【技术实现步骤摘要】
本专利技术涉及图像处理,尤其涉及一种基于数据增强和最大绝对差异的对抗样本生成方法及系统。
技术介绍
1、神经网络因性能良好而在图像处理
中应用广泛,如图像分类、目标检测、人脸识别等,其性能甚至超过人类平均水平,如在图像分类领域中,当人类无法从内容杂乱的图像中提取有效信息时,深度神经网络依旧能够快速准确的完成图像分类任务。然而,当在图像中增加人眼难以察觉的特定扰动时,图像分类网络模型将会受其影响进而输出错误的结果,网络模型具有一定的脆弱性。其中,加入特定扰动的图像称为对抗样本,由于对抗样本对网络模型带来的安全隐患,因此,研究对抗样本也能反过来加强网络模型的健壮性和安全性,辅助弥补训练网络模型算法的不足。
2、对抗样本的生成,又称为对抗攻击。对抗攻击通常分为白盒攻击和黑盒攻击,由于黑盒攻击是在不了解模型结构参数情况下开展的攻击行为,因此攻击成功率较低。对抗样本还具有迁移性的特点,即针对a模型生成的对抗样本对b模型也具有一定的攻击能力,因此许多研究者利用这一性质提高对抗样本的黑盒攻击性能。然而,在迭代攻击生成对抗样本时,迭代攻击倾向于过度拟合特定网络参数(即具有高白盒成功率),从而使生成的对抗样本很难迁移到其他网络(具有低黑盒成功率),因此,目前通常引入数据增强技术来提高输入数据的多样性,以防止过拟合,提高迁移成功率。但是,由于常用的di(diverseinputs,多样化输入)数据增强方法的随机灵活性以及填充像素数受到一定限制,因此,现有技术中采用di数据增强技术的拓展方法rdi(resized-diverse-i
技术实现思路
1、为解决上述现有技术的不足,本专利技术提供了一种基于数据增强和最大绝对差异的对抗样本生成方法及系统,区别于传统的采用原始图像或简单数据增强后的原始图像来生成对抗样本的方法,而是在每次迭代攻击生成对抗样本时,采用最邻近插值法对输入图像进行随机范围缩小、填充、再放大,通过这一图像处理变换,使得图像变得相对粗糙且边缘不再平滑,在此基础上提升输入数据的多样化,从而解决现有生成方法黑盒迁移性较弱的问题,并通过最小化对抗性全局和局部输入之间的中间特征最大绝对差异的方法,进一步提高迁移到其他黑盒模型的生成对抗样本的成功率。
2、第一方面,本公开提供了一种基于数据增强和最大绝对差异的对抗样本生成方法。
3、一种基于数据增强和最大绝对差异的对抗样本生成方法,包括:
4、获取原始图像,对原始图像进行预处理,得到被攻击图像;
5、基于被攻击图像,创建初始的扰动图像,并开始迭代;
6、基于被攻击图像,通过随机剪裁获得多张局部图像,将多张局部图像均调整至被攻击图像相同大小,并结合扰动图像,对被攻击图像和调整后的多张局部图像进行数据增强处理;
7、将数据增强处理后的图像输入至分类网络模型中,计算全局特征与多个局部特征之间的最大绝对差异损失值,同时计算分类器损失值,综合分类器损失值和最大绝对差异损失值得到总损失值,通过反向传播获取损失函数梯度信息;
8、基于损失函数梯度信息,计算得到最终的图像梯度信息,以此生成并更新扰动图像;
9、判断是否达到最大迭代次数,若是,则对被攻击图像叠加更新后的扰动图像,生成对抗样本;若否,则循环迭代更新扰动图像。
10、第二方面,本公开提供了一种基于数据增强和最大绝对差异的对抗样本生成系统。
11、一种基于数据增强和最大绝对差异的对抗样本生成系统,包括:
12、图像获取及预处理模块,用于获取原始图像,对原始图像进行预处理,得到被攻击图像;
13、初始扰动创建模块,用于基于被攻击图像,创建初始的扰动图像,并开始迭代;
14、数据增强处理模块,用于基于被攻击图像,通过随机剪裁获得多张局部图像,将多张局部图像均调整至被攻击图像相同大小,并结合扰动图像,对被攻击图像和调整后的多张局部图像进行数据增强处理;
15、损失函数梯度信息获取模块,用于将数据增强处理后的图像输入至分类网络模型中,计算全局特征与多个局部特征之间的最大绝对差异损失值,同时计算分类器损失值,综合分类器损失值和最大绝对差异损失值得到总损失值,通过反向传播获取损失函数梯度信息;
16、扰动更新模块,用于基于损失函数梯度信息,计算得到最终的图像梯度信息,以此生成并更新扰动图像;
17、对抗样本生成模块,用于判断是否达到最大迭代次数,若是,则对被攻击图像叠加更新后的扰动图像,生成对抗样本;若否,则循环迭代更新扰动图像。
18、第三方面,本公开还提供了一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成第一方面所述方法的步骤。
19、第四方面,本公开还提供了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成第一方面所述方法的步骤。
20、以上一个或多个技术方案存在以下有益效果:
21、本专利技术提供了一种基于数据增强和最大绝对差异的对抗样本生成方法及系统,区别于传统的采用原始图像或简单数据增强后的原始图像来生成对抗样本的方法,而是在每次迭代攻击生成对抗样本时,采用最邻近插值法对输入的原始图像进行随机范围缩小、填充、再放大,通过这一图像处理变换,使得图像变得相对粗糙且边缘不再平滑,可以产生锯齿状边缘效应和块状伪影,并可能会丢失细微的纹理和特征,在此基础上提升输入数据的多样化,从而解决现有生成方法黑盒迁移性较弱的问题,并通过最小化对抗性全局和局部输入之间的中间特征最大绝对差异的方法,进一步提高迁移到其他黑盒模型的生成对抗样本的成功率。
本文档来自技高网...【技术保护点】
1.一种基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,包括:
2.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,所述预处理,包括:
3.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,所述数据增强处理,包括:
4.如权利要求3所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,所述采用改进的图像调整多样化方法对0维度拼接后的图像进行变换,包括:
5.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,计算全局特征与多个局部特征之间的最大绝对差异损失值,同时计算分类器损失值,包括:
6.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,所述基于损失函数梯度信息,计算得到最终的图像梯度信息,以此生成并更新扰动图像,包括:
7.一种基于数据增强和最大绝对差异的对抗样本生成系统,其特征是,包括:
8.如权利要求7所述的基于数据增强和最大绝对差异的对抗样本生成系统,其特征是,所述数据增强处
9.一种电子设备,其特征是,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成如权利要求1-6中任一项所述的一种基于数据增强和最大绝对差异的对抗样本生成方法的步骤。
10.一种计算机可读存储介质,其特征是,用于存储计算机指令,所述计算机指令被处理器执行时,完成如权利要求1-6中任一项所述的一种基于数据增强和最大绝对差异的对抗样本生成方法的步骤。
...【技术特征摘要】
1.一种基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,包括:
2.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,所述预处理,包括:
3.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,所述数据增强处理,包括:
4.如权利要求3所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,所述采用改进的图像调整多样化方法对0维度拼接后的图像进行变换,包括:
5.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特征是,计算全局特征与多个局部特征之间的最大绝对差异损失值,同时计算分类器损失值,包括:
6.如权利要求1所述的基于数据增强和最大绝对差异的对抗样本生成方法,其特...
【专利技术属性】
技术研发人员:汪付强,王坤,金星,吴晓明,马晓凤,张建强,张鹏,马坤,郝秋赟,赵微,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。