一种图像对抗样本生成方法及装置制造方法及图纸

本发明专利技术公开了一种图像对抗样本生成方法及装置，涉及人工智能安全技术领域，用于解决现有方法生成的对抗样本对代理模型的多度拟合，提高迁移攻击场景下的攻击成功率

【技术实现步骤摘要】
一种图像对抗样本生成方法及装置


[0001]本专利技术涉及人工智能安全
，更具体的涉及一种图像对抗样本生成方法及装置
。

技术介绍

[0002]近年来，人工智能技术尤其是深度神经网络迅速发展，已经被广泛应用于图像分类，目标检测，自动驾驶等诸多领域
。
然而，对抗样本
(adversarial examples)
的出现使得人们对深度神经网络的安全性表现出担忧
。
通过在原始干净的图像添加一些特殊的扰动，深度神经网络就会给出错误的预测，这类添加了特殊扰动的图像称为对抗样本，生成对抗样本的方式称为对抗攻击
。
[0003]研究对抗攻击可以促进对对抗样本防御技术的发展，使得人工智能技术更加安全
。
同时，对抗样本的存在也暴露了深度神经网络的缺陷，对对抗样本的研究可以促进对深度神经网络的理解，在提高其鲁棒性方面有着重要的作用
。
[0004]根据攻击者能获取到的目标模型信息的多少，对抗攻击通常分为白盒攻击和黑盒攻击
。
白盒设置下，攻击者可以获取目标模型的全部信息，然后利用模型的输出以及梯度等信息更新对抗样本
。
黑盒设置下攻击者只能查询目标模型的输出，不能获取模型内部的信息
。
黑盒攻击可以分为查询攻击和迁移攻击，查询攻击是通过观察目标模型的输出标签来更新对抗样本，而迁移攻击则是基于对抗样本的迁移性而发展出来的一类攻击方法
。
[0005]对抗样本具有一定的迁移性，即针对已知模型进行白盒攻击生成的对抗样本也能成功攻击其他未知模型
。
由于现实世界中很难获取到要攻击的目标模型的信息，因此基于对抗样本的迁移性而发展出来的迁移攻击更具现实意义
。
迁移攻击可以进一步分为基于梯度优化的攻击和基于模型增强的攻击
。
基于梯度优化的攻击通过探索先进的梯度计算方法来稳定对抗样本的更新方向，避免落入局部最优，提高对抗样本的迁移性
。
基于模型增强的攻击通过对输入图像进行各种变换来模拟不同的模型，从而缓解对抗样本对代理模型的过拟合，提高迁移攻击的成功率
。
[0006]然而现有迁移攻击生成的对抗样本可迁移性较低，由于对代理模型过度拟合，导致在攻击目标模型时表现很差
。
另外基于模型增强的攻击对输入图像的变换大都局限于空间域，忽略了图像的频域变换，或者从两者结合的角度出发进行模型增强
。

技术实现思路

[0007]本专利技术实施例提供一种图像对抗样本生成方法及装置，用于解决现有方法生成的对抗样本对代理模型的过度拟合，提高迁移攻击场景下的攻击成功率
。
[0008]本专利技术实施例提供一种图像对抗样本生成方法，包括：
[0009]加载本地代理模型并读取需要攻击的初始图像，根据初始图像得到第
t
轮的对抗样本，确定所述对抗样本每个通道的缩放系数，根据所述对抗样本包括的每个通道和所述缩放系数得到空间域增强后的第一图像；
[0010]所述第一图像进行离散余弦变换转至得到所述第一图像对应的频域图像，根据丢弃区域的数量对所述频域图像包括的每个通道独立进行丢弃得到频域增强的第二图像；
[0011]所述第二图像通过逆离散余弦变换至空间域，得到经空间域增强和频域增强后的第三图像，根据所述本地代理模型的损失函数得到所述第三图像的梯度；
[0012]若第三图像的数量达到预设值，根据每个第三图像的梯度得到平均梯度，根据所述平均梯度更新动量梯度，根据所述更新动量梯度更新第
t
轮的对抗样本，得到更新对抗样本；
[0013]若迭代次数达到设定值则将所述更新对抗样本确定为最终对抗样本
。
[0014]优选地，所述第一图像通过下列公式进行离散余弦变换转至得到所述第一图像对应的频域图像：
[0015]DCT(x
sa
)
＝
Ax
sa
A
T
[0016]其中，
A
为正交矩阵，
A
T
为矩阵
A
的转置，
x
sa
表示第一图像，
DCT(x
sa
)
表示第一图像对应的频域图像
。
[0017]优选地，所述根据丢弃区域的数量对所述频域图像包括的每个通道独立进行丢弃得到频域增强的第二图像之前，还包括：
[0018]根据预设的丢弃比例
p
和丢弃区域大小
l
计算出要丢弃区域的数量
n
：
[0019]n
＝
(K2×
p)/l2[0020]其中，
K
表示初始图像的大小，每个丢弃区域的起始坐标
r
x
和
r
y
通过下列公式确定：
[0021]r
x
＝
Unif(0,K)
[0022]r
y
＝
Unif(0,K)。
[0023]优选地，根据下列公式确定第三图像的梯度：
[0024][0025]根据下列公式得到平均梯度：
[0026][0027]根据下列公式更新动量梯度：
[0028][0029]其中，
L
＝
(x,y
true
)
表示本地代理模型的损失函数，
x
ha
表示第三图像，
g
i
表示第三图像的梯度，表示平均梯度，
N
表示第三图像的数量，
g
t
表示第
t
个动量梯度，
g
t
‑1表示第
t
‑1个动量梯度，
μ
为衰减因子
。
[0030]优选地，根据下列公式得到更新对抗样本：
[0031][0032]其中，
sign(
·
)
为符号函数，为裁剪操作，表示第
t
轮的对抗样本，表示更新对抗样本，即第
t+1
轮对抗样本，
α
表示每次迭代的扰动步长
。
[0033]本专利技术实施例提供一种图像对抗样本生成装置，包括：
[0034]第一得到单元，用于加载本地代理模型并读取需要攻击的初始图像，根据初始图像得到第
t
轮的对抗样本，确定所述对抗样本每个通道的缩放系数，根据所述对抗样本包括的每个通道和所述缩放系数得到空间域增强后的第一图像；
[0035]第二得到单元，用于所述第一图像进行离散余弦变换转至得到所述第一图像对应的频域图像，根据丢弃区域的数量对所述频域图像包括的每个通道独立进行丢弃得到频域增强的第二图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种图像对抗样本生成方法，其特征在于，包括：加载本地代理模型并读取需要攻击的初始图像，根据初始图像得到第
t
轮的对抗样本，确定所述对抗样本每个通道的缩放系数，根据所述对抗样本包括的每个通道和所述缩放系数得到空间域增强后的第一图像；所述第一图像进行离散余弦变换转至得到所述第一图像对应的频域图像，根据丢弃区域的数量对所述频域图像包括的每个通道独立进行丢弃得到频域增强的第二图像；所述第二图像通过逆离散余弦变换至空间域，得到经空间域增强和频域增强后的第三图像，根据所述本地代理模型的损失函数得到所述第三图像的梯度；若第三图像的数量达到预设值，根据每个第三图像的梯度得到平均梯度，根据所述平均梯度更新动量梯度，根据所述更新动量梯度更新第
t
轮的对抗样本，得到更新对抗样本；若迭代次数达到设定值则将所述更新对抗样本确定为最终对抗样本
。2.
如权利要求1所述的方法，其特征在于，所述第一图像通过下列公式进行离散余弦变换转至得到所述第一图像对应的频域图像：
DCT(x
sa
)
＝
Ax
sa
A
T
其中，
A
为正交矩阵，
A
T
为矩阵
A
的转置，
x
sa
表示第一图像，
DCT(x
sa
)
表示第一图像对应的频域图像
。3.
如权利要求1所述的方法，其特征在于，所述根据丢弃区域的数量对所述频域图像包括的每个通道独立进行丢弃得到频域增强的第二图像之前，还包括：根据预设的丢弃比例
p
和丢弃区域大小
l
计算出要丢弃区域的数量
n
：
n
＝
(K2×
p)/l2其中，
K
表示初始图像的大小，每个丢弃区域的起始坐标
r
x
和
r
y
通过下列公式确定：
r
x
＝
Unif(0,K)r
y
＝
Unif(0,K)。4.
如权利要求1所述的方法，其特征在于，根据下列公式确定第三图像的梯度：根据下列公式得到平均梯度：根据下列公式更新动量梯度：其中，
L
＝
(x,y
true
)
表示本地代理模型的损失函数，
x
ha
表示第三图像，
g
i
表示第三图像的梯度，表示平均梯度，
N
表示第三图像的数量，
g
t
表示第
t
个动量梯度，
g
t
‑1表示第
t<...

【专利技术属性】
技术研发人员：王震，樊泽鹏，朱培灿，李晓宇，李学龙，
申请(专利权)人：西北工业大学，
类型：发明
国别省市：