对抗图像生成方法、相关装置及存储介质制造方法及图纸

本申请实施例涉及计算机视觉领域，提供一种对抗图像生成方法、相关装置及存储介质，该方法包括：获取候选对抗图像以及目标变换策略，其中，经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件；基于所述候选对抗图像、所述目标变换策略以及目标图像，获取经过所述目标变换策略处理后的候选对抗图像与目标图像的第二相似度；若所述第二相似度不符合第二预设条件，则更新所述候选对抗图像、第二相似度，直至第二相似度符合第二预设条件，并将第二相似度符合第二预设条件时的候选对抗图像作为目标对抗图像。本申请实施例生成的目标对抗图像能够抵抗一些物理变换，具备更强的鲁棒性。具备更强的鲁棒性。具备更强的鲁棒性。

【技术实现步骤摘要】
对抗图像生成方法、相关装置及存储介质


[0001]本申请实施例涉及计算机视觉领域，更具体地涉及一种对抗图像生成方法、相关装置及存储介质。

技术介绍

[0002]对抗攻击研究如何针对不同深度学习模型高效地生成对抗样本，有助于及时发现深度学习模型的脆弱性，评估深度学习模型的鲁棒性。一些对抗攻击方法在数字世界中生成添加较小对抗扰动的对抗样本，可以促使对抗样本无法被深度学习模型正确识别或将其识别为指定的标签。
[0003]然而，实际应用中的识别系统（例如人脸识别系统）通常会基于物理世界的目标对象采集图像并进行识别。因此，在物理世界进行对抗攻击往往是将对抗样本或对抗扰动实体化后实施，例如将对抗样本实体化后粘贴于目标对象，由识别系统采集粘贴了实体对抗样本的目标对象的图像进行识别，以实施对抗攻击。在物理世界基于目标对象采集到的图像往往受一些物理影响，例如光照强度或目标对象本身的姿态。这些物理影响很可能使得对抗样本被识别系统采集到的图像与在数字世界生成的不同，无法达成预定的攻击效果，或者比在数字世界表现出的攻击效果差。

技术实现思路

[0004]本申请实施例提供一种对抗图像生成方法、相关装置及存储介质,在基于原始图像生成对抗图像的过程中，不再仅仅是获取候选对抗图像与目标图像的识别相似度，而是获取经过目标变换策略处理后的候选对抗图像与目标图像的第二相似度，然后基于第二相似度确定候选对抗图像是否可以作为目标对抗图像，从而使得第二相似度符合第二预设条件时得到的目标对抗图像具备更强鲁棒性、更强的抵抗物理变换的能力。<br/>[0005]第一方面，本申请实施例提供一种对抗图像生成方法，该方法包括：获取候选对抗图像以及目标变换策略，其中，所述目标变换策略中包括至少一个目标变换，经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件；基于所述候选对抗图像、所述目标变换策略以及目标图像，获取第二相似度，其中，所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度，所述目标图像基于对抗攻击的攻击目标确定；若所述第二相似度不符合第二预设条件，则更新所述候选对抗图像、所述第二相似度，直至第二相似度符合所述第二预设条件，并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
[0006]第二方面，本申请实施例提供一种图像处理装置，具有实现对应于上述第一方面提供的对抗图像生成方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块，所述模块可以是软件
和/或硬件。
[0007]在一个实施方式中，所述图像处理装置包括：输入输出模块，被配置为获取候选对抗图像以及目标变换策略，其中，所述目标变换策略中包括至少一个目标变换，经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件；处理模块，被配置为基于目标图像、所述输入输出模块获取的所述候选对抗图像以及所述目标变换策略，获取第二相似度，其中，所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度，所述目标图像基于对抗攻击的攻击目标确定；以及若所述第二相似度不符合第二预设条件，则更新所述候选对抗图像、所述第二相似度，直至第二相似度符合所述第二预设条件，并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
[0008]第三方面，本申请实施例提供一种计算机可读存储介质，其包括指令，当其在计算机上运行时，使得计算机执行如第一方面所述的对抗图像生成方法。
[0009]第四方面，本申请实施例提供一种计算设备，包括存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实现第一方面所述的对抗图像生成方法。
[0010]相较于现有技术，本申请实施例中，在基于原始图像逐步更新候选对抗图像，最终得到目标对抗图像的过程中，不再仅仅是获取候选对抗图像与目标图像的识别相似度，而是获取经过目标变换策略处理后的候选对抗图像与目标图像的第二相似度，然后基于第二相似度确定候选对抗图像是否可以作为目标对抗图像。若直接根据候选对抗图像与目标图像的识别相似度，确定所述候选对抗图像是否可以作为目标对抗图像，则由于获取所述识别相似度时的所述候选对抗图像未经过物理变换，即使所述识别相似度符合第二预设条件（例如大于90%），也依然无法确定所述候选对抗图像的鲁棒性，即无法确保其在经过物理变换之后依然可能成功攻击识别模型；相较于现有技术，由于本申请实施例中的第二相似度，是候选对抗图像经过目标变换之后与目标图像对比得到的，所以第二相似度符合第二预设条件时，则表明所述候选对抗图像经过目标变换之后，仍然与目标图像足够较为相似，能够实现攻击目标、达成预定的攻击效果；即第二相似度符合第二预设条件时得到的目标对抗图像具备更强鲁棒性、更强的抵抗物理变换的能力。本申请实施例生成的目标对抗图像对物理变换具备更强的抵抗力，可以在物理世界经受物理变换后依然发挥稳定的攻击效果，使得在物理世界对目标模型测试时受到物理变换干扰的影响小。
附图说明
[0011]通过参考附图阅读本申请实施例的详细描述，本申请实施例的目的、特征和优点将变得易于理解。其中：图1为本申请实施例中对抗图像生成方法的一种图像处理系统的示意图；图2为本申请实施例的对抗图像生成方法的流程示意图；图3为采用本申请实施例的方法基于猫咪原始图像生成飞机对抗图像后进行旋转变换的示意图；
图4为本申请实施例中获取目标变换策略的流程示意图；图5为本申请实施例中获取目标变换策略的可视化流程示意图；图6为本申请实施例的迭代更新候选对抗图像的可视化流程示意图；图7为本申请实施例的图像处理装置的结构示意图；图8为本申请实施例提供的计算设备的一种结构示意图；图9为本申请实施例中手机的一种结构示意图；图10为本申请实施例中服务器的一种结构示意图。
[0012]在附图中，相同或对应的标号表示相同或对应的部分。
具体实施方式
[0013]本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象（例如第一相似度和第二相似度分别表示为不同的相似度，其他类似），而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块，本申请实施例中所出现的模块的划分，仅仅是一种逻辑上的划分，实际应用中实现时可以有另外的划分方式，例如多个模块可以结合成或集成在另一个系统中，或一些特征可以忽略，或不执行。另外，所显本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对抗图像生成方法，所述方法包括：获取候选对抗图像以及目标变换策略，其中，所述目标变换策略中包括至少一个目标变换，经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件；基于所述候选对抗图像、所述目标变换策略以及目标图像，获取第二相似度，其中，所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度，所述目标图像基于对抗攻击的攻击目标确定；若所述第二相似度不符合第二预设条件，则更新所述候选对抗图像、所述第二相似度，直至第二相似度符合所述第二预设条件，并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。2.如权利要求1所述的方法，其中，所述目标变换策略中的任一目标变换均基于一个候选目标变换更新得到，所述候选目标变换与所述目标变换一一对应；获取所述目标变换策略，包括：获取候选目标变换策略，其中，所述候选目标变换策略中包括至少一个候选目标变换，多个所述候选目标变换的变换类型不同；根据所述候选目标变换策略、所述候选对抗图像，获取第一相似度期望；若所述第一相似度期望不符合第一预设条件，则更新所述候选目标变换策略、所述第一相似度期望，直至第一相似度期望符合所述第一预设条件，并将第一相似度期望符合所述第一预设条件时的候选目标变换策略作为所述目标变换策略。3.如权利要求1或2所述的方法，其中，若所述第二相似度不符合第二预设条件，还基于更新后的所述候选对抗图像更新所述目标变换策略。4.如权利要求2所述的方法，其中，所述目标变换为复合变换，且由至少两个不同单一变换类型的物理变换组成。5.如权利要求2所述的方法，其中，所述候选目标变换策略中包括多个候选目标变换，每个候选目标变换均为单一变换类型的物理变换，各个候选目标变换的变换类型不同，所述第一预设条件包括第一相似度...

【专利技术属性】
技术研发人员：ꢀ七四专利代理机构，
申请(专利权)人：北京瑞莱智慧科技有限公司，
类型：发明
国别省市：