基于通道增强联合变换的对抗样本生成方法及终端技术

本发明专利技术公开了基于通道增强联合变换的对抗样本生成方法及终端，属于图像处理技术领域，包括：对通道分解图像进行通道变换处理和/或通道不变补丁处理，得到转换图像集合；将转换图像输入模型进行特征提取处理并输出；计算分类标签的交叉熵损失在每一张转换图像上的梯度方向，并求和；根据动量梯度法迭代地在原始图像上加入噪声，得到目标对抗样本。本发明专利技术通过通道变换处理寻找跨模型的信道冗余；通过通道不变补丁处理在通道上构造弱化补丁，实现保损转换进而实现模型增强，从而降低对抗样本对源模型的过度拟合；计算经过通道变换处理和/或通道不变补丁处理生成的图像的聚合梯度，并纳入动量策略迭代地生成具有高迁移性的对抗样本。对抗样本。对抗样本。

【技术实现步骤摘要】
基于通道增强联合变换的对抗样本生成方法及终端


[0001]本专利技术涉及图像处理
，尤其涉及一种基于通道增强联合变换的对抗样本生成方法及终端。

技术介绍

[0002]深度神经网络已广泛应用于计算机视觉任务，如图像分类、物体检测和自动驾驶。然而，深度神经网络容易受到对抗性示例的影响，通过添加小扰动形成的示例与合法示例无法区分，会导致DNN（深度神经网络）做出错误的预测。DNN的漏洞对现实世界的应用程序构成了严重威胁，为保证神经网络模型安全运行，激发了大量关于对抗攻击的研究，当前迫切需要更强的对抗攻击来发现深度神经网络的弱点并激发防御措施，即：通过对抗样本对模型进行训练进而提高模型的防护力。
[0003]根据攻击场景，对抗攻击分为白盒攻击和黑盒攻击。在白盒攻击中，目标模型是透明的，攻击者可以获得模型的参数和结构。在黑盒攻击中，除了有限数量查询外，攻击者无法直接访问模型的详细信息。由于攻击者可以充分利用白盒设置中的梯度等模型信息，因此白盒攻击可以实现高成功率和低人类感知。目前，关于白盒攻击的研究已经取得了很大的成功。然而，白盒攻击很难在现实中应用，因为目标模型通常是不可访问的。
[0004]近年来，人们对黑箱场景进行了大量的研究。黑盒攻击分为基于查询的攻击和基于传输的攻击。对于基于查询的攻击，攻击者能够查询目标模型并使用其输出(决策或分数)来优化对抗图像。请注意，基于查询的对抗性攻击是一个计算成本很高的过程，需要充分考虑计算资源消耗和时间成本；同时，攻击者还需要避开目标模型的检测，从而保持攻击的隐蔽性。相比之下，基于迁移的黑盒攻击通过在源模型上生成对抗样本成功攻击目标模型，它更加真实和灵活。基于迁移的攻击的关键是对抗样本的迁移性。现有攻击在白盒设置中表现出令人印象深刻的性能，但迁移性非常差，这些攻击在黑盒场景中的成功率仍然很低，特别是对于具有某些防御机制的模型。部分研究采用数据增强的方法实现模型增强从而提高迁移性，例如对输入图像的平移、旋转；当前的数据增强方法简单的对图像进行修改，只考虑了图像对于神经网络的基本不变性，例如平移不变性、旋转不变性等，忽略了跨模型通道冗余，这些冗余信息包含了大量迁移性对抗样本的寻找路径。还有一些研究使用高级梯度来增加对抗样本的寻找路径从而提高迁移性，例如聚合梯度、方差调整。当前高级梯度方法需要进行大量的梯度计算，计算开销大，对源模型过度拟合，迁移性提升率低。

技术实现思路

[0005]本专利技术的目的在于克服现有技术的问题，提供了一种基于通道增强联合变换的对抗样本生成方法及终端。
[0006]本专利技术的目的是通过以下技术方案来实现的：一种基于通道增强联合变换的对抗样本生成方法，方法具体包括以下步骤：对原始图像进行通道分解处理得到通道分解图像；
对通道分解图像进行通道变换处理和/或通道不变补丁处理，得到转换图像集合；通道变换处理包括：对通道分解图像进行通道擦除处理和/或通道交换处理得到通道池；对通道池进行采样处理，得到第一转换图像；通道不变补丁处理包括：选择通道分解图像和/或第一转换图像中一随机区域作为弱化区域，对弱化区域进行像素削弱处理，得到通第二转换图像；将转换图像输入模型进行特征提取处理并输出；计算分类标签的交叉熵损失在每一张转换图像上的梯度方向，将所有梯度求和得到聚合梯度方向；根据动量梯度法迭代地在原始图像上加入噪声，得到高迁移性的对抗样本。
[0007]在一示例中，所述通道擦除处理表达式为：其中，表示对通道分解图像进行通道擦除处理；R,G,B分别表示图像红、绿、蓝三个通道；表示擦除矩阵。
[0008]在一示例中，所述通道交换处理表达式为：其中，表示对通道分解图像进行交换处理；R,G,B分别表示图像红、绿、蓝三个通道。
[0009]在一示例中，所述通道池ChannelPool为：
[0010]其中，x表示通道分解图像；R,G,B分别表示图像红、绿、蓝三个通道；表示擦除矩阵。
[0011]在一示例中，所述对通道池进行采样处理表达式为：其中，表示第一转换图像；Sample表示采样处理；ChannelPool表示通道池；表示通道分解图像；R,G,B分别表示图像红、绿、蓝三个通道；表示擦除矩阵；*表示通道指数。
[0012]在一示例中，对通道池进行采样处理过程中，寻找对抗样本过程的优化目标为：其中，表示对抗样本；表示通道分解图像；m表示第一转换图像形成图像集合的大小；表示交叉熵损失；CT表示通道变换；表示输入模型的图像对应的真实标签值；s.t.表示约束条件；表示扰动的最大值。
[0013]在一示例中，所述对弱化区域进行像素削弱处理表达式为：其中，表示通道分解图像；*表示通道指数；(a,b)表示像素点的位置；表示
第二转换图像；表示削弱比率；表示弱化区域；m,n分别表示弱化区域的长度、宽度。
[0014]在一示例中，经过多次通道不变补丁处理，寻找对抗样本过程的优化目标为：其中，表示对抗样本；表示通道分解图像；n表示第二转换图像形成图像集合的大小；表示交叉熵损失；CIP表示通道不变补丁处理；表示输入模型的图像对应的真实标签值；s.t.表示约束条件；表示扰动的最大值。
[0015]在一示例中，生成高迁移性的对抗样本表达式为：其中，表示第t+1次迭代得到的高迁移性的对抗样本，t+1次迭代为设置的目标迭代次数；表示约束范围；表示扰动的最大值；表示第t次迭代得到的对抗样本；表示噪声；表示第t+1次的聚合梯度。
[0016]需要进一步说明的是，上述方法各示例对应的技术特征可以相互组合或替换构成新的技术方案。
[0017]本专利技术还包括一种存储介质，其上存储有计算机指令，所述计算机指令运行时执行上述任一示例或多个示例组成形成的所述的基于通道增强联合变换的对抗样本生成方法的步骤。
[0018]本专利技术还包括一种终端，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机指令，所述处理器运行所述计算机指令时执行上述任一示例或多个示例形成的所述的基于通道增强联合变换的对抗样本生成方法的步骤。
[0019]与现有技术相比，本专利技术有益效果是：本专利技术通过通道变换处理寻找跨模型的信道冗余，即：可转移特征；通过通道不变补丁处理在通道上构造弱化补丁，实现保损转换进而实现模型增强，从而降低对抗样本对源模型的过度拟合；计算经过通道变换处理和/或通道不变补丁处理生成的图像的聚合梯度，并纳入动量策略迭代地生成具有高迁移性的对抗样本；同时，方法计算复杂度低，无需搭建复杂的人工神经网络模型，不需要对庞大数据集进行高梯度的计算，计算开销小。
附图说明
[0020]下面结合附图对本专利技术的具体实施方式作进一步详细的说明，此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，在这些附图中使用相同的参考标号来表示相同或相似的部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。
[0021]图1为本专利技术一示例中的对抗样本生成方法流程图；图2为本专利技术一示例中通道转本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于通道增强联合变换的对抗样本生成方法，其特征在于：包括以下步骤：对原始图像进行通道分解处理得到通道分解图像；对通道分解图像进行通道变换处理和/或通道不变补丁处理，得到转换图像集合；通道变换处理包括：对通道分解图像进行通道擦除处理和/或通道交换处理得到通道池；对通道池进行采样处理，得到第一转换图像；通道不变补丁处理包括：选择通道分解图像和/或第一转换图像中一随机区域作为弱化区域，对弱化区域进行像素削弱处理，得到通第二转换图像；将转换图像输入模型进行特征提取处理并输出；计算分类标签的交叉熵损失在每一张转换图像上的梯度方向，将所有梯度求和得到聚合梯度方向；根据动量梯度法迭代地在原始图像上加入噪声，得到高迁移性的对抗样本。2.根据权利要求1所述的基于通道增强联合变换的对抗样本生成方法，其特征在于：所述通道擦除处理表达式为：;其中，表示对通道分解图像进行通道擦除处理；R,G,B分别表示图像红、绿、蓝三个通道；表示擦除矩阵。3.根据权利要求1所述的基于通道增强联合变换的对抗样本生成方法，其特征在于：所述通道交换处理表达式为：;其中，表示对通道分解图像进行交换处理；R,G,B分别表示图像红、绿、蓝三个通道。4.根据权利要求1所述的基于通道增强联合变换的对抗样本生成方法，其特征在于：所述通道池ChannelPool为：;其中，表示通道分解图像；R,G,B分别表示图像红、绿、蓝三个通道；表示擦除矩阵。5.根据权利要求1所述的基于通道增强联合变换的对抗样本生成方法，其特征在于：所述对通道池进行采样处理表达式为：;其中，表示第一转换图像；Sample表示采样处理；ChannelPool表示通道池；表示通道分解图像；R,G,B分别表示图像红、绿、蓝三个通道；表示擦除矩阵；*表...

【专利技术属性】
技术研发人员：郑德生，柯武平，李晓瑜，郑舜天，周永，万虎，钱伟中，
申请(专利权)人：西南石油大学，
类型：发明
国别省市：