一种对抗攻击图像生成方法技术

本申请公开了一种对抗攻击图像生成方法

【技术实现步骤摘要】
一种对抗攻击图像生成方法、装置、设备及存储介质


[0001]本申请涉及计算机
，尤其涉及一种对抗攻击图像生成方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]图像对抗攻击算法是用来攻击深度学习模型的一种技术，它在原有图像上添加轻微扰动生成对抗性样本，从而愚弄深度神经网络模型产生近乎荒谬的预测结果
。
由于对抗性样本具有可迁移性，深度神经网络的脆弱性受到广泛关注，具有高可迁移性的对抗性攻击算法成为热门研究领域
。
[0003]近年来，以卷积神经网络为代表的深度神经网络模型得到了广泛应用，尤其在图像分类任务中，随着图像数据的增多和计算机算力的增加，深度神经网络展露出显著的优势
。
然而
Szegedy
等人的研究表明，深度神经网络并不可靠，它们容易受到在原有图像上进行轻微改动而生成的对抗样本的攻击
。
这种精心设计的对抗样本可以轻易地愚弄最先进的深度神经网络，使其产生近乎荒谬的预测结果，并且，对抗样本攻击已经从理论研究发展到了真实的物理世界，这给深度模型的实际应用带来了很多不确定性
。
因此，研究对抗样本，进而研究深度神经网络的内部缺陷，提高模型的鲁棒性，解决实际应用中的安全性问题，是当前计算机视觉领域的重中之重
。
[0004]对抗性扰动的有效性来源于它所包含的不相关特征，这些不相关特征相比干净样本本身的特征对分类器的影响更加显著，如何使得对抗攻击图像能够拥有更易被分类器提取并识别的高密重复性特征是急需解决的技术问题
。

技术实现思路

[0005]本申请提供了一种对抗攻击图像生成方法
、
装置
、
设备及存储介质，使得对抗攻击图像能够拥有更易被分类器提取并识别的高密重复性特征
。
[0006]有鉴于此，本申请第一方面提供了一种对抗攻击图像生成方法，所述方法包括：
[0007]S1、
在目标数据域中构建一个生成器
G
θ
；
[0008]S2、
获取干净样本以及对抗性噪声图案；
[0009]S3、
将对抗性噪声图案作为正样本，干净样本作为负样本，以相似性对比损失值为最小为目标，对生成器
G
θ
进行训练；
[0010]S4、
获取训练后的生成器
G
θ
根据待输入图像生成的第一对抗攻击图像；
[0011]S5、
通过高斯低通滤波器提取干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征；
[0012]S6、
将干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征进行融合，得到第二对抗攻击图像
。
[0013]可选地，所述步骤
S3
具体包括：
[0014]将对抗性噪声图案作为正样本，干净样本作为负样本，以分类器特定层
L
的相似性
对比损失值为最小值为目标，对生成器进行训练，其中所述相似性对比损失值的第一计算式为：
[0015][0016]其中，
α
∈R
+
，
x
i
为干净样本，上标
i
表示干净样本来源于目标数据域，
f
iL
为在目标数据域中训练的分类器，
L
表示为特定层的特征映射，
p
代表对抗性噪声图案，为生成器
G
θ
生成的对抗样本与干净样本
x
i
在特定层
L
中的余弦相似度，为生成器
G
θ
生成的对抗样本与对抗性噪声图案
p
在特定层
L
中的余弦相似度
。
[0017]可选地，所述步骤
S3
具体包括：
[0018]将对抗性噪声图案作为正样本，干净样本作为负样本，以分类器各特征层
L
的加权相似性对比损失值为最小值为目标，对生成器进行训练，其中所述加权相似性对比损失值的第二计算式为：
[0019][0020]其中，
α
∈R
+
，
x
i
为干净样本，上标
i
表示干净样本来源于目标数据域，
f
iL
为在目标数据域中训练的分类器，
L
表示为分类器各特征层的特征映射，
p
代表对抗性噪声图案，为生成器
G
θ
生成的对抗样本与干净样本
x
i
在分类器特征层
L
中的余弦相似度，为生成器
G
θ
生成的对抗样本与对抗性噪声图案在分类器特征层
L
中的余弦相似度，
ω
L
为分类器特征层
L
中信息的权重
。
[0021]可选地，所述第一对抗攻击图像具体为：
[0022][0023]其中，干净样本
x
τ
∈X
τ
，
ε
为预设值
。
[0024]可选地，所述高斯低通滤波器具体为：
[0025][0026]其中，
σ
为高斯函数的标准差，
μ
和
v
分别为高斯函数在
x
轴和
y
轴方向上的均值，且高斯低通滤波器核的大小为
(4
σ
+1)*(4
σ
+1)。
[0027]可选地，所述第二对抗攻击图像具体为：
[0028][0029]其中，
*
表示高斯滤波中的卷积操作，
δ
是用于平衡来自不同部分的高频和低频信息，
ε
使对抗性扰动收到
l
∞
范数的约束
。
[0030]本申请第二方面提供一种对抗攻击图像生成装置，所述装置包括：
[0031]构建单元，用于在目标数据域中构建一个生成器
G
θ
；
[0032]第一获取单元，用于获取干净样本以及对抗性噪声图案；
[0033]训练单元，用于将对抗性噪声图案作为正样本，干净样本作为负样本，以相似性对比损失值为最小为目标，对生成器
G
θ
进行训练；
[0034]第二获取单元，用于获取训练后的生成器
G
θ
根据待输入图像生成的第一对抗攻击图像；
[0035]滤波单元，用于通过高斯低通滤波器提取干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征；
[0036]融合单元，用于本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种对抗攻击图像生成方法，其特征在于，包括：
S1、
在目标数据域中构建一个生成器
G
θ
；
S2、
获取干净样本以及对抗性噪声图案；
S3、
将对抗性噪声图案作为正样本，干净样本作为负样本，以相似性对比损失值为最小为目标，对生成器
G
θ
进行训练；
S4、
获取训练后的生成器
G
θ
根据待输入图像生成的第一对抗攻击图像；
S5、
通过高斯低通滤波器提取干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征；
S6、
将干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征进行融合，得到第二对抗攻击图像
。2.
根据权利要求1所述的对抗攻击图像生成方法，其特征在于，所述步骤
S3
具体包括：将对抗性噪声图案作为正样本，干净样本作为负样本，以分类器特定层
L
的相似性对比损失值为最小值为目标，对生成器进行训练，其中所述相似性对比损失值的第一计算式为：其中，
α
∈R
+
，
x
i
为干净样本，上标
i
表示干净样本来源于目标数据域，
f
iL
为在目标数据域中训练的分类器，
L
表示为特定层的特征映射，
p
代表对抗性噪声图案，为生成器
G
θ
生成的对抗样本与干净样本
x
i
在特定层
L
中的余弦相似度，为生成器
G
θ
生成的对抗样本与对抗性噪声图案
p
在特定层
L
中的余弦相似度
。3.
根据权利要求1所述的对抗攻击图像生成方法，其特征在于，所述步骤
S3
具体包括：将对抗性噪声图案作为正样本，干净样本作为负样本，以分类器各特征层
L
的加权相似性对比损失值为最小值为目标，对生成器进行训练，其中所述加权相似性对比损失值的第二计算式为：其中，
α
∈R
+
，
x
i
为干净样本，上标
i
表示干净样本来源于目标数据域，
f
iL
为在目标数据域中训练的分类器，
L
表示为分类器各特征层的特征映射，
p
代表对抗性噪声图案，为生成器
G
θ
生成的对抗样本与干净样本
x
i
在分类器特征层
L
中的余弦相似度，为生成器
G
θ
生成的对抗样本与对抗性噪声图案在分类器特征层
L
中的余弦相似度，
ω
L
为分类器特征层
L
中信息的权重
。4.
根据权利要求2或3所述的对抗攻击图像生成方法，其特征在于，所述第一对抗攻击图像具体为：其中，干...

【专利技术属性】
技术研发人员：李智，王熠，罗如为，张丽，
申请(专利权)人：贵州大学，
类型：发明
国别省市：