基于深度神经网络的对抗样本生成方法及系统技术方案

本发明专利技术属于计算机视觉处理技术领域，特别涉及一种基于深度神经网络的对抗样本生成方法及系统，首先将样本数据中的原始图像转化为显著图；利用显著图圈定样本数据原始图像中用于添加扰动的显著区域，通过对显著图像素值进行二值化处理来获取显著掩膜；将样本数据中的原始图像输入图像分类模型中，利用Nadam优化算法与卷积神经网络反向传输过程中的梯度信息，迭代生成全局扰动的对抗样本；将对抗样本与原始图像做差，得到全局对抗噪声；利用全局对抗噪声与显著掩膜的Hadamard乘积来获取显著区域内的对抗噪声，并通过结合对抗噪声与原始图像来得到最终输出的显著区域对抗样本。本发明专利技术能够提升生成样本质量，便于测试和提升图像分类模型的安全性和鲁棒性。像分类模型的安全性和鲁棒性。像分类模型的安全性和鲁棒性。

【技术实现步骤摘要】
基于深度神经网络的对抗样本生成方法及系统


[0001]本专利技术属于计算机视觉处理
，特别涉及一种基于深度神经网络的对抗样本生成方法及系统。

技术介绍

[0002]在图像分类任务中，基于卷积神经网络的图像分类模型已经达到甚至超过人眼的能力水平。但研究表明，当在原始图像上添加特定扰动后，卷积神经网络会以高概率分类出错。更重要的是，这些扰动对人眼和机器来说都是不易察觉的。对抗样本的存在给深度神经网络安全带来了巨大的挑战，严重阻碍了模型的实际部署和应用。与此同时，对抗样本作为一种技术检测手段，也为测试和提升图像分类模型的安全性和鲁棒性提供了良好的工具。
[0003]对抗样本的攻击性能主要体现在两个方面：一是能够欺骗模型，可以使性能良好的图像分类模型分类出错；二是能够欺骗人眼，即人眼无法有效区分对抗样本和原始图像。根据攻击者对模型的了解程度，可以将对抗样本攻击分为白盒攻击和黑盒攻击。白盒攻击需要攻击者掌握模型的结构和参数，但由于实际模型部署中通常设有防护机制，攻击者往往难以获得模型的内部信息。因此，黑盒攻击中的FGSM(Fast Gradient Sign Method)，利用对抗样本的迁移性进行黑盒攻击；还有将动量项引入到对抗样本的生成过程中的MI
‑
FGSM(Momentum Iterative Fast Gradient Sign Method)，稳定反向传播过程损失函数的更新方向，提高对抗样本的黑盒攻击成功率。但同时，由于以上方法是以全局扰动的方式在原始图像上添加对抗噪声，生成的对抗样本与原图存在较大的视觉差异，使得对抗样本因过多的对抗纹理特征而易被人眼察觉。随着对抗样本研究的逐步深入，单纯提升对抗样本的攻击成功率已经不能满足对抗攻击测试的要求，还需要考虑由于对抗扰动过大带来的对抗攻击隐蔽性降低的问题。

技术实现思路

[0004]为此，本专利技术提供一种基于深度神经网络的对抗样本生成方法及系统，通过考虑对抗攻击隐蔽性问题，在保持对抗样本的黑盒攻击成功率较高的同时，缩小对抗扰动添加区域，降低对抗样本被发现的可能，提升生成样本质量，便于测试和提升图像分类模型的安全性和鲁棒性。
[0005]按照本专利技术所提供的设计方案，提供一种基于深度神经网络的对抗样本生成方法，包含如下内容：
[0006]根据样本数据中图像语义信息，将样本数据中的原始图像转化为显著图；利用显著图圈定样本数据原始图像中用于添加扰动的显著区域，并通过对显著图像素值进行二值化处理来获取显著掩膜；
[0007]将样本数据中的原始图像输入图像分类模型中，利用Nadam优化算法与卷积神经网络反向传输过程中的梯度信息，迭代生成全局扰动的对抗样本；
[0008]将对抗样本与原始图像做差，得到全局对抗噪声；利用全局对抗噪声与显著掩膜
的Hadamard乘积来获取显著区域内的对抗噪声，并通过结合对抗噪声与原始图像来得到最终输出的显著区域对抗样本。
[0009]作为本专利技术中基于深度神经网络的对抗样本生成方法，进一步地，将样本数据中的原始图像转化为显著图，包含如下内容：利用已训练的可变性卷积和特征注意DCFA网络模型将原始图像转化为像素值在0到255之间的灰度图，将该灰度图作为显著图，其中，DCFA网络模型通过在原始图像的低层细节和高层语义中提取不均匀的上下文特征，并通过在空间域和通道域中分配特征自适应权重来获取显著图边界。
[0010]作为本专利技术中基于深度神经网络的对抗样本生成方法，进一步，对显著图像素值进行二值化处理的过程表示为：其中，s
i,j
为显著图S的第(i,j)位置像素值，φ为对应的像素阈值，m
i,j
为二值化后显著掩模M对应的第(i,j)位置的值。
[0011]作为本专利技术中基于深度神经网络的对抗样本生成方法，进一步，迭代生成全局扰动的对抗样本中，基于卷积神经网络反向传播过程中损失函数的梯度计算，通过逐步增加图像分类过程中的损失函数值来获取分类错误标签，并将损失函数的更新过程以动量累积形式进行集成，以稳定损失函数更新方向。
[0012]作为本专利技术基于深度神经网络的对抗样本生成方法，进一步地，损失函数的更新过程中，引入优化更新路径的Nesterov算法和优化学习率的RMSprop算法来组合形成Nadam算法，利用Nadam算法来累积梯度历史数据和预估数据，以同时优化损失函数更新路径和学习率。
[0013]作为本专利技术基于深度神经网络的对抗样本生成方法，进一步地，Nesterov算法中，通过对抗样本生成过程中的梯度跳跃来辅助损失函数前进过程中预估梯度变化，并将预估梯度变化计入梯度累积过程。
[0014]作为本专利技术基于深度神经网络的对抗样本生成方法，进一步地，RMSprop算法中，利用对抗样本生成过程中梯度大小来动态调整损失函数前进过程中的学习率，并通过调整损失函数更新过程中的动态步长来避免最后极值点附近的反复震荡。
[0015]进一步地，本专利技术还提供一种基于深度神经网络的对抗样本生成系统，包含：样本数据处理模块、第一样本生成模块和第二样本生成模块，其中，
[0016]样本数据处理模块，用于根据样本数据中图像语义信息，将样本数据中的原始图像转化为显著图；利用显著图圈定样本数据原始图像中用于添加扰动的显著区域，并通过对显著图像素值进行二值化处理来获取显著掩膜；
[0017]第一样本生成模块，用于将样本数据中的原始图像输入图像分类模型中，利用Nadam优化算法与卷积神经网络反向传输过程中的梯度信息，迭代生成全局扰动的对抗样本；
[0018]第二样本生成模块，用于将对抗样本与原始图像做差，得到全局对抗噪声；利用全局对抗噪声与显著掩膜的Hadamard乘积来获取显著区域内的对抗噪声，并通过结合对抗噪声与原始图像来得到最终输出的显著区域对抗样本。
[0019]本专利技术的有益效果：
[0020]本专利技术利用显著目标检测技术为每张原始图像生成显著图，并将其二值化为显著掩模，利用该掩模与对抗扰动结合，从而将显著区域内的对抗扰动保留下来，实现了对抗扰
动的局部添加；通过引入Nadam优化算法，稳定损失函数更新方向并动态调整学习率，提高损失函数收敛速度，从而在保持较高黑盒攻击成功率的同时，有效降低了对抗扰动的可察觉性。并进一步在ImageNet数据集上分别进行单模型和集成模型环境下的对抗攻击实验，对各方法生成的对抗样本图像质量进行了对比分析，验证了该方法的有效性。与基准方法相比，本案方案在集成模型攻击中的隐蔽性指标实现27.2％的性能提升，黑盒攻击成功率也最高达到了92.7％的水平，进一步验证本案方案能够生成较好质量的对抗样本数据，以利于测试和提升图像分类模型的安全性和鲁棒性，具有较好的应用前景。
附图说明：
[0021]图1为实施例中基于深度神经网络的对抗样本生成流程示意；
[0022]图2为实施例中对抗样本生成示例；
[0023]图3为实施例中优化算法关系图示意；
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于深度神经网络的对抗样本生成方法，其特征在于，包含如下内容：根据样本数据中图像语义信息，将样本数据中的原始图像转化为显著图；利用显著图圈定样本数据原始图像中用于添加扰动的显著区域，并通过对显著图像素值进行二值化处理来获取显著掩膜；将样本数据中的原始图像输入图像分类模型中，利用Nadam优化算法与卷积神经网络反向传输过程中的梯度信息，迭代生成全局扰动的对抗样本；将对抗样本与原始图像做差，得到全局对抗噪声；利用全局对抗噪声与显著掩膜的Hadamard乘积来获取显著区域内的对抗噪声，并通过结合对抗噪声与原始图像来得到最终输出的显著区域对抗样本。2.根据权利要求1所述的基于深度神经网络的对抗样本生成方法，其特征在于，将样本数据中的原始图像转化为显著图，包含如下内容：利用已训练的可变性卷积和特征注意DCFA网络模型将原始图像转化为像素值在0到255之间的灰度图，将该灰度图作为显著图，其中，DCFA网络模型通过在原始图像的低层细节和高层语义中提取不均匀的上下文特征，并通过在空间域和通道域中分配特征自适应权重来获取显著图边界。3.根据权利要求1或2所述的基于深度神经网络的对抗样本生成方法，其特征在于，对显著图像素值进行二值化处理的过程表示为：其中，s
i,j
为显著图S的第(i,j)位置像素值，φ为对应的像素阈值，m
i,j
为二值化后显著掩模M对应的第(i,j)位置的值。4.根据权利要求1所述的基于深度神经网络的对抗样本生成方法，其特征在于，迭代生成全局扰动的对抗样本中，基于卷积神经网络反向传播过程中损失函数的梯度计算，通过逐步增加图像分类过程中的损失函数值来获取分类错误标签，并将损失函数的更新过程以动量累积形式进行集成，以稳定损失函数更新方向。5.根据权利要求4所述的基于深度神经网络的对抗样本生成方法，其特征在于，损失函数的更新过程中，引入优化更新路径的Nesterov算法和优化学习率的R...

【专利技术属性】
技术研发人员：张恒巍，李哲铭，张晓宁，米岩，孙鹏宇，李晨蔚，杨博，张畅，王晋东，谭晶磊，刘小虎，张玉臣，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：