一种基于颜色空间分量的对抗样本图像生成方法和系统技术方案

本发明专利技术给出了一种基于颜色空间分量的对抗样本图像生成方法和系统，属于图像安全技术领域。该对抗样本图像生成方法包括：确定待对抗图像中待对抗的位置像素块；设置与所述位置像素块的颜色空间分量相同、大小相同的对抗扰动块；对所述对抗扰动块在所述颜色空间上进行采样，以形成多个对抗样本图像；将所述多个对抗样本图像输入到目标检测模型中进行目标预测，得到每个对抗样本图像对应的预测值；根据所述多个对抗样本图像对应的预测值，对所述对抗样本图像进行迭代优化处理。本发明专利技术能够保证对抗样本图像在颜色空间分量变化过程中的鲁棒性。棒性。棒性。

【技术实现步骤摘要】
一种基于颜色空间分量的对抗样本图像生成方法和系统


[0001]本专利技术属于图像安全
，尤其涉及一种基于颜色空间分量的对抗样本图像生成方法和系统。

技术介绍

[0002]对抗样本生成方法是指针对智能模型的对抗性噪声生成技术，通过在正常输入样本上，包括数字域和物理域，人为加入对抗性噪声，使得智能模型的输出结果出现错误。在人脸识别、无人驾驶、智能跟踪等安全相关领域，对抗样本对于评估智能模型的安全性起着重要作用，同时，也对未经审查的智能模型具有极大威胁。
[0003]当前已有的针对目标检测算法的对抗样本生成方法，仅仅考虑了对抗样本在显示器上与打印后的数值上的差异，通过在损失函数中添加单个像素在RGB空间和CMYK空间转换中的差异，来缩小数字显示和物理打印的像素值偏差。然而，这种方法还缺少对环境的考虑，即光照变化和成像设备的差异也会导致打印出的对抗样本在不同时段，或者是目标算法搭载不同设备时而失效。究其原因，是传统的对抗样本生成方法，并没有考虑到对抗样本在颜色空间分量变化的过程中的鲁棒性。

技术实现思路

[0004]本专利技术的目的之一，在于提供一种基于颜色空间分量的对抗样本图像生成方法，该对抗样本图像生成方法能够保证对抗样本图像在颜色空间分量变化过程中的鲁棒性。
[0005]本专利技术的目的之二，在于提供一种基于颜色空间分量的对抗样本图像生成系统。
[0006]为了达到上述目的之一，本专利技术采用如下技术方案实现：一种基于颜色空间分量的对抗样本图像生成方法，所述对抗样本图像生成方法包括：步骤S1、确定待对抗图像中待对抗的位置像素块；步骤S2、设置与所述位置像素块的颜色空间分量相同、大小相同的对抗扰动块；所述对抗扰动块上的每位数值均位于0和1之间；步骤S3、对所述对抗扰动块在所述颜色空间上进行采样，以形成多个对抗样本图像；步骤S4、将所述多个对抗样本图像输入到目标检测模型中进行目标预测，得到每个对抗样本图像对应的预测值；步骤S5、根据所述多个对抗样本图像对应的预测值，对所述对抗样本图像进行迭代优化处理。
[0007]进一步的，在所述步骤S1中，所述确定待对抗图像中待对抗的位置像素块的具体过程包括：步骤S11、获取所述待对抗图像；步骤S12、对所述待对抗图像进行目标对象检测，得到待对抗目标区域；
步骤S13、从所述待对抗目标区域中选取出所述待对抗的位置像素块。
[0008]进一步的，在所述步骤S3中，所述多个对抗样本图像的形成过程包括：步骤S31、将所述对抗扰动块上的每位数值在颜色空间的各个分量预设范围内进行随机变动，构成多个对抗扰动像素块；步骤S32、采用每个对抗扰动像素块上各个像素点的像素值，替换所述位置像素块对应的像素点的像素值，得到所述多个对抗扰动像素块各自对应的对抗样本图像。
[0009]进一步的，在所述步骤S4中，所述目标预测的具体实现过程包括：步骤S41、对每个对抗样本图像进行目标对象检测，得到所述对抗样本图像上的目标对象区域；步骤S42、对所述目标对象区域依次进行卷积处理、全连接层变换和SoftMax函数计算，得到所述对抗样本图像对应的预测值。
[0010]进一步的，在所述步骤S5中，所述对抗扰动块进行迭代优化处理的具体实现过程包括：步骤S51、设置目标对象识别正确的第一阈值；步骤S52、计算所述第一阈值分别与每个预测值的差值，以将所述差值作为对应的对抗样本图像的目标函数的损失值；步骤S53、判断所述各个对抗样本图像的目标函数的损失值是否均大于第二阈值，如是，则输出所述对抗样本图像，结束；如否，则进入步骤S54；步骤S54、根据所述每个对抗样本图像的目标函数的损失值，采用链式法则，计算所述各个对抗样本图像对应的梯度；步骤S55、计算所述各个对抗样本图像对应的梯度的均值；步骤S56、将所述对抗扰动块的每一位数值减去所述均值赋给所述对抗扰动块，返回步骤S3。
[0011]为了达到上述目的之二，本专利技术采用如下技术方案实现：一种基于颜色空间分量的对抗样本图像生成系统，所述对抗样本图像生成系统包括：确定模块，被配置为：确定待对抗图像中待对抗的位置像素块；设置模块，被配置为：设置与所述位置像素块的颜色空间分量相同、大小相同的对抗扰动块；所述对抗扰动块上的每位数值均位于0和1之间；形成模块，被配置为：对所述对抗扰动块在所述颜色空间上进行采样，以形成多个对抗样本图像；目标预测模块，被配置为：将所述多个对抗样本图像输入到目标检测模型中进行目标预测，得到每个对抗样本图像对应的预测值；迭代优化处理模块，被配置为：根据所述多个对抗样本图像对应的预测值，对所述对抗样本图像进行迭代优化处理。
[0012]进一步的，所述确定模块包括：获取子模块，被配置为：获取所述待对抗图像；第一目标对象检测子模块，被配置为：对所述待对抗图像进行目标对象检测，得到
待对抗目标区域；选取子模块，被配置为：从所述待对抗目标区域中选取出所述待对抗的位置像素块。
[0013]进一步的，所述形成模块包括：构成子模块，被配置为：将所述对抗扰动块上的每位数值在颜色空间的各个分量预设范围内进行随机变动，构成多个对抗扰动像素块；；替换子模块，被配置为：采用每个对抗扰动像素块上各个像素点的像素值，替换所述位置像素块对应的像素点的像素值，得到所述多个对抗扰动像素块各自对应的对抗样本图像。
[0014]进一步的，所述目标预测模块包括：第二目标对象检测子模块，被配置为：对每个对抗样本图像进行目标对象检测，得到所述对抗样本图像上的目标对象区域；处理子模块，被配置为：对所述目标对象区域依次进行卷积处理、全连接层变换和SoftMax函数计算，得到所述对抗样本图像对应的预测值。
[0015]进一步的，所述迭代优化处理模块包括：设置子模块，被配置为：设置目标对象识别正确的第一阈值；第一计算子模块，被配置为：计算所述第一阈值分别与每个预测值的差值，以将所述差值作为对应的对抗样本图像的目标函数的损失值；判断子模块，被配置为：判断所述各个对抗样本图像的目标函数的损失值是否均大于第二阈值，如是，则输出所述对抗样本图像，结束；如否，则将所述每个对抗样本图像的目标函数的损失值给第二计算子模块；第二计算子模块，被配置为：根据所述每个对抗样本图像的目标函数的损失值，采用链式法则，计算所述各个对抗样本图像对应的梯度；第三计算子模块，被配置为：计算所述各个对抗样本图像对应的梯度的均值；赋给子模块，被配置为、将所述对抗扰动块的每一位数值减去所述均值赋给所述对抗扰动块，并将所述对抗扰动块给所述形成模块。
[0016]综上，本专利技术提出的方案具备如下技术效果：本专利技术通过确定待对抗图像中待对抗的位置像素块，设置对抗扰动块，并对对抗扰动块在颜色空间上进行采样，形成多个对抗样本图像；通过目标检测模型，得到每个对抗样本图像对应的预测值；并根据多个对抗样本图像对应的预测值，对对抗样本图像进行迭代优化处理，提高了对抗样本图像在颜色空间上的范围鲁棒性，避免了对抗样本图像仅仅聚焦于缩小像素在两个颜色空间上的值差异，解决了数字域中生成的对抗样本因本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于颜色空间分量的对抗样本图像生成方法，其特征在于，所述对抗样本图像生成方法包括：步骤S1、确定待对抗图像中待对抗的位置像素块；步骤S2、设置与所述位置像素块的颜色空间分量相同、大小相同的对抗扰动块；所述对抗扰动块上的每位数值均位于0和1之间；步骤S3、对所述对抗扰动块在所述颜色空间上进行采样，以形成多个对抗样本图像；步骤S4、将所述多个对抗样本图像输入到目标检测模型中进行目标预测，得到每个对抗样本图像对应的预测值；步骤S5、根据所述多个对抗样本图像对应的预测值，对所述对抗样本图像进行迭代优化处理。2.根据权利要求1所述的对抗样本图像生成方法，其特征在于，在所述步骤S1中，所述确定待对抗图像中待对抗的位置像素块的具体过程包括：步骤S11、获取所述待对抗图像；步骤S12、对所述待对抗图像进行目标对象检测，得到待对抗目标区域；步骤S13、从所述待对抗目标区域中选取出所述待对抗的位置像素块。3.根据权利要求2所述的对抗样本图像生成方法，其特征在于，在所述步骤S3中，所述多个对抗样本图像的形成过程包括：步骤S31、将所述对抗扰动块上的每位数值在颜色空间的各个分量预设范围内进行随机变动，构成多个对抗扰动像素块；步骤S32、采用每个对抗扰动像素块上各个像素点的像素值，替换所述位置像素块对应的像素点的像素值，得到所述多个对抗扰动像素块各自对应的对抗样本图像。4.根据权利要求3所述的对抗样本图像生成方法，其特征在于，在所述步骤S4中，所述目标预测的具体实现过程包括：步骤S41、对每个对抗样本图像进行目标对象检测，得到所述对抗样本图像上的目标对象区域；步骤S42、对所述目标对象区域依次进行卷积处理、全连接层变换和SoftMax函数计算，得到所述对抗样本图像对应的预测值。5.根据权利要求1~4中任意一项所述的对抗样本图像生成方法，其特征在于，在所述步骤S5中，所述对抗扰动块进行迭代优化处理的具体实现过程包括：步骤S51、设置目标对象识别正确的第一阈值；步骤S52、计算所述第一阈值分别与每个预测值的差值，以将所述差值作为对应的对抗样本图像的目标函数的损失值；步骤S53、判断所述各个对抗样本图像的目标函数的损失值是否均大于第二阈值，如是，则输出所述对抗样本图像，结束；如否，则进入步骤S54；步骤S54、根据所述每个对抗样本图像的目标函数的损失值，采用链式法则，计算所述各个对抗样本图像对应的梯度；步骤S55、计算所述各个对抗样本图像对应的梯度的均值；步骤S56、将所述对抗扰动块的每一位数值减去所述均值赋给所述对抗扰动块，返回步骤S3。
6.一种基于颜色空间分量的对抗样本图像生成系统，其特征在于，所述对抗样本图像...

【专利技术属性】
技术研发人员：杨星，纪守领，邱鹏宇，陈晋音，梁振宇，张旭鸿，朱东涛，许颢砾，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：