对抗样本的生成方法和装置制造方法及图纸

本公开提供了一种对抗样本的生成方法和装置，涉及人工智能中的图像处理、目标检测及深度学习。具体实现方案为：获取原始图像、以及根据原始图像生成的初始的对抗样本，对原始图像和初始的对抗样本中的目标对象进行目标检测，得到检测信息，根据检测信息、原始图像、以及初始的对抗样本，构建目标对象的损失函数，并基于目标对象的损失函数对初始的对抗样本进行调整，得到最终的对抗样本，可以避免相关中采用人工方式生成最终的对抗样本造成的准确性偏低的弊端，提高了生成的最终的对抗样本的准确性和可靠性，且提高了生成效率。且提高了生成效率。且提高了生成效率。

【技术实现步骤摘要】
对抗样本的生成方法和装置


[0001]本公开涉及人工智能中的图像处理、目标检测及深度学习，尤其涉及一种对抗样本的生成方法和装置。

技术介绍

[0002]为了测试目标检测算法在人工智能(Artificial Intelligence，AI)安全领域内的有效性，可以通过对样本图像进行干扰生成对抗样本的方式实现。
[0003]在相关技术中，可以由人为的方式在样本图像中添加干扰信息，以生成对抗样本。
[0004]然而，采用上述方式，存在生成对抗样本的准确性偏低的技术问题。

技术实现思路

[0005]本公开提供了一种用于提高生成对抗样本的准确性的对抗样本的生成方法和装置。
[0006]根据本公开的第一方面，提供了一种对抗样本的生成方法，包括：
[0007]获取原始图像、以及根据所述原始图像生成的初始的对抗样本；
[0008]对所述原始图像和所述初始的对抗样本中的目标对象进行目标检测，得到检测信息；
[0009]根据所述检测信息、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数，并基于所述目标对象的损失函数对所述初始的对抗样本进行调整，得到最终的对抗样本。
[0010]根据本公开的第二方面，提供了一种对抗样本的生成装置，包括：
[0011]第一获取单元，用于获取原始图像、以及根据所述原始图像生成的初始的对抗样本；
[0012]检测单元，用于对所述原始图像和所述初始的对抗样本中的目标对象进行目标检测，得到检测信息；
[0013]构建单元，用于根据所述检测信息、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数；
[0014]调整单元，用于基于所述目标对象的损失函数对所述初始的对抗样本进行调整，得到最终的对抗样本。
[0015]根据本公开的第三方面，提供了一种电子设备，包括：
[0016]至少一个处理器；以及
[0017]与所述至少一个处理器通信连接的存储器；其中，
[0018]所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行第一方面所述的方法。
[0019]根据本公开的第四方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行根据第一方面所述的方法。
[0020]根据本公开的第五方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序，所述计算机程序存储在可读存储介质中，电子设备的至少一个处理器可以从所述可读存储介质读取所述计算机程序，所述至少一个处理器执行所述计算机程序使得电子设备执行第一方面所述的方法。
[0021]根据本公开的结合检测信息，根据检测信息、原始图像、以及初始的对抗样本，构建目标对象的损失函数，以基于构建的损失函数调整得到最终的对抗样本的技术方案，可以避免相关中采用人工方式生成最终的对抗样本造成的准确性偏低的弊端，提高了生成的最终的对抗样本的准确性和可靠性，且提高了生成效率。
[0022]应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0023]附图用于更好地理解本方案，不构成对本公开的限定。其中：
[0024]图1是根据本公开第一实施例的示意图；
[0025]图2是根据本公开第二实施例的示意图；
[0026]图3是根据本公开第三实施例的示意图；
[0027]图4是根据本公开第四实施例的示意图；
[0028]图5是根据本公开第五实施例的示意图；
[0029]图6是根据本公开第六实施例的示意图；
[0030]图7是根据本公开第七实施例的示意图；
[0031]图8是用来实现本公开实施例的对抗样本的生成方法的电子设备的框图。
具体实施方式
[0032]以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
[0033]对抗样本(Adversarial examples)被广泛地应用于人工智能安全领域，是指在输入的数据集中通过故意添加细微的干扰信息所形成的样本，导致网络模型以高置信度给出一个错误的输出。
[0034]例如，在数据集中包括样本图像，在样本图像中添加细微的干扰所形成的样本，可以被称为对抗样本。即在样本图像中添加干扰信息，得到的包括干扰信息的样本图像为对抗样本。
[0035]在一些实施例中，可以通过人工的方式设置干扰信息，并由人工的方式将该干扰信息添加至样本图像，从而得到对抗样本。
[0036]然而，采用该种方式生成对抗样本，由于需要人为参与，因此，设置的干扰信息容易受到人为因素的干扰，从而造成生成对抗样本的准确性偏低的弊端。
[0037]在另一些实施例中，可以通过仿射变换期望的方式生成对抗样本。
[0038]例如，可以计算样本图像的仿射变换期望，即样本图像的姿态的有偏差估计
(biased estimate)，以根据仿射变换期望生成对抗样本。
[0039]然而，网络模型的需求输入大小和样本图像大小可能不一致，因此，需要引入额外的学习参数，以满足模型网络的需求输入大小，导致网络模型的收敛变慢，增加了网络模型的收敛难度，从而造成生成对抗样本的效率偏低的弊端。
[0040]在另一些实施例中，可以采用变换期望(Expectation Over Transformation，EoT)的方式生成对抗样本。
[0041]其中，变换期望是指一个对抗噪声可以成功攻击同一个图像的多个不同变换，使网络模型在这些经过变换的图像上都预测错误。
[0042]例如，在执行生成对抗样本时，通过执行仿射变换，进行数据增强，同时刻画实际场景下的变化，增强对抗样本的学习性能。
[0043]然而，仿射变换主要针对对抗区域，而非最终所构造的完整的对抗样本，其忽略了除去对抗小片(patch)区域的样本变换，达不到数据增强的目的。
[0044]为了避免上述问题中的一种或多种，本公开的专利技术人经过创造性地劳动，得到了本公开的专利技术构思：对原始图像、初始的对抗样本进行目标检测，得到检测信息，以结合检测信息、原始图像、初始的对抗样本，构建目标对象的损失函数，从而不断学习，得到最终的对抗样本。
[0045]基于上述专利技术构思，本公开提供一种对抗样本的生成方法和装置，应用于人工智能中的图像处理、目标检测及深度学习，以达到生成的对抗样本的可靠性。
[0046]图1是根据本公开第一实施例的示意图，如图1所示，本公开实施例的对抗样本的生成方本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对抗样本的生成方法，包括：获取原始图像、以及根据所述原始图像生成的初始的对抗样本；对所述原始图像和所述初始的对抗样本中的目标对象进行目标检测，得到检测信息；根据所述检测信息、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数，并基于所述目标对象的损失函数对所述初始的对抗样本进行调整，得到最终的对抗样本。2.根据权利要求1所述的方法，其中，对所述原始图像和所述初始的对抗样本中的目标对象进行目标检测，得到检测信息，包括：对所述原始图像中的目标对象进行目标检测，得到所述目标对象的真实类别；对所述初始的对抗样本中的目标对象进行目标检测，得到所述目标对象在所述真实类别下的置信度、以及所述目标对象在其他类别下的置信度，其中，所述其他类别为所述真实类别之外的类别，所述检测信息包括所述目标对象在所述真实类别下的置信度、以及所述目标对象在其他类别下的置信度。3.根据权利要求2所述的方法，其中，根据所述检测信息、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数，包括：根据所述目标对象在其他类别下的置信度，构建类间差异性损失函数，其中，所述类间差异性损失函数为所述目标对象在其他类别下的置信度之和；根据所述真实类别下的置信度、所述类间差异性损失函数、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数。4.根据权利要求3所述的方法，其中，根据所述目标对象在其他类别下的置信度，构建类间差异性损失函数，包括：从所述目标对象在其他类别下的置信度中，依次获取N个最大的置信度，其中，N为大于1的正整数；根据获取到的N个最大的置信度，构建所述类间差异性损失函数。5.根据权利要求3或4所述的方法，其中，根据所述检测信息、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数，包括：确定所述原始图像与所述初始的对抗样本之间的差异信息；根据所述差异信息和所述检测信息，构建所述目标对象的损失函数。6.根据权利要求5所述的方法，所述方法还包括：确定所述初始的对抗样本的平滑信息，其中，所述平滑信息表征所述初始的对抗样本在相同像素位置且不同类别下的置信度的差异、以及所述初始的对抗样本在相同类别且不同像素位置的置信度的差异；以及，根据所述差异信息和所述检测信息，构建所述目标对象的损失函数，包括：根据所述差异信息、所述目标对象在所述真实类别下的置信度、所述类间差异性损失函数、以及所述平滑信息，构建所述目标对象的损失函数。7.根据权利要求6所述的方法，其中，根据所述差异信息、所述目标对象在所述真实类别下的置信度、所述类间差异性损失函数、以及所述平滑信息，构建所述目标对象的损失函数，包括：计算所述类间差异性损失函数与所述目标对象在所述真实类别下的置信度之间的差
值；计算所述差异信息与所述平滑信息之间的和；根据所述类间差异性损失函数与所述目标对象在所述真实类别下的置信度之间的差值、以及所述差异信息与所述平滑信息之间的和，构建所述目标对象的损失函数。8.根据权利要求1
‑
7任一项所述的方法，其中，对所述原始图像和所述初始的对抗样本中的目标对象进行目标检测，得到检测信息，包括：对所述原始图像中的目标对象进行目标检测，得到所述目标对象的真实类别、以及所述目标对象在各类别下各自对应的置信度；对所述初始的对抗样本中的目标对象进行目标检测，得到所述目标对象在除所述真实类别外的其他类别下的置信度；其中，所述检测信息包括与所述目标对象对应的误判对象在预设类别下的置信度、以及所述目标对象在除所述真实类别外的其他类别下的置信度。9.根据权利要求8所述的方法，其中，根据所述检测信息、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数，包括：根据所述目标对象在各类别下各自对应的置信度，确定所述目标对象在所述真实类别下的置信度；根据所述目标对象在除所述真实类别外的其他类别下的置信度，构建类间差异性损失函数，其中，所述类间差异性损失函数为所述目标对象在其他类别下的置信度之和；根据所述真实类别下的置信度、所述类间差异性损失函数、所述原始图像、以及所述初始的对抗样本，构建所述目标对象的损失函数。10.根据权利要求9所述的方法，其中，根据所述目标对象在各类别下各自对应的置信度，确定所述目标对象在所述真实类别下的置信度，包括：根据所述目标对象在各类别下各自对应的置信度，确定所述目标对象在预设的所述目标对象的误判类别下的置信度；从所述目标对象在各类别下各自对应的置信度中，获取目标置信度，其中，所述目标置信度大于误判类别下的置信度；根据所述目标置信度，确定所述目标对象在所述真实类别下的置信度。11.根据权利要求1
‑
10任一项所述的方法，其中，基于所述目标对象的损失函数对所述初始的对抗样本进行调整，得到最终的对抗样本，包括：调整所述初始的对抗样本，以满足所述目标对象的损失函数小于预设损失阈值，并将满足所述目标对象的损失函数小于所述损失阈值时的调整后的初始的对抗样本，确定为最终的对抗样本。12.根据权利要求1
‑
11任一项所述的方法，在获取根据所述原始图像生成的初始的对抗样本之前，所述方法还包括：获取所述原始图像的初始的扰动区域；根据所述最终的对抗样本应用的目标模型，对所述原始图像中的初始的扰动区域进行替换处理，得到所述初始的对抗样本。13.根据权利要求12所述的方法，其中，根据所述最终的对抗样本应用的目标模型，对所述原始图像中的初始的扰动区域进行替换处理，得到所述初始的对抗样本，包括：
根据所述目标模型对所述初始的扰动区域进行参数初始化处理，得到目标的扰动区域；将所述目标的扰动区域对所述原始图像中的初始的扰动区域进行替换处理，得到所述初始的对抗样本。14.一种对抗样本的生成装置，包括：第一获取单元，用于获取原始图像、以及根据所述原始图像生成的初始的对抗样本；检测单元，用于对所述原始图像和所述初始的对抗样本中的目标对象进行目标检测...

【专利技术属性】
技术研发人员：田伟娟，王洋，吕中厚，黄英仁，张华正，干逸显，高梦晗，
申请(专利权)人：北京百度网讯科技有限公司，
类型：发明
国别省市：