一种基于图像频谱增强的对抗样本生成方法技术

本发明专利技术公开了一种基于图像频谱增强的对抗样本生成方法，包括以下步骤：步骤一、从目标数据集中获取原始图像x

【技术实现步骤摘要】
一种基于图像频谱增强的对抗样本生成方法


[0001]本专利技术属于深度学习图像对抗攻击领域，具体涉及一种基于图像频谱增强的对抗样本生成方法。

技术介绍

[0002]神经网络在图像分类任务中表现出卓越的性能，达到了人类难以企及的分类效率和准确率。然而，刻意向干净图像添加精心制作的扰动，将会诱导神经网络做出错误的分类决策。这种人造的、人类视觉系统难以察觉的扰动被称为对抗噪声，被污染的图像被称为对抗样本。依据被诱导的图像标签的定向性，对抗攻击可分为目标攻击和非目标攻击。目标攻击指对抗样本被神经网络错误归类的标签是人为确定的，而非目标攻击只需错误归类的标签与干净样本的真实标签不同，具体划分为哪一类则没有限制。
[0003]为了提升对抗样本的生成效率，白盒攻击目前最为普遍。在此场景下，攻击者能够获取原模型的完整信息，包括网络结构和参数。基于梯度的攻击方法通过获取白盒模型对输入图像的梯度，将其作为施加对抗扰动的方向指引，最大化模型损失进而生成对抗样本，是白盒攻击的研究热点。为了利用现有模型生成对抗样本，继而攻击未知的黑盒模型，提升对抗样本的可迁移性是可取的途径之一。基于输入变换的方法是解决这一问题的方向，通过对输入图像进行平移、剪切、尺度变换等操作，减少对抗噪声对原模型的过拟合现象，进而实现模型增强，可以有效地提升对抗样本对黑盒模型的攻击效果。黑盒攻击由于仅能获取模型相对于输入图像的决策结果，可利用信息十分有限，更具挑战性和现实研究价值。基于查询的攻击方法是黑盒攻击的重要分支，通过大量地向模型输入图像获取对应的标签，逐步更改对抗扰动的方向和大小，进而模拟并跨越模型的决策边界，此类方法能够有效利用标签信息生成对抗样本。
[0004]目前的对抗攻击方法通过不同的信息获取方式制作对抗样本，但总体来看仍存在以下缺陷：(1)对抗样本对于原模型的过拟合现象明显，攻击黑盒模型时成功率低，可迁移性差；(2)对图像进行的输入变换多数停留在空间域，没有对图像频谱进行刻意的更改，使得对抗扰动的方向难以被黑盒模型察觉；(3)针对对抗训练模型和添加了去噪模块等措施的防御模型，对抗样本的攻击效果明显降低。

技术实现思路

[0005]针对上述技术问题，本专利技术提供一种基于图像频谱增强的对抗样本生成方法，该方法基于不同模型对图像频谱成分的提取能力的差异，对迭代过程中的图像频谱进行高频分量的弥补和低频分量的随机丢弃，并用平均聚合梯度施加对抗噪声，使得白盒模型能够提取到更丰富的高频信息用于反传梯度信息，并能够模拟黑盒模型提取到的低频信息，缓解对抗样本对白盒模型的过拟合现象，从而达到图像频谱增强，使得对抗样本同时具有高白盒攻击成功率和高可迁移性，提升对抗样本对防御模型的攻击效果。
[0006]本专利技术采用的技术方法是：一种基于图像频谱增强的对抗样本生成方法，其特征
在于：包括以下步骤：
[0007]步骤一、从目标数据集中获取类别标签为y的原始图像x
clean
，将其作为迭代次数t＝0时的对抗样本x
t
，即x0；
[0008]步骤二、输入迭代过程中的对抗样本x
t
，利用低通滤波和高频增强滤波获取弥补性图像样本x
t
‑
enhance
：
[0009]步骤201、选取低通卷积核W对对抗样本进行卷积操作，即低通滤波，获得低通图像样本x
t
‑
low
：
[0010]x
t
‑
low
＝x
t
*W
[0011]步骤202、将对抗样本x
t
与低频图像样本x
t
‑
low
作差，获取非锐化掩膜x
t
‑
mask
：
[0012]x
t
‑
mask
＝x
t
‑
x
t
‑
low
[0013]步骤203、设置权重因子k，利用非锐化掩膜x
t
‑
mask
实现高频增强滤波，获取高频增强图像样本x
t
‑
high
：
[0014]x
t
‑
high
＝x
t
+k
×
x
t
‑
mask
[0015]步骤204、将高频增强图像样本x
t
‑
high
与低频图像样本x
t
‑
low
作差，获取弥补性图像样本x
t
‑
enhance
：
[0016]x
t
‑
enhance
＝x
t
‑
high
‑
x
t
‑
low
[0017]步骤三、利用弥补性图像样本x
t
‑
enhance
对对抗样本x
t
进行高频分量的弥补，获得高频弥补图像频谱F
t
‑
high
：
[0018]步骤301、设置与图像尺寸(n,n)相同的高频掩膜M
H
，用于提取图像频谱的高频部分：
[0019][0020]其中r为高低频分割参数，满足0＜r＜n；
[0021]步骤302、利用离散余弦变换将弥补性图像样本x
t
‑
enhance
变换到频域，并与高频掩膜M
H
进行哈达玛积，获得弥补性图像高频频谱F
t
‑
enhance
：
[0022]F
t
‑
enhance
＝DCT(x
t
‑
enhance
)
⊙
M
H
[0023]步骤303、设置高频弥补因子β＞0，利用弥补性图像高频频谱F
t
‑
enhance
对对抗样本x
t
进行频谱增强，获得高频弥补对抗频谱F
t
‑
high
：
[0024]F
t
‑
high
＝DCT(x
t
)+β
×
F
t
‑
high
[0025]步骤四、多次随机丢弃高频弥补对抗频谱F
t
‑
high
的低频信息，得到完整频谱增强对抗样本集合：
[0026]步骤401、设置与图像尺寸(n,n)相同的低频掩膜M
L
，用于对图像频谱的低频分量进行随机丢弃：
[0027][0028]其中R(0,1,p)代表以p的概率为0，以1
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于图像频谱增强的对抗样本生成方法，其特征在于：包括以下步骤：步骤一、从目标数据集中获取类别标签为y的原始图像x
clean
，将其作为迭代次数t＝0时的对抗样本x
t
，即x0；步骤二、输入迭代过程中的对抗样本x
t
，利用低通滤波和高频增强滤波获取弥补性图像样本x
t
‑
enhance
：步骤201、选取低通卷积核W对对抗样本进行卷积操作，即低通滤波，获得低通图像样本x
t
‑
low
：x
t
‑
low
＝x
t
*W步骤202、将对抗样本x
t
与低频图像样本x
t
‑
low
作差，获取非锐化掩膜x
t
‑
mask
：x
t
‑
mask
＝x
t
‑
x
t
‑
low
步骤203、设置权重因子k，利用非锐化掩膜x
t
‑
mask
实现高频增强滤波，获取高频增强图像样本x
t
‑
high
：x
t
‑
high
＝x
t
+k
×
x
t
‑
mask
步骤204、将高频增强图像样本x
t
‑
high
与低频图像样本x
t
‑
low
作差，获取弥补性图像样本x
t
‑
enhance
：x
t
‑
enhance
＝x
t
‑
high
‑
x
t
‑
low
步骤三、利用弥补性图像样本x
t
‑
enhance
对对抗样本x
t
进行高频分量的弥补，获得高频弥补图像频谱F
t
‑
high
：步骤301、设置与图像尺寸(n,n)相同的高频掩膜M
H
，用于提取图像频谱的高频部分：其中r为高低频分割参数，满足0＜r＜n；步骤302、利用离散余弦变换将弥补性图像样本x
t
‑
enhance
变换到频域，并与高频掩膜M
H
进行哈达玛积，获得弥补性图像高频频谱F
t
‑
enhance
：F
t
‑
enhance
＝DCT(x
t
‑
enhance
)M
H
步骤303、设置高频弥补因子β＞0，利用弥补性图像高频频谱F
t
‑

【专利技术属性】
技术研发人员：邓鑫洋，赵畅菲，蒋雯，
申请(专利权)人：西北工业大学，
类型：发明
国别省市：