一种对抗样本生成方法技术

一种对抗样本生成方法，基于扰动关键像素相邻区域和贪婪局部搜索技术，根据从图像中提取出的相关像素点并扰动其相邻位置像素，生成对目标图像识别分类错误的对抗样本。本发明专利技术使用提取图像中的关键像素点，对其邻域进行扰动，通过贪婪局部搜索方法，构造微小扰动，从而实现图像的错误分类。本方法的简单性和有效性，可以用作设计健壮网络的试金石。可以用作设计健壮网络的试金石。可以用作设计健壮网络的试金石。

【技术实现步骤摘要】
一种对抗样本生成方法


[0001]本专利技术属于模式识别
，具体涉及一种对抗样本生成方法。

技术介绍

[0002]深度神经网络是强大和流行的学习模型，在很多计算机视觉、语音和语言处理任务中实现了最先进的模式识别性能。然而这些网络也容易受到精心设计的对抗性干扰的影响，这些干扰会导致输入的错误分类，对抗性示例是对手破坏预期的系统行为，导致不希望的结果，并可能在这些系统部署到现实世界时造成安全风险。
[0003]基于对目标网络对抗知识的不同假设，针对对抗攻击的研究主要有两个方向。第一个方向，假设对手对网络架构和训练(或访问标记训练集)产生的参数有详细的了解。对手利用这个信息对给定的图像构造一个扰动，最有效的方法是基于梯度的。第二个方向是，对手限制了对网络的知识，使其不能仅在某些探测输入上观察网络的输出。这种黑盒模型是一种更加现实和适用的威胁模型，但它也更具有挑战性，因为它考虑的是不了解网络架构、参数或训练数据的弱小对手。

技术实现思路

[0004]本专利技术所要解决的技术问题是克服现有技术的不足，提供一种对抗样本生成方法，提取图像中的关键像素点，对其邻域进行扰动，通过贪婪局部搜索方法，构造微小扰动，从而实现图像的错误分类。
[0005]本专利技术提供一种对抗样本生成方法，包括如下步骤，
[0006]步骤S1、输入图像I，对图像进行标准化，标准化图像与原始图像尺寸相同，图像标准化之后的所有坐标均在[LB,UB]范围内，LB和UB为两个常数，且LB＜0,UB＞0；用T∈R
l
×
w
×
h
表示满足上述性质的所有有效图像的空间；对于每个I∈Τ，图像中的所有坐标满足(b,x,y)∈[l]×
[w]×
[h],I(b,x,y)∈[LB,UB]；
[0007]步骤S2、分类标签为C(I)∈{1,...,C}，p和r为扰动系数，图像邻域搜索半径的边长为2d，最大迭代次数为R，每次迭代选择的像素点的个数为t；
[0008]步骤S3、随机选取10％的像素，初始化集合(P
x
,P
y
)，(P
x
,P
y
)
i
为一组像素位置；第一轮(P
x
,P
y
)0为随机生成的；在随后的每一轮中，均是基于在前一轮中被扰动的一组像素位置形成的；让(P
x
,P
y
)
i
‑1表示i
‑
1轮中被扰动区域的中间像素位置，则
[0009]步骤S4、遍历(P
x
,P
y
)的像素，进行扰动PRER(I,p,x,y)，获取新的图像集合；
[0010]扰动的方法为PETR(I,p,x,y)＝p
×
sign(I(*,x,y))，其中，sign是符号函数，定义为
[0011]步骤S5、计算新图像集合中每个图像预测原分类标签的概率score(I)；选择概率
最大的t个像素点，获取新的像素点集合(P
x
,P
y
)；遍历(P
x
,P
y
)，对(x,y)∈(P
x
,P
y
)的邻域，进行扰动RangeAdv(r,b,x,y)，更新原始图像I；范围扰动方法为
[0012]步骤S6、若则攻击成功，结束；否则，定义攻击的模型为NN，NN的分类结果为：NN(I)＝(o1,...,o
c
)，其中o
i
为图像识别为第i个标签的概率；π(NN(I
p
),k)为模型NN针对图像I的分类的Topk个标签；
[0013]步骤S7、遍历(P
x
,P
y
)，以每个像素点为中心，画出边长为2d的正方形，正方形范围内的点都纳入(P
x
,P
y
)，转步骤S4。
[0014]作为本专利技术的进一步技术方案，从(P
x
,P
y
)集合中随机选择最多128个点，遍历每个点，针对每个点进行扰动并生成一个新的图像，获取一个新图像集合；对新图像集合中的每个图像进行计算，获取分类为原标签的概率值。
[0015]进一步的，数据标准化之后所有坐标均在[
‑
0.5,0.5]之间。
[0016]本专利技术的优点在于，
[0017]1.对抗攻击的通用性。
[0018]2.适用于多种目标识别网络，即无需考虑网络架构。
[0019]3.具有较高的可用性，通过添加微小的扰动，造成图像目标识别失败。
[0020]4.降低寻找关键像素点的轮数，通过对关键像素点及其邻域添加扰动，能快速实现图像的分类错误。
[0021]5.根据模型的反馈信息去选择扰动的点，并随即选择对分类结果影响大的点周围的点，进一步进行扰动分析。
附图说明
[0022]图1为本专利技术的方法流程示意图。
具体实施方式
[0023]请参阅图1，本实施例提供本专利技术一种对抗样本生成方法，包括如下步骤，
[0024]步骤S1、输入图像I，对图像进行标准化，标准化图像与原始图像尺寸相同，图像标准化之后的所有坐标均在[LB,UB]范围内，LB和UB为两个常数，且LB＜0,UB＞0；用T∈R
l
×
w
×
h
表示满足上述性质的所有有效图像的空间；对于每个I∈Τ，图像中的所有坐标满足：(b,x,y)∈[l]×
[w]×
[h],I(b,x,y)∈[LB,UB]；
[0025]步骤S2、分类标签为C(I)∈{1,...,C}，p和r为扰动系数，图像邻域搜索半径的边长为2d，最大迭代次数为R，每次迭代选择的像素点的个数为t；
[0026]步骤S3、随机选取10％的像素，初始化集合(P
x
,P
y
)，(P
x
,P
y
)
i
为一组像素位置；第一轮(P
x
,P
y
)0为随机生成的；在随后的每一轮中，均是基于在前一轮中被扰动的一组像素位置形成的；让(P
x
,P
y
)
i
‑1表示i
‑
1轮中被扰动区域的中间像素位置，则
[0027]步骤S4、遍历(P
x
,P
y
)的像素，进行扰动PRER(I,p,x,y)，获取新的图像集合；
[0028]扰动的方法为PETR(I,p,x,y)＝p
×
sign(I(*,x,y))，其中，sign是符号函数，定义为
[0029]步骤S5、计算新图像集合中每个图像预测原分类标签的概率sc本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对抗样本生成方法，其特征在于，包括如下步骤，步骤S1、输入图像I，对图像进行标准化，标准化图像与原始图像尺寸相同，图像标准化之后的所有坐标均在[LB,UB]范围内，LB和UB为两个常数，且LB＜0,UB＞0；用T∈R
l
×
w
×
h
表示满足上述性质的所有有效图像的空间；对于每个I∈Τ，图像中的所有坐标满足(b,x,y)∈[l]
×
[w]
×
[h],I(b,x,y)∈[LB,UB]；步骤S2、分类标签为C(I)∈{1,...,C}，p和r为扰动系数，图像邻域搜索半径的边长为2d，最大迭代次数为R，每次迭代选择的像素点的个数为t；步骤S3、随机选取10％的像素，初始化集合(P
x
,P
y
)，(P
x
,P
y
)
i
为一组像素位置；第一轮(P
x
,P
y
)0为随机生成的；在随后的每一轮中，均是基于在前一轮中被扰动的一组像素位置形成的；让(P
x
,P
y
)
i
‑1表示i
‑
1轮中被扰动区域的中间像素位置，则步骤S4、遍历(P
x
,P
y
)的像素，进行扰动PRER(I,p,x,y)，获取新的图像集合；扰动的方法为PETR(I,p,x,y)＝p
×
sign(...

【专利技术属性】
技术研发人员：黄伟，章韵，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：