System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本专利技术涉及一种基于频域特征重要感知的可迁移对抗攻击方法,属于人工智能图像安全的。
技术介绍
1、目前,深度神经网络在计算机视觉任务中取得了显著的成功,但现有技术也存在深度神经网络对对抗图像的脆弱性缺陷。深度学习已经被发现可以通过不同的策略实现对抗攻击。这些方法在感知质量和攻击效果上不断改进。通过在自然图像上添加人类难以觉察的扰动就可以很容易骗过分类器。这使得深度神经网络在自动驾驶、医疗诊断、人脸识别等安全敏感的现实应用中具有局限性。因此,必须设计有效的攻击算法来识别神经网络的缺陷是提高其安全性能的第一步。
2、根据攻击者的知识,对抗攻击可以分为白盒攻击和黑盒攻击。白盒攻击中,攻击者可以访问受害模型,对受害模型的架构和参数是已知的。因此,攻击者可以针对受害模型的输入,输出和中间梯度等直接生成对抗图像。然而,在现实应用中,模型通常不会直接暴露给用户,攻击者不可能获得受害模型的所有知识。相比于白盒攻击,黑盒攻击的攻击者只能通过输入信息获取受害模型的输出结果,对受害模型的架构和参数均为未知。黑盒攻击主要分为基于查询和基于迁移两种方法。而基于查询的黑盒攻击需要对受害模型进行大量的查询,容易引起模型拥有者的怀疑。基于迁移的黑盒攻击无需对受害模型具有任何先验知识。攻击者通过替代模型生成跨模型可迁移的对抗图像,然后将其输入到受害模型进行攻击。因此,可迁移黑盒攻击更加实用。然而,在可迁移黑盒攻击中,替代模型和受害模型的架构通常差距很大,在替代模型上生成的对抗图像可能会陷入模型最优,导致低可迁移性。
技术
1、本专利技术的目的在于,根据当前深度神经网络安全性问题,提出一种基于频域特征重要感知的可迁移对抗攻击方法,能够在不影响人眼感知的情况下,更新图像的频域信息进行图像特征转换,实现高可迁移的对抗攻击。
2、本专利技术的原理在于,在可迁移黑盒攻击中,替代模型和受害模型的架构通常差距很大,在替代模型上计算生成的对抗图像可能会陷入模型最优,导致低可迁移性。在分类过程中,模型倾向于提取图像中的任何特征以实现分类,关键特征和噪声特征被同等对待,以支持最终决策。考虑到最关键的特征在不同的网络模型之间共享,而噪声特征往往是特定于模型的。另外,图像和其他信号一样,既能在空间域(简称空域)处理,也能在频率域(简称频域)处理。把图像信息从空域变换到频域,能够轻易的将图像关键信息和细节信息区分开,有利于捕获图像关键特征并能在攻击优化过程中对图像像素扰动降到最低。因此,本专利技术采用了一种基于频域特征重要感知的可迁移对抗攻击。利用聚合梯度表示深度神经网络对图像特征的重要感知度,由重要感知度区分关键特征和噪声特征,通过扰动图像频域信息破坏高感知的关键特征,实现高可迁移攻击。具体而言,对原始图像的频域信息进行随即变换;利用替代模型计算变换后图像的聚合梯度;使聚合梯度作为原始图像特征层的权重区分替代模型对图像特征的重要感知度,利用图像特征的重要感知度损失对图像频域信息迭代优化以生成对抗图像。
3、本专利技术的技术方案在于,基于图像空域-频域转换方法及特征转换对抗攻击方法,详细的技术方案如下:
4、对图像使用离散余弦变换,即dct,能将图像从空域转换到频域,并能使用逆离散余弦变换,即idct,将频域信息转换为空域信息,这是一对互逆变换,dct和idct都不会损失图像信息;dct变换将图像的能量集中在频域的低频部分,高频部分只包含一些人眼不太敏感的细节信息。对高频信息进行随机掩码实现梯度聚合,能够突显出图像的关键特征,关键特征被不同模型所共享,攻击关键特征可以提升对抗攻击的可迁移性;在频域上进行优化更新,生成对抗频域图,依据频域信息能量集中和频域对抗攻击可以避免加入冗余噪声,对图像扰动影响更微小的特点,能够提升对抗图像在像素空间的平滑度和人眼不可觉察性;因此,本专利提出将频域信息作为一个技术方案,能够提升对抗攻击的人眼不可觉察性和可迁移性。
5、另外,相比于预测结果,利用模型中间特征层能够实现更高迁移性的对抗攻击。通过使用特征转换的技术方案实现对抗攻击,替代模型的特征提取层输出图像的特征图,使用模型预测结果的损失计算中间特征层的梯度,根据梯度取值大小区分对模型决策具有关键作用的特征。抑制这些关键特征,激励非关键特征使图像特征发生转变,从而导致深度神经网络的特征提取层所提取出的图像特征为与图像真实标签无关的非关键特征,实现高可迁移的对抗攻击。
6、特征转换方法与频域变换方法相结合,能够有效提升对抗攻击效果。本专利所提出的基于频域特征重要感知的可迁移对抗攻击过程的详细步骤如下:
7、步骤1、首先将原始图像x进行dct变换,获取频域系数矩阵,用d(·)表示dct变换,使原始图像x转换为频域信息d(x);对图像频域信息d(x)随机变换,在频域变换时保留表示空间结构和一般纹理的低频信息,对表示细节的高频信息部分实现随机变换,生成一组共s张的随机变换后的频域图像[d(x)′1,d(x)′2,...,d(x)′s],然后将此组频域图像[d(x)′1,d(x)′2,...,d(x)′s]进行idct变换(用表示)转换为一组空域图像[x′1,x′2,...,x′s]。其中,且(1≤i≤s)。idct变换并不会损失图像信息,空域信息与频域信息只是图像信息的两种表现形式;
8、步骤2、计算步骤1中变换后的一组空域图像[x′1,x′2,...,x′s]在替代模型ft(·)的特征层上的聚合梯度δ。将此组空域图像[x′1,x′2,...,x′s]中的每一张图像x′i(1≤i≤s)输入替代模型ft(·)获取预测概率ft(x′i),计算预测概率ft(x′i)与正确分类y的损失其中,表示预测值与真实值之间的交叉熵损失;
9、通过损失计算在替代模型第k层特征层的梯度,聚合梯度表示为此组图像在第k层特征层的梯度的平均值δ;计算公式如下:
10、
11、
12、其中,y为原始图像x的正确分类标签,表示替代模型ft(·)第k层特征层的输出。第k层特征层表示替代模型中用于提取图像特征的第k层卷积层,k为可调整参数常量,根据攻击效果选取最优参数;
13、图像的关键特征对于频域随机变换是具有鲁棒性的,但是图像非关键特征容易受到频域随机变换的影响;通过一组频域随机变换图像的聚合梯度(累加和取均值运算)能够突出显示出关键特征,而其他非关键特征则被中和。因此,这种方法可以有效提取出图像的关键特征;
14、步骤3、将对抗图像频域信息d(xadv)初始化为原始图像频域信息d(x);
15、步骤4、将图像频域信息d(xadv)经idct变换转换为空域对抗图xadv后,输入替代模型ft(·),获取在第k层特征层输出的特征图将聚合梯度δ作为权重与特征图进行哈达玛积运算,对图像特征重要性进行区分,并将特征值重要度作为对抗图像的损失通过反向梯度生成频域图像上的噪声,更新频域图像d(xadv),计算公式如下:
16、
17、
本文档来自技高网...
【技术保护点】
1.基于频域特征重要感知的可迁移对抗攻击方法,其特征在于:
2.根据权利要求1所述的基于频域特征重要感知的可迁移对抗攻击方法,其特征在于,详细步骤如下:
【技术特征摘要】
1.基于频域特征重要感知的可迁移对抗攻击方法,其特征在于:
2.根据权...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。