一种无需样本数据的对抗贴片生成方法技术

一种无需样本数据的对抗贴片生成方法，涉及深度神经网络图像识别对抗攻击领域。以RGB像素值全0的图片作为构造无目标的对抗贴片p

【技术实现步骤摘要】
一种无需样本数据的对抗贴片生成方法


[0001]本专利技术涉及深度神经网络图像识别对抗攻击领域，尤其涉及一种欺骗深度神经网络图像识别的对抗贴片生成方法。

技术介绍

[0002]随着科技的不断发展，深度神经网络在图像分类、目标检测、语义分割等许多计算机视觉任务中取得了突破性成功。然而，研究表明深度神经网络很容易受到对抗扰动的攻击，攻击者只需在正常的图像样本中添加一些特定的对抗扰动，就可以导致深度神经网络模型做出错误的判断。
[0003]利用对抗扰动在深度神经网络处理图片时的作用，将其限制在一个局部区域，就可以使用打印机将这类对抗扰动打印成对抗贴片以执行攻击。对抗贴片可以应用于交通标志，使得自动驾驶的车辆发生误判；也可以贴在衣服上，使得攻击者在监控镜头前隐身；或者是放在商品物品附近，防止被网络爬虫恶意爬取。同时，研究对抗贴片有利于提升深度神经网络针对恶意攻击的防御能力。
[0004]如图1所示，为了增强对抗贴片在物理场景中的攻击能力，对抗贴片可被放置在不同输入图片不同位置时均能攻击模型，并且对角度旋转、尺度缩放具备一定鲁棒性。
[0005]CN112085069A基于集成注意力机制的多目标对抗补丁生成方法及装置，通过集成注意力机制定位输入图像的关键分类区域，以确保对抗补丁发挥更好的攻击性能和迁移性；生成器的输入充分利用原图信息，将使生成器生成的对抗补丁效果更佳；生成器的输入还融合了多目标类别信息，可以攻击目标模型的任意指定类别，实现多目标类别的攻击；对判别器的输入进行裁剪，以保证判别器学到更多的上下文信息，提高对抗补丁视觉效果。
[0006]CN112241790A小型对抗补丁生成方法及装，通过对对抗补丁图像进行随机初始化，将初始化后的对抗补丁图像添加到训练数据中目标物体对象上选定的粘贴区域，制作成对抗样本；将对抗样本输送入深度学习模型进行对抗特征提取，将未添加对抗补丁图像的良性样本输送入深度学习模型进行良性特征提取；将对抗特征和良性特征共同输入到特征增强损失函数进行损失计算，获得损失结果；将损失结果添加到模型损失函数中，反向传播后通过优化器更新对抗补丁的像素值；经过预设次数的迭代后，对抗补丁使深度学习模型输出错误结果，结束对抗补丁处理过程。
[0007]综上所述，现有的生成对抗贴片的方法，包括：GoogleAP、LaVAN、PS
‑
GAN等，需要大量的训练数据，然而被攻击模型的训练数据通常是难以获取的。例如，自动驾驶公司从不告诉公众他们用来训练检测器的数据，在线购物网站训练分类器的数据是保密的，人脸验证设备更是会加倍小心地存储系统中的人脸数据。缺少了训练数据，当前以数据驱动的攻击方法难以生成攻击贴片。

技术实现思路

[0008]本专利技术提出一种无需样本数据的对抗贴片生成方法，攻击者无需使用任何训练数
据，即可生成对抗贴片，攻击基于深度神经网络构建的图像分类模型；可以在深度神经网络模型训练数据未知的条件下，生成无目标攻击贴片，误导深度神经网络模型将输入图像样本判定为错误类别；进而生成有目标攻击贴片，使深度神经网络模型将输入图像样本判定为指定的类别。
[0009]无需样本数据的对抗贴片生成方法，包括：
[0010]以RGB像素值全0的图片I
z
作为构造无目标的对抗贴片p
nt
的背景。
[0011]以无目标的对抗贴片p
nt
作为构造有目标的对抗贴片p
t
的背景。
[0012]生成过程中将对抗贴片进行旋转、缩放，以提升对抗贴片物理场景下鲁棒性。
[0013]生成过程中将对抗贴片置于背景图片的不同位置，以使对抗贴片能够在不同位置上误导深度神经网络模型。
[0014]生成无目标的对抗贴片p
nt
的过程如图2所示。
[0015]生成无目标的对抗贴片p
nt
的损失函数Loss
nt
表述为：
[0016][0017]其中，L表示对抗贴片在背景图像中的位置分布，T表示贴片的变形分布，包含旋转、缩放操作。A(p
nt
,I
z
,l,t)表示将对抗贴片p
nt
进行变形t后(包括旋转及缩放)，放置在图像x的位置l处。Γ
i
(A(p
nt
,I
z
,l,t))为被攻击深度神经网络模型f输入图像A(p
nt
,I
z
,l,t)时，在第i层的输出。K是模型f包含的层数量。
[0018]对乘积函数取对数操作，便于对损失函数L
nt
进行梯度优化。
[0019]通过使被攻击模型f各层输出最大化，产生类似于过度激活深度神经网络模型中神经元的效果，以生成无目标的对抗贴片p
nt
。
[0020]本专利技术生成的无目标的对抗贴片p
nt
放置在被攻击图像样本附近，可误导分类模型将图像识别为其他物体，其形式化表述为：
[0021]f(A(p
nt
，x，l，t))≠f(x)，for x～μ
[0022]其中，x表示输入图像，μ表示输入图像的分布，预先训练好的深度神经网络分类模型f为每个图像x输出估计标签f(x)。
[0023]生成有目标的对抗贴片p
t
的过程如图3所示。
[0024]生成有目标的对抗贴片p
t
的损失函数Loss
t
表述为：
[0025][0026]其中，表示指定的攻击目标类别。I
nt
＝A(p
nt
,I
z
,l,t)，即采用A(p
nt
,I
z
,l,t)作为背景图片用于训练生成有目标对抗贴片p
t
。Pr()表示softmax交叉熵损失函数。
[0027]本专利技术生成的有目标的对抗贴片p
t
放置在被攻击图像样本附近，可误导分类模型将图像识别为指定类别物体，其形式化表述为：
[0028][0029]由于打印机的客观原因，打印出来的贴片和数字场景下的对抗贴片之间会存在像素差异，因此，需要最小化所生成的伪装贴片的打印像素损失，以确保所得对抗贴片由可打
印的颜色组成。定义数字场景生成的贴片与打印贴片实物的像素差值损失Loss
nps
：
[0030][0031]其中，d
i
是对抗贴片中的像素点值，而c
i
是一组可打印颜色C的像素值，
[0032]Loss
nps
越小则越有利于对抗贴片中的像素点值与该组可打印颜色中的像素点值接近，反之则对抗贴片像素难以打印。
[0033]若贴片中相邻像素点的RGB值差异过大，则会造成贴片不平滑、不自然、过于显眼，为增强对抗贴片的平滑性，需最小化所生本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种无需样本数据的对抗贴片生成方法，其特征在于包括如下步骤：以RGB像素值全0的图片I
z
作为构造无目标的对抗贴片p
nt
的背景；以无目标的对抗贴片p
nt
作为构造有目标的对抗贴片p
t
的背景；生成过程中将对抗贴片进行旋转、缩放，以提升对抗贴片物理场景下鲁棒性；生成过程中将对抗贴片置于背景图片的不同位置，以使对抗贴片能够在不同位置上误导深度神经网络模型。2.根据权利要求1所述的无需样本数据的对抗贴片生成方法，其特征在于生成无目标的对抗贴片p
nt
的过程为：生成无目标的对抗贴片p
nt
的损失函数Loss
nt
表述为：其中，L表示对抗贴片在背景图像中的位置分布，T表示贴片的变形分布，包含旋转、缩放操作；A(p
nt
,I
z
,l,t)表示将对抗贴片p
nt
进行变形t后，放置在图像x的位置l处；I
z
表示背景图片；L表示贴片的位置分布；T表示贴片的变形分布；Γ
i
(A(p
nt
,I
z
,l,t))为被攻击深度神经网络模型f输入图像A(p
nt
,I
z
,l,t)时在第i层的输出；K是模型f包含的层数量；对乘积函数取对数操作，便于对损失函数L
nt
进行梯度优化；通过使被攻击模型f各层输出最大化，产生类似于过度激活深度神经网络模型中神经元的效果，以生成无目标的对抗贴片p
nt
。3.根据权利要求2所述的无需样本数据的对抗贴片生成方法，其特征在于生成的无目标的对抗贴片p
nt
放置在被攻击图像样本附近，误导分类模型将图像识别为其他物体，其形式化表述为：f(A(p
nt
，x，l，t))≠f(x)，for x～μ其中，x表示输入图像，μ表示输入图像的分布，预先训练好的深度神经网络分类模型f为每个图像x输出估计标签f(x)。4.根据权利要求1所述的无需样本数据的对抗贴片生成方法，其特征在于生成有目标的对抗贴片p
t
的过程为：生成有目标的对抗贴片p

【专利技术属性】
技术研发人员：周星宇，俞璐，武欣嵘，郑翔，潘志松，段晔鑫，张武，
申请(专利权)人：中国人民解放军陆军工程大学，
类型：发明
国别省市：