【技术实现步骤摘要】
本专利技术涉及深度学习领域,具体来说,涉及深度学习领域中的对抗学习领域,更具体地说,涉及针对对抗学习中对抗扰动造成的指标不可感知问题的鲁棒性分析,即一种生成扰动样本的方法。
技术介绍
1、深度神经网络(dnn)的发展使得传统机器学习在多种任务中均取得了巨大的成功,如图像识别、文本检测和物体跟踪。然而,近期研究表明,这些深度神经网络非常容易受到精心设计的扰动的影响,且未受保护的模型通常会遭受来自外界的恶意攻击,以至于模型的性能很容易受到隐藏在图像背后的轻微扰动的影响,使得模型的识别准确率下降并且,许多关于对抗扰动的研究发现深度神经网络在实际多媒体应用中潜在一些问题,例如关键文本检测、视频分析以及图像的超分辨率恢复等。这些问题的出现严重阻碍了面向深度神经网络模型的各种研究和信息安全相关的探索。因此,这引起了诸多研究人员的关注,他们企图寻求新的仍未被关注的扰动技术,以排除深度神经网络中存在的更多防御盲点。
2、迄今为止,研究人员已经开发出许多针对多分类学习的对抗扰动算法来保护系统,这些有效方法已经被广泛应用于实际的分类场景。在一个多标签分类系统中,常见的推理策略可以分为两类:基于阈值的方法和基于排名的方法;第一方面,在基于阈值的方法中,分类系统中的分类器将预测的标签得分与预定义的阈值进行比较,以此来确定每个标签是否与输入样本相关,虽然这种策略能够直观的得到每个标签和样本的对应关系,但是其最佳阈值很难确定。第二方面,在基于排名的方法中,返回得分最高的k个标签作为最终预测结果,并且超参数k不限制场景,能够很容易的根据场景选择。
3、然而,目前大多数关于多标签对抗扰动的研究仍然遵循多分类学习攻击原则,过分重视视觉不可感知性这一属性,却忽略了来自新场景的新问题,而且,现有大部分面向多标签学习的对抗扰动方法过分关注于扰动方法的有效性,而忽略了扰动在指标检测下的隐蔽性,导致此类对抗扰动的攻击效果不佳。
技术实现思路
1、因此,本专利技术的目的在于克服上述现有技术的缺陷,提供一种生成扰动样本的方法。
2、根据本专利技术的第一个方面,提供了一种生成扰动样本的方法,所述方法包括:获取原始图像样本和指示所述原始图像样本中含有对象的类别的标签,并在所述原始图像样本中添加初始噪声,以获取与原始图像样本相关的初始扰动图像样本;将所述初始扰动图像样本输入图像分类模型,利用所述模型的特征提取器提取所述初始扰动图像样本的图像特征,利用分类器根据所述图像特征输出对应初始扰动图像样本在各个类别下的预测得分,并根据预测得分对各个类别进行排序,得到排序结果;若所述排序结果满足预设排序目标,则确定所述初始扰动图像样本为最优扰动图像样本,所述初始噪声为最优噪声;若所述排序结果不满足预设排序目标,则基于所述标签和所述预测得分利用预设的目标优化函数对所述初始噪声进行优化更新,并生成下一轮待识别的扰动图像样本,直至排序结果满足预设排序目标,确定生成此次排序结果的待识别的扰动图像样本为最优的扰动图像样本,生成所述待识别的扰动图像样本中的噪声为最优噪声。
3、在本专利技术的一些实施例中,所述预设排序目标为:在排序结果中,按照预设得分由高到低的顺序,期望指定相关类别的排序在预设名次之后;以及在排序结果中,按照预设得分由高到低的顺序,期望非指定相关类别的排序在预设名次之前;其中,所述指定相关类别是需要攻击的相关类别,所述非指定相关类别是不需要攻击的相关类别,所述相关类别是指标签中指示的所述原始图像样本中含有的对象的类别。
4、在本专利技术的一些实施例中,优化时,将预设的目标优化函数计算出的目标值配置为:与所有的第一计算值之和正相关,其中,每个第一计算值为一个相关类别对应的预测得分减去所有非指定相关类别的预测得分的最小值的差值,与所有的第二计算值之和正相关,每个第二计算值为所有指定相关类别的预测得分的最大值减去一个相关类别的预测得分的差值;或者,优化时,将预设的目标优化函数计算出的目标值配置为:与所有的第三计算值之和正相关,其中,每个第三计算值为一个相关类别的预测得分减去所有非指定相关类别的预测得分的最小值以及减去用于辅助更新噪声的第一可学习参数的差值,与所有的第四计算值之和正相关,每个第四计算值为所有指定相关类别的预测得分的最大值减去一个相关类别的预测得分以及减去用于辅助更新噪声的第二可学习参数的差值。
5、在本专利技术的一些实施例中,所述预设的目标优化函数为:
6、
7、其中,表示的是指定相关类别的集合,yp表示所有相关类别的集合,表示的是非指定相关类别的集合,∈表示的是噪声,α是预设超参数,c表示的是标签的类别总数,k表示的是预设排序名次阈值对应的位置,s表示指定相关类别,y表示非指定相关类别,fy(x+∈)表示的是所有非指定相关类别的预测得分,fs(x+∈)表示的是所有指定相关类别的预测得分,fi(x+∈)表示的是第i个相关类别的预测得分,λ1表示用于辅助更新噪声的第一可学习参数,λ2表示用于辅助更新噪声的第二可学习参数。
8、在本专利技术的一些实施例中,以初始噪声为基础,利用预设的目标优化函数对所述初始噪声进行优化更新,最后一轮更新完成得到最优噪声,其中,每轮优化更新包括:基于所述标签和所述预测得分利用预设的目标优化函数计算目标值,并根据目标值求当前的噪声梯度、第一可学习参数梯度以及第二可学习参数梯度;基于当前的噪声梯度、第一可学习参数梯度、第二可学习参数梯度以及预设的学习率对当前的噪声、第一可学习参数以及第二可学习参数进行更新,得到用于下一轮更新的当前的噪声。
9、在本专利技术的一些实施例中,所述生成下一轮待识别的扰动图像样本的方式如下:
10、
11、其中,xl表示的是在第l轮优化更新中的扰动图像样本,∈l表示的是在第l轮优化更新中的噪声,η表示的是预设的学习率,表示的是第l轮优化更新中基于所述预设的目标优化函数求的噪声梯度。
12、根据本专利技术的第二个方面,提供了一种图像分类的方法,所述方法包括:获取待分类的图像;将所述待分类的图像输入经训练的图像分类模型中,输出图像分类结果;其中,所述经训练的图像分类模型按照以下方式训练得到:获取图像分类的训练集,其包括多个原始图像样本和指示所述原始图像样本中含有对象的类别的标签,以及包括每个原始图像样本对应的最优的扰动图像样本和指示所述扰动图像样本中含有对象的类别的标签;利用所述图像分类的训练集训练图像分类模型,得到经训练的图像分类模型。
13、根据本专利技术的第三个方面,提供了一种识别扰动样本的方法,所述方法包括:获取待识别样本;将所述待识别样本输入经训练的扰动样本识别模型中,输出识别结果,所述识别结果指示所述待识别样本为扰动样本或非扰动样本;其中,所述经训练的扰动样本识别模型按照以下方式训练得到:获取识别扰动样本的训练集,其包括多个样本和每个样本对应的本文档来自技高网...
【技术保护点】
1.一种生成扰动样本的方法,其特征在于,所述方法包括:
2.根据权利要求1中所述的方法,其特征在于,所述预设排序目标为:
3.根据权利要求1中所述的方法,其特征在于,
4.根据权利要求3中所述的方法,其特征在于,所述预设的目标优化函数为:
5.根据权利要求4中所述的方法,其特征在于,以初始噪声为基础,利用预设的目标优化函数对所述初始噪声进行优化更新,最后一轮更新完成得到最优噪声,其中,每轮优化更新包括:
6.根据权利要求5中所述的方法,其特征在于,所述生成下一轮待识别的扰动图像样本的方式如下:
7.一种图像分类的方法,其特征在于,所述方法包括:
8.一种识别扰动样本的方法,其特征在于,所述方法包括:
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序可被处理器执行以实现权利要求1至8任一所述方法的步骤。
10.一种电子设备,其特征在于,包括:
【技术特征摘要】
1.一种生成扰动样本的方法,其特征在于,所述方法包括:
2.根据权利要求1中所述的方法,其特征在于,所述预设排序目标为:
3.根据权利要求1中所述的方法,其特征在于,
4.根据权利要求3中所述的方法,其特征在于,所述预设的目标优化函数为:
5.根据权利要求4中所述的方法,其特征在于,以初始噪声为基础,利用预设的目标优化函数对所述初始噪声进行优化更新,最后一轮更新完成得到最优噪声,其中,每轮优化...
【专利技术属性】
技术研发人员:许倩倩,孙宇辰,王子泰,黄庆明,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。