【技术实现步骤摘要】
本专利技术涉及人工智能安全领域,具体地,涉及一种基于风格迁移技术的对抗样本生成方法和系统。
技术介绍
1、随着深度学习的发展,深度神经网络的安全逐渐成为了人工智能安全问题中的研究重点。尽管深度神经网络在图像分类和目标检测等各种计算机视觉任务中表现出色,但它们很容易受到称为对抗性样本的恶意制作的输入的影响。这些对抗性样本是通过优化难以察觉的扰动来生成的,以误导模型做出错误的预测。而且,这些样本往往可以在模型之间转移,这种独特的特征允许对手在不知道其内部的情况下尝试对黑盒模型进行对抗攻击。因此,开发一种新型的关于对抗攻击的样本生成方法至关重要,因为它可以帮助服务提供商为这些即将到来的风险做出准备,并评估其模型的稳健性。
2、深度神经网络不仅能编码图像的内容,还能编码图像的风格信息。此外,图像的风格和内容在某种程度上是可以分离的。各种风格迁移技术逐渐运用到了生成对抗样本的过程中,风格迁移可以改变一幅图像的风格,使其与另一幅的风格相匹配。现有的与风格迁移技术相关的生成对抗样本的方法在对图片进行优化过程中都没有区分风格和内容特征,导致生成对抗样本的迁移成功率不高,这可能会降低攻击的可迁移性。
技术实现思路
1、本专利技术为克服上述现有技术存在的对抗攻击的生成对抗样本的迁移成功率不高的问题,提出一种基于风格迁移技术的对抗样本生成方法和系统,能够更好的生成高质量的对抗样本,提高对抗攻击迁移的成功率。
2、为解决上述技术问题,本专利技术的技术方案如下:
3、s1
4、s2:基于所述任意现有的图像分类模型构建基础模型,基于所述基础模型构建风格化基础模型;
5、s3:对所述原始图像进行预处理,获得预处理后的图像;
6、s4:将所述预处理后的图像输入所述基础模型,获得基础模型梯度;
7、s5:从原始图像中任选一张图像作为风格图像输入风格化基础模型,获得风格化模型;
8、s6:将所述预处理后的图像输入风格化模型中,获得风格化模型梯度;
9、s7:重复步骤s5-s6,当达到预设重复次数时,将基础模型梯度和所有风格化模型梯度相加获得组合梯度,利用组合梯度得到最终梯度;
10、s8:利用最终梯度对预处理后的图像进行更新,获得更新后的图像;
11、s9:将更新后的图像作为新的预处理后的图像,重复步骤s4-s9,当达到预设迭代次数后,将最终更新后的图像作为最终对抗样本。
12、优选地,所述s2中,基于所述任意现有的图像分类模型构建基础模型包括:
13、获取任意一个现有的图像分类模型,所述图像分类模型包括m个卷积层和n个全连接层。
14、向该现有的图像分类模型输入尺寸为a*b的图像,经第i个卷积层输出的特征图的尺寸为ai*bi;当ai<1/8a或bi<1/8b时,在第i个卷积层后加入一个特征混合层,i=1,2,…,m;并且在每个全连接层后均加入一个特征混合层,获得基础模型。
15、优选地,所述s2中,基于所述基础模型构建风格化基础模型包括:
16、所述构建的基础模型包括l个网络层,在位于前2/3l的任意相邻的两个网络层之间加入一个自适应实例归一化层,获得风格化基础模型。
17、优选地,在将所述预处理后的图像输入所述基础模型前,还需向所述基础模型输入内容图像,并将该内容图像的内容特征存储在每个特征混合层中;所述预处理后的图像输入所述基础模型时,每个特征混合层将内容特征与预处理后的图像的特征进行随机混合。
18、优选地,所述自适应实例归一化层的定义为:
19、
20、其中,x是一个预处理后的图像,y为风格图像,μ是均值,σ是方差。
21、优选地,所述s3中,对所述原始图像进行预处理,获得预处理后的图像包括:对原始图像进行标签不变的随机可微变换,所述随机可微变换包括随机调整大小、随机填充、随机裁剪和随机旋转的一种或多种。
22、优选地,所述s7中,预设重复次数从[6,12]中随机采样。
23、优选地,所述s7中,利用组合梯度得到最终梯度具体为:
24、
25、其中,gt为第t次迭代的最终梯度,gt-1为第t-1次迭代的最终梯度,为第t次迭代的组合梯度,t为迭代次序;当t=1时g0=0,η为衰减因子,从[0.6,0.8]中随机采样,表示的l1范数,即中所有元素的绝对值之和。
26、优选地,所述s8中,利用最终梯度对预处理后的图像进行更新,获得更新后的图像具体为:
27、xadv=x+α*sign(gt)
28、其中,xadv为更新后的图像,x为预处理后的图像,gt为第t次迭代的最终梯度,α=1/2∈,sign是符号函数,∈为最大扰动,更新后的图像与预处理后的图像满足:
29、||xadv-x||∞≤∈
30、其中,||·||∞表示无穷范数,也叫做l∞范数,它表示向量中所有元素的绝对值的最大值。
31、本专利技术还提供了一种基于风格迁移技术的对抗样本生成系统,用于实现上述生成方法,包括:
32、数据获取模块,用于获取原始图像和任意现有的图像分类模型;
33、模型构建模块,用于基于所述任意现有的图像分类模型构建基础模型,基于所述基础模型构建风格化基础模型;
34、预处理模块,用于对所述原始图像进行预处理,获得预处理后的图像;
35、基础模型梯度计算模块,用于将所述预处理后的图像输入所述基础模型,获得基础模型梯度;
36、风格化模型确定模块,用于从原始图像中任选一张图像作为风格图像输入风格化基础模型,获得风格化模型;
37、风格化模型梯度计算模块,用于将所述预处理后的图像分别输入风格化模型中,获得风格化模型梯度;
38、最终梯度计算模块,用于返回风格化模型确定模块,当达到预设重复次数时,将基础模型梯度和所有风格化模型梯度相加获得组合梯度,利用组合梯度得到最终梯度;
39、图像更新模块,用于利用最终梯度对预处理后的图像进行更新,获得更新后的图像;
40、对抗样本生成模块,用于将更新后的图像作为新的预处理后的图像,返回基础模型梯度计算模块;当达到预设迭代次数后,将最终更新后的图像作为最终对抗样本。
41、与现有技术相比,本专利技术技术方案的有益效果是:
42、本专利技术提出的一种基于风格迁移技术的对抗样本生成方法和系统,首先获取原始图像和任意现有的图像分类模型,基于图像分类模型构建基础模型,基于基础模型进一步构建风格化基础模型;之后对原始图像进行预处理,将预处理后的图像输入所述基础模型,获得基础模型梯度;然后从原始图像中任选一张图像作为风格图像输入风格化基础模型获得风格化模型,将预处理后的图像输入风格化模型中,获得风格化模型梯度,重复多次,本文档来自技高网...
【技术保护点】
1.一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述S2中,基于所述任意现有的图像分类模型构建基础模型包括:
3.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述S2中,基于所述基础模型构建风格化基础模型包括:
4.根据权利要求2所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,在将所述预处理后的图像输入所述基础模型前,还需向所述基础模型输入内容图像,并将该内容图像的内容特征存储在每个特征混合层中;所述预处理后的图像输入所述基础模型时,每个特征混合层将内容特征与预处理后的图像的特征进行随机混合。
5.根据权利要求3所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述自适应实例归一化层的定义为:
6.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述S3中,对所述原始图像进行预处理,获得预处理后的图像包括:对原始图像进行标签不变的随机可微变换,所述随机可
7.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述S7中,预设重复次数从[6,12]中随机采样。
8.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述S7中,利用组合梯度得到最终梯度具体为:
9.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述S8中,利用最终梯度对预处理后的图像进行更新,获得更新后的图像具体为:
10.一种基于风格迁移技术的对抗样本生成系统,其特征在于,用于实现权利要求1-9任一项所述的方法,所述系统包括:
...【技术特征摘要】
1.一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述s2中,基于所述任意现有的图像分类模型构建基础模型包括:
3.根据权利要求1所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述s2中,基于所述基础模型构建风格化基础模型包括:
4.根据权利要求2所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,在将所述预处理后的图像输入所述基础模型前,还需向所述基础模型输入内容图像,并将该内容图像的内容特征存储在每个特征混合层中;所述预处理后的图像输入所述基础模型时,每个特征混合层将内容特征与预处理后的图像的特征进行随机混合。
5.根据权利要求3所述的一种基于风格迁移技术的对抗样本生成方法,其特征在于,所述自适应实例归一化层的定义为:
6....
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。