本发明专利技术属于合成孔径雷达图像目标识别技术领域,具体涉及一种基于能量判决门限的SAR图像对抗样本检测方法,包括构建预训练模型f、构建对抗样本集ζadv、获取样本的能量计算公式、计算能量下界E
【技术实现步骤摘要】
一种基于能量判决门限的SAR图像对抗样本检测方法
[0001]本专利技术属于图像目标识别
,具体涉及一种基于能量判决门限的合成孔径雷达(Sythetic Aperture Radar,SAR)图像对抗样本检测方法。
技术介绍
[0002]深度学习在合成孔径雷达自动目标识别(Automatic Target Recognition,SAR ATR)领域取得了显著的成就。然而对抗样本的存在为深度神经网络(Deep Neural Networks,DNN)模型的实际应用带来了严重的安全隐患。通过在一张干净图片上添加人眼不可见的微小扰动,所谓的对抗样本可以误导DNN模型输出任意攻击者想要的预测结果。大量的文献已经证明,光学中经典的对抗攻击方法在攻击基于深度学习的SAR图像识别模型时依然具有很高的攻击性能(Li,H.;Huang,H.;Chen,L.;Peng,J.;Huang,H.;Cui,Z.;Mei,X.;Wu,G.Adversarial examples for CNN
‑
based SAR image with Deep Convolutional Neural Networks.IEEE Geoscience and Remote Sensing Letters 2021,19,1
–
5.)。Du等人将光学中的CW方法的复杂度进行了优化,提出了针对SAR图像的CW对抗样本快速生成方法(Du,C.;Huo,C.;Zhang,L.;Chen,B.;Yuan,Y.Fast C&W:A Fast Adversarial Attack Algorithm to Fool SAR Target Recognition with Deep Convolutional Neural Networks.IEEE Geoscience and Remote Sensing Letters 2021,19,1
–
5.)。Peng等人将对抗扰动设计成散斑变体的形式,提高了对抗样本在黑盒SAR识别模型上的迁移率(Peng,B.;Peng,B.;Zhou,J.;Xia,J.;Liu,L.Speckle Variant Attack:Towards Transferable Adversarial Attack to SAR Target Recognition.IEEE Geoscience and Remote Sensing Letters 2022.)。
[0003]为了应对对抗攻击带来的严重威胁,对抗防御应运而生。主流的对抗防御方法分为两类,第一类是鲁棒识别,这类方法旨在提高模型的对抗鲁棒性从而正确识别出对抗样本的真实类别;另一类防御方法称为对抗检测,这类方法旨在对输入模型的样本进行二分类,并拒绝掉具有对抗属性的样本,常用方法有光学中的局部维度法(local intrinsic dimension,LID)(Ma,X.;Li,B.;Wang,Y.;Erfani,S.M.;Wijewickrema,S.;Schoenebeck,G.;Song,D.;Houle,M.E.;Bailey,J.Characterizing adversarial subspaces using local intrinsic dimensionality.6th International Conference on Learning Representations,ICLR,2018.)和马氏距离法(Mahalanobias distance,MD)(Lee,K.;Lee,K.;Lee,H.;Shin,J.A simple unified framework for detecting out
‑
of
‑
distribution samples and adversarial attacks.Advances in neural information processing systems 2018,31.)。对抗检测最大的优势在于可以赋予模型感知正在遭受的对抗攻击的能力,因此在对抗条件下的SAR图像识别任务中受到更多关注。
[0004]与光学图像不同,SAR图像中的每个像素点都反映了成像区域的散射能量强度。从物理实现的角度来讲,基于全局扰动的对抗样本需要改变整个成像区域的散射特性,这是一个几乎不可能完成的任务。更可行的方法是将对抗扰动约束到某个特定区域,相应的研
究工作也开始兴起。现有的讨论聚焦于将对抗扰动约束到目标区域附近,以便于将对抗扰动与电磁信号关联,从而降低SAR对抗样本的物理实现难度。从防御方的角度出发,我们发现当前的对抗样本检测方法在面对区域约束的SAR对抗样本时出现了严重的性能下降。如何设计对区域约束扰动鲁棒的对抗样本检测方法,是未来SAR图像对抗检测领域中亟待解决的问题。
技术实现思路
[0005]本专利技术的目的就在于解决带有区域约束扰动的SAR图像对抗样本难以检测的问题,提供一种基于能量判决门限的SAR图像对抗样本检测方法。
[0006]为达到上述目的,本专利技术是按照以下技术方案实施的:
[0007]一种基于能量判决门限的SAR图像对抗样本检测方法,包括以下步骤:
[0008]S1:构建预训练模型f,使用DenseNet121(Huang,G.;Liu,Z.;Van Der Maaten,L.;Weinberger,K.Q.Densely connected convolutional networks.In Proceedings of the Proceedings of the IEEE conference on computer vision and pattern recognition,2017,pp.4700
–
4708.)、ResNet34(He,K.;Zhang,X.;Ren,S.;Sun,J.Deep residual learning for image recognition.In Proceedings of the Proceedings of the IEEE conference on computer vision and pattern recognition,2016,pp.770
–
778.)或VGG16(Simonyan,K.;Zisserman,A.Very deep convolutional networks for large
‑
scale image recognition.arXiv preprint arXiv:1409.1556 2014.)网络结构在MSTAR数据集(Ross,T.D.;Worrell,S.W.;Velten,V.J.;Mossing,J.C.;Bryant,M.L.Standard SAR ATR evaluation experiments using the MSTA本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于能量判决门限的SAR图像对抗样本检测方法,其特征在于,该方法包括以下步骤:S1:构建预训练模型f,使用DenseNet121、ResNet34或VGG16网络结构在MSTAR数据集的训练集上构建一个权重参数为θ的预训练模型f,在MSTAR的测试集中抽取五分之一的样本构建验证集S2:构建对抗样本集对于验证集中的某一个真实标签为y的干净样本x,通过对抗攻击生成对抗扰动η并加在干净样本x上形成对抗样本x
adv
=x+η,遍历验证集中所有的样本即可构建对抗样本集S3:获取样本的能量计算公式:其中,E(x)表示样本的能量,它将每一个样本映射为一个单独的标量,f
i
(x)表示干净样本x在预训练模型f输出的logit向量f(x)的第i个分量,K表示总类别数;S4:计算能量下界E
UB
和能量上界E
LB
,根据S3获取的样本的能量计算公式,分别计算干净样本x和相应对抗样本的能量均值作为能量下界E
UB
和能量上界E
LB
,即,即,即其中,E(x)表示干净样本x
clean
的能量,表示与干净样本x相对应的对抗样本x
adv
的能量,n表示验证集中的样本总量;S5:计算交叉熵损失L
CE
,交叉熵损失L
CE
是干净样本x在预训练模型f上的softmax输出与其真实类别y的交叉熵损失,用于保证预训练模型f对干净样本x的识别率不下降,交叉熵损失L
CE
通过下式计算得到:L
CE
=
‑
logp(y|x);p(y|x)表示干净样本x在类别y上的条件概率,具体计算为:S6:使用合页函数,计算能量损失L
EG
:L
EG
=max(0,E
clean
(x)
‑
E
LB
)+max(0,E
UB
‑
E
adv
(x))能量损失L
EG
用于增大预训练模型f对干净样本x与对抗样本输出的能量差值;S7:计算能量总损失Loss:
Loss=L
【专利技术属性】
技术研发人员:高勋章,张志伟,户盼鹤,夏靖远,刘永祥,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。