图像对抗样本检测方法、系统、存储介质、终端及应用技术方案

本发明专利技术属于深度学习领域中的图像识别技术领域，公开了一种图像对抗样本检测方法、系统、存储介质、终端及应用，降噪神经网络对原始图像进行降噪处理，得到降噪图像；分类模型对原始图像进行分类处理，获取处理后的logits值；分类模型对降噪图像进行分类处理，获取处理后的logits值；利用原始图像和降噪图像的logits值，计算原始图像和降噪图像之间的差异得分；根据差异得分判断原始图像是对抗样本还是普通样本。本发明专利技术降噪神经网络只需要在加性高斯白噪声下训练，训练成本大大降低；降噪神经网络采用xUnit激活单元，使得降噪模型参数大大较少，有利于在计算资源有限的设备上进行部署。

【技术实现步骤摘要】
图像对抗样本检测方法、系统、存储介质、终端及应用
本专利技术属于深度学习领域中的图像识别
，尤其涉及一种图像对抗样本检测方法、系统、存储介质、终端及应用。
技术介绍
目前：图像识别是深度学习的重要分支。基于图像识别技术的相关应用在的日常生活中承担着各种复杂的任务，扮演着越来越重要的角色。在人脸识别、自动驾驶、金融等对系统安全性要求较高的领域，深度学习模型需要具有较强的稳定性和准确性。最近研究发现，深度学习模型容易受到一些精心制作的输入样本的攻击。在原始数据的基础上加上一些人眼难以察觉的轻微扰动就能使得分类模型产生误判，这样的输入样本称为对抗样本。目前，主要通过对抗训练防御技术和优化模型防御技术来抵御对抗样本的攻击。对抗训练防御技术需要重新训练分类模型。首先通过对抗样本生成算法生成对抗样本，然后将这些对抗样本添加进原有的训练数据集中，最后用所构建的新数据集重新训练分类模型，以此提升模型的鲁棒性。由于需要生成对抗样本和重新训练分类模型，所以对抗训练防御技术是比较耗时的。优化模型防御技术需要修改分类模型的结构。大部分对抗样本攻击算法需要分类模型的梯度信息来生成对抗样本，修改模型防御技术旨在掩盖这些梯度信息、增大对抗攻击的难度，以此来提升模型抵御对抗样本的能力。由于需要对原始分类模型的结构进行修改，所以优化模型防御技术入侵性太大。通过上述分析，现有技术存在的问题及缺陷为：(1)现有对抗训练防御技术需要利用对抗样本生成算法生成大量的对抗样本，攻击效果比较好的对抗样本生成算法往往是比较耗时的，所以在构建数据集阶段会花费大量时间。(2)现有优化模型防御技术需要对原有分类模型的结构进行修改，该方法入侵性太强。在实际中，通常会利用别人已经训练好的分类模型，所以该方法具有局限性。(3)现有对抗训练防御技术和现有优化模型防御技术都需要重新对分类模型进行训练，如果模型本身很大，也会花费大量的时间。解决以上问题及缺陷的难度为：如何减少构建对抗样本防御系统的时间成本；如何充分利用已有分类模型，避免对已有分类模型的修改；如何保证对抗样本防御系统能够检测对抗样本，同时对普通样本的精确度不会有较大影响。解决以上问题及缺陷的意义为：由上述分析可知，解决以上问题及缺陷可以避免图像对抗样本检测系统对原始分类模型的修改，可以快速构建图像对抗样本防御体系。
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种图像对抗样本检测方法、系统、存储介质、终端及应用。本专利技术是这样实现的，一种图像对抗样本检测方法，所述图像对抗样本检测方法包括：降噪神经网络对原始图像进行降噪处理，平滑对抗攻击扰动，得到降噪图像；分类模型对原始图像进行分类处理，获取处理后的logits值；分类模型对降噪图像进行分类处理，获取处理后的logits值；利用原始图像和降噪图像的logits值，计算原始图像和降噪图像之间的差异得分；根据差异得分判断原始图像是对抗样本还是普通样本。进一步，所述降噪神经网络对原始图像进行降噪处理，得到降噪图像，首先将原始图像进行复制得到副本图像；其次将副本图像输入降噪神经网络中，通过降噪神经网络提取出副本图像中的噪声图像；接着副本图像减去噪声图像得到差值；最后将差值裁剪到0到1区间上得到降噪图像。进一步，所述分类模型对原始图像进行分类处理，获取处理后的logits值，首先对原始图像进行归一化处理；接着将原始图像归一化结果输入分类模型；最后获取分类模型神经网络的最后一层的输出，即原始图像的logits值。进一步，所述分类模型对降噪图像进行分类处理，获取处理后的logits值，首先对降噪图像进行归一化处理；接着将降噪图像归一化结果输入分类模型；最后获取分类模型神经网络的最后一层的输出，即降噪图像的logits值。进一步，所述利用原始图像和降噪图像的logits值，计算原始图像和降噪图像之间的差异得分，首先通过softmax函数处理logits值得到s值；其次通过计算原始图像的s值和降噪图像的s值之间的L1距离得到差异得分d；最后取最大的d作为最终原始图像和降噪图像之间的差异得分。进一步，所述根据差异得分判断判断原始图像是对抗样本还是普通样本，在训练数据集上得到阈值T；如果原始图像和降噪图像之间的差异得分大于阈值T，那么原始图像是对抗样本；如果原始图像和降噪图像之间的差异得分小于阈值T，那么原始图像是普通样本。本专利技术的另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如下步骤：降噪神经网络对原始图像进行降噪处理，得到降噪图像；分类模型对原始图像进行分类处理，获取处理后的logits值；分类模型对降噪图像进行分类处理，获取处理后的logits值；利用原始图像和降噪图像的logits值，计算原始图像和降噪图像之间的差异得分；根据差异得分判断原始图像是对抗样本还是普通样本。本专利技术的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端用于实现所述的图像对抗样本检测方法。本专利技术的另一目的在于提供一种实施所述图像对抗样本检测方法的图像对抗样本检测系统，所述图像对抗样本检测系统包括：图像降噪模块，利用训练好的降噪神经网络去除输入原始图像中的对抗样本噪声；分类模块，利用分类模型对原始图像和降噪图像进行预判，获取分类模型输出的logits值；判别模块，计算原始图像和降噪图像的差异得分，根据在训练数据集上的到的阈值T，对输入的原始图像做出是否是对抗样本的判断。本专利技术的另一目的在于提供一种图像识别终端，所述图像识别终端用于实现所述的图像对抗样本检测方法，所述图像识别终端包括：人脸识别终端、自动驾驶终端、金融终端。结合上述的所有技术方案，本专利技术所具备的优点及积极效果为：本专利技术没有对原有的分类模型进行修改，入侵性较小，简化了对抗样本防御体系的构建；只需要在加性高斯白噪声下训练所引入的降噪神经网络，避免了在训练阶段生成对抗样本，训练成本大大降低；降噪神经网络在训练阶段没有引入对抗样本，所以其能防御多种不同的对抗样本攻击手段；降噪神经网络采用最新的xUnit激活单元，降噪神经网络的参数大大较少，更有利于其在计算资源有限的设备上进行部署。本专利技术能够有效的检测出输入原始图像中的对抗样本，同时对普通样本的精确度不会有较大影响。本专利技术在MNIST、CIFAR-10和ImageNet三种数据集上进行了实验。对于MNIST数据集，整体检测准确度为97.3％，其中普通样本的精确度为97.1％、召回率为97.6％，对抗样本的精确度为97.6％、召回率为97.1％；对于CIFAR-10数据集，整体检测准确度为89.3％，其中普通样本的精确度为89％、召回率为89.8％，对抗样本的精确度为89.7％、召回率为88.9％；对于ImageNet数据集，整体检测准确度为85.9％，其中普通样本的精确度为85.5％、召回率为86本文档来自技高网...

【技术保护点】
1.一种图像对抗样本检测方法，其特征在于，所述图像对抗样本检测方法包括：/n降噪神经网络对原始图像进行降噪处理，得到降噪图像；/n分类模型对原始图像进行分类处理，获取处理后的logits值；/n分类模型对降噪图像进行分类处理，获取处理后的logits值；/n利用原始图像和降噪图像的logits值，计算原始图像和降噪图像之间的差异得分；/n根据差异得分判断原始图像是对抗样本还是普通样本。/n

【技术特征摘要】
1.一种图像对抗样本检测方法，其特征在于，所述图像对抗样本检测方法包括：
降噪神经网络对原始图像进行降噪处理，得到降噪图像；
分类模型对原始图像进行分类处理，获取处理后的logits值；
分类模型对降噪图像进行分类处理，获取处理后的logits值；
利用原始图像和降噪图像的logits值，计算原始图像和降噪图像之间的差异得分；
根据差异得分判断原始图像是对抗样本还是普通样本。


2.如权利要求1所述的图像对抗样本检测方法，其特征在于，所述降噪神经网络对原始图像进行降噪处理，得到降噪图像，首先将原始图像进行复制得到副本图像；其次将副本图像输入降噪神经网络中，通过降噪神经网络提取出副本图像中的噪声图像；接着副本图像减去噪声图像得到差值；最后将差值裁剪到0到1区间上得到降噪图像。


3.如权利要求1所述的图像对抗样本检测方法，其特征在于，所述分类模型对原始图像进行分类处理，获取处理后的logits值，首先对原始图像进行归一化处理；接着将原始图像归一化结果输入分类模型；最后获取分类模型神经网络的最后一层的输出，即原始图像的logits值。


4.如权利要求1所述的图像对抗样本检测方法，其特征在于，所述分类模型对降噪图像进行分类处理，获取处理后的logits值，首先对降噪图像进行归一化处理；接着将降噪图像归一化结果输入分类模型；最后获取分类模型神经网络的最后一层的输出，即降噪图像的logits值。


5.如权利要求1所述的图像对抗样本检测方法，其特征在于，所述利用原始图像和降噪图像的logits值，计算原始图像和降噪图像之间的差异得分，首先通过softmax函数处理logits值得到s值；其次通过计算原始图像的s值和降噪图像的s值之间的L1距离得到差异得分d；最后取最大的...

【专利技术属性】
技术研发人员：裴庆祺，杨舟，肖阳，邢卓林，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61