对抗扰动生成方法、装置及存储介质制造方法及图纸

本申请实施例涉及计算机视觉领域，一些实施例提供了一种对抗扰动生成方法、装置及存储介质。该方法包括：获取原始图像、第一图像识别模型和对抗扰动；将所述原始图像与所述对抗扰动叠加后，输入所述第一图像识别模型，得到输出结果；计算所述输出结果与攻击目标标签之间的相似度；若所述输出结果与攻击目标标签之间的相似度未达到第一预设阈值，则更新所述对抗扰动，直至所述输出结果与攻击目标标签之间的相似度达到第一预设阈值，并将更新后的对抗扰动作为目标对抗扰动。本申请实施例可以基于知识蒸馏得到的代理模型生成对抗图像，由于知识蒸馏时，代理模型学习到了更加全面的特征，从而生成的对抗图像能够迁移攻击多更多不同的图像识别模型。图像识别模型。图像识别模型。

【技术实现步骤摘要】
对抗扰动生成方法、装置及存储介质


[0001]本申请实施例涉及计算机视觉领域，更具体地涉及一种对抗扰动生成方法、装置及存储介质。

技术介绍

[0002]在实际分类任务中，待识别的图像不可避免地存在一些包含干扰的对象，如果需要通过图像识别模型对该包含干扰的图象准确进行分类，则需要图像识别模型具有较高的抗干扰能力。相关技术中，一般通过对抗图像来对待检测的图像识别模型(例如商业模型)的抗干扰能力进行检测。通常采用基于询问的方法和基于迁移的方法来生成对抗图像。
[0003]由于基于询问的方法需要多次访问待检测的图像识别模型，而商用模型(例如手机或门禁的人脸识别模型)一般都是黑盒模型，且通常都会设置限制访问策略。由此，很难通过基于询问的方法生成针对商用模型的对抗图像。对于商用模型，通常采用基于迁移的方法生成用于检测商业模型的抗干扰能力的对抗图像。
[0004]基于迁移的方法需要在与商用模型具有相同识别特性的代理模型上生成对抗图像，即需要预先获取受害模型，才能在该受害模型生成对抗图像，然后利用该对抗图像对商用模型进行迁移攻击，以确定待检测的商用模型的抗干扰能力。
[0005]然而，现有的基于迁移的方法，往往需要针对每个待检测模型，都对应的选取一个代理模型来生成对抗图像，生成的对抗图像只能对有限数量的图像识别模型成功地迁移攻击，可见，基于该方法生成的对抗图像的迁移攻击性能较弱，即基于与待检测模型不匹配的代理模型生成的对抗图像，影响对待检测模型的抗干扰能力的检测效果，甚至无法检测抗干扰能力。
专利技术内容
[0006]本申请实施例提供一种对抗扰动生成方法、装置及存储介质，可以基于知识蒸馏得到的代理模型生成对抗图像，由于知识蒸馏时，代理模型学习到了更加全面的特征，从而生成的对抗图像上含有的错误类别的特征与对应的攻击目标类别更加匹配，能够迁移攻击更多不同的图像识别模型，从而一个对抗图像可以检测多个图像识别模型的抗干扰能力。
[0007]在本申请的第一方面中，提供了一种对抗扰动生成方法，包括：
[0008]获取原始图像、第一图像识别模型和对抗扰动，其中，所述第一图像识别模型通过知识蒸馏得到，在进行知识蒸馏时，仅通过第二图像识别模型的预测概率分布指导所述第一图像识别模型的训练；
[0009]将所述原始图像与所述对抗扰动叠加后，输入所述第一图像识别模型，得到输出结果；
[0010]计算所述输出结果与攻击目标标签之间的相似度，其中，所述攻击目标标签与所述原始图像标签相同或不同；
[0011]若所述输出结果与攻击目标标签之间的相似度未达到第一预设阈值，则更新所述
对抗扰动，直至所述第一图像识别模型的输出结果与攻击目标标签之间的相似度达到第一预设阈值，并将更新后的对抗扰动作为目标对抗扰动；
[0012]其中，所述目标对抗扰动用于叠加所述原始图像，生成对抗图像，所述对抗图像用于迁移攻击多个与所述第一图像识别模型不同的图像识别模型。
[0013]在本申请的第二方面中，提供了一种对抗扰动生成装置，包括：
[0014]输入输出模块，被配置为获取原始图像、第一图像识别模型和对抗扰动，其中，所述第一图像识别模型通过知识蒸馏得到，在进行知识蒸馏时，仅通过第二图像识别模型的预测概率分布指导所述第一图像识别模型的训练；
[0015]处理模块，被配置为计算所述输出结果与攻击目标标签之间的相似度；以及
[0016]若所述输出结果与攻击目标标签之间的相似度未达到第一预设阈值，则更新所述对抗扰动，直至所述第一图像识别模型的输出结果与攻击目标标签之间的相似度达到第一预设阈值，将更新后的对抗扰动作为目标对抗扰动；
[0017]其中，所述目标对抗扰动用于叠加所述原始图像，生成对抗图像，所述对抗图像用于迁移攻击多个与所述第一图像识别模型不同的图像识别模型。
[0018]在本申请的第三方面中，提供了一种计算机可读存储介质，其包括指令，当其在计算机上运行时，使得计算机执行如第一方面所述的方法。
[0019]在本申请的第四方面中，提供了一种计算设备，包括：至少一个处理器、存储器和输入输出单元；其中，所述存储器用于存储计算机程序，所述处理器用于调用所述存储器中存储的计算机程序来执行如第一方面所述的方法。
[0020]与现有技术相比，本申请实施例中，由于知识蒸馏时，代理模型，即第一图像识别模型(学生网络模型)仅仅以第二图像识别模型(教师网络模型)基于输入图像识别出的概率分布(软标签)为学习目标，而不是输入图像的预设标签(硬标签)，即第一图像识别模型不是仅仅建立输入图像中的特定对象的特征与预设标签的映射关系，而是可以学习到输入图像中各个对象的特征对应的识别结果，即学习到了更加全面的特征。由于第一图像识别模型学习到了更加全面的特征，从而在基于所述第一图像识别模型生成对抗扰动时，可以优化出在多种类别的特征上都产生影响的对抗扰动，且所述对抗扰动叠加原始图像形成对抗图像后，所述对抗图像上含有的错误类别的特征与对应的目标攻击类别会更加匹配，由此，生成的对抗图像可以迁移攻击成功更多类型的未知图像识别模型。由于得到的对抗图像可以在很多不同的未知图像识别模型上取得良好的攻击效果，在需要衡量一个新的未知图像识别模型的抗干扰能力时，无需针对这个新的图像识别模型重新对应生成对抗图像，节省了大量计算资源和存储资源，提高了对抗图像的利用率。
附图说明
[0021]通过参考附图阅读下文的详细描述，本申请示例性实施例的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本申请的若干实施例，其中：
[0022]图1为本申请一些实施例的对抗扰动生成方法的应用场景示意图；
[0023]图2为本申请一个实施例的对抗扰动生成方法的流程示意图；
[0024]图3为本申请一个实施例的进行知识蒸馏得到代理模型的流程示意图；
[0025]图4为本申请一个实施例的包括多个对象的示意图；
[0026]图5为本申请又一个实施例的进行知识蒸馏得到代理模型的流程示意图；
[0027]图6为本申请一个实施例的对抗扰动生成方法的流程示意图；
[0028]图7为本申请一个实施例的对抗扰动生成装置的结构示意图；
[0029]图8为本申请一个实施例的一种计算机可读存储介质的结构示意图；
[0030]图9为本申请一个实施例的一种计算设备的结构示意图。
[0031]在附图中，相同或对应的标号表示相同或对应的部分。
具体实施方式
[0032]下面将参考若干示例性实施例来描述本申请的原理和精神。应当理解，给出这些实施例仅仅是为了使本领域技术人员能够更好地理解进而实现本申请，而并非以任何方式限制本申请的范围。相反，提供这些实施例是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
[0033]本领域技术人员知道，本申请的实施例可以实现为一种系统、装置、设备、方法或计本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对抗扰动生成方法，包括：获取原始图像、第一图像识别模型和对抗扰动，其中，所述第一图像识别模型通过知识蒸馏得到，在进行知识蒸馏时，仅通过第二图像识别模型的预测概率分布指导所述第一图像识别模型的训练；将所述原始图像与所述对抗扰动叠加后，输入所述第一图像识别模型，得到输出结果；计算所述输出结果与攻击目标标签之间的相似度；若所述输出结果与攻击目标标签之间的相似度未达到第一预设阈值，则更新所述对抗扰动，直至所述第一图像识别模型的输出结果与攻击目标标签之间的相似度达到第一预设阈值，并将更新后的对抗扰动作为目标对抗扰动；其中，所述目标对抗扰动用于叠加所述原始图像，生成对抗图像，所述对抗图像用于迁移攻击多个与所述第一图像识别模型不同的图像识别模型。2.如权利要求1所述的对抗扰动生成方法，其中，所述第一图像识别模型通过以下步骤迭代地进行知识蒸馏得到，包括：获取待训练的第一图像识别模型、第二图像识别模型和第一图像样本；将所述第一图像样本输入所述第二图像识别模型，得到所述第二图像识别模型基于所述第一图像样本输出的第一预测概率分布；将所述第一图像样本输入所述第一图像识别模型，得到所述第一图像识别模型基于所述第一图像样本输出的第二预测概率分布；计算所述第二预测概率分布与所述第一预测概率分布的相似度；若所述第二预测概率分布与所述第一预测概率分布的相似度小于第二预设阈值，则更新所述第一图像识别模型的参数，直至所述第二预测概率分布与所述第一预测概率分布的相似度大于第二预设阈值，并将更新后的第一图像识别模型作为知识蒸馏得到的第一图像识别模型。3.如权利要求2所述的对抗扰动生成方法，其中，所述第二图像识别模型通过以下方式训练得到：获取第二图像样本集以及所述第二图像样本集中各个第二图像样本对应的标签；采用所述第二图像样本集迭代优化所述第二图像识别模型，直到达到第一预设终止条件，在每个迭代轮次：获取一个第二图像样本输入所述第二图像识别模型，得到对应的输出结果；将所述第二图像样本的标签转换为独热编码向量，所述独热编码向量包括预设数量的维度，所述预设数量为所述第二图像样本集中的标签空间中的标签数量，所述标签空间为所述第二图像样本集中各个图像的标签的集合，且不存在重复的标签；计算所述独热编码向量与所述输出结果之间的相似度；更新所述第二图像识别模型的参数，以使所述独热编码向量与所述输出结果之间的相似度变大；其中，所述第一预设终止条件至少包括以下中的一个：遍历第二图像样本集、迭代预设轮次和所述第二图...

【专利技术属性】
技术研发人员：ꢀ七四专利代理机构，
申请(专利权)人：北京瑞莱智慧科技有限公司，
类型：发明
国别省市：