【技术实现步骤摘要】
对抗样本的生成方法和装置、存储介质及电子设备
[0001]本专利技术涉及计算机领域,具体而言,涉及一种对抗样本的生成方法和装置、存储介质及电子设备。
技术介绍
[0002]深度学习在诸如人脸识别和自动驾驶等多个领域都受到了广泛的关注,与此同时,深度学习算法中的安全问题也越来越受到研究者们的关注。诸如,对抗样本,一种在图像中添加对人类视觉系统来说几乎不可察觉的细小扰动所生成的样本,就能使神经网络分类器以很高的置信度颠覆对图像的预测,因此,随着技术的发展,自动驾驶,人脸核身等技术给人们带来了极大便利,但同时也需要满足极高的准确性和安全性。
[0003]目前的相关技术中,对抗样本生成算法大多数为在数字图像上添加人类难以感知的微小噪声来造成分类器错误分类,或者导致目标检测器不能正确检测到目标的位置和类别等。通常,这一类对抗样本的鲁棒性较差,图像大小缩放和滤波操作等简单的图像处理方法就可以移除该类对抗噪声,导致相关技术中对抗样本的鲁棒性较差的技术问题。
[0004]针对上述的问题,目前尚未提出有效的解决方案。
【技术保护点】
【技术特征摘要】
1.一种对抗样本的生成方法,其特征在于,包括:获取一组样本图像和一组标签信息,其中,所述一组样本图像与所述一组标签信息具有一一对应关系,每个所述样本图像中包含目标分类的对象,所述标签信息包括所述目标分类的对象在所述样本图像中的第一实际区域、以及对抗图像在所述样本图像中的第二实际区域;根据目标检测网络模型输出的检测结果,对所述对抗图像中的像素点的像素值进行调整,得到目标对抗图像,其中,所述目标检测网络模型输出的检测结果是将训练图像输入到所述目标检测网络模型所得到的检测结果,所述训练图像是将所述对抗图像设置在所述样本图像中的所述第二实际区域所得到的图像,在所述对抗图像为所述目标对抗图像的情况下,所述目标检测网络模型输出的检测结果满足预设的损失条件;将所述目标对抗图像作为所述对抗图像设置在所述一组样本图像中的所述第二实际区域,得到一组对抗样本。2.根据权利要求1所述的方法,其特征在于,所述根据目标检测网络模型输出的检测结果,对所述对抗图像中的像素点的像素值进行调整,得到目标对抗图像,包括:根据所述目标检测网络模型输出的分类置信度和/或输出的预测区域,对所述对抗图像中的像素点的像素值进行调整,得到所述目标对抗图像,其中,所述分类置信度用于表示所述目标检测网络模型在所述训练图像中识别到的对象属于所述目标分类的概率,所述预测区域为所述目标检测网络模型在所述训练图像中识别到的对象在所述训练图像中的区域。3.根据权利要求2所述的方法,其特征在于,所述根据所述目标检测网络模型输出的分类置信度和/或输出的预测区域,对所述对抗图像中的像素点的像素值进行调整,得到所述目标对抗图像,包括:根据所述目标检测网络模型输出的分类置信度,对所述对抗图像中的像素点的像素值进行调整,得到所述目标对抗图像,其中,在所述对抗图像为所述目标对抗图像的情况下,所述目标检测网络模型输出的分类置信度最小。4.根据权利要求3所述的方法,其特征在于,所述根据所述目标检测网络模型输出的分类置信度,对所述对抗图像中的像素点的像素值进行调整,得到所述目标对抗图像,包括:重复执行以下步骤,直到确定出所述目标检测网络模型输出的分类置信度最小,其中,在执行以下步骤时,所述对抗图像被视为当前对抗图像:获取本轮的训练图像,其中,所述本轮的训练图像是将所述当前对抗图像设置在所述一组样本图像中的一个样本图像中的所述第二实际区域所得到的图像;将所述本轮的训练图像输入到所述目标检测网络模型,得到所述目标检测网络模型本轮输出的分类置信度;在所述本轮输出的分类置信度与所述目标检测网络模型上一轮输出的分类置信度之间的差值大于第一预设阈值的情况下,对所述当前对抗图像中的像素点的像素值进行调整,得到更新后的所述当前对抗图像;在所述本轮输出的分类置信度与所述上一轮输出的分类置信度之间的差值小于或等于所述第一预设阈值的情况下,确定出所述目标检测网络模型输出的分类置信度最小。5.根据权利要求4所述的方法,其特征在于,所述对所述当前对抗图像中的像素点的像
素值进行调整,得到更新后的所述当前对抗图像,包括:获取目标函数的梯度下降信息,其中,所述目标函数用于在所述目标检测网络模型输出的分类置信度最小时获取所述当前对抗图像中的像素点的像素值;根据所述梯度下降信息,对所述当前对抗图像中的像素点的像素值进行调整,得到更新后的所述当前对抗图像。6.根据权利要求2所述的方法,其特征在于,所述根据所述目标检测网络模型输出的分类置信度和/或输出的预测区域,对所述对抗图像中的像素点的像素值进行调整,得到所述目标对抗图像,包括:根据所述目标检测网络模型输出的预测区域,对所述对抗图像中的像素点的像素值进行调整,得到所述目标对抗图像,其中,在所述对抗图像为所述目标对抗图像的情况下,所述预测区域与所述第一实际区域之间的区域重叠度最小。7.根据权利要求6所述的方法,其特征在于,根据所述目标检测网络模型输出的预测区域,对所述对抗图像中的像素点的像素值进行调整,得到所述目标对抗图像,包括:重复执行以下步骤,直到确定出所述区域重叠度最小,其中,在执行以下步骤时,所述对抗图像被视为当前对抗图像:获取本轮的训练图像,其中,所述本轮的训练图像是将所述当前对抗图像设置在所述一组样本图像中的一个样本图像中的所述第二实际区域所得到的图像,所述一个样本图像对应的标签信息中的所述第一实际区域为本轮实际区域;将所述本轮的训练图像输入到所述目标检测网络模型,得到所述目标检测网络模型本轮输出的所述预测区域;在所述本轮确定得到的所述区域重叠度与上一轮确定得到的所述区域重叠度之间的差值大于第二预设阈值的情况下,对所述当前对抗图像中的像素点的像素值进行调整,得到更新后的所述当前对抗图像,其中,所述本轮确定得到的所述区域重叠度为:所述本轮输出的所述预测区域与所述本轮实际区域的交集除以所述本轮输出的所述预测区域与所述本轮实际区域的并集,所述上一轮确定得到的所述区域重叠度为:所述上一轮输出的所述预测区域与上一轮实际区域的交集除以所述上一轮输出的所述预测区域与所述上一轮实际区域的并集;在所述本轮确定得到的所述区域重叠度与上一轮确定得到的所述区域重叠度之间的差值小于或等于所述第二预设阈值的情况下,确定出所述区域重叠度最小。8.根据权利要求7所述的方法,其特征在于,所述对所述当前对抗图像中的像素点的像素值进行调...
【专利技术属性】
技术研发人员:裴歌,唐梦云,刘水生,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。