一种用于中间层有目标对抗攻击的图像处理方法技术

本发明专利技术公开了一种用于中间层有目标对抗攻击的图像处理方法，包括以下步骤：S1、得到目标图库中的目标图像；S2、将目标图像输入分类器中，得到分类器中间层输出的特征图数据；S3、将对抗样本输入分类器，得到分类器中间层输出的特征图数据；S4、构建损失函数；S5、更新对抗样本；S6、对更新后的对抗样本进行标准化处理；S7、重复S3至S6，直到迭代步数达到设定值，将最终的标准化对抗样本输入分类器中，分类器输出错误的分类结果，完成对抗攻击的图像处理；本发明专利技术解决了传统中间层有目标对抗攻击技术中由于使用欧氏距离，而不合理地在空间上对原始和目标特征图施加的空间一致性约束，进而造成低效的攻击效果的问题。低效的攻击效果的问题。低效的攻击效果的问题。

【技术实现步骤摘要】
一种用于中间层有目标对抗攻击的图像处理方法


[0001]本专利技术涉及图像处理
，具体涉及一种用于中间层有目标对抗攻击的图像处理方法。

技术介绍

[0002]仅仅在输入图片中添加人眼难以识别的扰动，对抗样本便能够轻易地欺骗深度神经网络。根据受害者模型可见性，对抗攻击可分为白盒、灰盒、黑盒攻击，其可见性逐渐降低。根据攻击目标，可分为无目标攻击、有目标攻击，无目标攻击仅要求攻击者误导模型给出任意错误的输出结果；当攻击者被期望诱导模型给出特定的错误输出时，即为有目标攻击。面对最具有挑战性的攻击要求(有目标黑盒攻击)时，传统的基于模型logits层输出的攻击技术的攻击效果不够强大。为了解决这个问题，有学者提出中间层攻击技术，进一步地提高了有目标黑盒攻击性能。作为主要方法之一，中间层有目标对抗攻击在给定目标图片之后，通过减少原始图片和目标图片的中间层特征图的差异去生成扰动。在衡量特征图差异上，当前技术普遍选取像素级别上的欧氏距离，但是，由于欧氏距离不合理地在空间上对原始和目标特征图施加了空间一致性约束，欧式距离的选取是值得商榷的。直觉上，给定两张图片，一张猫在左边，一张猫在右边，神经网络都会将它们图片分类为“猫“，但是，这两张图片的欧式距离是很大的。

技术实现思路

[0003]针对现有技术中的上述不足，本专利技术提供的一种用于中间层有目标对抗攻击的图像处理方法解决了传统中间层有目标对抗攻击技术中由于使用欧氏距离，而不合理地在空间上对原始和目标特征图施加的空间一致性约束，进而造成低效的攻击效果的问题。/>[0004]为了达到上述专利技术目的，本专利技术采用的技术方案为：一种用于中间层有目标对抗攻击的图像处理方法，包括以下步骤：
[0005]S1、获取目标类别，对分类器输入原始图像，基于目标类别，得到目标图库中的目标图像；
[0006]S2、将目标图像输入分类器中，得到目标图像在分类器中间层输出的特征图数据；
[0007]S3、将上一轮迭代的标准化对抗样本输入分类器，得到其在分类器中间层输出的特征图数据；
[0008]S4、构建损失函数，并计算目标图像在分类器中间层输出的特征图数据与上一轮迭代的标准化对抗样本在分类器中间层输出的特征图数据之间的损失；
[0009]S5、计算特征图数据之间的损失相对于上一轮迭代的标准化对抗样本的梯度，并基于该梯度，计算当前迭代的噪声，将该噪声添加到上一轮迭代的标准化对抗样本中，得到更新后的对抗样本；
[0010]S6、对更新后的对抗样本进行标准化处理，得到本次迭代的标准化对抗样本；
[0011]S7、将本次迭代的标准化对抗样本作为上一轮迭代的标准化对抗样本，重复迭代
步骤S3至步骤S6，直到迭代步数达到设定值，将最终的标准化对抗样本输入分类器中，分类器输出错误的分类结果，完成对抗攻击的图像处理。
[0012]进一步地，步骤S1包括以下分步骤：
[0013]S11、获取目标类别，对分类器输入原始图像，得到原始图像在分类器中间层l输出的特征图数据O
l
，其中，N
l
为中间层l的通道数，M
l
为特征图数据的长乘以宽，为实数空间；
[0014]S12、获取目标图库中目标类别的子图库的所有特征图，从所有特征图选取距离特征图数据O
l
最远的特征图作为目标特征图；
[0015]S13、将目标特征图对应的目标图库中的图像作为目标图像。
[0016]进一步地，步骤S11中获取目标类别的方法包括2种：第1种：随机从所有类别中选取一种作为目标类别，第2种：根据分类器对原始样本的预测类别，选择预测置信度排在第r位的预测类别作为目标类别。
[0017]进一步地，步骤S4中损失函数为：
[0018][0019][0020]其中，为损失函数，为第v次迭代中，上轮迭代的标准化对抗样本在分类器中间层l输出的特征图数据，T
l
为目标图像在分类器中间层l输出的特征图数据，s
·
i
为在空间位置i上的数据，s
·
j
为在空间位置j上的数据，t
·
i
为T
l
在空间位置i上的数据，t
·
j
为T
l
在空间位置j上的数据，M
l
为特征图数据的长乘以宽，k(
·
,
·
)为将特征图数据从原有空间映射到完备的内积空间的辅助映射操作。
[0021]上述进一步方案的有益效果为：通过辅助的空间映射操作，损失函数将特征图数据从原有空间映射到完备的内积空间，取代了传统技术中在原有空间上的欧式距离对齐方式，降低了欧式距离度量带来的空间约束性，从而更好地完成特征图数据的语义对齐。
[0022]进一步地，步骤S4中损失函数为：
[0023][0024]其中，为损失函数，为第v次迭代中，上轮迭代的标准化对抗样本在分类器中间层l输出的特征图数据，T
l
为目标图像在分类器中间层l输出的特征图数据，‖
·
‖为二范数运算，N
l
为特征图数据的通道数，M
l
为特征图数据的长乘以宽，
为在位置(n,m)上的数据，(T
l
)
nm
为T
l
在位置(n,m)上的数据，为特征图数据在通道n上的所有值的方差，Var((T
l
)
n
·
)为特征图数据T
l
在通道n上的所有值的方差。
[0025]上述进一步方案的有益效果为：损失函数使用全局统计量取代了像素级别的欧式距离度量，具有平移不变性，在一定程度上降低度量差异时的空间约束性。
[0026]进一步地，步骤S5包括以下分步骤：
[0027]S51、计算特征图数据之间的损失相对于上一轮迭代的标准化对抗样本的梯度；
[0028]S52、根据步骤S51中得到的梯度，计算当前迭代的累计梯度；
[0029]S53、根据累计梯度计算当前迭代的噪声，将该噪声添加到上轮迭代的标准化对抗样本中，得到更新后的对抗样本。
[0030]进一步地，步骤S52中计算当前迭代次数的累计梯度的公式为：
[0031][0032][0033]其中，β
v
为第ν次迭代的累计梯度，β0＝0，μ为衰减因子，‖
·
‖为二范数运算，g
ν
‑1为损失函数相对于上轮迭代的标准化对抗样本的梯度，为根据损失函数对上轮迭代的标准化对抗样本求梯度操作；
[0034]所述步骤S53中得到更新后的对抗样本的公式为：
[0035][0036][0037]α＝∈/T
[0038]其中，为第ν次迭代的更新对抗样本，∈为扰动无穷范数阈值，α为步长，T为最大迭代步数，sign(
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于中间层有目标对抗攻击的图像处理方法，其特征在于，包括以下步骤：S1、获取目标类别，对分类器输入原始图像，基于目标类别，得到目标图库中的目标图像；S2、将目标图像输入分类器中，得到目标图像在分类器中间层输出的特征图数据；S3、将上一轮迭代的标准化对抗样本输入分类器，得到其在分类器中间层输出的特征图数据；S4、构建损失函数，并计算目标图像在分类器中间层输出的特征图数据与上一轮迭代的标准化对抗样本在分类器中间层输出的特征图数据之间的损失；S5、计算特征图数据之间的损失相对于上一轮迭代的标准化对抗样本的梯度，并基于该梯度，计算当前迭代的噪声，将该噪声添加到上一轮迭代的标准化对抗样本中，得到更新后的对抗样本；S6、对更新后的对抗样本进行标准化处理，得到本次迭代的标准化对抗样本；S7、将本次迭代的标准化对抗样本作为上一轮迭代的标准化对抗样本，重复迭代步骤S3至步骤S6，直到迭代步数达到设定值，将最终的标准化对抗样本输入分类器中，分类器输出错误的分类结果，完成对抗攻击的图像处理。2.根据权利要求1所述的用于中间层有目标对抗攻击的图像处理方法，其特征在于，所述步骤S1包括以下分步骤：S11、获取目标类别，对分类器输入原始图像，得到原始图像在分类器中间层l输出的特征图数据O
l
，其中，N
l
为中间层l的通道数，M
l
为特征图数据的长乘以宽，为实数空间；S12、获取目标图库中目标类别的子图库的所有特征图，从所有特征图选取距离特征图数据O
l
最远的特征图作为目标特征图；S13、将目标特征图对应的目标图库中的图像作为目标图像。3.根据权利要求2所述的用于中间层有目标对抗攻击的图像处理方法，其特征在于，所述步骤S11中获取目标类别的方法包括2种：第1种：随机从所有类别中选取一种作为目标类别，第2种：根据分类器对原始样本的预测类别，选择预测置信度排在第r位的预测类别作为目标类别。4.根据权利要求1所述的用于中间层有目标对抗攻击的图像处理方法，其特征在于，所述步骤S4中损失函数为：步骤S4中损失函数为：其中，为损失函数，为第v次迭代中，上轮迭代的标准化对抗样本在分类器中间层l输出的特征图数据，T
l
为目标图像在分类器中间层l输出的特征图数据，s
·
i
为在空间位置i上的数据，s
.j
为在空间位置j上的数据，t
·
i
为T
l
在空间位置i上的数据，t
·
j
为T<...

【专利技术属性】
技术研发人员：高联丽，程娅娅，宋井宽，
申请(专利权)人：成都井之丽科技有限公司，
类型：发明
国别省市：