本发明专利技术涉及基于语义扰动的自然对抗补丁泛化检测方法,同时涉及基于语义扰动的自然对抗补丁泛化检测方法装置及系统,属于深度学习技术领域。所述方法包括:将待测测试集中的图片进行模糊处理;通过对抗补丁定位模型对处理后的测试集中自然对抗补丁进行定位检测。本发明专利技术能够提高对自然对抗补丁泛化检测能力。
【技术实现步骤摘要】
本专利技术涉及基于语义扰动的自然对抗补丁泛化检测方法,同时涉及基于语义扰动的自然对抗补丁泛化检测方法装置及系统,属于深度学习。
技术介绍
1、随着人工智能技术的飞速发展,计算机视觉、自然语言处理等多个应用领域都取得了重大突破,现已广泛应用于现实场景中。在计算机视觉领域,人脸识别、目标检测、图像分类等具体技术在公共安全、国防安全中贡献了巨大的力量。例如,人脸识别技术已在教学楼、火车站、飞机场等场所中得到广泛应用,代替了传统人工核验,大大解放了生产力;在自动驾驶、视频监控、航空航天等场景中,大量的人类决策也被目标检测技术所代替。人工智能技术现已涵盖数学、医学、物理学、计算机科学等多个学科,产业智能化、人机交互智能化、基础设施智能化成为了现代社会发展的重要方向。然而,人工智能技术是一把“双刃剑”,在给我们的生活带来便利的同时,还存在着框架安全、模型安全、数据安全、算法安全等诸多安全问题正在成为网络空间安全的新挑战。
2、目前,计算机视觉技术大多建立在以深度学习为基础的人工智能技术上。然而,深度学习模型脆弱的鲁棒性为计算机视觉在应用中埋下了不可估量的安全隐患。2013年,首次提出对抗样本(adversarial examples)的概念,开创了计算机视觉模型研究的新方向。对抗样本是指,通过人为精心设计向样本中添加细微的干扰,导致模型以高置信度给出一个错误的输出。例如,一张大熊猫的图片加上被精心设计的噪声扰动后,被模型错误识别为长臂猿。这种安全威胁将严重影响计算机视觉技术的应用,有可能在公共安全、国家安全等领域造成重大损失。</p>3、除数字世界外,这种安全威胁同样存在于物理世界中。物理世界中的对抗样本主要以补丁的形式呈现,具体来说,其视觉上相当于一块涂鸦形式的对抗贴纸,可依附在具体的真实世界攻击目标如路牌、衣服上,在不显著干扰人类认知的情况下有效攻击人工智能模型。一种经典的对抗补丁攻击方法为,在物理世界的真实路牌上贴上精心设计的对抗补丁的对抗样本。人眼对这种路牌能有效识别,目标检测模型却无法识别。在自动驾驶场景中,这种对抗补丁攻击极易引发重大安全问题。
4、物理对抗补丁相比于数字世界对抗样本,其表征形式更加接近真实场景,难以从全局特征角度进行检测。目前,人们对物理世界对抗补丁的研究还相对较少,针对物理世界对抗补丁的检测方法仍然不足。同时,现有的物理对抗补丁检测方法主要存在补丁定位困难、自然对抗补丁可判定性差、自然对抗补丁泛化检测能力低等问题。
5、物理对抗补丁是一种直接威胁真实世界应用的对抗攻击方式,随着物理世界对抗研究的深入,未来势必会出现越来越“自然”的对抗补丁,甚至可能欺骗人眼,引发重大安全问题。因此,开展物理世界对抗补丁检测方法研究具有迫切的实际需求和重要的应用价值。然而,现有针对物理世界对抗补丁的检测方法非常少,针对的场景与模型均十分有限,有大量空白区域尚未填补,且存在泛化检测能力低的问题,尤其是难以检测自然对抗补丁。
6、经过近期大量的实验证明,检测模型对非自然对抗补丁具有良好的泛化检测能力,但难以泛化检测自然对抗补丁。即,非自然对抗补丁与自然对抗补丁之间存在某种差异,该差异能够阻碍模型进行泛化检测。
7、总的来说,数字世界与物理世界的对抗攻击技术发展现已十分成熟,这为神经网络模型的鲁棒性带来了巨大挑战。相比于数字世界对抗攻击,物理世界对抗补丁将对抗攻击由数字世界带到了真实世界中,将对真实应用安全产生更大的危害。如图6所示,在表现形式上,与数字世界的噪声扰动相比,物理世界对抗补丁具有更加丰富的表现形式,其中自然对抗补丁更是能够骗过人眼,这对防御方法的设计带来了极大挑战。
8、科学家从自然对抗补丁与非自然对抗补丁的异同点出发,探究了非自然与自然对抗补丁可判定性存在差异的原因。他们认为对抗补丁的对抗性来源于对抗补丁中的某一部分特征,将这种特征定义为对抗特征。因此,将对抗补丁特征空间中的特征划分为对对抗性机理有贡献的对抗特征,与对如自然性等其他属性有贡献的非对抗特征。首先,他们证明了自然与非自然对抗补丁具有相似的对抗特征与不同的非对抗特征。又因为特征空间大小相同,得出两类对抗补丁的可判定性差异,来源于其特征空间中对抗和非对抗特征比例差异的结论。
9、尽管自然与非自然对抗补丁都具有完整可检测的语义,但二者内部的视觉有序程度仍有所不同。直观上说,自然对抗补丁更接近清晰的图片,而非自然对抗补丁内部表征更加无序,视觉上干扰更多,更接近模糊的涂鸦。
技术实现思路
1、本专利技术要解决的技术问题在于,克服现有的技术的不足,提供基于语义扰动的自然对抗补丁泛化检测方法、装置及系统,能够提高对自然对抗补丁泛化检测能力。
2、为达到上述技术目的,一方面,本专利技术提供的基于语义扰动的自然对抗补丁泛化检测方法,包括:
3、将待测测试集中的图片进行模糊处理;
4、通过对抗补丁定位模型对处理后的测试集中自然对抗补丁进行定位检测。
5、其中较优地,所述将待测测试集中的图片进行模糊处理,具体包括:
6、针对每张图片,利用高斯模糊变换函数对每个像素点周围的像素值进行加权平均。
7、其中较优地,所述高斯模糊变换函数采用的高斯核表达式为:
8、(1)
9、其中,
10、(2)
11、公式(1)和(2)中,为高斯核的尺寸数据,高斯核尺寸为,为高斯分布标准差,代表高斯核矩阵元素,为归一化常数,代表高斯核矩阵的行,代表高斯核矩阵的列,为自然常数
e为底的指数函数。
12、其中较优地,模糊处理后的图片表达式为:
13、(3)
14、公式(3)中,为待测测试集中的图片,为高斯模糊变换函数。
15、其中较优地,所述模糊处理后图片的像素值表达式为:
16、(4)
17、公式(4)中,为图片中位置的像素值,为图片中位置的像素值。
18、其中较优地,所述抗补丁定位模型的定位检测结果为:
19、(5)
20、公式(5)中,为抗补丁定位模型,为测试集中第
i张图片。
21、另一方面,本专利技术提供的基于语义扰动的自然对抗补丁泛化检测装置,包括:
22、处理单元,用于将待测测试集中的图片进行模糊处理;
23、检测单元,用于通过对抗补丁定位模型对处理后的测试集中自然对抗补丁进行定位检测。
24、第三方面,本专利技术提供的基于语义扰动的自然对抗补丁泛化检测系统,包括:处理器和存储器,所述处理器读取所诉存储器中的计算机程序,用于执行以下操作:
25、将待测测试集中的图片进行模糊处理;
26、通过对抗补丁定位模型对处理后的测试集中自然对抗补丁进行定位检测。
27、在本专利技术中,对测试集中的图片进行模糊处理,本文档来自技高网
...
【技术保护点】
1.一种基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,包括:
2.根据权利要求1所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,所述将待测测试集中的图片进行模糊处理,具体包括:
3.根据权利要求2所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,所述高斯模糊变换函数采用的高斯核表达式为:
4.根据权利要求3所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,模糊处理后的图片表达式为:
5.根据权利要求4所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,所述模糊处理后图片的像素值表达式为:
6.根据权利要求4所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,所述抗补丁定位模型的定位检测结果为:
7.一种基于语义扰动的自然对抗补丁泛化检测装置,其特征在于,包括:
8.一种基于语义扰动的自然对抗补丁泛化检测系统,其特征在于,包括:处理器和存储器,所述处理器读取所诉存储器中的计算机程序,用于执行以下操作:
【技术特征摘要】
1.一种基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,包括:
2.根据权利要求1所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,所述将待测测试集中的图片进行模糊处理,具体包括:
3.根据权利要求2所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,所述高斯模糊变换函数采用的高斯核表达式为:
4.根据权利要求3所述的基于语义扰动的自然对抗补丁泛化检测方法,其特征在于,模糊处理后的图片表达式为:
5....
【专利技术属性】
技术研发人员:王嘉凯,吴斯扬,刘祥龙,
申请(专利权)人:北京中关村实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。