之后的输入样本导致模型以高置信度给出一个错误的输出。他们发现包括卷积神经网络在内的深度学习模型对于对抗样本都具有极高的脆弱性。
[0003]为了提高深度神经网络(Deep Neural Networks,DNN)的鲁棒性,目前流行的技术是面向模型(Model
‑
specific)算法和模型未知(Model
‑
agnostic)算法。面向模型算法包括对抗训练、修改网络结构等。对抗训练是防御对抗样本攻击的一种方法。将对抗样本和正常样本一起训练是一种有效的正则化,可以提高模型的准确度,同时也能有效降低对抗样本的攻击成功率。不过这种防御也只是针对用来产生训练集中的对抗样本的特定攻击算法,且上述方法很难改变DNN高度线性特性。模型未知算法主要通过图像在送入DNN之前经过预处理,包括JPEG压缩、方差最小化(Total variance minimization)、图像缝合(Image quilting)等。但大多图像预处理方法在提升一定防御效率的同时会使得DNN在原始图像上精度的下降。r/>
技术实现思路
[0004]专利技术目的:为克服现有技术的不足,本专利技术提出的一种基于图像预处理与对抗训练结合的防御对抗样本的方法,提高DNN对对抗样本的鲁棒性,同时维持对原始图像的识别精度不会下降。
[0005]技术方案:本专利技术提出的一种基于图像预处理与对抗训练结合的神经网络分类器防御对抗样本的方法,包括以下步骤:
[0006]1)将原始图像和对抗样本分割为n
×
n像素的小块,进行DCT变换,并设计量化表,所述对抗样本是由原始图像和对抗性噪声线性叠加而成;
[0007]2)将量化表按比例缩放得到实现不同压缩比所需要的量化表,对原始图像应用不同压缩比进行压缩得到不同的数据集,再添加噪声作为训练对抗样本,原始图像和训练对抗样本构成训练数据集,送入深度神经网络进行训练得到不同的分类器;
[0008]3)将待分类图像以不同压缩比进行压缩得到不同的图像,并送入对应压缩比数据集训练得到的分类器,由多个分类器投票得到最终结果。
[0009]其中,所述步骤1)中量化表的设计方法如下:对原始图像和对抗样本经过DCT变换后得到的DCT频率系数进行方差分析,将所有频率系数分为偏向原有特征的OF、偏向对抗特征的AF两组,对于OF设计主要用于保存特征的第一量化步长,对于AF组设计主要用于去掉
对抗特征的第二量化步长,所述第一量化步长小于第二量化步长。
[0010]进一步地,所述方差分析包括:以表示原始图像的第i行第j列的DCT系数的方差,表示对抗样本的DCT系数的方差,表示对抗性噪声的DCT系数方差,则用表示对抗样本中该频率的DCT系数中对抗噪声的所占的比重,r越大表示该频率系数携带的对抗特征越多,将r小于指定阈值所对应的DCT系数作为OF,剩余的作为AF。
[0011]进一步地,所述步骤2)中在训练时使用如下损失函数:
[0012]J'(θ,x,y)=ξ
·
J(θ,x,y)+(1
‑
ξ)
·
J(θ,x
q
,y)
[0013]其中θ表示分类器权重参数,x表示原始图像,y表示图像分类标签,ξ表示学习率,x
q
表示原始图像x经压缩比q压缩后并加上噪声ρ得到的图像。
[0014]进一步地,所述噪声ρ满足均值μ=0,方差σ=0.001的高斯分布。
[0015]有益效果:本专利技术从结合图像预处理和对抗训练的角度出发,提出了一种提高DNN分类器对对抗样本鲁棒性的图像处理方法。为了使得DNN在维持在原始图像上的精度的同时提高对对抗样本分类精度,本专利技术修改了传统JPEG算法,舍弃色彩空间的转换,并重新设计量化表。在图像压缩过程中,最大程度保存原有特征并去掉对抗特征,以提高分类器的精度。此外利用JPEG压缩算法中的不同压缩比,加以高斯噪声作为对抗噪声,得到不同的训练集,进而训练出不同的DNN模型,由其投票得到最终结果。与现有方法相比,该方法能够保证原始图像的分类精度,并提高对抗样本的防御效率。本专利技术适用于图像分类,目标检测等对安全性较敏感的应用。
附图说明
[0016]图1为传统JPEG算法与本专利技术修改后的JPEG算法对比;
[0017]图2为本专利技术实施例提供的基于图像预处理与对抗训练结合的防御对抗样本方法总体框架;
[0018]图3为本专利技术实施例提供的量化表修改示意图;
[0019]图4为本专利技术实施例提供的实验示例主观结果展示。
具体实施方式
[0020]下面结合附图对本专利技术的技术方案作进一步说明。
[0021]如图1和图2所示,本专利技术是依据图像预处理,对抗训练,集成学习相结合的原理,对传统JPEG压缩算法进行优化和修改,使其更适用于深度神经网络(DNN);在修改传统JPEG算法的基础上添加高斯噪声作为对抗训练样本,并根据不同压缩比得到的不同训练集训练得到不同的模型;待分类图像在预处理后进入相应的分类器模型,最后以投票方式组合多个个分类器的输出得到最终分类结果。从而提高神经网络分类器抵御对抗性样本的鲁棒性。
[0022]下面对本专利技术作进一步的详细说明:
[0023]1)修改传统JPEG算法
[0024]在传统JPEG压缩中,由于人眼对亮度差异的敏感度高于色彩变化,待压缩的RGB图
像经常被转换成YCbCr空间。而在机器学习中,图像的各个通道所包含的特征同等重要,因此本专利技术舍弃传统JPEG压缩中色彩空间的转换。如图1下排所示修改后的JPEG算法,舍弃基于HVS而设计的RGB到YCbCr色彩空间的转换,将图像分割为8
×
8的小块,经过离散余弦变换(Discrete Cosine Transform,DCT)后利用修改后的量化表,进行压缩。应当理解,此处将图像分割为8
×
8像素的小块仅是示例的作用,并不表示对本专利技术的限制,在其他实施例中,也可以按其他像素级别进行划分,例如4
×
4、16
×
16等。
[0025]2)量化表的修改
[0026]通过对原始图像和对抗样本在DCT变换后得到的64个频率系数(1个直流系数,63个交流系数)进行方差分析,将64个频率系数分为偏向原有特征的OF、偏向对抗特征的AF两组,并重新设计量化表。对于OF使用较小量化步长以保存特征,对于AF使用较大量化步长以去掉对抗特征。...
【技术保护点】
【技术特征摘要】
1.一种基于图像预处理与对抗训练结合的防御对抗样本的方法,其特征在于,所述方法包括以下步骤:1)将原始图像和对抗样本分割为n
×
n像素的小块,进行DCT变换,并设计量化表,所述对抗样本是由原始图像和对抗性噪声线性叠加而成;2)将量化表按比例缩放得到实现不同压缩比所需要的量化表,对原始图像应用不同压缩比进行压缩得到不同的数据集,再添加噪声作为训练对抗样本,原始图像和训练对抗样本构成训练数据集,送入深度神经网络进行训练得到不同的分类器;3)将待分类图像以不同压缩比进行压缩得到不同的图像,并送入对应压缩比数据集训练得到的分类器,由多个分类器投票得到最终结果。2.根据权利要求1所述的基于图像预处理与对抗训练结合的防御对抗样本的方法,其特征在于,所述步骤1)中量化表的设计方法如下:对原始图像和对抗样本经过DCT变换后得到的DCT频率系数进行方差分析,将所有频率系数分为偏向原有特征的OF、偏向对抗特征的AF两组,对于OF设计主要用于保存特征的第一量化步长,对于AF组设计主要用于去掉对抗特征的第二量化步长,所述第一量化步长小于第二量化步长。3.根据权利要求2所述的基于图像...
【专利技术属性】
技术研发人员:高攀,张诚,
申请(专利权)人:南京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。