System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术涉及计算极视觉的图像识别,尤其涉及一种基于空域映射与频域加性扰动的对抗样本生成方法及装置。
技术介绍
1、ai模型是否具有鲁棒性,是它能否真正实际应用的关键。因此,深度学习模型的设计已作为一种最重要的设计指标。ai模型的鲁棒可以理解为模型对数据变化的容忍度。假设数据偏差只对模型输出产生较小的影响,则称模型是鲁棒的。
2、对抗训练可以有效提升模型的鲁棒性,而对抗训练的关键在于对抗样本的攻击成功率。对抗攻击(adversarial attack)是ai安全方向的重要分支,其核心逻辑是在数据中增加一些微小扰动,在人类视觉系统无法察觉的情况下,使得算法模型对这些数据产生误判。在计算机视觉领域,由于这种人类视觉感知的特殊性,对抗样本所带来的安全性问题是极其严峻的。除了计算机视觉领域,研究者还发现对抗样本对于自然语言处理、语音识别等不同领域,统计机器学习、深度学习、强化学习等不同类型的人工智能算法和系统,都能够产生很强的迷惑性和攻击性,可以在没有目标模型具体信息的条件下进行黑盒攻击。更为重要的是,对抗样本不仅仅存在于实验室研究的数字环境中,其在真实世界中也同样具有很强的攻击能力。例如:自动驾驶、人脸识别、机器人导航、自动零售、目标检测等。
3、传统的对抗样本生成算法大多是单独扰动图像像素,即加性扰动,如fgsm(fastgradient sign method),pgd(projected gradient descent)等,这类算法生成的图像的视觉质量偏低,并且由于涉及大量的梯度计算,速度也偏慢。
>技术实现思路
1、本专利技术通过提供一种基于空域映射与频域加性扰动的对抗样本生成方法与装置,解决了现有技术中在为图像中的像素点添加扰动时,容易被察觉后导致的图像失真,实现了像素在每个维度的扰动都不超过预设值,且将中间图像转化至频域空间,可以更系统地修改频域中的能量,减少了像素级的冗余噪声,从而导致更隐蔽的攻击。
2、第一方面,本专利技术提供了一种基于空域映射与频域加性扰动的对抗样本生成方法,该方法包括:
3、获取原始图像;
4、对所述原始图像上的像素点添加空域映射扰动函数,得到第一样本图像;其中,所述第一样本图像服从第一目标函数,且所述第一样本图像从服扰动约束;
5、将所述第一样本图像映射至频域空间,并添加频域加性扰动,得到对抗样本频带;其中,所述对抗样本频带服从第二目标函数,且所述对抗样本频带服从频域扰动约束;
6、将所述对抗样本频带转换为对抗样本图像。
7、结合第一方面,在一种可能的实现方式中,所述扰动约束,具体包括:单个像素点扰动约束和相邻像素点扰动约束;
8、所述单个像素点扰动约束,具体包括:所述第一样本图像上的每个像素点的扰动小于或者等于第一阈值;
9、所述相邻像素点扰动约束,具体包括:所述第一样本图像上的相邻像素点的像素映射值的差值小于或者等于第二阈值。
10、结合第一方面,在一种可能的实现方式中,在对所述原始图像上的像素点添加空域映射扰动函数之前,还包括:
11、定义网格与参数,且所述网格上的点格经过函数运算与所述参数一一对应;
12、确定所述原始图像与所述网格上点格的对应关系,若所述原始图像上的像素点在所述网格上,则根据所述函数计算所述像素点对应的所述像素点映射值;若所述原始图像上的像素点不在所述网格上,则根据三线性差值计算所述像素点映射值。
13、结合第一方面,在一种可能的实现方式中,所述对所述原始图像上的像素点添加空域映射扰动函数,得到第一样本图像,具体包括:
14、将所述原始图像经过所述空域映射扰动函数,得到中间图像;
15、根据所述中间图像以及所述第一目标函数,当所述第一目标函数收敛,得到所述第一样本图像。
16、结合第一方面,在一种可能的实现方式中,所述第一目标函数具体表示为:
17、
18、其中,表示经过所述扰动函数后的所述原始图像;表示分类过程中的损失函数;f表示所述扰动函数;x表示所述原始图像上的像素点;λ表示常数;表示平滑函数约束。
19、结合第一方面,在一种可能的实现方式中,所述第二目标函数,具体表示为:
20、
21、其中,表示损失函数;表示离散余弦变换;表示扰动添加函数;表示中间图像的离散余弦变换;θ表示参数;ygt表示目标。
22、结合第一方面,在一种可能的实现方式中,所述频域扰动约束,具体包括:单个频带约束和相邻频带约束;
23、所述单个频带约束,具体包括:利用自适应补充约束矩阵,约束所述对抗样本频带的比例小于或者等于第三阈值;
24、所述相邻频带约束,具体包括:中间图像的离散余弦变换图像与所述对抗样本频带对应的对抗样本图像的差值小于第四阈值。
25、第二方面,本专利技术提供了一种基于空域映射与频域加性扰动的对抗样本生成方法装置,该装置包括:
26、图像获取模块,用于获取原始图像;
27、空域扰动模块,用于对所述原始图像上的像素点添加空域映射扰动函数,得到第一样本图像;其中,所述第一样本图像服从第一目标函数,且所述第一样本图像从服扰动约束;
28、频域扰动模块,用于将所述第一样本图像映射至频域空间,并添加频域加性扰动,得到对抗样本频带;其中,所述对抗样本频带服从第二目标函数,且所述对抗样本频带服从频域扰动约束;
29、输出模块,用于将所述对抗样本频带转换为对抗样本图像。
30、第三方面,本专利技术提供了一种基于空域映射与频域加性扰动的对抗样本生成服务器,该服务器包括存储器和处理器;
31、所述存储器用于储存计算机可执行指令;
32、所述处理器用于执行所述计算机可执行指令,以实现任一项所述的基于空域映射与频域加性扰动的对抗样本生成方法。
33、第四方面,本专利技术提供了一种计算机可读存储介质,所述计算机可读存储介质有可执行指令,计算机执行所述可执行指令时能够实现任一项所述的基于空域映射与频域加性扰动的对抗样本生成方法。
34、本专利技术中提供的一个或多个技术方案,至少具有如下技术效果或优点:
35、(1)空域中的扰动不明显,从而允许进行更大的修改,利用扰动约束以确保即使是大的变化也是不可察觉的,同时,相似的特征会朝着相同的方向扰动,确保图像不失真。
36、(2)低频区域与占大部分能量的图像内容有关,而高频区域与图像的边缘和纹理信息有关,本专利技术将中间图像转化至频域空间,可以更系统地修改频域中的能量,与传统攻击相比,本专利技术将扰动隐藏在频带中,并减少了像素级的冗余噪声,从而导致更隐蔽的攻击。
37、(3)映射攻击和频域攻击的结合可以使攻击成功率更高,且产生的对抗样本均不属于任何单独一种的攻击方法,并且隐蔽性也更好。
本文档来自技高网...【技术保护点】
1.一种基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,包括:
2.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述扰动约束,具体包括:单个像素点扰动约束和相邻像素点扰动约束;
3.根据权利要求2所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,在对所述原始图像上的像素点添加空域映射扰动函数之前,还包括:
4.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述对所述原始图像上的像素点添加空域映射扰动函数,得到第一样本图像,具体包括:
5.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述第一目标函数具体表示为:
6.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述第二目标函数,具体表示为:
7.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述频域扰动约束,具体包括:单个频带约束和相邻频带约束;
8.一种基于空域
9.一种基于空域映射与频域加性扰动的对抗样本生成服务器,其特征在于,包括存储器和处理器;
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质有可执行指令,计算机执行所述可执行指令时能够实现如权利要求1-7任一项所述的基于空域映射与频域加性扰动的对抗样本生成方法。
...【技术特征摘要】
1.一种基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,包括:
2.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述扰动约束,具体包括:单个像素点扰动约束和相邻像素点扰动约束;
3.根据权利要求2所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,在对所述原始图像上的像素点添加空域映射扰动函数之前,还包括:
4.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述对所述原始图像上的像素点添加空域映射扰动函数,得到第一样本图像,具体包括:
5.根据权利要求1所述的基于空域映射与频域加性扰动的对抗样本生成方法,其特征在于,所述第一目标函数具体...
【专利技术属性】
技术研发人员:张海宾,王海涛,王冰,吕敏杰,周相南,杨学武,唐舒楠,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。