对抗样本生成方法、模型训练方法、图像识别方法及装置制造方法及图纸

本申请实施例提供了一种对抗样本生成方法、模型训练方法、图像识别方法及装置，将原始样本图像输入至训练后的注意力模型，得到原始样本图像中第一目标对象包含的各第一组件分别对应的第一注意力图和组件系数；再基于第一注意力图和组件系数在原始样本图像中确定对抗补丁区域；再基于对抗补丁区域对原始样本图像进行扰动处理，得到对抗样本图像；由此定位出的对抗补丁区域的更具有针对性且准确度更高，这样能够提高基于该对抗补丁区域生成的对抗样本图像的对抗攻击效果，从而使用这些基于对抗样本图像进行对抗训练得到的目标模型的安全性更高，进而避免目标模型在应用阶段的潜在安全隐患。在安全隐患。在安全隐患。

Countermeasure sample generation method, model training method, image recognition method and device

【技术实现步骤摘要】
对抗样本生成方法、模型训练方法、图像识别方法及装置


[0001]本申请涉及人工智能
，尤其涉及一种对抗样本生成方法、模型训练方法、图像识别方法及装置。

技术介绍

[0002]目前，随着人工智能技术的快速发展，神经网络模型也随之孕育而生，其中，通过基于大量历史样本数据对神经网络模型中的模型参数进行迭代训练，能够使得神经网络模型从大量历史样本数据中学习规律，从而利用训练后的神经网络模型对目标图像进行分类识别。
[0003]然而，考虑到利用神经网络模型对目标图像进行分类识别的阶段可能存在潜在的安全隐患，因此，为了提高神经网络模型在应用阶段的安全性，通常使用对抗样本对神经网络模型进行对抗训练；其中，针对对抗样本的生成过程，需要先确定对抗补丁区域，但现有的对抗补丁区域的确定方式通常是专家根据经验进行人为指定或者简单地提取出图像中的关键区域，导致确定的对抗补丁区域的准确度低，从而导致对抗样本的攻击效果差。

技术实现思路

[0004]本申请实施例的目的是提供一种对抗样本生成方法、模型训练方法、图像识别方法及装置，能够选取出更具有针对性且准确度更高的对抗补丁区域，这样能够提高基于该对抗补丁区域生成的对抗样本图像的对抗攻击效果，从而使用这些基于对抗样本图像进行对抗训练得到的目标模型的安全性更高，进而避免目标模型在应用阶段的潜在安全隐患，使得目标模型能够更好地应对非法分子的对抗攻击。
[0005]为了实现上述技术方案，本申请实施例是这样实现的：
[0006]第一方面，本申请实施例提供的一种对抗样本生成方法，所述方法包括：
[0007]获取待扰动的原始样本图像；所述原始样本图像包括第一目标对象的图像区域，所述第一目标对象包括至少一个第一组件；
[0008]将所述原始样本图像输入至训练后的注意力模型，得到所述第一组件分别对应的第一注意力图和组件系数；所述组件系数用于表征对应所述第一组件的图像子区域对所述第一目标对象被识别为真实标签的重要程度；
[0009]基于所述第一注意力图和所述组件系数，在所述原始样本图像中确定对抗补丁区域；
[0010]基于所述对抗补丁区域，对所述原始样本图像中对应的图像区域进行扰动处理，得到对抗样本图像。
[0011]第二方面，本申请实施例提供的一种注意力模型训练方法，用于训练如第一方面所述的方法中的注意力模型，所述训练方法包括：
[0012]获取多个第一样本图像；所述第一样本图像包括第二目标对象的图像区域，所述第二目标对象包括至少一个第二组件；
[0013]将各所述第一样本图像输入至待训练的注意力模型，得到所述第一样本图像分别对应的预测概率集合；所述预测概率集合包括所述第二目标对象在各分类类别下的预测概率，所述预测概率是基于各所述第二组件的组件系数确定的，所述组件系数是基于所述第二组件的第二注意力图确定的；
[0014]基于所述预测概率集合和所述第一样本图像的真实标签，对待训练的注意力模型进行迭代训练，得到训练后的注意力模型。
[0015]第三方面，本申请实施例提供的一种图像识别模型训练方法，所述方法包括：
[0016]获取对抗样本图像；所述对抗样本图像为基于如第一方面所述的方法得到的；
[0017]基于所述对抗样本图像，对待对抗的图像识别模型进行对抗训练，得到训练后的图像识别模型；所述待对抗的图像识别模型是基于第二样本图像进行模型训练得到的图像识别模型。
[0018]第四方面，本申请实施例提供的一种图像识别方法，所述方法包括：
[0019]获取待识别的目标图像；
[0020]将所述目标图像输入至训练后的图像识别模型，对所述目标图像进行识别，得到所述目标图像的识别结果；所述训练后的图像识别模型是利用如第三方面所述的方法训练得到的。
[0021]第五方面，本申请实施例提供的一种对抗样本生成装置，所述装置包括：
[0022]第一获取模块，被配置为获取待扰动的原始样本图像；所述原始样本图像包括第一目标对象的图像区域，所述第一目标对象包括至少一个第一组件；
[0023]第一输出模块，被配置为将所述原始样本图像输入至训练后的注意力模型，得到所述第一组件分别对应的第一注意力图和组件系数；所述组件系数用于表征对应所述第一组件的图像子区域对所述第一目标对象被识别为真实标签的重要程度；
[0024]补丁区域确定模块，被配置为基于所述第一注意力图和所述组件系数，在所述原始样本图像中确定对抗补丁区域；
[0025]对抗样本生成模块，被配置为基于所述对抗补丁区域，对所述原始样本图像中对应的图像区域进行扰动处理，得到对抗样本图像。
[0026]第六方面，本申请实施例提供的一种注意力模型训练装置，用于训练如第一方面所述的方法中的注意力模型，所述装置包括：
[0027]第二获取模块，被配置为获取多个第一样本图像；所述第一样本图像包括第二目标对象的图像区域，所述第二目标对象包括至少一个第二组件；
[0028]第二输出模块，被配置为将各所述第一样本图像输入至待训练的注意力模型，得到所述第一样本图像分别对应的预测概率集合；所述预测概率集合包括所述第二目标对象在各分类类别下的预测概率，所述预测概率是基于各所述第二组件的组件系数确定的，所述组件系数是基于所述第二组件的第二注意力图确定的；
[0029]第一模型训练模块，被配置为基于所述预测概率集合和所述第一样本图像的真实标签，对待训练的注意力模型进行迭代训练，得到训练后的注意力模型。
[0030]第七方面，本申请实施例提供的一种图像识别模型训练装置，所述装置包括：
[0031]第三获取模块，被配置为获取对抗样本图像；所述对抗样本图像为基于如第一方面所述的方法得到的；
[0032]第二模型训练模块，被配置为基于所述对抗样本图像，对待对抗的图像识别模型进行对抗训练，得到训练后的图像识别模型；所述待对抗的图像识别模型是基于第二样本图像进行模型训练得到的图像识别模型。
[0033]第八方面，本申请实施例提供的一种图像识别装置，所述装置包括：
[0034]第四获取模块，被配置为获取待识别的目标图像；
[0035]图像识别模块，被配置为将所述目标图像输入至训练后的图像识别模型，对所述目标图像进行识别，得到所述目标图像的识别结果；所述训练后的图像识别模型是利用如第三方面所述的方法训练得到的。
[0036]第九方面，本申请实施例提供的一种计算机设备，所述设备包括：
[0037]处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令被配置由所述处理器执行，所述可执行指令包括用于执行如第一方面、第二方面、第三方面、或者第四方面中所述的方法中的步骤。
[0038]第十方面，本申请实施例提供的一种存储介质，其中，所述存储介质用于存储计算机可执行指令，所述可执行指令使得计算机执行如第一方面、第二方面、第三方面、或者第四方面中所述的方法中的步骤。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对抗样本生成方法，其特征在于，所述方法包括：获取待扰动的原始样本图像；所述原始样本图像包括第一目标对象的图像区域，所述第一目标对象包括至少一个第一组件；将所述原始样本图像输入至训练后的注意力模型，得到所述第一组件分别对应的第一注意力图和组件系数；所述组件系数用于表征对应所述第一组件的图像子区域对所述第一目标对象被识别为真实标签的重要程度；基于所述第一注意力图和所述组件系数，在所述原始样本图像中确定对抗补丁区域；基于所述对抗补丁区域，对所述原始样本图像中对应的图像区域进行扰动处理，得到对抗样本图像。2.根据权利要求1所述的方法，其特征在于，所述注意力模型包括：通道特征图提取层、注意力图生成层和组件系数确定层；所述将所述原始样本图像输入至训练后的注意力模型，得到所述第一组件分别对应的第一注意力图和组件系数，包括：所述通道特征图提取层用于对所述原始样本图像进行特征提取处理，得到c个通道对应的c个第一特征图；每个所述通道对应一个第一特征图，c表示通道特征图提取层中的通道数量，c为大于1的整数；所述注意力图生成层用于对c个所述第一特征图进行加权处理，得到K个第一组件对应的K个第一注意力图；每个所述第一组件对应一个第一注意力图，K表示第一目标对象中的组件数量，K为大于1的整数；所述组件系数确定层用于对K个所述第一注意力图进行平均池化处理，得到K个第一组件对应的K个组件系数，每个所述第一组件对应一个组件系数。3.根据权利要求2所述的方法，其特征在于，所述注意力图生成层包括K个全卷积层，每个所述全卷积层与一个所述第一组件对应；每个所述全卷积层用于对c个所述第一特征图进行加权处理，得到所述全卷积层对应的第一组件的第一注意力图；其中，K个所述全卷积层输出的所述第一注意力图为K个第一组件对应的第一注意力图。4.根据权利要求2所述的方法，其特征在于，所述组件系数确定层包括K个全局平均池化层，每个所述全局平均池化层与一个所述第一组件对应；每个所述全局平均池化层用于对所述全局平均池化层对应的第一组件的第一注意力图进行平均池化处理，得到所述全局平均池化层对应的所述第一组件的组件系数；其中，K个所述全局平均池化层输出的所述组件系数为K个第一组件对应的组件系数。5.根据权利要求1至4任一项所述的方法，其特征在于，所述基于所述第一注意力图和所述组件系数，在所述原始样本图像中确定对抗补丁区域，包括：基于所述第一注意力图和所述组件系数，在K个所述第一组件对应的图像子区域中确定至少一个目标子补丁区域；基于所述至少一个目标子补丁区域，在所述原始样本图像中确定对抗补丁区域。6.根据权利要求5所述的方法，其特征在于，所述基于所述第一注意力图和所述组件系数，在K个所述第一组件对应的图像子区域中确定至少一个目标子补丁区域，包括：
基于所述第一注意力图和所述组件系数，执行如下模拟攻击目标模型的操作：根据K个所述第一组件的所述组件系数的大小选取一个目标组件系数；所述目标组件系数为未被选取的组件系数中最大的组件系数；基于所述目标组件系数对应的第一注意力图，对至少一个对抗攻击对象进行扰动攻击，得到模拟攻击样本图像；所述至少一个对抗攻击对象与已被选取的组件系数对应的目标子补丁区域一一对应；将所述模拟攻击样本图像输入至所述目标模型，对所述模拟攻击样本图像进行分类识别，得到所述模拟攻击样本图像的图像分类结果；若所述图像分类结果表征图像分类正确，则继续执行所述模拟攻击目标模型的操作；若所述图像分类结果表征图像分类错误，则基于所述至少一个对抗攻击对象，确定至少一个目标子补丁区域。7.根据权利要求6所述的方法，其特征在于，所述基于所述目标组件系数对应的第一注意力图，对至少一个对抗攻击对象进行扰动攻击，得到模拟攻击样本图像，包括：在本次选取的所述目标组件系数对应的第一注意力图中，将像素值小于或等于预设阈值的像素点进行遮挡处理，得到所述目标组件系数对应的目标注意力图；将所述目标注意力图作为一个对抗攻击对象添加至攻击对象集合；所述攻击对象集合包括已被选取的所述目标组件系数对应的目标注意力图；对最新的所述攻击对象集合进行扰动攻击，得到扰动攻击后的攻击对抗集合；基于所述扰动攻击后的攻击对抗集合，生成模拟攻击样本图像。8.根据权利要求5所述的方法，其特征在于，所述基于所述至少一个目标子补丁区域，在所述原始样本图像中确定对抗补丁区域，包括：确定所述至少一个目标子补丁区域中各像素点对应的原始位置信息；基于所述原始位置信息，在所述原始样本图像中确定对抗补丁区域。9.根据权利要求8所述的方法，其特征在于，所述基于所述原始位置信息，在所述原始样本图像中确定对抗补丁区域，包括：基于所述原始位置信息，在所述原始样本图像中确定至少一个原始子补丁区域；将所述至少一个原始子补丁区域的并集确定为所述对抗补丁区域。10.根据权利要求1至4任一项所述的方法，其特征在于，所述基于所述对抗补丁区域，对所述原始样本图像中对应的图像区域进行扰动处理，得到对抗样本图像，包括：利用投影梯度下降PG...

【专利技术属性】
技术研发人员：刘彦宏，吴海英，王洪斌，蒋宁，
申请(专利权)人：马上消费金融股份有限公司，
类型：发明
国别省市：