本申请提出了一种基于对抗样本防御的图像安全识别方法及系统,涉及机器学习领域。一种基于对抗样本防御的图像安全识别方法包括:获取对抗样本防御的图像样本,并进行预处理得到预处理图像;对于预处理后的对抗样本防御的图像,并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练;将测试对抗样本防御的图像样本输入至训练好的图像识别模型中,得到识别结果。提高图像识别模型对于对抗样本的防御能力,使得安全性更高,实现图像安全识别。此外本申请还提出了一种基于对抗样本防御的图像安全识别系统,包括:获取模块、迭代训练模块及输出模块。迭代训练模块及输出模块。迭代训练模块及输出模块。
【技术实现步骤摘要】
一种基于对抗样本防御的图像安全识别方法及系统
[0001]本申请涉及机器学习领域,具体而言,涉及一种基于对抗样本防御的图像安全识别方法及系统。
技术介绍
[0002]近年来随着深度学习技术在计算机视觉领域日益广泛的应用以及各类任务中的优异表现,深度学习技术吸引了大批学者进一步研究。2014年,Szegedy等人首次提出深度神经网络并不是完美的,在计算机视觉领域应用时尽管效果很好,但是却很容易被微小,人类肉眼难以察觉的向量扰动,即这种向量增加到图像上,图像很难被看出有明显差异,但是深度神经网络对这类图片会得到错误结果。这种微小难以察觉却能扰动深度神经网络的向量被称为对抗扰动,而增加了对抗扰动的图片被称为对抗样本。
[0003]在防御对抗扰动方面,主要有三种方法,主要有修改训练过程中的输入样本,修改神经网络的网络模型参数,以及检测对抗样本三种方法来防御对抗样本攻击。有些方法不对网络本身的设计做改动,有些方法需要对深度神经网络本身进行分析。由于目前对抗样本攻击发展迅速,防御对抗扰动领域的相关研究处于相对落后状态,本专利技术为弥补防御对抗扰动领域的空白而提出,针对多种对抗样本防御提出解决办法。
技术实现思路
[0004]本申请的目的在于提供一种基于对抗样本防御的图像安全识别方法,其能够对含有对抗神经网络特征的图像进行较为准确的安全识别。
[0005]本申请的另一目的在于提供一种基于对抗样本防御的图像安全识别系统,其能够运行一种基于对抗样本防御的图像安全识别方法。
[0006]本申请的实施例是这样实现的:
[0007]第一方面,本申请实施例提供一种基于对抗样本防御的图像安全识别方法,其包括获取对抗样本防御的图像样本,并进行预处理得到预处理图像;对于预处理后的对抗样本防御的图像,并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练;将测试对抗样本防御的图像样本输入至训练好的图像识别模型中,得到识别结果。
[0008]在本申请的一些实施例中,上述获取对抗样本防御的图像样本,并进行预处理得到预处理图像包括:将获取的对抗样本防御的图像样本进行尺寸调整和归一化操作,尺寸调整为根据图像识别模型中输入层的大小调整对抗样本防御的图像的尺寸。
[0009]在本申请的一些实施例中,上述还包括:利用差分进化算法,对对抗样本防御的图像样本中的每个图像迭代修改生成子图像,然后对多个子图像进行预处理。
[0010]在本申请的一些实施例中,上述对于预处理后的对抗样本防御的图像,并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练包括:基于预处理图像生成对抗测试集,将训练集图像数据作为训练数据,对图像识别模型进行微调。
[0011]在本申请的一些实施例中,上述还包括:在图像识别模型进行微调之前获取当前
迭代次数及设定的最大迭代次数,基于当前迭代次数及预处理后的对抗样本防御的图像对图像识别模型进行迭代训练。
[0012]在本申请的一些实施例中,上述将测试对抗样本防御的图像样本输入至训练好的图像识别模型中,得到识别结果包括:图像识别模型基于注意力机制的神经网络构建,神经网络包括编码器、解码器及视觉特征生成器。
[0013]在本申请的一些实施例中,上述视觉特征生成器包括:依次连接的两组全连接模块、全连接层、重采样层和上采样模块,每个上采样模块包括两个上采样层和两个LeakyReLU层,上采样模块中的上采样层和LeakyReLU层交替连接。
[0014]第二方面,本申请实施例提供一种基于对抗样本防御的图像安全识别系统,其包括获取模块,用于获取对抗样本防御的图像样本,并进行预处理得到预处理图像;
[0015]迭代训练模块,用于对于预处理后的对抗样本防御的图像,并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练;
[0016]输出模块,用于将测试对抗样本防御的图像样本输入至训练好的图像识别模型中,得到识别结果。
[0017]在本申请的一些实施例中,上述包括:用于存储计算机指令的至少一个存储器;与上述存储器通讯的至少一个处理器,其中当上述至少一个处理器执行上述计算机指令时,上述至少一个处理器使上述系统执行:获取模块、迭代训练模块及输出模块。
[0018]第三方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如一种基于对抗样本防御的图像安全识别方法中任一项的方法。
[0019]相对于现有技术,本申请的实施例至少具有如下优点或有益效果:
[0020]能够根据主流深度神经网络攻击方法针对该算法模型生成对抗样本,通过这些对抗样本对整个模型的安全性和识别准确率进行分析验证。通过调整扰动的范数大小,确保扰动肉眼不可见,提高图像攻击的置信度。基于对图像识别模型进行迭代训练,得到训练好的生成图像识别模型;将测试图像样本输入至训练好的图像识别模型中,得到识别结果。提高图像识别模型对于对抗样本的防御能力,使得安全性更高,实现图像安全识别。
附图说明
[0021]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0022]图1为本申请实施例提供的一种基于对抗样本防御的图像安全识别方法步骤示意图;
[0023]图2为本申请实施例提供的一种基于对抗样本防御的图像安全识别方法详细步骤示意图;
[0024]图3为本申请实施例提供的一种基于对抗样本防御的图像安全识别系统模块示意图;
[0025]图4为本申请实施例提供的一种电子设备。
[0026]图标:10
‑
获取模块;20
‑
迭代训练模块;30
‑
输出模块;101
‑
存储器;102
‑
处理器;103
‑
通信接口。
具体实施方式
[0027]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0028]因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0029]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0030]需要说明的是,术语“包括”或本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于对抗样本防御的图像安全识别方法,其特征在于,包括:获取对抗样本防御的图像样本,并进行预处理得到预处理图像;对于预处理后的对抗样本防御的图像,并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练;将测试对抗样本防御的图像样本输入至训练好的图像识别模型中,得到识别结果。2.如权利要求1所述的一种基于对抗样本防御的图像安全识别方法,其特征在于,所述获取对抗样本防御的图像样本,并进行预处理得到预处理图像包括:将获取的对抗样本防御的图像样本进行尺寸调整和归一化操作,尺寸调整为根据图像识别模型中输入层的大小调整对抗样本防御的图像的尺寸。3.如权利要求2所述的一种基于对抗样本防御的图像安全识别方法,其特征在于,还包括:利用差分进化算法,对对抗样本防御的图像样本中的每个图像迭代修改生成子图像,然后对多个子图像进行预处理。4.如权利要求1所述的一种基于对抗样本防御的图像安全识别方法,其特征在于,所述对于预处理后的对抗样本防御的图像,并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练包括:基于预处理图像生成对抗测试集,将训练集图像数据作为训练数据,对图像识别模型进行微调。5.如权利要求4所述的一种基于对抗样本防御的图像安全识别方法,其特征在于,还包括:在图像识别模型进行微调之前获取当前迭代次数及设定的最大迭代次数,基于当前迭代次数及预处理后的对抗样本防御的图像对图像识别模型进行迭代训练。6.如权利要求1所述的一种基于对抗...
【专利技术属性】
技术研发人员:陈雪,吕雪,
申请(专利权)人:郑州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。