【技术实现步骤摘要】
本专利技术属于机器学习和深度学习安全,具体地,涉及一种基于感知色距和扰动重要性的稀疏对抗样本生成方法。
技术介绍
1、深度神经网络在处理大量图像、文本和语音数据中取得了巨大的成功。但是深度学习模型有一定的脆弱性,容易受到对抗样本的影响,对抗样本是指在原始数据集上添加人眼不可察觉的扰动却可以使深度神经网络进行误判的一类特殊样本。一方面,对抗样本通过攻击或者误导实际的深度学习应用程序,如自动驾驶和人脸识别系统,导致经济损失或者更加严重的人员伤亡;另一方面,对抗样本对于深度学习模型是有价值和利益的,因为通过对抗样本的研究能够深入了解深度学习模型的优势、弱点和盲点。
2、传统的对抗样本生成方法主要有三种:第一种是基于梯度的生成方法,该类方法主要是通过在梯度方向添加扰动,如fgsm和pgd;第二种是基于优化的生成方法,构建目标函数,并以对抗样本的预测值和真实值之间的损失函数作为约束,在不断迭代的过程中将网络参数进行固定,如c&w和jsma;第三种是基于生成网络的生成方法,通过构建生成器模型,实现端到端的对抗样本生成方法,如advgan和gap。
3、这三种对抗样本生成方法大部分都是通过生成全局的扰动并添加在原始图像上来制造对抗样本,但是研究表明,即使不进行全局的扰动,仅对图像像素进行局部的扰动,也可以达到全局扰动的误分类效果,这也就在一定程度上说明了扰动中存在冗余像素,将该部分扰动删除不会影响对抗样本的误分类效果。
4、并且在目前的对抗样本生成方法中为了保证添加扰动后图像篡改痕迹的不可见性,通常
技术实现思路
1、专利技术目的:为了解决利用范数距离生成对抗样本不可感知性差的问题,本专利技术提供了一种基于感知色距和扰动重要性的稀疏对抗样本生成方法,可以在多种图像数据集上应用,并且在保证误分类效果的同时,可以提高生成对抗样本的扰动稀疏性和真实性。
2、技术方案:本专利技术是基于感知色距和扰动重要性的稀疏对抗样本生成方法,具体包括如下步骤:
3、步骤a:根据图像特征自适应的调节分类损失和感知颜色损失来生成初始对抗扰动;
4、步骤b:针对步骤a中生成的初始对抗扰动,将每个扰动点针对损失函数的变化量作为该扰动的重要性,并对低重要性的扰动进行删除,得到稀疏扰动的对抗样本。
5、作为优选,所述方法步骤a中,生成初始对抗扰动的方法如下:
6、步骤a1:构建生成初始对抗扰动的损失函数:
7、minimize j(x,x')=||δe00(x,x')||+λf(x')
8、其中x和x'分别表示原始样本和对抗样本,δe00表示颜色感知距离,f表示攻击的目标模型,λ是调节因子;
9、对抗样本需要保证真实性,即不可感知性,要求生成的对抗样本不容易被人眼察觉,而感知颜色空间中描述的色彩更符合人眼的感知,因此,在构建损失函数时利用感知颜色空间中的距离来控制对抗样本的不可感知性,使用的由国家照明委员会在2000年开发的最新标准公式δe00公式:
10、
11、
12、其中δl′,δc′,δh′分别表示图像x和x'在cielch空间中的明度、色度和色相三个通道的像素值之间的距离,δr是色差和色相差异之间的交互项,加权函数sl,sc,sh和rt是固定值;
13、用于调节模型分类效果的损失函数f(x)使用如下公式:
14、f(x)=max(z(x)y-max{z(x)i:i≠y},-h)
15、其中x和y分别为图像和对应的真实标签,z(x)i为目标模型对于输入图像x关于标签i的预测概率,h为置信度参数,默认为0,保证对抗样本能够越过分类模型的决策边界;
16、步骤a2:获得第k次迭代的对抗样本xk'的方法如下:
17、步骤a21:将前k-1次迭代生成的对抗样本xk-1'输入目标模型,如果xk-1'不能使目标模型误分类,则增加分类损失权重,减少感知色距损失,令λk=λk-1(1+θk);如果xk-1'能够使目标模型进行误分类,则则减小分类损失权重,放大感知色距损失,令λk=λk-1(1-θk),其中θ是变化率;
18、步骤a22:计算损失函数j(x,x')关于输入图像x的梯度值g,第k次迭代获得的扰动其中α是扰动更新的步长;
19、步骤a23:第k次迭代生成的对抗样本xk'=clip(x'+δk,0,1),迭代次数加1,并跳转至步骤a21,继续更新对抗扰动;
20、步骤a3:重复迭代步骤a21-a23,直到当前迭代次数大于最大迭代次数,则迭代结束,输出迭代过程中的产生的初始对抗样本x',初始对抗扰动δ=x'-x。
21、作为优选,所述方法步骤b中,计算图像像素扰动重要性的方法如下:
22、步骤b1:初始对抗扰动δ由n个像素点的扰动δi组成,i=1,2,3,...,n,从x'中去除扰动δi,得到去除δi之后的对抗样本x*',计算损失函数j(x,x*'),去除δi之后的x*'与原始的对抗样本x'的损失函数差值作为扰动δi的重要性,记为ωi,即ωi=j(x,x*')-j(x,x');
23、步骤b2:对ωi进行升序排序,提前设置好阈值c,作为每次删除冗余扰动的比例,根据排序好的扰动重要性,删除前面比例为c的重要性低的扰动,如果去除比例为c的低重要性扰动之后,对抗样本可以使目标模型进行错误分类,对其进行删除,跳转至步骤b1,重新计算剩余扰动的重要性;如果去除比例为c的低重要性扰动之后,对抗样本无法使目标模型进行错误分类,则撤销对当前扰动的删除,迭代结束;或者当前迭代次数大于最大迭代次数,迭代结束,输出稀疏扰动的对抗样本。
24、有益效果:本专利技术提供了一种基于感知色距和扰动重要性的稀疏对抗样本生成方法。该方法在生成初始扰动时增加了颜色感知距离作为损失函数来控制对抗样本与原样本之间的感知差距,这一标准比最常使用的范数距离更符合人类肉眼对颜色的感知,从而降低了原始图像样本与对抗样本之间的视觉差距,并且利用了自适应参数调节算法加快了训练的收敛速度。最后通过计算扰动的重要性,删除全局扰动中的冗余扰动,生成稀疏的对抗样本。因为本专利技术采用上述技术方案,因此在图像分类领域中的白盒攻击场景下,cifar-10数据集上的非目标攻击能够达到与其他基于lp范数生成对抗样本的方法同等的攻击强度,并且本专利技术生成的扰动具有稀疏性,能够达到更优的不可感知性。
本文档来自技高网...【技术保护点】
1.一种基于感知色距和扰动重要性的稀疏对抗样本生成方法,其特征包括以下步骤:
2.根据权利要求1所述的一种基于感知色距和扰动重要性的稀疏对抗样本生成方法,其特征在于,所述方法步骤A中,生成初始对抗扰动的方法如下:
3.根据权利要求1所述的一种基于感知色距和扰动重要性的稀疏对抗样本生成方法,其特征在于,所述方法步骤B中,计算图像像素扰动重要性的方法如下:
【技术特征摘要】
1.一种基于感知色距和扰动重要性的稀疏对抗样本生成方法,其特征包括以下步骤:
2.根据权利要求1所述的一种基于感知色距和扰动重要性的稀疏对抗样本生成方法,其特征在于,所述方法步骤...
【专利技术属性】
技术研发人员:孙家泽,龙思媛,马鲜艳,王小银,
申请(专利权)人:西安邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。