【技术实现步骤摘要】
本专利技术属于合成孔径雷达自动目标识别安全,更具体地,涉及一种sar图像的对抗样本生成方法及应用。
技术介绍
1、由于合成孔径雷达(sar)可以在各种气候条件下,发射微波并捕获高分辨率的雷达图像,因此目前已经广泛应用于民用和军事领域。近年来,随着人工智能及机器学习的发展,深度模型在sar目标识别任务中得到了广泛的应用。然而,szegedy等人于2014年已经证明,深度学习模型很容易受到在干净样本中加入的精心设计的微小对抗扰动的影响。因此,对于使用深度学习模型进行sar图像自动目标识别任务,其安全性和鲁棒性研究将成为一项具有挑战性的任务。
2、对抗攻击是一种常用于进行深度学习模型安全性和鲁棒性研究的方法。对于对抗攻击而言,一般可以分为白盒攻击和黑盒攻击两类,白盒攻击是指攻击者拥有关于目标深度学习模型的详细内部信息,包括模型的架构、参数和训练数据等,而黑盒攻击不能够知道这些具体信息,仅能够通过试验来探索模型的行为并尝试构造欺骗性的输入,以使模型产生错误的预测。由于sar自动目标识别任务无论在军用还是民用方面,都自带较高的保密属性,使得攻击者难以获取所使用的深度模型信息。因此,在现实场景中,黑盒攻击往往更加适用sar自动目标识别任务。
3、在黑盒攻击中,所生成的对抗样本的质量决定了攻击的成功率,进而影响了安全性检测的准确性。除此之外,对抗样本还能用于对深度学习模型进行加固,比如在训练模型的过程中,如果在数据集中加入扰动过的样本可以构建鲁棒性更好的模型,能有效防御对抗样本的攻击。
4、一种常用的黑盒攻
5、然而在上述的各对抗攻击方法中,由于所使用的集成梯度对每个模型的输出都赋予相同的权重,而没有考虑模型结构差异导致的梯度差异,因此在sar数据上生成对抗样本时,迭代初始和最终的梯度方向存在较大差异,无法在现实黑盒场景下生成质量较高的对抗样本。
技术实现思路
1、针对现有技术的以上缺陷或改进需求,本专利技术提供了一种sar图像的对抗样本生成方法及应用,用以解决现有技术无法在现实黑盒场景下生成质量较高的对抗样本的技术问题。
2、为了实现上述目的,第一方面,本专利技术提供了一种sar图像的对抗样本生成方法,包括:
3、s1、令t=0;对于预先采集的任一携带目标识别标签y的sar图像样本x,将对应的外循环对抗样本初始化为x;初始化外循环集成梯度
4、s2、分别计算集成模型中各模型对的梯度,并计算所得各梯度的平均值
5、s3、令m=0;将内循环对抗样本初始化为初始化内循环集成梯度
6、s4、从集成模型中随机选择多个模型;分别计算各所选模型对的梯度,并计算平均值,得到内循环平均梯度分别计算各所选模型对的梯度,并计算平均值,得到外循环平均梯度以的归一化结果作为更新方向更新内循环集成梯度,得到进而更新内循环对抗样本,得到
7、s5、判断m是否小于m,若是,则令m=m+1,并转至步骤s4;否则,转至步骤s6;m为正整数;
8、s6、以的归一化结果作为更新方向更新外循环集成梯度,得到进而更新外循环对抗样本,得到
9、s7、判断t是否小于t,若是,则令t=t+1,并转至步骤s2;否则,将最后一次所得的外循环对抗样本作为x所对应的对抗样本;t为正整数。
10、进一步优选地,在步骤s4中,其中,μ为衰减因子;||·||1表示一范数。
11、进一步优选地,在步骤s4中,其中,α为预设步长;sign(·)表示符号函数;clip{·}为裁剪函数。
12、进一步优选地,在步骤s6中,其中,μ为衰减因子;||·||1表示一范数。
13、进一步优选地,在步骤s6中,其中,α为预设步长;sign(·)表示符号函数;clip{·}为裁剪函数。
14、进一步优选地,在步骤s2中,其中,k为集成模型中的模型总数;为sar图像自动识别任务的损失函数,表示将输入到集成模型中的第k个模型后进行sar图像自动目标识别所得的目标识别结果与目标识别标签y之间的差异。
15、进一步优选地,在步骤s4中,其中,n为所选模型的总数;表示将输入到所选模型中的第n个模型后进行sar图像自动目标识别所得的目标识别结果与目标识别标签y之间的差异;表示将输入到所选模型中的第n个模型后进行sar图像自动目标识别所得的目标识别结果与目标识别标签y之间的差异。
16、第二方面,本专利技术提供了一种sar图像自动目标识别模型的安全性评估方法,包括:
17、为预先采集的sar样本数据集中的每一个sar图像样本,采用本专利技术第一方面所提供的对抗样本生成方法,生成对应的对抗样本;将各对抗样本分别输入至待评估的sar自动目标识别模型中,得到对应的目标识别结果;
18、通过比较各对抗样本的识别结果与对应真实结果的差异,来统计识别结果的正确率;识别结果的正确率越高表示sar自动目标识别模型的安全性越好。
19、第三方面,本专利技术提供了一种sar自动目标识别模型的安全性评估方法系统,包括:存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时执行本专利技术第二方面所提供的安全性评估方法。
20、第四方面,本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序被处理器运行时控制所述存储介质所在设备执行本专利技术第一方面所提供的sar图像的对抗样本生成方法和/或本专利技术第二方面所提供的安全性评估方法。
21、总体而言,通过本专利技术所构思的以上技术方案,能够取得以下有益效果:
22、1、本专利技术提供了一种sar图像的对抗样本生成方法,在使用整体集成梯度平均值的基础上,通过多次随机选择集成模型中的部分模型,并计算它们对内外循环中生成临时对抗样本梯度的差异,从而修正外循环集成梯度,使其更新方向更加准确,能够在现实黑盒场景下生成质量较高的对抗样本。
23、2、进一步地,本专利技术所提供的对抗样本生成方法,通过将衰减因子加入梯度迭代过程,可以稳定梯度更新的方向,同时在考虑初始和最终扰动方向的差异后,充分利用未来的梯度信息,指导当前梯度迭代过程,进一步提高了现实黑盒场景下所生成的对抗样本的质量。
24、3、进一步地,本专利技术所提供的对抗样本生成方法,能够在黑盒攻击中提高攻击的成功率,进而影响了安全性检测的准确性;除此之外,还能用于对深度学习模型进行加固,比如在训练模型的过程中,如果在数据集中加入所生成的对抗样本可以进一步构本文档来自技高网...
【技术保护点】
1.一种SAR图像的对抗样本生成方法,其特征在于,包括:
2.根据权利要求1所述的对抗样本生成方法,其特征在于,在步骤S4中,其中,μ为衰减因子;||·||1表示一范数。
3.根据权利要求2所述的对抗样本生成方法,其特征在于,在步骤S4中,其中,α为预设步长;sign(·)表示符号函数;Clip{·}为裁剪函数。
4.根据权利要求1-3任意一项所述的对抗样本生成方法,其特征在于,在步骤S2中,其中,K为集成模型中的模型总数;为SAR图像自动识别任务的损失函数,表示将输入到集成模型中的第k个模型后进行SAR图像自动目标识别所得的目标识别结果与目标识别标签y之间的差异。
5.根据权利要求1-3任意一项所述的对抗样本生成方法,其特征在于,在步骤S4中,其中,N为所选模型的总数;表示将输入到所选模型中的第n个模型后进行SAR图像自动目标识别所得的目标识别结果与目标识别标签y之间的差异;表示将输入到所选模型中的第n个模型后进行SAR图像自动目标识别所得的目标识别结果与目标识别标签y之间的差异。
6.一种SAR图像自动目标识别模型的
7.一种SAR自动目标识别模型的安全性评估方法系统,其特征在于,包括:存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时执行权利要求6所述的安全性评估方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序被处理器运行时控制所述存储介质所在设备执行权利要求1-5任意一项所述的SAR图像的对抗样本生成方法和/或权利要求6所述的安全性评估方法。
...【技术特征摘要】
1.一种sar图像的对抗样本生成方法,其特征在于,包括:
2.根据权利要求1所述的对抗样本生成方法,其特征在于,在步骤s4中,其中,μ为衰减因子;||·||1表示一范数。
3.根据权利要求2所述的对抗样本生成方法,其特征在于,在步骤s4中,其中,α为预设步长;sign(·)表示符号函数;clip{·}为裁剪函数。
4.根据权利要求1-3任意一项所述的对抗样本生成方法,其特征在于,在步骤s2中,其中,k为集成模型中的模型总数;为sar图像自动识别任务的损失函数,表示将输入到集成模型中的第k个模型后进行sar图像自动目标识别所得的目标识别结果与目标识别标签y之间的差异。
5.根据权利要求1-3任意一项所述的对抗样本生成方法,其特征在于,在步骤s4中,其中,n为所选模型的总数;表示将输入到...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。