【技术实现步骤摘要】
本申请涉及图像处理,具体涉及一种防御去噪网络的训练方法、防御去噪方法及系统。
技术介绍
1、人工智能技术已经广泛应用于计算机视觉、自然语言处理和自动驾驶等领域,但是人工智能算法很容易受到攻击,这限制了人工智能技术在关键安全领域的应用,这也是防御算法受到较多关注的原因,提高人工智能系统对抗攻击的鲁棒性在人工智能的发展中发挥着重要作用。目前主流的提高算法鲁棒性的防御方法可以分为修改训练过程和数据、修改算法模型、使用辅助附加网络等,其中修改训练过程和数据包括蛮力对抗训练、数据压缩、基于中央凹机制的防御以及数据随机化方法,修改算法模型包括深度压缩网络、梯度正则化、defensive distillation、生物启发的防御方法、parseval网络和deepcloak。使用辅助附加网络包括防御通用扰动、基于gan的防御、feature squeezing、magnet和混杂方法。由于对抗样本在原始图像添加特定的扰动,因此去噪的直接思路就是对图像进行去噪。降噪模型确实可以在一定程度上减少噪声,但是都不能去除所有的对抗扰动,又由于误差放大效应的存在,使得目标模型仍然会识别出错。
2、目前也存在较多去噪方法,其中一种方法将处理过程分为两个阶段:离线阶段和在线防御阶段。在离线阶段,首先使用无扰动的自然图像来训练一个超完备字典,这个字典充当了一种图像特征的学习工具,可以捕捉图像的多种变化和模式。在在线防御阶段,对输入的图像进行预处理,这个预处理步骤利用了非负矩阵分解方法,将扰动图像分解成低秩表示,这种方法有助于提取扰动图像中的基本成分
3、上述方法在需要去噪的图片与干净的原始图片之间进行像素级别的约束,希望去噪图片的每个像素都趋近原始图片。这样的方法有一定的效果,但由于对抗噪声在神经网络上有放大效应,较小的噪声随着网络层数的加深也会对结果产生较大的影响,因此像素级别的去噪方法并不能有效抵抗对抗样本。并且目前的去噪方法会影响对于未受到攻击的样本,降低样本的质量,导致目标模型识别精度下降。
技术实现思路
1、本申请提供的防御去噪网络的训练方法、防御去噪方法及系统,不仅可以有效提升防御的成功率,还能够极大的保证图像去噪之后的质量。
2、第一方面,本申请提供一种防御去噪网络的训练方法,包括:获取原始图像、所述原始图像的原始标签、对抗样本经去噪还原后的还原样本以及所述还原样本的预测标签;以最小化所述原始标签与所述预测标签间的第一距离以及所述原始图像和所述还原样本在特征空间中的第二距离为优化目标,迭代训练所述防御去噪网络直至达到预设条件,其中,所述训练所述防御去噪网络包括:分别基于所述原始标签和所述预测标签获得分类损失,基于所述原始图像和所述还原样本获得还原损失,其中所述分类损失用于衡量所述第一距离,所述还原损失用于衡量所述第二距离;基于所述分类损失和所述还原损失获得综合损失;以及采用所述综合损失训练所述防御去噪网络。
3、在本申请的一些实施例中,获取所述对抗样本的方法包括:构建和被攻击数据集分布接近的训练数据集;对所述训练数据集中的类别进行统计得到概率分布结果;基于所述概率分布结果,得到与预设类别在较小概率下共同出现的目标类别,且所述目标类别所在的图像即为所述对抗样本。
4、在本申请的一些实施例中,所述防御去噪网络包括生成模型和替代模型;所述训练所述防御去噪网络的方法还包括:将所述对抗样本输入所述生成模型,通过所述生成模型对所述对抗样本进行去噪还原处理,生成所述还原样本;将所述还原样本输入所述替代模型,通过所述替代模型输出所述还原样本的预测标签。
5、在本申请的一些实施例中,所述生成模型对所述对抗样本进行去噪还原处理的方法包括:处理所述对抗样本得到噪声;对所述噪声进行高斯平滑处理,得到噪声扰动;在所述对抗样本的基础上减去所述噪声扰动,得到所述还原样本。
6、在本申请的一些实施例中,所述分类损失为类别损失和位置损失之和;所述还原损失为所述原始图像和所述还原样本的l2损失;所述类别损失、所述位置损失、所述还原损失及所述综合损失通过所述替代模型计算得到,所述综合损失为所述类别损失、所述位置损失和所述还原损失之和。
7、在本申请的一些实施例中,所述分类损失为类别损失和位置损失之和;所述还原损失为所述原始图像和所述还原样本的l2损失;所述类别损失、所述位置损失、所述还原损失及所述综合损失均通过所述替代模型计算得到,且所述替代模型包括第一替代模型第二替代模型和第三替代模型其中所述综合损失的计算方法包括:
8、分别通过及对应计算所述类别损失、所述位置损失和所述还原损失之和,并对应得到第一综合损失第二综合损失和第三综合损失
9、对所述第一综合损失所述第二综合损失所述第三综合损失进行加权融合,得到所述综合损失:
10、
11、其中,为所述综合损失;α1为第一分配系数且大于0;α2为第二分配系数且大于0;α3为第三分配系数且大于0;α1+α2+α3=1。
12、在本申请的一些实施例中,所述训练所述防御去噪网络的方法还包括:将所述综合损失通过反向传播的方式优化所述生成模型的参数。
13、在本申请的一些实施例中,通过如下训练条件得到所述生成模型的参数:
14、
15、
16、
17、
18、其中,为分类损失的计算期望值;为类别损失;为所述还原样本的预测标签;为对抗样本;为通过所述生成模型处理得到的噪声;为所述原始图像的原始标签;
19、为位置损失;为所述还原样本的预测位置;为所述原始图像的原始位置;为所述还原损失;为所述原始图像;ε为扰动系数的边界值。
20、在本申请的一些实施例中,还将所述原始图像输入所述生成模型进行去噪还原处理,以使所述防御去噪网络能够识别非对抗样本。
21、第二方面,本申请还提供一种防御去噪方法,包括:获取待测试图像并预测所述待测试图像的类别;通过所述类别之间的共现概率统计,判断所述待测试图像是否为对抗样本;将所述对抗样本输入防御去噪网络进行去噪还原处理,并输出还原样本,其中所述防御去噪网络采用上述任一项所述的训练方法训练得到。
22、第三方面,本申请还提供一种防御去噪系统,包括本文档来自技高网...
【技术保护点】
1.一种防御去噪网络的训练方法,其特征在于,包括:
2.根据权利要求1所述的防御去噪网络的训练方法,其特征在于,获取所述对抗样本的方法包括:
3.根据权利要求1所述的防御去噪网络的训练方法,其特征在于,所述防御去噪网络包括生成模型和替代模型;所述训练所述防御去噪网络的方法还包括:
4.根据权利要求3所述的防御去噪网络的训练方法,其特征在于,所述生成模型对所述对抗样本进行去噪还原处理的方法包括:
5.根据权利要求4所述的防御去噪网络的训练方法,其特征在于,所述分类损失为类别损失和位置损失之和;所述还原损失为所述原始图像和所述还原样本的L2损失;所述类别损失、所述位置损失、所述还原损失及所述综合损失通过所述替代模型计算得到,所述综合损失为所述类别损失、所述位置损失和所述还原损失之和。
6.根据权利要求4所述的防御去噪网络的训练方法,其特征在于,所述分类损失为类别损失和位置损失之和;所述还原损失为所述原始图像和所述还原样本的L2损失;所述类别损失、所述位置损失、所述还原损失及所述综合损失均通过所述替代模型计算得到,且所述替代模
7.根据权利要求5或6所述的防御去噪网络的训练方法,其特征在于,所述训练所述防御去噪网络的方法还包括:将所述综合损失通过反向传播的方式优化所述生成模型的参数。
8.根据权利要求7所述的防御去噪网络的训练方法,其特征在于,通过如下训练条件得到所述生成模型的参数:
9.根据权利要求3所述的防御去噪网络的训练方法,其特征在于,还将所述原始图像输入所述生成模型进行去噪还原处理,以使所述防御去噪网络能够识别非对抗样本。
10.一种防御去噪方法,其特征在于,包括:
11.一种防御去噪系统,其特征在于,包括:
...【技术特征摘要】
1.一种防御去噪网络的训练方法,其特征在于,包括:
2.根据权利要求1所述的防御去噪网络的训练方法,其特征在于,获取所述对抗样本的方法包括:
3.根据权利要求1所述的防御去噪网络的训练方法,其特征在于,所述防御去噪网络包括生成模型和替代模型;所述训练所述防御去噪网络的方法还包括:
4.根据权利要求3所述的防御去噪网络的训练方法,其特征在于,所述生成模型对所述对抗样本进行去噪还原处理的方法包括:
5.根据权利要求4所述的防御去噪网络的训练方法,其特征在于,所述分类损失为类别损失和位置损失之和;所述还原损失为所述原始图像和所述还原样本的l2损失;所述类别损失、所述位置损失、所述还原损失及所述综合损失通过所述替代模型计算得到,所述综合损失为所述类别损失、所述位置损失和所述还原损失之和。
6.根据权利要求4所述的防御去噪网络的训练方法,其特征在于,所述分...
【专利技术属性】
技术研发人员:丁文博,钟佳琛,赵九花,
申请(专利权)人:赛可智能科技上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。