CN109784411A - 对抗样本的防御方法、装置、系统及存储介质 - Google Patents
对抗样本的防御方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN109784411A CN109784411A CN201910062477.5A CN201910062477A CN109784411A CN 109784411 A CN109784411 A CN 109784411A CN 201910062477 A CN201910062477 A CN 201910062477A CN 109784411 A CN109784411 A CN 109784411A
- Authority
- CN
- China
- Prior art keywords
- data
- initial data
- feature vector
- sample
- resisting sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Image Analysis (AREA)
Abstract
本发明提供一种对抗样本的防御方法、装置、系统及存储介质,所述方法包括:获取待处理的原始数据;获取用于表征所述原始数据特征的特征向量;将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据;在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。通过将待处理数据的特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,继而能够判断待处理数据是否是对抗样本,防止对抗样本输入到识别系统,以确保识别系统能正确处理输入数据而不被干扰和破坏。
Description
技术领域
本发明涉及安全技术领域,具体而言,涉及一种对抗样本的防御方法、装置、系统及存储介质。
背景技术
对抗样本是指正常样本受到攻击破坏后所生成的样本,对抗样本能欺骗人工智能系统,导致其判断错误。例如,一段听起来是“你好”语音,正常情况下语音识别系统会识别并输出文字“你好”,若该语音为受到攻击后的对抗样本,虽然人们听起来仍然是“你好”的语音,但语音识别系统会识别并输出事先定向攻击的文字“攻击”(内容由攻击者决定),继而导致语音识别系统识别错误。又例如,一张A图片输入到图像识别系统,若A图片为受到攻击破坏后的对抗样本,那么图像识别系统会将A图片识别为B图片,继而导致图像识别系统识别错误。
随着基于语音的交互控制系统、人脸识别系统以及图像识别系统的流行,对抗样本将成为巨大的威胁。例如,在播放一首歌曲时,若该歌曲为对抗样本,那么语音识别系统可能会将该歌曲识别为主人下达的指令,并开始下载恶意程序;或者,在过安检时,图像识别系统将A人脸识别为与A人脸不同的B人脸。
发明内容
本发明实施例提供一种对抗样本的防御方法、装置、系统及存储介质,以提高图像/语音识别系统的安全性。
第一方面,本发明实施例提供一种对抗样本的防御方法,所述方法包括:获取待处理的原始数据;获取用于表征所述原始数据特征的特征向量;将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据;在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。通过将待处理数据的特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,继而能够判断待处理数据是否是对抗样本,防止对抗样本输入到图像/语音识别系统,以确保图像/语音识别系统能正确处理输入数据而不被干扰和破坏。
基于第一方面,在一种可能的设计中,在所述原始数据为音频数据时,获取匹配结果之后,所述方法还包括:在所述匹配结果表征所述特征向量既不属于所述正常样本的特征向量或所述对抗样本的特征向量时,对所述原始数据进行扰动,获取第一数据;获取所述第一数据的特征向量;判断所述第一数据的特征向量是否与所述原始数据的特征向量相同;在为否时,对所述原始数据进行处理,以防止所述原始数据输入语音识别系统。由于正常样本具备一定的抗干扰性,对正常样本进行干扰后,其特征向量不会发生改变,然而,对抗样本不具备抗干扰性,对抗样本经过干扰后,其特征向量会发生改变,因此,通过将干扰前后的数据的特征向量进行比较,继而能够快速的判定原始数据是否是对抗样本,防止对抗样本输入到语音识别系统,以确保语音识别系统能正确处理输入数据而不被干扰和破坏。
基于第一方面,在一种可能的设计中,对所述原始数据进行扰动,包括:利用噪声信号对所述原始数据进行干扰;或对所述原始数据的时间帧进行随机位移;或随机截取所述原始数据中的数据;或对所述原始数据进行变形处理。通过该方式,有助于快速区分出对抗样本和正常样本。
基于第一方面,在一种可能的设计中,对所述原始数据进行处理,包括:在所述原始数据为被破坏后的异常数据时,对所述原始数据进行处理,以获得与所述原始数据对应的正常数据。通过该方式,能够确保图像/语音识别系统能正确处理输入数据而不被干扰和破坏。
基于第一方面,在一种可能的设计中,对所述原始数据进行处理,包括:对所述原始数据进行降噪处理;或随机截取所述原始数据中的数据;或利用随机信号对所述原始数据进行处理;对所述原始数据进行变形处理。通过破坏对抗样本的对抗性特征,确保图像/语音识别系统能正确处理输入数据而不被干扰和破坏。
基于第一方面,在一种可能的设计中,在所述原始数据为图像数据时,获取用于表征所述原始数据特征的特征向量,所述方法包括:获取所述原始数据的RGB数据矩阵。由于正常样本的RGB数据矩阵和与该正常样本对应的对抗样本的RGB数据矩阵不同,因此,通过该方式,有助于准确的区分对抗样本。
基于第一方面,在一种可能的设计中,在所述原始数据为音频数据时,获取用于表征所述原始数据特征的特征向量,所述方法包括:获取所述原始数据的PCM数据矩阵。由于正常样本的PCM数据矩阵和与该正常样本对应的对抗样本的PCM数据矩阵不同,因此,通过该方式,有助于准确的区分对抗样本。
基于第一方面,在一种可能的设计中,在所述原始数据为音频数据时,获取用于表征所述原始数据特征的特征向量,所述方法包括:获取所述原始数据的PCM数据矩阵;获取所述PCM数据矩阵的梅尔倒谱系数矩阵。由于正常样本具备一定的抗干扰性,对正常样本进行干扰后,其梅尔倒谱系数矩阵不会发生变,然而,对抗样本不具备抗干扰性,对抗样本经过干扰后,其梅尔倒谱系数矩阵会发生改变,因此,通过将干扰前后的数据的梅尔倒谱系数矩阵进行比较,继而能够快速的判定原始数据是否是对抗样本,防止对抗样本输入到语音识别系统,以确保语音识别系统能正确处理输入数据而不被干扰和破坏。
第二方面,本发明实施例提供一种对抗样本的防御装置,所述装置包括:第一获取单元,用于获取待处理的原始数据;第二获取单元,用于获取用于表征所述原始数据特征的特征向量;匹配单元,用于将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据;处理单元,用于在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。
基于第二方面,在一种可能的设计中,在所述原始数据为音频数据时,所述装置还包括:扰动单元,用于在所述匹配结果表征所述特征向量既不属于所述正常样本的特征向量或所述对抗样本的特征向量时,对所述原始数据进行扰动,获取第一数据;特征向量获取单元,用于获取所述第一数据的特征向量;判断单元,用于判断所述第一数据的特征向量是否与所述原始数据的特征向量相同;执行单元,用于在为否时,对所述原始数据进行处理,以防止所述原始数据输入语音识别系统。
基于第二方面,在一种可能的设计中,所述扰动单元,还用于利用噪声信号对所述原始数据进行干扰;或对所述原始数据的时间帧进行随机位移;或随机截取所述原始数据中的数据;或对所述原始数据进行变形处理。
基于第二方面,在一种可能的设计中,所述处理单元,还用于在所述原始数据为被破坏后的异常数据时,对所述原始数据进行处理,以获得与所述原始数据对应的正常数据。
基于第二方面,在一种可能的设计中,所述处理单元,还用于对所述原始数据进行降噪处理;或随机截取所述原始数据中的数据;或利用随机信号对所述原始数据进行处理;对所述原始数据进行变形处理。
基于第二方面,在一种可能的设计中,在所述原始数据为图像数据时,第二获取单元,还用于获取所述原始数据的RGB数据矩阵。
基于第二方面,在一种可能的设计中,在所述原始数据为音频数据时,第二获取单元,还用于获取所述原始数据的PCM数据矩阵。
基于第二方面,在一种可能的设计中,在所述原始数据为音频数据时,第二获取单元,还用于获取所述原始数据的PCM数据矩阵;以及获取所述PCM数据矩阵的梅尔倒谱系数矩阵。
第三方面,本发明实施例提供一种对抗样本的防御系统,包括识别系统和第二方面所述的装置,所述装置和所述识别系统连接,原始数据经所述对抗样本防御装置处理后输入到所述识别系统。通过该方式,能够防止对抗样本输入到图像/语音识别系统,以确保图像/语音识别系统能正确处理输入数据而不被干扰和破坏。
第四方面,本发明实施例提供一种存储介质,所述存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行第一方面所述的方法。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的电子设备的结构示意图;
图2为本发明第一实施例提供的对抗样本的防御方法的流程示意图;
图3为本发明第二实施例提供的对抗样本的防御装置的结构示意图;
图4为本发明第三实施例提供的对抗样本防御系统的结构示意图。
图标:100-电子设备;110-存储器;120-存储控制器;130-处理器;140-外设接口;150-输入输出单元;160-音频单元;170-显示单元;400-对抗样本的防御装置;410-第一获取单元;420-第二获取单元;430-匹配单元;440-处理单元;500-识别系统。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本发明实施例提供一种电子设备100的结构示意图,所述电子设备100可以是个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digitalassistant,PDA)等。
如图1所示,所述电子设备100可以包括:对抗样本的防御装置400、存储器110、存储控制器120、处理器130、外设接口140、输入输出单元150、音频单元160、显示单元170。
所述存储器110、存储控制器120、处理器130、外设接口140、输入输出单元150、音频单元160以及显示单元170各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述对抗样本的防御装置400包括至少一个可以软件或固件(firmware)的形式存储于所述存储器110中或固化在客户端设备的操作装置(operating system,OS)中的软件功能模块。所述处理器130用于执行存储器110中存储的可执行模块,例如所述对抗样本防御装置包括的软件功能模块或计算机程序。
其中,存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器110用于存储程序,所述处理器130在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流程定义的电子设备100所执行的方法可以应用于处理器130中,或者由处理器130实现。
处理器130可能是一种集成电路芯片,具有信号的处理能力。上述的处理器130可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述外设接口140将各种输入/输出装置耦合至处理器130以及存储器110。在一些实施例中,外设接口140,处理器130以及存储控制器120可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
输入输出单元150用于提供给用户输入数据实现用户与电子设备100的交互。所述输入输出单元150可以是,但不限于,鼠标和键盘等。
音频单元160向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元170在电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元170可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器130进行计算和处理。
第一实施例
请参照图2,图2为本发明第一实施例提供的一种对抗样本的防御方法的流程图,所述方法应用于如图1所示的电子设备100,下面将对图2所示的流程进行详细阐述,所述方法包括:
S100:获取待处理的原始数据。
其中,所述原始数据可以是单独的图像数据,例如,该原始数据可以为通过一张苹果图片、一种人脸的图片等,其中,该原始数据是通过人眼直接观察到的内容,而并非经过图像识别系统识别后的内容;所述原始数据也可以是单独的音频数据,例如,该原始数据可以为一段“你好”的语音、一段“开机”的语音等,该原始数据是通过人耳直接听到的声音,而并非经过语音识别系统识别后的语音;所述原始数据也可以是同时包括图像数据和音频数据的视频数据。
在本实施例中,通过U盘、配置有数据线的存储介质等通过外设接口140将待处理的原始数据输入到电子设备100的处理器中,作为一种实施方式,在所述待处理的原始数据为音频数据时,通过音频单元160输入待处理的原始数据至电子设备100中的处理器中。
S200:获取用于表征所述原始数据特征的特征向量。
作为一种实施方式,在所述原始数据为图像数据时,S200包括:
获取所述原始数据的(RGB,Red Green Blue)三原色数据矩阵。
在实际实施过程中,由于图像数据由多个像素点构成,例如,该图像数据为长度为10cm,宽度为6cm的苹果图片,那么,该图像数据包括100*60个像素点,作为一种实施由于任何颜色都是有红、绿、蓝三原色组成,因此,每个像素点就可以由RGB表示,其中,某个像素点的RGB的大小与该像素点的颜色有关。例如,在该像素点(粉红)的RGB大小为RGB(255,192,203)时,即该像素点的RGB大小分别为R=255,G=192,B=203,腥红的RGB大小为RGB(250,20,60),其中,R、G和B的值的取值范围均为0-255。因此,通过解码器对输入的图像数据进行解码,不同格式的图像数据,利用对应的解码器进行解码,在输入的图像数据为jpg格式的图像数据时,调用与jpg相匹配的解码器来对图像数据进行解码,解码后获取到表示该图像数据特征的RGB矩阵,以统一数据格式。
作为一种实施方式,在所述原始数据为音频数据时,S200包括:
获取所述原始数据的脉冲编码调制(PCM,Pulse Code Modulation)数据矩阵。
其中,脉冲编码调制就是对模拟信号先抽样、再对样值幅度量化、最后编码的过程。在实际实施过程中,所述音频数据为经过编码器编码后的数据,利用不同的编码器编码音频数据后获得的音频数据的格式不同,编码后的音频数据的格式可以为mp4、mp3以及wav等格式,继而针对不同格式的音频数据,采用与该音频数据格式对应的解码器进行解码,因此,对所述原始数据解码后获取到所述原始数据的PCM数据矩阵。
作为一种实施方式,在所述原始数据为音频数据时,S200包括:
获取所述原始数据的PCM数据矩阵;基于PCM数据矩阵,计算出所述PCM数据矩阵的梅尔倒谱系数矩阵。
其中,梅尔倒谱系数矩阵的计算过程为:首先,对PCM数据矩阵进行预加重、分帧和加窗;然后,针对每一个短时分析窗,通过快速傅里叶变换(FFT,Fast FourierTransformation)得到对应的频谱;将上面的频谱通过Mel滤波器组得到Mel频谱;最后,在Mel频谱上面进行倒谱分析(取对数,做逆变换,实际逆变换一般是通过离散余弦变换(DCT,Discrete Cosine Transform)来实现,取DCT后的第2个到第13个系数作为梅尔倒谱系数),获得梅尔倒谱系数矩阵。
S300:将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据。
在实施实施过程中,通过标签对正常样本的特征向量和对抗样本的特征向量进行标记区分。
作为一种实施方式,将所述特征向量与所述预先存储的正常样本特征向量进行匹配,获取第一匹配结果;在所述第一匹配结果表征匹配成功时,表征所述原始数据为正常数据;在所述第一匹配结果表征匹配失败时,将所述特征向量与所述预先存储的对抗样本特征向量进行匹配,获取第二匹配结果,在所述第二匹配结果表征匹配成功时,表征所述原始数据为对抗样本,在所述第二匹配结果表征匹配失败时,需要进一步判断所述原始数据是否为对抗样本。
作为一种实施方式,将所述特征向量与所述预先存储的对抗样本的特征向量进行匹配,获取第三匹配结果;在所述第三匹配结果表征匹配成功时,表征所述原始数据为对抗样本;在所述第一匹配结果表征匹配失败时,将所述特征向量与所述预先存储的正常样本的特征向量进行匹配,获取第四匹配结果,在所述第四匹配结果表征匹配成功时,表征所述原始数据为正常样本,在所述第四匹配结果表征匹配失败时,需要进一步判断所述原始数据是否为对抗样本。
通过将待处理数据的特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,继而能够判断待处理数据是否是对抗样本,防止对抗样本输入到图像/语音识别系统,以确保图像/语音识别系统能正确处理输入数据而不被干扰和破坏。
作为一种实施方式,在所述原始数据为音频数据时,在S300之后,所述方法还包括:
S310:在所述匹配结果表征所述特征向量既不属于所述正常样本的特征向量或所述对抗样本的特征向量时,对所述原始数据进行扰动,获取第一数据。
由于正常样本具备一定的抗干扰性,对正常样本进行干扰后,其特征向量不会发生变,然而,对抗样本不具备抗干扰性,对抗样本经过干扰后,其特征向量会发生改变。
作为一种实施方式,S310包括:利用噪声信号对所述原始数据进行干扰;或对所述原始数据的时间帧进行随机位移;或随机截取所述原始数据中的数据;或对所述原始数据进行变形处理。
在实际实施过程中,在所述原始数据中加入随机噪声信号后,获取所述第一数据,在本实施例中,噪声信号可以为高斯白噪声,在其他实施例中,噪声信号也可以为色噪声。
在实际实施过程中,由于所述原始数据包括多个时间帧,因此,通过对时间帧进行位移,可以理解的是,改变原始数据中的时间帧的时间先后顺序后,获取所述第一数据。
在实际实施过程中,由于所述原始数据包括多个时间帧,因此,通过选取所述原始数据的部分时间帧,丢弃部分时间帧后,获取所述第一数据。
在实际实施过程中,由于所述原始数据包括多个时间帧,每帧语音都对应一个频谱,通过改变频谱的大小,获取所述第一数据。
S320:获取所述第一数据的特征向量。
首先,基于所述第一数据,获取所述第一数据的PCM矩阵,然后基于所述第一数据的PCM矩阵,计算出所述第一数据的梅尔倒谱系数矩阵。
S330:判断所述第一数据的特征向量是否与所述原始数据的特征向量相同。
S340:在为否时,对所述原始数据进行处理,以防止所述原始数据输入语音识别系统。
将所述第一数据的梅尔倒谱系数矩阵和所述原始数据的梅尔倒谱系数矩阵进行匹配,若所述第一数据的梅尔倒谱系数矩阵和所述原始数据的梅尔倒谱系数矩阵完全相同,判定所述原始数据为正常样本,将所述原始数据输入到语音识别系统。若所述第一数据的梅尔倒谱系数矩阵和所述原始数据的梅尔倒谱系数矩阵不同,对所述原始数据进行处理,以防止所述原始数据输入语音识别系统,作为一种实施方式,直接丢弃所述原始数据,作为一种实施方式,将所述原始数据进行处理,以获得与所述原始数据对应的正常数据。
由于正常样本具备一定的抗干扰性,对正常样本进行干扰后,其特征向量不会发生改变,然而,对抗样本不具备抗干扰性,对抗样本经过干扰后,其特征向量会发生改变,因此,通过将干扰前后的数据的特征向量进行比较,继而能够简单快速的判定原始数据是否是对抗样本,防止对抗样本输入到语音识别系统,以确保语音识别系统能正确处理输入数据而不被干扰和破坏。
S400:在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。
作为一种实施方式,在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,直接将所述原始数据丢弃,防止对抗样本输入到语音识别系统或图像识别系统。
作为一种实施方式,S400包括:在所述原始数据为被破坏后的异常数据时,对所述原始数据进行处理,以获得与所述原始数据对应的正常数据。
作为一种实施方式,对所述原始数据进行处理,包括:对所述原始数据进行降噪处理;或随机截取所述原始数据中的数据;或利用随机信号对所述原始数据进行处理;对所述原始数据进行变形处理。
在实际实施过程中,在所述原始数据为图像数据和/或音频数据时,对所述原始数据进行去噪处理,可以理解的是,利用滤波器去除所述原始数据中的背景噪声,以增强所述原始数据中有效信号的特征强度,并破坏对抗样本特征,获取与所述原始数据对应的正常数据。
在实际实施过程中,在所述原始数据为图像数据时,选取图像数据中的部分图像数据,破坏对抗样本特征,获取与所述原始数据对应的正常数据。在所述原始数据为音频数据时,由于所述原始数据包括多个时间帧,仅选取部分时间帧信息,破坏对抗样本特征,获取与所述原始数据对应的正常数据。
在实际实施过程中,在所述原始数据为图像数据和/或音频数据时,在所述原始数据中加入随机噪声信号,以破坏对抗样本特征,获得与所述原始数据对应的正常数据,在本实施例中,噪声信号可以为高斯白噪声,在其他实施例中,噪声信号也可以为色噪声。
在实际实施过程中,在所述原始数据为音频数据时,由于所述原始数据包括多个时间帧,每帧语音都对应一个频谱,通过改变频谱的大小,获取与所述原始数据对应的正常数据。在所述原始数据为图像数据时,改变图像数据中某些像素点的值,以破坏对抗样本特征,获得与所述原始数据对应的正常数据。
作为一种实施方式,在所述原始数据为图像数据时,对图像数据进行旋转,继而改变像素点的排列顺序,以破坏对抗样本特征,获得与所述原始数据对应的正常数据。
通过破坏对抗样本的对抗性特征,确保图像/语音识别系统能正确处理输入数据而不被干扰和破坏。
作为一种实施方式,在所述匹配结果表征所述特征向量属于所述正常样本的特征向量时,将所述原始数据输入到语音识别系统或图像识别系统。
第二实施例
请参照图3,图3是本发明第二实施例提供的一种对抗样本的防御装置400的结构框图。所述装置存储于如图1所述的电子设备100,下面将对图3所示的结构框图进行阐述,所示装置包括:
第一获取单元410,用于获取待处理的原始数据。
第二获取单元420,用于获取用于表征所述原始数据特征的特征向量。
匹配单元430,用于将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据。
处理单元440,用于在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。
作为一种实施方式,在所述原始数据为音频数据时,所述装置还包括:扰动单元,用于在所述匹配结果表征所述特征向量既不属于所述正常样本的特征向量或所述对抗样本的特征向量时,对所述原始数据进行扰动,获取第一数据;特征向量获取单元,用于获取所述第一数据的特征向量;判断单元,用于判断所述第一数据的特征向量是否与所述原始数据的特征向量相同;执行单元,用于在为否时,对所述原始数据进行处理,以防止所述原始数据输入语音识别系统。
作为一种实施方式,所述扰动单元,还用于利用噪声信号对所述原始数据进行干扰;或对所述原始数据的时间帧进行随机位移;或随机截取所述原始数据中的数据;或对所述原始数据进行变形处理。
作为一种实施方式,所述处理单元440,还用于在所述原始数据为被破坏后的异常数据时,对所述原始数据进行处理,以获得与所述原始数据对应的正常数据。
作为一种实施方式,所述处理单元440,还用于对所述原始数据进行降噪处理;或随机截取所述原始数据中的数据;或利用随机信号对所述原始数据进行处理;对所述原始数据进行变形处理。
作为一种实施方式,在所述原始数据为图像数据时,第二获取单元420,还用于获取所述原始数据的RGB数据矩阵。
作为一种实施方式,在所述原始数据为音频数据时,第二获取单元420,还用于获取所述原始数据的PCM数据矩阵。
作为一种实施方式,在所述原始数据为音频数据时,第二获取单元420,还用于获取所述原始数据的PCM数据矩阵;以及获取所述PCM数据矩阵的梅尔倒谱系数矩阵。
本实施例对对抗样本的防御装置400的各功能单元实现各自功能的过程,请参见上述图2所示实施例中描述的内容,此处不再赘述。
第三实施例
请参照图4,图4是本发明第三实施例提供的一种对抗样本的防御系统的结构框图,所述系统包括:识别系统500和第二实施例所述的装置400,所述装置和识别系统500连接,原始数据经所述对抗样本防御装置处理后输入到识别系统500。其中,识别系统500为图像识别系统和/或语音识别系统,识别系统500可以单独为图像识别系统、识别系统500可以单独为语音识别系统,识别系统500可以同时包括图像识别系统和语音识别系统。
此外,本发明实施例还提供了一种存储介质,在该存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行本发明第一实施例所提供的对抗样本的防御方法。
综上所述,本发明各实施例提出的对抗样本的防御方法、装置、系统及存储介质,所述方法包括:获取待处理的原始数据;获取用于表征所述原始数据特征的特征向量;将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据;在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。通过将待处理数据的特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,继而能够判断待处理数据是否是对抗样本,防止对抗样本输入到图像/语音识别系统,以确保图像/语音识别系统能正确处理输入数据而不被干扰和破坏。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
Claims (11)
1.一种对抗样本的防御方法,其特征在于,所述方法包括:
获取待处理的原始数据;
获取用于表征所述原始数据特征的特征向量;
将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据;
在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。
2.根据权利要求1所述的方法,其特征在于,在所述原始数据为音频数据时,获取匹配结果之后,所述方法还包括:
在所述匹配结果表征所述特征向量既不属于所述正常样本的特征向量或所述对抗样本的特征向量时,对所述原始数据进行扰动,获取第一数据;
获取所述第一数据的特征向量;
判断所述第一数据的特征向量是否与所述原始数据的特征向量相同;
在为否时,对所述原始数据进行处理,以防止所述原始数据输入语音识别系统。
3.根据权利要求2所述的方法,其特征在于,对所述原始数据进行扰动,包括:
利用噪声信号对所述原始数据进行干扰;或
对所述原始数据的时间帧进行随机位移;或
随机截取所述原始数据中的数据;或
对所述原始数据进行变形处理。
4.根据权利要求1或2所述的方法,其特征在于,对所述原始数据进行处理,包括:
在所述原始数据为被破坏后的异常数据时,对所述原始数据进行处理,以获得与所述原始数据对应的正常数据。
5.根据权利要求4所述的方法,其特征在于,对所述原始数据进行处理,包括:
对所述原始数据进行降噪处理;或
随机截取所述原始数据中的数据;或
利用随机信号对所述原始数据进行处理;
对所述原始数据进行变形处理。
6.根据权利要求1所述的方法,其特征在于,在所述原始数据为图像数据时,获取用于表征所述原始数据特征的的特征向量,所述方法包括:
获取所述原始数据的RGB数据矩阵。
7.根据权利要求1所述的方法,其特征在于,在所述原始数据为音频数据时,获取用于表征所述原始数据特征的特征向量,所述方法包括:
获取所述原始数据的PCM数据矩阵。
8.根据权利要求1所述的方法,其特征在于,在所述原始数据为音频数据时,获取用于表征所述原始数据特征的特征向量,所述方法包括:
获取所述原始数据的PCM数据矩阵;
获取所述PCM数据矩阵的梅尔倒谱系数矩阵。
9.一种对抗样本的防御装置,其特征在于,所述装置包括:
第一获取单元,用于获取待处理的原始数据;
第二获取单元,用于获取用于表征所述原始数据特征的特征向量;
匹配单元,用于将所述特征向量与预先存储的正常样本的特征向量和对抗样本的特征向量进行匹配,获取匹配结果,其中,所述对抗样本表征将正常数据破坏后的数据;
处理单元,用于在所述匹配结果表征所述特征向量属于所述对抗样本的特征向量时,对所述原始数据进行处理,以防止所述原始数据输入到识别系统。
10.一种对抗样本的防御系统,其特征在于,包括识别系统和权利要求9所述的装置,所述装置和所述识别系统连接,原始数据经所述对抗样本防御装置处理后输入到所述识别系统。
11.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-8中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910062477.5A CN109784411B (zh) | 2019-01-23 | 2019-01-23 | 对抗样本的防御方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910062477.5A CN109784411B (zh) | 2019-01-23 | 2019-01-23 | 对抗样本的防御方法、装置、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109784411A true CN109784411A (zh) | 2019-05-21 |
| CN109784411B CN109784411B (zh) | 2021-01-05 |
Family
ID=66501099
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910062477.5A Active CN109784411B (zh) | 2019-01-23 | 2019-01-23 | 对抗样本的防御方法、装置、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109784411B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110503974A (zh) * | 2019-08-29 | 2019-11-26 | 泰康保险集团股份有限公司 | 对抗语音识别方法、装置、设备及计算机可读存储介质 |
| CN110781952A (zh) * | 2019-10-23 | 2020-02-11 | 泰康保险集团股份有限公司 | 图像识别风险提示方法、装置、设备及存储介质 |
| CN111783083A (zh) * | 2020-06-19 | 2020-10-16 | 浙大城市学院 | 一种防御算法的推荐方法及装置 |
| CN112215078A (zh) * | 2020-09-14 | 2021-01-12 | 浙江工业大学 | 基于自动编码器的电磁信号调制类型识别的通用对抗扰动生成方法 |
| CN112418347A (zh) * | 2020-12-09 | 2021-02-26 | 浙江工业大学 | 一种基于无线电信号分类的对抗增强方法 |
| WO2023019970A1 (zh) * | 2021-08-20 | 2023-02-23 | 华为技术有限公司 | 一种攻击检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
| CN108898015A (zh) * | 2018-06-26 | 2018-11-27 | 暨南大学 | 基于人工智能的应用层动态入侵检测系统及检测方法 |
| CN109086884A (zh) * | 2018-07-17 | 2018-12-25 | 上海交通大学 | 基于梯度逆向对抗样本复原的神经网络优化训练方法 |
| CN109087655A (zh) * | 2018-07-30 | 2018-12-25 | 桂林电子科技大学 | 一种交通道路声音监测与异常声音识别系统 |
| CN109165671A (zh) * | 2018-07-13 | 2019-01-08 | 上海交通大学 | 基于样本到决策边界距离的对抗样本检测方法 |
| CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
-
2019
- 2019-01-23 CN CN201910062477.5A patent/CN109784411B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
| CN108898015A (zh) * | 2018-06-26 | 2018-11-27 | 暨南大学 | 基于人工智能的应用层动态入侵检测系统及检测方法 |
| CN109165671A (zh) * | 2018-07-13 | 2019-01-08 | 上海交通大学 | 基于样本到决策边界距离的对抗样本检测方法 |
| CN109086884A (zh) * | 2018-07-17 | 2018-12-25 | 上海交通大学 | 基于梯度逆向对抗样本复原的神经网络优化训练方法 |
| CN109087655A (zh) * | 2018-07-30 | 2018-12-25 | 桂林电子科技大学 | 一种交通道路声音监测与异常声音识别系统 |
| CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110503974A (zh) * | 2019-08-29 | 2019-11-26 | 泰康保险集团股份有限公司 | 对抗语音识别方法、装置、设备及计算机可读存储介质 |
| CN110503974B (zh) * | 2019-08-29 | 2022-02-22 | 泰康保险集团股份有限公司 | 对抗语音识别方法、装置、设备及计算机可读存储介质 |
| CN110781952A (zh) * | 2019-10-23 | 2020-02-11 | 泰康保险集团股份有限公司 | 图像识别风险提示方法、装置、设备及存储介质 |
| CN111783083A (zh) * | 2020-06-19 | 2020-10-16 | 浙大城市学院 | 一种防御算法的推荐方法及装置 |
| CN111783083B (zh) * | 2020-06-19 | 2023-08-22 | 浙大城市学院 | 一种防御算法的推荐方法及装置 |
| CN112215078A (zh) * | 2020-09-14 | 2021-01-12 | 浙江工业大学 | 基于自动编码器的电磁信号调制类型识别的通用对抗扰动生成方法 |
| CN112215078B (zh) * | 2020-09-14 | 2024-04-19 | 浙江工业大学 | 基于自动编码器的电磁信号调制类型识别的通用对抗扰动生成方法 |
| CN112418347A (zh) * | 2020-12-09 | 2021-02-26 | 浙江工业大学 | 一种基于无线电信号分类的对抗增强方法 |
| WO2023019970A1 (zh) * | 2021-08-20 | 2023-02-23 | 华为技术有限公司 | 一种攻击检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109784411B (zh) | 2021-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109784411A (zh) | 对抗样本的防御方法、装置、系统及存储介质 | |
| US20230041233A1 (en) | Image recognition method and apparatus, computing device, and computer-readable storage medium | |
| CN111033501B (zh) | 虚拟现实中对访问私有数据的安全授权 | |
| CN109214821B (zh) | 身份远程认证方法及终端设备 | |
| WO2020024484A1 (zh) | 用于输出数据的方法和装置 | |
| CN107517207A (zh) | 服务器、身份验证方法及计算机可读存储介质 | |
| CN111552833A (zh) | 智能双录方法、装置及存储介质 | |
| CN109902617B (zh) | 一种图片识别方法、装置、计算机设备和介质 | |
| US20200243067A1 (en) | Environment classifier for detection of laser-based audio injection attacks | |
| WO2020051971A1 (zh) | 身份识别方法、装置、电子设备及计算机可读存储介质 | |
| CN113921022B (zh) | 音频信号分离方法、装置、存储介质和电子设备 | |
| CN108512986A (zh) | 身份验证方法、电子装置及计算机可读存储介质 | |
| CN106791024A (zh) | 语音信息播放方法、装置及终端 | |
| CN109934191A (zh) | 信息处理方法和装置 | |
| CN108650266B (zh) | 服务器、声纹验证的方法及存储介质 | |
| CN113033191A (zh) | 语音数据处理方法、电子设备及计算机可读存储介质 | |
| CN110826438B (zh) | 一种显示方法及电子设备 | |
| CN113836509B (zh) | 信息采集方法、装置、电子设备和存储介质 | |
| CN112397072B (zh) | 语音检测方法、装置、电子设备及存储介质 | |
| CN112331187B (zh) | 多任务语音识别模型训练方法、多任务语音识别方法 | |
| US20230039619A1 (en) | Method and apparatus for automatic cough detection | |
| CN111489289B (zh) | 一种图像处理方法、图像处理装置及终端设备 | |
| CN116342940A (zh) | 图像审批方法、装置、介质及设备 | |
| EP2605166A1 (en) | Method for entering a personal identification code in a device | |
| CN114519818A (zh) | 检测家居场景的方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |