CN109740615A - 一种对抗攻击样本扰动的去除方法 - Google Patents

一种对抗攻击样本扰动的去除方法 Download PDF

Info

Publication number
CN109740615A
CN109740615A CN201811632068.6A CN201811632068A CN109740615A CN 109740615 A CN109740615 A CN 109740615A CN 201811632068 A CN201811632068 A CN 201811632068A CN 109740615 A CN109740615 A CN 109740615A
Authority
CN
China
Prior art keywords
sparse coding
image
disturbance
image block
sparse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811632068.6A
Other languages
English (en)
Other versions
CN109740615B (zh
Inventor
王中元
何政
王光成
傅佑铭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN201811632068.6A priority Critical patent/CN109740615B/zh
Publication of CN109740615A publication Critical patent/CN109740615A/zh
Application granted granted Critical
Publication of CN109740615B publication Critical patent/CN109740615B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Image Processing (AREA)
  • Image Analysis (AREA)

Abstract

本发明针对深度学习模型防御对抗攻击的问题,公开了一种对抗攻击样本扰动的去除方法,通过建立L1,2混合范数稀疏编码模型,将含有对抗扰动信息的图像块分解到近邻样本构成的稀疏字典上,获得稀疏编码系数,再通过字典和稀疏系数的合成运算重构扰动去除的干净图像块。具体包括稀疏编码字典构造、图像块的稀疏编码、图像块的扰动去除等三个主要步骤。本发明能有效移除对抗攻击样本中的扰动而最大限度的保留原始图像特征,同时,本发明方法不依赖具体的深度学习模型,具有普适性强、运算快的优点。

Description

一种对抗攻击样本扰动的去除方法
技术领域
本发明属于人工智能技术领域,涉及一种深度学习对抗样本攻击的防御方法,具体涉及一种基于L1,2混合稀疏编码的对抗攻击样本扰动的去除方法。
技术背景
人工智能技术目前使用的算法与人类大脑的工作方式并不一样,人类能够借助某些伎俩来欺骗人工智能系统,比如在图像上叠加肉眼难以识别的修改,就可以欺骗主流的深度学习模型。这种经过修改的对机器具有欺骗能力而人类无法觉察出差别的样本被称为对抗样本(adversarial samples),机器接受对抗样本后做出的后续操作可能给无人驾驶之类智能无人系统造成灾难性后果。例如已有研究者构造出一个图片,在人眼看来是一个stop标志,但是在汽车看来是一个限速60的标志。当前学术界已经披露了几十种针对深度学习模型的对抗性攻击(adversarial attacks)手段,人工智能系统尤其是基于深度学习的智能系统的可靠性面临严峻挑战。
现有针对深度学习模型对抗攻击的防御手段主要包括4种类型。对抗性样本检测:发现具有潜在危险的对抗样本,并将他们排除在处理范围之内;鲁棒优化:设计能够对扰动(perturbation)的影响完全鲁棒的目标模型,正确预测样本的原始类标;对抗性训练:将对抗样本添加到训练集中进行针对性训练,从而增加预测模型的免疫力;扰动去除预处理:预处理输入样本以消除对抗性扰动。
前三种方法不仅实施困难,而且不能保证模型的迁移性,即针对一种深度学习模型制定的防御方法往往不能有效迁移到其他模型上。第四种方法具有更好的普适性,几乎适用于所有的深度学习模型,但是要求在移除扰动数据的同时不能破坏原有图像,这并非易事。部分学者目前尝试的一种基于JPEG压缩的方法就不能很好地对压缩质量和扰动消除能力进行折中平衡,在比较高的压缩比下尽管可以较彻底地去除扰动,但带来了图像质量的损失。因此,提出能保护原有图像质量的对抗攻击扰动去除方法具有重要的应用价值。
发明内容
自然界图像具有天然的局部自相似性(local self-similarity),即局部区域的图像内容(包括亮度、颜色、纹理结构等特征)高度相似;同时,自然图像也具有平滑稀疏的特点,图像内容具有空间上的连贯性,其结构模式符合人眼神经细胞稀疏感知的特点。反观对抗扰动信号,由于它们是根据一定攻击算法生成的随机噪声数据(如梯度攻击、生成对抗攻击、差分进化攻击等),明显不具有局部自相似性这种规律性的分布,也欠缺稀疏性和空间平滑性。因此,将含有扰动的图像数据投影到邻域样本构成的稀疏字典空间,将能可靠保有原始图像信息而去掉扰动噪声。基于这一原理,本发明开拓性地提出一种基于L1,2混合稀疏编码的对抗攻击样本扰动的去除方法。
本发明所采用的技术方案是:一种对抗攻击样本扰动的去除方法,其特征在于,包括以下步骤:
步骤1:对给定的观测图像块的邻域像素进行取样,构造由邻域样本组成的稀疏编码字典;
步骤2:针对稀疏编码字典,将图像块按L1,2混合范数稀疏编码模型投影到稀疏编码字典空间,求取最优稀疏编码系数;
步骤3:利用步骤2中得到的最优稀疏编码系数,重构原始图像块,获得扰动去除后的干净图像块;
步骤4:重复步骤1、2、3,直到所有图像块处理完毕。
与现有的对抗攻击样本的防御方法相比,本发明具有以下优点和积极效果:
(1)本发明基于随机扰动信号不具备局部自相似性和稀疏性的认识,将图像块投影到由邻域样本构成的稀疏编码字典空间,能有效去除扰动而最大限度的保留原始图像特征;
(2)作为一种前处理步骤,本发明方法适用于所有的深度学习模型,具有普适性强、运算快的优点。
附图说明
图1:本发明实施例的流程图。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施例对本发明作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
自然图像具有空间局部自相似性和统计稀疏性,而添加到对抗样本图像中的扰动信号尽管能量很弱,却不具备这两个特性。因此,可以根据真实图像数据和扰动数据在自相似性和稀疏性上的差异移除扰动攻击信号。对于局部自相似性的利用,围绕观测图像块进行取样,将取样的预测图像块构成一个邻域样本稀疏编码字典,作为稀疏编码的目标投影空间;对于稀疏性的利用,对投影系数施加L1,2混合范数的稀疏正则化约束。L1,2正则化结合了L1范数的稀疏性优点和L2范数的平滑性优点,相比经典的L1稀疏编码,有助于促进重构结果图像的连贯性。
请见图1,本发明提供的一种对抗攻击样本扰动的去除方法,包括以下步骤:
步骤1:对给定的观测图像块的邻域像素进行取样,构造由邻域样本组成的稀疏编码字典;
步骤1.1:对于任意一个K×K像素(本实施例取K=3)尺寸的观测图像块,围绕该图像块为中心,划定一个外接正方形邻域窗口,窗口的尺寸为N×N,N要比K大1倍以上(本实施例取N=8);
步骤1.2:从窗口中左上角的第一个像素开始,按照从上到下、从左到右的顺序,逐行逐列扫描,每扫描到一处,以该像素为起点,划分一个K×K尺寸的图像块作为预测图像块;
步骤1.3:重复步骤1.2,遍历整个窗口内的像素,排除观测图像块自身,得到(N×N-1)个预测图像块,将预测图像块按扫描顺序组合成邻域样本稀疏编码字典D。
此外,在稀疏编码字典构造过程,应考虑如下特殊情况的处理:
(1)当观测图像块处于图像边缘,所划定的外接正方形邻域窗口超出图像范围时,则对图像进行边缘扩展,以覆盖邻域窗口;
(2)当预测图像块超出图像范围时,同样对图像进行边缘扩展,以覆盖预测图像块。
图像边缘扩展可基于边缘镜像和像素重复两种方式。前者以边沿为中心,将图像内的像素对称复制到图像外;后者仅仅将边沿的像素重复外推到图像外。
步骤2:针对稀疏编码字典,将图像块按L1,2混合范数稀疏编码模型投影到稀疏编码字典空间,求取最优稀疏编码系数;
将图像块投影到稀疏编码字典上,得到一组稀疏编码系数。由于这是一个欠定方程问题,系数的解不唯一,故引入L1,2范数对解进行正则化,使其满足稀疏性和能量最小化双重约束。所构建的L1,2混合范数稀疏编码模型如下:
其中,B为待稀疏编码的图像块,D为上述步骤构造的稀疏编码字典,w为L1,2稀疏编码系数,λ1、λ2分别为稀疏和能量约束的正则化系数,通过实验确定;w*为优化得到的最佳稀疏编码系数。
步骤3:利用步骤2中得到的最优稀疏编码系数,重构原始图像块,获得扰动去除后的干净图像块;
由于添加到对抗样本图像上的扰动噪声不具备自然图像所具有的局部自相似性和稀疏性规律,所以投影空间上的稀疏编码系数将很少携带噪声信息,因而通过稀疏编码重构能有效去除图像块中的扰动攻击噪声。为此,采用如下公式通过稀疏编码字典合成产生:
其中,D为步骤1中构造的稀疏编码字典,w为步骤2中求取的最佳稀疏编码系数w*。
步骤4:重复步骤1、2、3,直到所有图像块处理完毕。
应当理解的是,本说明书未详细阐述的部分均属于现有技术。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。

Claims (5)

1.一种对抗攻击样本扰动的去除方法,其特征在于,包括以下步骤:
步骤1:对给定的观测图像块的邻域像素进行取样,构造由邻域样本组成的稀疏编码字典;
步骤2:针对稀疏编码字典,将图像块按L1,2混合范数稀疏编码模型投影到稀疏编码字典空间,求取最优稀疏编码系数;
步骤3:利用步骤2中得到的最优稀疏编码系数,重构原始图像块,获得扰动去除后的干净图像块;
步骤4:重复步骤1、2、3,直到所有图像块处理完毕。
2.根据权利要求1所述的对抗攻击样本扰动的去除方法,其特征在于,步骤1的具体实现包括以下子步骤:
步骤1.1:对于任意一个K×K像素尺寸的观测图像块,围绕该图像块为中心,划定一个外接正方形邻域窗口,窗口的尺寸为N×N,N要比K大1倍以上;
步骤1.2:从窗口中左上角的第一个像素开始,按照从上到下、从左到右的顺序,逐行逐列扫描,每扫描到一处,以该像素为起点,划分一个K×K尺寸的图像块作为预测图像块;
步骤1.3:重复步骤1.2,遍历整个窗口内的像素,排除观测图像块自身,得到(N×N-1)个预测图像块,将预测图像块按扫描顺序组合成邻域样本稀疏编码字典D。
3.根据权利要求1或2所述的对抗攻击样本扰动的去除方法,其特征在于,稀疏编码字典构造过程中:
(1)当观测图像块处于图像边缘,所划定的外接正方形邻域窗口超出图像范围时,则对图像进行边缘扩展,以覆盖邻域窗口;
(2)当预测图像块超出图像范围时,同样对图像进行边缘扩展,以覆盖预测图像块;
其中,图像边缘扩展采用基于边缘镜像和像素重复两种方式;边缘镜像方式以边沿为中心,将图像内的像素对称复制到图像外;像素重复方式仅仅将边沿的像素重复外推到图像外。
4.根据权利要求2所述的对抗攻击样本扰动的去除方法,其特征在于:步骤2中的L1,2混合范数稀疏编码模型满足稀疏性和能量最小化双重约束,L1,2混合范数稀疏编码模型为:
其中,B为待稀疏编码的图像块,D为步骤1中构造的稀疏编码字典,w为L1,2稀疏编码系数,λ1、λ2分别为稀疏和能量约束的正则化系数,通过实验确定;w*为优化得到的最佳稀疏编码系数。
5.根据权利要求2所述的对抗攻击样本扰动的去除方法,其特征在于:步骤3中重构图像块须得保留真实图像特征而去掉扰动信息,为此,采用如下公式通过稀疏编码字典合成产生:
其中,D为步骤1中构造的稀疏编码字典,w为步骤2中求取的最佳稀疏编码系数w*。
CN201811632068.6A 2018-12-29 2018-12-29 一种对抗攻击样本扰动的去除方法 Active CN109740615B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811632068.6A CN109740615B (zh) 2018-12-29 2018-12-29 一种对抗攻击样本扰动的去除方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811632068.6A CN109740615B (zh) 2018-12-29 2018-12-29 一种对抗攻击样本扰动的去除方法

Publications (2)

Publication Number Publication Date
CN109740615A true CN109740615A (zh) 2019-05-10
CN109740615B CN109740615B (zh) 2023-04-07

Family

ID=66362121

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811632068.6A Active CN109740615B (zh) 2018-12-29 2018-12-29 一种对抗攻击样本扰动的去除方法

Country Status (1)

Country Link
CN (1) CN109740615B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110321790A (zh) * 2019-05-21 2019-10-11 华为技术有限公司 一种对抗样本的检测方法及电子设备
CN110674836A (zh) * 2019-08-06 2020-01-10 厦门大学 一种基于生成网络的稀疏对抗样本生成方法
CN110751049A (zh) * 2019-09-20 2020-02-04 浙江工业大学 一种面向信号采样梯度攻击的防御方法
CN112132155A (zh) * 2019-06-25 2020-12-25 珠海市一微半导体有限公司 基于硬件电路的sift算法图像边界扩充方法和处理方法
CN112163616A (zh) * 2020-09-25 2021-01-01 电子科技大学 一种局部稀疏约束变换rcs序列特征提取方法
CN112464230A (zh) * 2020-11-16 2021-03-09 电子科技大学 基于神经网络中间层正则化的黑盒攻击型防御系统及方法
CN112507338A (zh) * 2020-12-21 2021-03-16 华南理工大学 一种基于深度学习语义分割算法的改进系统
CN113888433A (zh) * 2021-10-09 2022-01-04 央视国际网络无锡有限公司 一种基于超完备稀疏编码的图像噪声的估计方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050025337A1 (en) * 2003-07-29 2005-02-03 Wei Lu Techniques and systems for embedding and detecting watermarks in digital data
CN103218791A (zh) * 2013-05-05 2013-07-24 西安电子科技大学 基于稀疏自适应字典的图像去噪方法
CN103745465A (zh) * 2014-01-02 2014-04-23 大连理工大学 一种稀疏编码背景建模方法
CN104243837A (zh) * 2014-08-28 2014-12-24 浙江大学 基于单次曝光视频重建的颤振探测和遥感图像恢复方法
CN106295609A (zh) * 2016-08-22 2017-01-04 河海大学 基于块稀疏结构低秩表示的单样本人脸识别方法
CN106972862A (zh) * 2017-03-21 2017-07-21 南开大学 基于截断核范数最小化的组稀疏压缩感知图像重构方法
CN107680120A (zh) * 2017-09-05 2018-02-09 南京理工大学 基于稀疏表示和转移受限粒子滤波的红外小目标跟踪方法
CN108537271A (zh) * 2018-04-04 2018-09-14 重庆大学 一种基于卷积去噪自编码机防御对抗样本攻击的方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050025337A1 (en) * 2003-07-29 2005-02-03 Wei Lu Techniques and systems for embedding and detecting watermarks in digital data
CN103218791A (zh) * 2013-05-05 2013-07-24 西安电子科技大学 基于稀疏自适应字典的图像去噪方法
CN103745465A (zh) * 2014-01-02 2014-04-23 大连理工大学 一种稀疏编码背景建模方法
CN104243837A (zh) * 2014-08-28 2014-12-24 浙江大学 基于单次曝光视频重建的颤振探测和遥感图像恢复方法
CN106295609A (zh) * 2016-08-22 2017-01-04 河海大学 基于块稀疏结构低秩表示的单样本人脸识别方法
CN106972862A (zh) * 2017-03-21 2017-07-21 南开大学 基于截断核范数最小化的组稀疏压缩感知图像重构方法
CN107680120A (zh) * 2017-09-05 2018-02-09 南京理工大学 基于稀疏表示和转移受限粒子滤波的红外小目标跟踪方法
CN108537271A (zh) * 2018-04-04 2018-09-14 重庆大学 一种基于卷积去噪自编码机防御对抗样本攻击的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
FAISAL M ET AL: "《Unsupervised Reverse Domain Adaptation for Synthetic Medical Images via Adversarial Training》", 《IEEE》 *
胡育铭: "《基于深度残差学习去噪的D-D模型对抗样本防御的研究》", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110321790A (zh) * 2019-05-21 2019-10-11 华为技术有限公司 一种对抗样本的检测方法及电子设备
WO2020233564A1 (zh) * 2019-05-21 2020-11-26 华为技术有限公司 一种对抗样本的检测方法及电子设备
CN110321790B (zh) * 2019-05-21 2023-05-12 华为技术有限公司 一种对抗样本的检测方法及电子设备
CN112132155A (zh) * 2019-06-25 2020-12-25 珠海市一微半导体有限公司 基于硬件电路的sift算法图像边界扩充方法和处理方法
CN112132155B (zh) * 2019-06-25 2022-06-14 珠海一微半导体股份有限公司 基于硬件电路的sift算法图像边界扩充方法和处理方法
CN110674836A (zh) * 2019-08-06 2020-01-10 厦门大学 一种基于生成网络的稀疏对抗样本生成方法
CN110674836B (zh) * 2019-08-06 2024-03-22 厦门大学 一种基于生成网络的稀疏对抗样本生成方法
CN110751049B (zh) * 2019-09-20 2022-04-29 浙江工业大学 一种面向信号采样梯度攻击的防御方法
CN110751049A (zh) * 2019-09-20 2020-02-04 浙江工业大学 一种面向信号采样梯度攻击的防御方法
CN112163616A (zh) * 2020-09-25 2021-01-01 电子科技大学 一种局部稀疏约束变换rcs序列特征提取方法
CN112464230B (zh) * 2020-11-16 2022-05-17 电子科技大学 基于神经网络中间层正则化的黑盒攻击型防御系统及方法
CN112464230A (zh) * 2020-11-16 2021-03-09 电子科技大学 基于神经网络中间层正则化的黑盒攻击型防御系统及方法
CN112507338A (zh) * 2020-12-21 2021-03-16 华南理工大学 一种基于深度学习语义分割算法的改进系统
CN112507338B (zh) * 2020-12-21 2023-02-14 华南理工大学 一种基于深度学习语义分割算法的改进系统
CN113888433A (zh) * 2021-10-09 2022-01-04 央视国际网络无锡有限公司 一种基于超完备稀疏编码的图像噪声的估计方法

Also Published As

Publication number Publication date
CN109740615B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
CN109740615A (zh) 一种对抗攻击样本扰动的去除方法
CN107194904A (zh) 基于增补机制和pcnn的nsct域图像融合方法
CN103903261B (zh) 一种基于分块压缩感知的光谱图像处理方法
CN109544442A (zh) 基于双重对抗的生成式对抗网络的图像局部风格迁移方法
CN115019097B (zh) 基于图像预处理的对抗样本防御方法
CN115936985A (zh) 一种基于高阶退化循环生成对抗网络的图像超分辨率重建方法
CN103336942A (zh) 一种基于Radon BEMD变换的国画鉴定方法
CN116193041B (zh) 一种基于多稳态忆阻器与四维混沌神经网络的图像加密方法
Bose et al. Two headed dragons: Multimodal fusion and cross modal transactions
CN115331079A (zh) 一种面向多模态遥感图像分类网络的对抗攻击方法
Yang et al. Research on digital camouflage pattern generation algorithm based on adversarial autoencoder network
Ankile et al. Denoising diffusion probabilistic models as a defense against adversarial attacks
CN109360231B (zh) 基于分形深度卷积生成对抗网络的海冰遥感图像仿真方法
CN116452918A (zh) 基于小波变换与注意力机制的对抗样本恢复方法及系统
Chen et al. Point cloud attribute compression via successive subspace graph transform
Ali et al. Image denoising with color scheme by using autoencoders
CN106408565A (zh) 一种弹载图像质量评价方法
CN111738939B (zh) 一种基于半训练生成器的复杂场景图像去雾方法
de Leeuw et al. Performance evaluation of several adaptive speckle filters for SAR imaging
CN115082288B (zh) 基于偏微分方程启发的sar图像到光学图像的转换方法
CN111260570B (zh) 基于循环一致性对抗网络的碑帖二值化背景噪声模拟方法
Wang et al. Frequency domain fusion algorithm of infrared and visible image based on compressed sensing for video surveillance forensics
CN103345754A (zh) 基于皮层神经元视觉方向响应的图像边缘检测方法
Zhang et al. A method to create training dataset for dehazing with cyclegan
Bu et al. A backbone extraction method with local search for complex weighted networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant