局部对抗性攻击启发式防御方法和装置制造方法及图纸

技术编号:37582868 阅读:11 留言:0更新日期:2023-05-15 07:56
本发明专利技术涉及一种使用梯度优化的局部对抗性攻击启发式防御方法和装置,包括:对原图进行处理,获得梯度图;筛选所述梯度图中的噪声区域,对所述噪声区域进行抑制,形成防御补丁;对所述原图进行梯度增强,形成梯度增强图;将所述防御补丁投影到所述梯度增强图,形成防御处理图。本发明专利技术能够对高频噪音进行抑制,防止因深度神经网络被高频噪音吸引而做出错误判断,实现抑制对抗补丁。同时,还因将原图进行了梯度增强,提升了原图的轮廓纹理,方便分类器进行识别,提升图像识别的准确率。提升图像识别的准确率。提升图像识别的准确率。

【技术实现步骤摘要】
局部对抗性攻击启发式防御方法和装置


[0001]本专利技术涉及基于深度神经网络的图像防御领域,具体涉及一种局部对抗性攻击启发式防御方法和装置。

技术介绍

[0002]近年来,对于图像处理领域,随着深度神经网络的不断发展,深度学习在图像数据集上精准地建立了复杂的函数模型,并且已逐渐进入实际应用阶段,在许多领域取得了显著的成就,如在人脸识别、图像分割、自动驾驶等领域。
[0003]然而现有大量的实验研究表明,在原始输入样本中引入微小的、难以察觉的变化,会导致深度神经网络以高置信度做出错误分类。现有技术中图像攻击的手段不断进化,现阶段为了减少外部因素对攻击的干扰,通常采用通过大量修改几个少量像素来生成对抗性补丁,对抗性攻击给现有的深度学习系统带来了巨大的挑战,提高给定深度学习网络的鲁棒性已成为近年来的一个热门话题。在图像攻击防御方面,在深度学习网络中引入了启发式防御的方式,在启发式防御中,数字水印和局部梯度平滑(Local Gradients Smoothing,下文简称LGS)可以大约提升20

30%的防御精度,在LGS算法中,通过抑制高频噪声使得分类器F不会受到对抗补丁的影响,从而保证分类器F准确识别出输入图像x的真实类别y。LGS通过筛选和抑制局部高频噪声,有效地消除了对抗性补丁对分类器的干扰,已经成为局部对抗性攻击的经典防御方法。
[0004]然而,在LGS算法的实验中,所有的对抗性补丁都是随机放置在图像的边缘区域,这样补丁就不能掩盖原目标位置。由于实际应用中对抗补丁的位置是随机的,因此很有可能会遮挡住目标物体的一些重要特征,此时在面对原始输入样本时,LGS算法很容易导致原始目标的细节丢失,最终分类器很难有效地识别原始目标。

技术实现思路

[0005]本专利技术旨在至少解决现有技术中存在的面对重要特征被遮挡的原始输入样本时LGS算法原始目标识别率低的技术问题。为此,本专利技术提出一种使用梯度优化的局部对抗性攻击启发式防御方法和装置,实现在抑制对抗攻击的同时,提升深度神经网络分类的准确率。
[0006]根据本专利技术实施例的一种使用梯度优化的局部对抗性攻击启发式防御方法,其特征在于:对原图进行处理,获得梯度图;筛选所述梯度图中的噪声区域,对所述噪声区域进行抑制,形成防御补丁;对所述原图进行梯度增强,形成梯度增强图;将所述防御补丁投影到所述梯度增强图,形成防御处理图。
[0007]优选的,对原图进行处理,具体包括计算原图的一阶梯度;所述使用梯度优化的局部对抗性攻击启发式防御方法还包括:
判断一阶梯度图中对比度是否大于第一预设阈值,若是则修改梯度阶数为n,n>1,计算原图的n阶梯度。
[0008]所述对所述噪声区域进行抑制,包括:通过低通滤波器将标记噪声区域的图像进行高频噪声梯度抑制,使得噪声的频率减弱,从而进行噪声抑制获得防御补丁。
[0009]优选的,所述筛选所述梯度图中的噪声区域,对所述噪声区域进行抑制,形成防御补丁,包括:将经过低通滤波器处理后的一阶梯度图像划分为k个相同大小的重叠块,根据噪声阈值筛选出噪声区域,对噪声区域进行梯度抑制;优选的,所述梯度抑制具体为:利用噪音区域乘平滑系数得到抑制梯度后,用所述噪音区域减去所述抑制梯度。
[0010]根据所述梯度图中的噪声区域的面积属性和位置属性,计算噪声阈值调整系数,根据噪声阈值调整系数和初始噪声阈值的乘积计算噪声阈值。
[0011]优选的,根据噪声阈值筛选出噪声区域,包括:将单个重叠块每一列的行向量与梯度图点积之间的比值与噪声阈值进行对比,若比值大于噪声阈值,则记为噪声区域,若比值小于噪声阈值,则记为非噪声区域。对所述原图进行梯度增强具体为,获得原图在任意一点的梯度,将梯度乘以梯度增强系数得到增强梯度,并通过所述原图叠加所述增强梯度,实现对原图的梯度增强。
[0012]优选的,对所述原图进行梯度增强,形成梯度增强图,具体包括:将原图看作为一个二维函数f(x,y),图像中任意一点(x,y)分别向x和y方向上求导,求得灰度变化率:,其中,g
x
和g
y
分别表示了图像在点(x,y)处x和y两个方向上的梯度。
[0013]优选的,所述形成防御处理图后,还包括原图为被攻击的图像,将获得的防御处理图送入图像分类器进行分类,识别原图对应的图像中的目标对象。
[0014]本专利技术还提供一种使用梯度优化的局部对抗性攻击启发式防御装置,包括:变换模块,用于对原图进行处理,获得梯度图;抑制模块,用于筛选所述梯度图中的噪声区域,对所述噪声区域进行抑制,形成防御补丁;增强模块,用于对所述原图进行梯度增强,形成梯度增强图;防御模块,用于将所述防御补丁投影到所述梯度增强图,形成防御处理图。
[0015]本专利技术提供的一种使用梯度优化的局部对抗性攻击启发式防御方法和装置,原图中包括目标对象和噪音两方面信息,利用滤波器对噪声进行过滤,有效过滤了噪声,提高了对噪声的抑制能力;另一方面,利用梯度增强对目标对象的轮廓信息进行处理,使得原始样本的梯度细节和纹理特征被进一步突出,实现在抑制对抗补丁的同时,提升图像识别的准确率。相较于现有技术中启发式防御存在的问题,本专利技术综合利用了图像梯度的处理方法,
分别进行梯度增强和梯度抑制两种梯度处理手段,基于低通滤波器和梯度增强的保证,无论补丁位置在何处,本专利技术提供的方法都能够在抑制局部对抗噪声的同时,增强原始对象的轮廓,将局部对抗性噪声和防御算法对原图的影响降到最低。
附图说明
[0016]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本专利技术实施例提供的一种传统数字攻击示意图;图2为本专利技术实施例提供的一种对抗补丁攻击示意图;图3为本专利技术实施例提供的一种LaVAN攻击示意图;图4为本专利技术实施例提供的一种LGS高频噪声抑制实例示意图;图5为本专利技术实施例提供的一种使用梯度优化的局部对抗性攻击启发式防御方法流程示意图;图6为本专利技术实施例提供的一种引入中值滤波器前后的对比图;图7为本专利技术实施例提供的一种图像梯度增强对比图;图8为本专利技术实施例提供的一种使用梯度优化的局部对抗性攻击启发式防御算法前后对比图;图9为本专利技术实施例提供的一种各算法面对对抗补丁防御实验对比结果图;图10为本专利技术实施例提供的一种对抗补丁防御结果展示图;图11为本专利技术实施例提供的一种各算法面对LaVAN防御实验对比结果图;图12为本专利技术实施例提供的一种LaVAN防御结果展示图。
具体实施方式
[0018]此说明书实施方式的描述应与相应的附图相结合,附图应作为完整的说明书的一部分。在附图中,实施例的形状或是厚度可扩大,并以简化或是方便标示。再者,附图中各结构的部分将以分别描述进行说明,值得注意的是,图中未示出或未通过本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.一种使用梯度优化的局部对抗性攻击启发式防御方法,其特征在于:对原图进行处理,获得梯度图;筛选所述梯度图中的噪声区域,对所述噪声区域进行抑制,形成防御补丁;对所述原图进行梯度增强,形成梯度增强图;将所述防御补丁投影到所述梯度增强图,形成防御处理图。2.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法,其特征在于,对原图进行处理,具体包括计算原图的一阶梯度;所述使用梯度优化的局部对抗性攻击启发式防御方法还包括:判断一阶梯度图中对比度是否大于第一预设阈值,若是则修改梯度阶数为n,n>1,计算原图的n阶梯度。3.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法,其特征在于,所述对所述噪声区域进行抑制,包括:通过低通滤波器将标记噪声区域的图像进行高频噪声梯度抑制,使得噪声的频率减弱,从而进行噪声抑制获得防御补丁。4.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法,其特征在于,所述筛选所述梯度图中的噪声区域,对所述噪声区域进行抑制,形成防御补丁,包括:将经过低通滤波器处理后的一阶梯度图像划分为k个相同大小的重叠块,根据噪声阈值筛选出噪声区域,对噪声区域进行梯度抑制;所述梯度抑制具体为:利用噪音区域乘平滑系数得到抑制梯度后,用所述噪音区域减去所述抑制梯度。5.根据权利要求4所述的一种使用梯度优化的局部对抗性攻击启发式防御方法,其特征在于,根据所述梯度图中的噪声区域的面积属性和位置属性,计算噪声阈值调整系数,根据噪声阈值调整系数和初始噪声阈值的乘积计算噪声阈值。6.根据权利要求4所述的...

【专利技术属性】
技术研发人员:马晓轩孙博洋化凤芳张翰韬单思涵廉焜程孟宪龙丰泽宇
申请(专利权)人:北京建筑大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1