本发明专利技术提供一种基于内生式对抗样本的图像保护方法。该方法包括:步骤1:对原始图像进行特征分解,分解为显性特征和隐性特征;步骤2:对所述隐性特征进行特征修改,得到修改后隐性特征;步骤3:将所述显性特征和所述修改后隐性特征进行合成得到对抗样本,将所述对抗样本替换掉原始图像作为面向外部系统公开的图像。本发明专利技术提供的内生式的对抗攻击十分契合于黑盒攻击的场景;并且由于修改的隐性特征部分本身不影响图像质量及其主要内容,因此对抗样本图像与原始图像的视觉一致性天然存在,使得生成的对抗样本天然满足对抗样本应该具有的难以察觉性,具有很好的感知真实性,因此可以省去关于对抗扰动大小的超参数和损失函数的设置。置。置。
【技术实现步骤摘要】
基于内生式对抗样本的图像保护方法
[0001]本专利技术涉及图像处理
,尤其涉及一种基于内生式对抗样本的图像保护方法。
技术介绍
[0002]对抗样本技术是通过在图像中加入难以被人眼察觉的对抗噪声来误导人工智能算法模型使其产生错误的输出结果,该噪声是人为设计的,但是在用户看来添加了噪声的图像与原始图像没有任何不同。因此可以利用此技术对用户图像添加对抗噪声,使人工智能伪造算法产生错误的结果,从而阻止其恶意篡改用户图像。
[0003]现有对抗样本技术主要是加性的,即额外生成对抗噪声叠加在原始图像上,如图2(a)所示。这使得噪声生成时需要设计参数或目标来保证噪声的大小以满足对抗样本图像与原始图像的视觉一致性,目标或参数设置不当很有可能会造成噪声过大的现象。另外目前的一些对抗样本技术需要目标模型内部的具体梯度参数,即攻击场景为白盒,新技术方案是完全黑盒的,不需要任何模型内部的参数,只需要了解输入输出即可。
技术实现思路
[0004]针对攻击者恶意篡改图像的问题,本专利技术提供一种基于内生式对抗样本的图像保护方法。
[0005]本专利技术提供的基于内生式对抗样本的图像保护方法,包括:
[0006]步骤1:对原始图像进行特征分解,分解为显性特征和隐性特征;
[0007]步骤2:对所述隐性特征进行特征修改,得到修改后隐性特征;
[0008]步骤3:将所述显性特征和所述修改后隐性特征进行合成得到对抗样本,将所述对抗样本替换掉原始图像作为面向外部系统公开的图像。
[0009]进一步地,步骤1中,采用奇异值分解算法按照公式(3)对原始图像x进行特征分解,将前n项特征作为显性特征,将其余项特征作为隐性特征:
[0010][0011]其中,r表示原始图像的大小,i∈{1,2,
…
,n,
…
,r},σ
i
表示原始图像的奇异值,满足σ1≥σ2≥
…
≥σ
n
≥
…
≥σ
r
≥0,u
i
和v
i
表示奇异值σ
i
所对应的特征向量。
[0012]进一步地,步骤2中,采用优化算法从所有的所述隐性特征中选择出对抗隐性特征,对所述对抗隐性特征进行修改,得到修改后隐性特征;所述对抗隐性特征表示满足公式(4)的隐性特征:
[0013][0014]其中,G表示恶意篡改系统中的生成器,L表示计算G(x)与G(x
′
)之间距离的函数。
[0015]进一步地,采用差分进化算法作为优化算法,对应地,步骤2具体包括:
[0016]步骤2.1:初始化种群;其中,种群中的一个个体表示一个向量α∈R
r
‑
n
,向量α中的一个元素表示隐性特征中的一个奇异值;r表示原始图像的大小,n表示显性特征的数量;R
r
‑
n
表示长度为r
‑
n的向量;
[0017]步骤2.2:采用公式(5)对种群进行变异,得到新的种群:
[0018][0019]其中,r1,r2,r3是三个随机数,F是缩放因子,g表示遗传代数,j∈{1,
…
,r
‑
n},
[0020]步骤2.3:将公式(6)作为适应度函数,选择使适应度函数取值最大的个体所对应的奇异值:
[0021][0022]其中,G表示恶意篡改系统中的生成器;L表示计算G(x)与G(x
′
)之间距离的函数;
[0023]步骤2.4:迭代执行步骤2.2至步骤2.3,直至达到设定的遗传代数,根据此时选择的奇异值得到对应的隐性特征;
[0024]步骤2.5:根据给定的修改函数对步骤2.4中得到的隐性特征进行修改。
[0025]本专利技术的有益效果:
[0026](1)在生成对抗样本时,采用对来自于原始图像内部的隐性特征进行直接修改来构造对抗扰动而不再需要额外生成对抗扰动,由于隐性特征存在原始图像内部,将由此生成的对抗样本称为内生式对抗样本。这种内生式的对抗攻击十分契合于黑盒攻击的场景;
[0027](2)由于修改的隐性特征部分本身不影响图像质量及其主要内容,因此对抗样本图像与原始图像的视觉一致性天然存在,使得生成的对抗样本天然满足对抗样本应该具有的难以察觉性,具有很好的感知真实性,因此可以省去关于对抗扰动大小的超参数和损失函数的设置。本专利技术的图像保护方法适用于对所有图像的保护。
附图说明
[0028]图1为本专利技术实施例提供的基于内生式对抗样本的图像保护方法的流程示意图;
[0029]图2中,(a)为传统方法生成加性对抗样本的示意图;(b)本专利技术实施例提供的生成内生式对抗样本的示意图。
具体实施方式
[0030]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0031]如图1所示,本专利技术实施例提供一种基于内生式对抗样本的图像保护方法,包括以下步骤:
[0032]S101:对原始图像进行特征分解,分解为显性特征和隐性特征;
[0033]具体地,该过程可以采用公式(1)表示:
[0034]x=x
dom
+x
un
ꢀꢀ
(1)
[0035]其中,x表示原始图像,x
dom
和x
un
分别表示原始图像x的显性特征和隐性特征。
[0036]S102:对所述隐性特征进行特征修改,得到修改后隐性特征;
[0037]S103:将所述显性特征和所述修改后隐性特征进行合成得到对抗样本。
[0038]具体地,该过程可以采用公式(2)来表示:
[0039]x
′
=x
dom
+f(x
un
)
ꢀꢀ
(2)
[0040]其中,x
′
表示对抗样本,f()表示修改隐性特征的函数。
[0041]本专利技术实施例提供的基于内生式对抗样本的图像保护方法,具有两个优势:(1)在生成对抗样本时,采用对来自于原始图像内部的隐性特征进行直接修改来构造对抗扰动而不再需要额外生成对抗扰动,由于隐性特征存在原始图像内部,将由此生成的对抗样本称为内生式对抗样本。这种内生式的对抗攻击十分契合于黑盒攻击的场景;(2)由于修改的隐性特征部分本身不影响图像质量及其主要内容,因此对抗样本图像与原始图像的视觉一致性天然存在,使得生成的对抗样本天然满足对抗样本应该具有的难以察觉性,具有很好的感知真实性,因此可以省去关于对抗扰动大小的超参数和本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于内生式对抗样本的图像保护方法,其特征在于,包括:步骤1:对原始图像进行特征分解,分解为显性特征和隐性特征;步骤2:对所述隐性特征进行特征修改,得到修改后隐性特征;步骤3:将所述显性特征和所述修改后隐性特征进行合成得到对抗样本,将所述对抗样本替换掉原始图像作为面向外部系统公开的图像。2.根据权利要求1所述的基于内生式对抗样本的图像保护方法,其特征在于,步骤1中,采用奇异值分解算法按照公式(3)对原始图像x进行特征分解,将前n项特征作为显性特征,将其余项特征作为隐性特征:其中,r表示原始图像的大小,i∈{1,2,...,n,...,r},σ
i
表示原始图像的奇异值,满足σ1≥σ2≥
…
≥σ
n
≥
…
≥σ
r
≥0,u
i
和v
i
表示奇异值σ
i
所对应的特征向量。3.根据权利要求1所述的基于内生式对抗样本的图像保护方法,其特征在于,步骤2中,采用优化算法从所有的所述隐性特征中选择出对抗隐性特征,对所述对抗隐性特征进行修改,得到修改后隐性特征;所述对抗隐性特征表示满足公式(4)的隐性特征:其中,G表示...
【专利技术属性】
技术研发人员:毛秀青,孙磊,刘沛源,杨宇,郭松辉,李作辉,戴乐育,郭松,胡翠云,臧韦菲,赵锟,窦睿彧,李瑞锋,赵敏,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。