本发明专利技术公开了一种图像分类方法、终端设备及存储介质。步骤一、使用PGD算法来将用于训练分类模型的数据集构造为对抗训练数据集。二、构建需要增强鲁棒性的深度学习分类网络模型。三、构造FGAC模块,该模块包括空间与通道的重要性获取与对抗激活抑制两个部分,再将FGAC模块嵌入到构建好的深度学习分类模型网络之中,并串联多个FGAC模块来获得鲁棒性的进一步增强。步骤四、通过调整损失函数,将标准的损失函数化为模型总体训练损失函数来使FGAC模块与分类模型网络一同训练,获得增强鲁棒性的分类模型。本发明专利技术可以在对抗训练的过程中抑制影响模型精度的通道的激活,从而在对抗训练提高模型鲁棒性的同时,减少对模型精度的影响。减少对模型精度的影响。减少对模型精度的影响。
【技术实现步骤摘要】
图像分类方法、终端设备及存储介质
[0001]本专利技术涉及图像分类技术,特别是一种图像分类方法、终端设备及存储介质。
技术介绍
[0002]神经网络在完成图像识别、自动驾驶、医疗保健、金融和其他领域的复杂任务方面已经超过了人类的表现。它帮助本专利技术实施例整合和分析海量数据做出更好的决策。然而,Biggio等人在2013年为神经网络模型设计了一种简单的基于梯度的回避攻击,首次向世界揭示了深度学习模型的脆弱性。自此,对抗性样本攻击在快速发展的深度学习蒙上了阴影,随时威胁着深度学习体系安全,神经网络即“智能”又“脆弱”,迫切需要解决神经网络的安全风险,特别是在安全关键领域。
[0003]许多研究人员试图开发强大的攻击来评估模型的鲁棒性,因为鲁棒性可以反映模型的安全性。与此同时,许多防御方法很快被提出(Madry et al.2018;Dziugaite,Ghahramani,and Roy 2016;Dziugaite,Ghahra
‑
mani,and Roy 2016;Xu,Evans,and Qi 2017;Katz et al2017)等。在这些防御方法之中对抗性训练(Madry et al.2018)被认为是目前提高模型鲁棒性最有效的方法(Chen et al.2022;Croce and Hein 2020),对抗训练是一种数据增强技术,它在自然样本中加入对抗样本以增强模型的鲁棒性。
[0004]然而,对抗性训练有一个主要的缺点即模型鲁棒性的轻微提高是以牺牲模型预测精度而得来的,在对抗训练这一领域几乎所有的防御技术都致力于调和自然样本的对抗鲁棒性和精度损失之间的矛盾。比如Tsipras等人(Tsipras et al.2018)首次分离了鲁棒和非鲁棒特征。他们证明对抗性训练使模型过度依赖鲁棒特征,并降低了依赖非鲁棒特征的自然预测的准确性,又如Nakkiran认为只要模型足够大,则鲁棒性和准确性就可以兼得。
[0005]现有图像分类方法极易被攻击者误引发错误的分类结果。提高图像分类模型的稳健性是防御对抗样本攻击的有效手段。一般所使用的提高分类模型稳健性的方法之一是对分类模型进行对抗训练。但是对抗训练是以牺牲正常图像样本准确率为代价的。为了提高图像分类模型的稳健性并维持对正常样本分类的准确率,CAS和CIFS两个工作做出了一些贡献。其中,CAS的工作发现对抗性样本与自然样本在通道激活方面有两个特点:对抗样本对通道激活的幅度更大,对通道的频率激活更均匀。所以他们提出了CAS策略来抑制被对抗样本过分激活的通道以提高模型的鲁棒性。CIFS方法用CIFS策略来抑制被对抗性样本激活的负相关通道,因为他们认为对抗性数据会倾向于放大负相关的通道。因此,现有技术认为,去除由对抗样本激活的冗余通道,降低他们的同构性,可以提高模型的鲁棒性。但CAS和CIFS都以损失预测准确性为代价,对抗训练可以解决对抗样本激活的特征值比正常样本激活的特征值幅度更大的问题,而不能解决对抗样本和自然样本激活分布的偏离。
技术实现思路
[0006]本专利技术所要解决的技术问题是,针对现有技术不足,提供一种图像分类方法、终端设备及存储介质,提高图像分类稳健性的同时,保证正常样本分类的准确率。
[0007]为解决上述技术问题,本专利技术所采用的技术方案是:一种图像分类方法,包括以下步骤:
[0008]S1、获取图像数据,利用所述图像数据生成对抗样本;
[0009]S2、将生成的对抗样本作为卷积神经网络的输入,训练所述卷积神经网络,得到图像分类器;
[0010]其中,所述卷积神经网络包括输入层和输出层,所述输入层包括多个串联的卷积层,最后一个卷积层通过至少两个串联的激活压缩模块与输出层连接。
[0011]本专利技术在卷积神经网络中嵌入了激活压缩模块,利用激活压缩模块在对抗训练的过程中抑制影响模型精度的通道的激活,从而在利用对抗训练提高模型鲁棒性的同时,减少对模型精度的影响,提高了图像分类稳健性,且保证了正常样本分类的准确率。
[0012]所述激活压缩模块包括特征对输入的特征进行包括如下步骤的处理:
[0013]1)对输入所述激活压缩模块的输入特征图进行卷积操作,获得中间特征图;
[0014]2)确定输入特征图对应的真实标签的类别c,根据类别c找到其对应的中间特征图O
c
,获取计算中间特征图O
c
所使用的卷积核参数;
[0015]3)利用所述卷积核参数对所述输入特征图进行特征抑制,得到抑制后的特征图。
[0016]本专利技术中,通过建立特征值图(输入特征图)与类别标签之间的关系,获取特征值重要性程度从而执行细粒度激活抑制操作,以更细粒度的方式动态学习特征值的重要性,能极大提高模型鲁棒性,甚至在某些数据集上能够减少对抗训练防御方法对自然样本的预测精度的损害。
[0017]步骤1)中,中间特征图O的以m,n为索引的中间输出特征值O[m,n]的表示为:
[0018][0019]其中,H,W,C分别表示激活压缩模块输入特征图的高度、宽度和通道数,
[0020]m∈H,n∈W,F[i,j]是大小为I
×
J的卷积核,S[i+m,j+n]表示输入特征图S的第i+m行第j+n列的特征值。
[0021]本专利技术中,I=H,J=W,保证输入特征图被卷积成为与真实/预测类别的数量一致的特征输出。
[0022]步骤3)中,索引位置[h,w]处的抑制后的特征图的计算公式为:
[0023][0024]其中,分别为卷积神经网络训练阶段和测试阶段类别c所对应的卷积核中索引[h,w]位置的参数值,S
c
[h,w]为输入特征图对应特征索引[h,w]位置的特征值。
[0025]进一步地,本专利技术的方法还包括:
[0026]S3、利用所述图像分类器对实时获取的图像数据进行分类。
[0027]本专利技术中,所述激活压缩模块的损失函数表达式为:
[0028][0029]其中,表示激活压缩模块的总体损失函数,表示标准对抗分CE损失函数,表示激活压缩模块的损失函数,O(*)是激活压缩模块的输出,x
′
是对抗样本,y为标签,θ为加入了激活压缩模块后的卷积神经网络的参数,F指卷积核,λ是激活压缩模块的权重,Γ是激活压缩模块损失的超参数。
[0030]本专利技术中,激活压缩模块的损失函数,通过模块的中间输出建立了模块输入特征图和真实标签之间的关系,获取了输入特征图中特征值的重要性,从而能够抑制易被对抗样本激活的但对正常样本分类无效的特征的表达,最终将嵌入了激活压缩模块的神经网络模型与对抗训练结合,可以极大地提高模型的图像识别功能的稳定性。
[0031]作为一个专利技术构思,本专利技术还提供了一种终端设备,其包括:
[0032]一个或多个处理器;
[0033]存储器,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种图像分类方法,其特征在于,包括以下步骤:S1、获取图像数据,利用所述图像数据生成对抗样本;S2、将生成的对抗样本作为卷积神经网络的输入,训练所述卷积神经网络,得到图像分类器;其中,所述卷积神经网络包括输入层和输出层,所述输入层包括多个串联的卷积层,最后一个卷积层通过至少两个串联的激活压缩模块与输出层连接。2.根据权利要求1所述的图像分类方法,其特征在于,所述激活压缩模块包括特征对输入的特征进行包括如下步骤的处理:1)对输入所述激活压缩模块的输入特征图进行卷积操作,获得中间特征图;2)确定输入特征图对应的真实标签的类别c,根据类别c找到其对应的中间特征图O
c
,获取计算中间特征图O
c
所使用的卷积核参数;3)利用所述卷积核参数对所述输入特征图进行特征抑制,得到抑制后的特征图。3.根据权利要求2所述的图像分类方法,其特征在于,步骤1)中,中间特征图O的以m,n为索引的中间输出特征值O[m,n]的表示为:其中,H,W,C分别表示激活压缩模块输入特征图的高度、宽度和通道数,m∈H,n∈W,F[i,j]是大小为I
×
J的卷积核,S[i+m,j+n]表示输入特征图S的第i+m行第j+n列的特征值。4.根据权利要求3所述的图像分类方法,其特征在于,I=H,J=W。5...
【专利技术属性】
技术研发人员:胡玉鹏,梁其壮,旷文鑫,徐旸,靳文强,胡桥,廖鑫,
申请(专利权)人:湖南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。