本申请涉及一种对抗样本检测方法、装置、计算机设备和存储介质。方法包括:获取当前图像数据和异构融合网络结构;当前图像数据为自动驾驶车辆周围环境的图像数据,异构融合网络结构包括卷积神经网络、攻击信息提取网络、以及攻击信息检测网络;将当前图像数据,输入卷积神经网络,得到卷积神经网络包含的各池化层输出的图像特征数据;将各池化层的图像特征数据,输入攻击信息提取网络,得到融合攻击信息;根据融合攻击信息和攻击信息检测网络,确定融合攻击信息对应的特征信息,并在融合攻击信息与特征信息之间的差异度大于差异度阈值的情况下,确定当前图像数据为对抗样本。采用本方法能够提升自动驾驶领域的图像识别分类的效率。率。率。
【技术实现步骤摘要】
对抗样本检测方法、装置、计算机设备和存储介质
[0001]本申请涉及信息安全
,特别是涉及一种对抗样本检测方法、装置、计算机设备和存储介质。
技术介绍
[0002]随着自动驾驶技术的发展,自动驾驶领域广泛地使用卷积神经网络来解决道路和环境的图像识别分类任务。然而,卷积神经网络容易受到对抗样本的攻击,对抗样本攻击技术利用卷积神经网络分类器的梯度信息,在输入样本上添加微小扰动信息,形成对抗样本,导致卷积神经网络在对图像识别分类时,产生错误的分类结果。
[0003]自动驾驶领域的图像识别分类任务与传统的图像识别分类不同,传统图像识别技术,只通过卷积神经网络对当前图像数据进行识别分类,由于卷积神经网络无法屏蔽或识别对抗样本,从而导致自动驾驶领域的图像识别分类的精确度较低。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种对抗样本检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
[0005]第一方面,本申请提供了一种对抗样本检测方法。所述方法包括:
[0006]获取当前图像数据和异构融合网络结构;所述当前图像数据为自动驾驶车辆周围环境的图像数据,所述异构融合网络结构包括卷积神经网络、攻击信息提取网络、以及攻击信息检测网络;
[0007]将所述当前图像数据,输入所述卷积神经网络,得到所述卷积神经网络包含的各池化层输出的图像特征数据;
[0008]将各所述池化层的图像特征数据,输入所述攻击信息提取网络,得到融合攻击信息;
[0009]根据所述融合攻击信息和所述攻击信息检测网络,确定所述融合攻击信息对应的特征信息,并在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下,确定所述当前图像数据为对抗样本。
[0010]可选的,所述卷积神经网络包括卷积层;所述将所述当前图像数据,输入所述卷积神经网络,得到所述卷积神经网络包含的各池化层输出的图像特征数据,包括:
[0011]通过所述卷积层,对所述当前图像数据进行卷积操作,得到各卷积图像特征数据;
[0012]通过所述池化层,对各所述卷积图像数据进行池化操作,得到所述当前图像数据对应的各池化层的图像特征数据。
[0013]可选的,所述攻击信息提取网络包括降维层和信息融合网络;所述将各所述池化层的图像特征数据,输入所述攻击信息提取网络,得到融合攻击信息,包括:
[0014]针对每个池化层的图像特征数据,将所述池化层的图像特征数据,输入所述池化层对应的降维层,进行降维提取操作,得到所述图像特征数据对应的降维层的攻击信息;所
述降维层和所述池化层一一对应;
[0015]通过所述信息融合网络,将各所述降维层的攻击信息进行拼接,得到融合攻击信息。
[0016]可选的,所述攻击信息检测网络包括编码层、解码层和判断层;所述根据所述融合攻击信息和所述攻击信息检测网络,确定所述融合攻击信息对应的特征信息,并在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下,确定所述当前图像数据为对抗样本,包括:
[0017]将所述融合攻击信息,输入所述编码层,得到所述融合攻击信息的低维流形信息;
[0018]通过所述解码层,将所述低维流形信息映射到原始高维空间,得到所述融合攻击信息对应的特征信息;所述原始高维空间为所述融合攻击信息所处的高维空间;
[0019]通过所述判断层,判断所述融合攻击信息与所述特征信息之间的差异度是否大于差异度阈值,在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下,确定所述当前图像数据为对抗样本。
[0020]可选的,所述方法还包括:
[0021]获取常规样本图像数据、对抗样本图像数据和初始异构融合网络结构;所述常规样本图像数据为非对抗样本图像数据;
[0022]将所述常规样本图像数据,输入所述初始异构融合网络结构,对所述初始异构融合网络结构进行训练,得到所述异构融合网络结构;
[0023]将所述对抗样本图像数据、以及所述常规样本图像数据,分别输入所述卷积神经网络,得到对抗样本图像数据对应的各池化层的对抗图像特征数据、以及常规样本图像数据对应的各池化层的常规图像特征数据;
[0024]将各所述对抗图像特征数据、以及各所述常规图像特征数据,分别输入所述攻击信息提取网络,得到对抗融合攻击信息、以及常规融合攻击信息;
[0025]根据所述对抗融合攻击信息、所述常规融合攻击信息、以及所述攻击信息检测网络,确定所述对抗融合攻击信息对应的对抗特征信息、以及所述常规融合攻击信息对应的常规特征信息;
[0026]根据所述对抗融合攻击信息与所述对抗特征信息之间的差异度、以及所述常规融合攻击信息与所述常规特征信息之间的差异度,确定差异度阈值。
[0027]可选的,所述确定差异度阈值之后,还包括:
[0028]将各所述对抗图像特征数据、以及各所述样本图像特征数据,分别输入所述攻击信息提取网络的降维层,得到各所述对抗图像特征数据对应的降维层的对抗攻击信息、以及各所述样本图像特征数据对应的降维层的攻击信息;所述降维层包含一个对抗攻击信息、以及一个样本攻击信息;
[0029]在各所述降维层中,选择同一降维层中的对抗攻击信息和样本攻击信息之间的差异度大于预设差异度的降维层,作为目标降维层;
[0030]根据各所述目标降维层,确定各目标池化层,并基于各目标池化层对所述异构融合网络结构进行优化,得到优化后的异构融合网络结构。
[0031]第二方面,本申请还提供了一种对抗样本检测装置。所述装置包括:
[0032]第一获取模块,用于获取当前图像数据和异构融合网络结构;所述当前图像数据
为自动驾驶车辆周围环境的图像数据,所述异构融合网络结构包括卷积神经网络、攻击信息提取网络、以及攻击信息检测网络;
[0033]第一卷积模块,用于将所述当前图像数据,输入所述卷积神经网络,得到所述卷积神经网络包含的各池化层输出的图像特征数据;
[0034]第一提取模块,用于将各所述池化层的图像特征数据,输入所述攻击信息提取网络,得到融合攻击信息;
[0035]第一确定模块,用于根据所述融合攻击信息和所述攻击信息检测网络,确定所述融合攻击信息对应的特征信息,并在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下,确定所述当前图像数据为对抗样本。
[0036]可选的,所述卷积神经网络包括卷积层;所述第一卷积模块,具体用于:
[0037]通过所述卷积层,对所述当前图像数据进行卷积操作,得到各卷积图像特征数据;
[0038]通过所述池化层,对各所述卷积图像数据进行池化操作,得到所述当前图像数据对应的各池化层的图像特征数据。
[0039]可选的,所述攻击信息提取网络包括降维层和信息融合网络;所述第一提取模块,具体用于:
[0040]针对每个池化层的图像特征数据,将所述池化层的图像本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种对抗样本检测方法,其特征在于,所述方法包括:获取当前图像数据和异构融合网络结构;所述当前图像数据为自动驾驶车辆周围环境的图像数据,所述异构融合网络结构包括卷积神经网络、攻击信息提取网络、以及攻击信息检测网络;将所述当前图像数据,输入所述卷积神经网络,得到所述卷积神经网络包含的各池化层输出的图像特征数据;将各所述池化层的图像特征数据,输入所述攻击信息提取网络,得到融合攻击信息;根据所述融合攻击信息和所述攻击信息检测网络,确定所述融合攻击信息对应的特征信息,并在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下,确定所述当前图像数据为对抗样本。2.根据权利要求1所述的方法,其特征在于,所述卷积神经网络包括卷积层;所述将所述当前图像数据,输入所述卷积神经网络,得到所述卷积神经网络包含的各池化层输出的图像特征数据,包括:通过所述卷积层,对所述当前图像数据进行卷积操作,得到各卷积图像特征数据;通过所述池化层,对各所述卷积图像数据进行池化操作,得到所述当前图像数据对应的各池化层的图像特征数据。3.根据权利要求1所述的方法,其特征在于,所述攻击信息提取网络包括降维层和信息融合网络;所述将各所述池化层的图像特征数据,输入所述攻击信息提取网络,得到融合攻击信息,包括:针对每个池化层的图像特征数据,将所述池化层的图像特征数据,输入所述池化层对应的降维层,进行降维提取操作,得到所述图像特征数据对应的降维层的攻击信息;所述降维层和所述池化层一一对应;通过所述信息融合网络,将各所述降维层的攻击信息进行拼接,得到融合攻击信息。4.根据权利要求1所述的方法,其特征在于,所述攻击信息检测网络包括编码层、解码层和判断层;所述根据所述融合攻击信息和所述攻击信息检测网络,确定所述融合攻击信息对应的特征信息,并在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下,确定所述当前图像数据为对抗样本,包括:将所述融合攻击信息,输入所述编码层,得到所述融合攻击信息的低维流形信息;通过所述解码层,将所述低维流形信息映射到原始高维空间,得到所述融合攻击信息对应的特征信息;所述原始高维空间为所述融合攻击信息所处的高维空间;通过所述判断层,判断所述融合攻击信息与所述特征信息之间的差异度是否大于差异度阈值,在所述融合攻击信息与所述特征信息之间的差异度大于差异度阈值的情况下,确定所述当前图像数据为对抗样本。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:获取常规样本图像数据、对抗样本图像数据和初始异构融合网络结构;所述常规样本图像数据为非对抗样本图像数据;将所述常规样本图像数据,输入所述初始异构融合网络结构,对所述初始异构融合网络结构进行训练...
【专利技术属性】
技术研发人员:李兆麟,范仁昊,庞猛,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。