本发明专利技术公开了一种基于黑盒场景的图像对抗样本生成方法,包括:将图片x输入至多个白盒模型,分别得出目标标签或真实标签的概率值;动态计算所述概率值对应白盒模型的权重;根据所述概率值与所述白盒模型的权重,得到集成模型的概率值;根据所述集成模型的概率值计算损失值,并进行反向传播;将所述反向传播后图片的梯度作为扰动图像,加入到对抗样本中;重复迭代,获取最终对抗样本。本发明专利技术方法能够在黑盒环境下取得更好的效果,后续深入分析了对抗样本的生成过程,进一步证实动态集成方法能够按照预期合理得调整各个模型的权重,并增强对抗样本的黑盒效果。抗样本的黑盒效果。抗样本的黑盒效果。
【技术实现步骤摘要】
一种基于黑盒场景的图像对抗样本生成方法
[0001]本专利技术涉及人工智能安全
,尤其涉及一种基于黑盒场景的图像对抗样本生成方法。
技术介绍
[0002]近年来,对抗样本是人工智能安全领域的一大热点,计算机视觉方面的对抗样本的发现更是引起了研究人员的广泛关注,集成方法是一种基于黑盒的对抗样本生成方法,该方法能够对内部参数完全未知的模型生效。该方法利用一个集合内的多个模型生成对抗样本,其中各个模型的权重是恒定且平均的,这会导致在某些情况下该方法并不能达到预期的效果。
技术实现思路
[0003]本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊,而这种简化或省略不能用于限制本专利技术的范围。
[0004]鉴于上述现有存在的问题,提出了本专利技术。
[0005]因此,本专利技术解决的技术问题是:传统方法利用一个集合内的多个模型生成对抗样本,其中各个模型的权重是恒定且平均的,这会导致在某些情况下该方法并不能达到预期的效果。
[0006]为解决上述技术问题,本专利技术提供如下技术方案:将图片x输入至多个白盒模型,分别得出目标标签或真实标签的概率值;动态计算所述概率值对应白盒模型的权重;根据所述概率值与所述白盒模型的权重,得到集成模型的概率值;根据所述集成模型的概率值计算损失值,并进行反向传播;将所述反向传播后图片的梯度作为扰动图像,加入到对抗样本中;重复迭代,获取最终对抗样本。
[0007]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其中:将所述图片x输入至多个白盒模型,获取输出z,包括,
[0008]对所述图片x进行预处理,调整所述图片x尺寸为224*224像素,像素值的范围在[0,1]之间;将所述预处理后的图片x输入至多个白盒模型中,获取输出z。
[0009]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其中:设定Z(x)=z,对所述输出z进行softmax运算,得到所述目标标签或真实标签的概率值y包括,
[0010]y=softmax(Z(x))
[0011]其中,y表示各个类别的预测概率值,并且y由分量y1、y2、y3...y
m
组成,y
i
表示神经网络对图片属于第i类的预测值,0≤y
i
≤1且y1+...+y
m
=1,z表示输出的logit值,并且z表示一个由z1、z2、z3……
z
m
构成的m维向量。
[0012]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其
中:所述动态计算所述概率值对应的白盒模型的权重包括,
[0013]所述目标标签对应有目标情况,所述真实标签对应无目标情况,设定F(x)=y,各个模型的权重k
i
根据当前模型的输出概率y
i
变化,在n个模型组成的集成模型中,对于所述有目标情况,第i个模型的权重为k
i
(x):
[0014][0015]其中,F
i
(x)
t
表示目标标签的概率值,表示所有目标标签的概率值的倒数之和。
[0016]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其中:所述动态计算所述概率值对应的白盒模型的权重包括,
[0017]对于所述无目标情况,第i个模型的权重为k
i
(x):
[0018][0019]其中,F
i
(x)
t
表示真实标签的概率值,表示所有目标标签的概率值之和。
[0020]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其中:所述集成模型的概率w为,
[0021][0022]其中,k
i
(x)表示目标标签或真实标签的权重,F
i
(x)表示目标标签或真实标签的概率值。
[0023]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其中:利用交叉熵损失函数计算出所述集成模型的概率值w的损失值。
[0024]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其中:根据所述损失值计算出所述梯度,并将所述梯度作为扰动图像加入到所述对抗样本中。
[0025]作为本专利技术所述的基于黑盒场景的图像对抗样本生成方法的一种优选方案,其中:当迭代次数达到设置值时,停止迭代,所述对抗样本即为最终对抗样本。
[0026]本专利技术的有益效果:动态集成方法能够在黑盒环境下取得更好的效果,后续深入分析了对抗样本的生成过程,进一步证实动态集成方法能够按照预期合理得调整各个模型的权重,并增强对抗样本的黑盒效果。
附图说明
[0027]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本
领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
[0028]图1为本专利技术一个实施例提供的一种基于黑盒场景的图像对抗样本生成方法的流程图;
[0029]图2为本专利技术一个实施例提供的一种基于黑盒场景的图像对抗样本生成方法的动态集成方法的结构模型图;
[0030]图3为本专利技术一个实施例提供的一种基于黑盒场景的图像对抗样本生成方法的五个模型的logit值变化图;
[0031]图4为本专利技术一个实施例提供的一种基于黑盒场景的图像对抗样本生成方法的传统集成方法中五个模型的logit值变化图;
[0032]图5为本专利技术一个实施例提供的一种基于黑盒场景的图像对抗样本生成方法的传统集成方法与本专利技术所提供的动态集成模型的损失值变化对比图;
[0033]图6为本专利技术一个实施例提供的一种基于黑盒场景的图像对抗样本生成方法的传统集成方法与本专利技术所提供的动态集成模型的输出概率值变化对比图。
具体实施方式
[0034]为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本专利技术的具体实施方式做详细的说明,显然所描述的实施例是本专利技术的一部分实施例,而不是全部实施例。基于本专利技术中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术的保护的范围。
[0035]在下面的描述中阐述了很多具体细节以便于充分理解本专利技术,但是本专利技术还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本专利技术内涵的情况下做类似推广,因此本专利技术不受下面公开的具体实施例的限制。
[0036]其次,此处所称的“一个实施例”或“实施例”是指可包含于本专利技术至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于黑盒场景的图像对抗样本生成方法,其特征在于,包括:将图片x输入至多个白盒模型,分别得出目标标签或真实标签的概率值;动态计算所述概率值对应的白盒模型的权重;根据所述概率值与所述权重,得到集成模型的概率值;根据所述集成模型的概率值计算损失值,并进行反向传播;将所述反向传播后图片的梯度作为扰动图像,加入到对抗样本中;重复迭代,获取最终对抗样本。2.如权利要求1所述的基于黑盒场景的图像对抗样本生成方法,其特征在于:将所述图片x输入至多个白盒模型,获取输出z,包括,对所述图片x进行预处理,调整所述图片x尺寸为224*224像素,像素值的范围在[0,1]之间;将所述预处理后的图片x输入至多个白盒模型中,获取输出z。3.如权利要求2所述的基于黑盒场景的图像对抗样本生成方法,其特征在于:设定Z(x)=z,对所述输出z进行softmax运算,得到所述目标标签或真实标签的概率值y包括,y=softmax(Z(x))其中,y表示各个类别的预测概率值,并且y由分量y1、y2、y3...y
m
组成,y
i
表示神经网络对图片属于第i类的预测值,0≤y
i
≤1且y1+...+y
m
=1,z表示输出的logit值,并且z表示一个由z1、z2、z3……
z
m
构成的m维向量。4.如权利要求3所述的基于黑盒场景的图像对抗样本生成方法,其特征在于:所述动态计算所述概率值对应的白盒模型的权重包括,所述目标标签对应有目标情况,所述真实标签对应无目标情况,设...
【专利技术属性】
技术研发人员:胡聪,徐灏琦,吴小俊,宋晓宁,陆恒杨,
申请(专利权)人:江南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。