CN109993805B - 一种面向深度神经网络的高隐蔽性对抗性图像攻击方法 - Google Patents

一种面向深度神经网络的高隐蔽性对抗性图像攻击方法 Download PDF

Info

Publication number
CN109993805B
CN109993805B CN201910249634.3A CN201910249634A CN109993805B CN 109993805 B CN109993805 B CN 109993805B CN 201910249634 A CN201910249634 A CN 201910249634A CN 109993805 B CN109993805 B CN 109993805B
Authority
CN
China
Prior art keywords
image
pixel
redundancy
perception
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910249634.3A
Other languages
English (en)
Other versions
CN109993805A (zh
Inventor
王志波
宋梦凯
郑思言
王骞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN201910249634.3A priority Critical patent/CN109993805B/zh
Publication of CN109993805A publication Critical patent/CN109993805A/zh
Application granted granted Critical
Publication of CN109993805B publication Critical patent/CN109993805B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T5/00Image enhancement or restoration
    • G06T5/90Dynamic range modification of images or parts thereof
    • G06T5/94Dynamic range modification of images or parts thereof based on local image properties, e.g. for local contrast enhancement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/40Analysis of texture
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T7/00Image analysis
    • G06T7/90Determination of colour characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Image Analysis (AREA)
  • Facsimile Image Signal Circuits (AREA)
  • Color Image Communication Systems (AREA)

Abstract

本发明公开了一种面向深度神经网络的高隐蔽性的对抗性图像攻击方法,对抗性图像是一种向原始图像中引入恶意噪声使得神经网络模型错误分类的一种攻击手段。相较以往的攻击方法利用Lp范式距离来衡量噪声大小,会产生可见噪点,本方法根据人眼对图像局部刺激的敏感程度来自适应地引入噪声,使得对抗性图像与原始图人眼不可区分,提高了攻击方法的隐蔽性。此外,本方法介绍了一种人眼感知模型来刻画人眼对图像像素值的感知冗余。为了更好的衡量人眼对对抗性图像的感知能力,本方法介绍了一种引入噪声大小的衡量指标,并作为正则项加入到优化目标中,自适应地调整噪声的分布。

Description

一种面向深度神经网络的高隐蔽性对抗性图像攻击方法
技术领域
本发明涉及一种面向深度神经网络的高隐蔽性对抗性图像攻击方法,属于人工智能安全领域。
背景技术
近年来,深度神经网络在多个领域展现出卓越的性能,例如图像处理、自然语言处理、语音识别等等。尤其深度神经网络能在图像分类领域超过人类。然而,近来的研究表明深度学习容易受到对抗性攻击,即攻击能能够在不引起注意的情况下,通过向原始图像加入精心设计的噪声,使得加噪后的图像能够欺骗神经网络,尤其是图像分类模型。这样的攻击能够严重的威胁那些对安全要求较高的应用,如人脸识别系统、恶意软件检测、自动驾驶等等。
通常,对抗性图像的合成可以表示为一个带约束的优化问题,即利用尽可能小的感知损失去误导神经网络模型,其中感知损失表现为对抗性图像相比于原始图像的不可分辨性。现有的攻击方法大多采用Lp范式距离来衡量感知损失,并作为优化目标。然而,Lp范式对每个像素平等对待,使得其对噪声的空间分布不敏感。例如,将同样大小但不同分布的噪声加入原始图像中,会求得完全相同的Lp范式距离,但这两个加噪后的图像会有完全不同的感知损失,尤其在浅色区域。因此,如果利用Lp范式作为合成对抗性图像的正则项,容易在一些易被察觉的区域产生相对较大的噪声,使得人眼可以容易地察觉到攻击,攻击隐蔽性差。
本发明认为衡量对抗性图像的感知损失不应该将每个像素同等对待,而是应该根据图像的局部特征,利用纹理掩盖、亮度掩盖等效应合理地对不同像素设置感知冗余,使得更好地掩盖对抗性噪声,提高攻击隐蔽性。
发明内容
本发明的目的是克服现有技术的不足,提供一种面向深度神经网络的自适应感知冗余的高隐蔽性对抗性图像攻击方法。
面向深度神经网络的自适应感知冗余的高隐蔽性对抗性图像攻击方法包含如下步骤:
1)给定一个目标分类神经网络,假定攻击者拥有对目标模型的白盒访问权限,并设定目标类别t。
2)为了衡量人眼对图像中不同像素点的感知冗余,引入一种新的感知模型,根据图像的亮度掩盖、纹理掩盖效应来刻画,计算出图像中单个像素值在RGB三个通道中的感知冗余。
3)为了衡量对抗性图像的感知误差,提出一种带权重的误差测量方法,首先计算每个像素的感知冗余,其倒数为每个像素的权重,然后计算噪声矩阵带权重的Lp范式距离,得到感知误差。这个距离越大,感知误差就越大。
4)基于目标函数:
min JNDp(δ)+c·loss(x+δ,t)
构建合成对抗性图像的目标函数,以感知误差作为正则项,最终合成对抗性图像。JNDp(δ)表示噪声的感知误差,loss(x+δ,t)表示噪声图x+δ的分类结果与分类目标的差异,c为权重参数。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,攻击者以一个预训练好的分类神经网络为攻击目标,并拥有对目标模型的白盒访问权限,设定目标类别为t。目标神经网络可以形式化为F(x,θ)=y,网络模型可以表示为
F(x)=softmax(Z(x))=y
其中Z表示logits层,softmax表示将模型输出映射到[0,1],y表示模型的最终输出。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,攻击者计算给定图像中每个像素点的感知冗余,主要包含像素颜色空间转换、CIE-Lab颜色空间下的感知冗余估计、采样三个步骤,计算出单个像素值在RGB三个通道中分别的感知冗余。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,所述的像素颜色空间转换步骤包括,攻击者将原始图像从RGB颜色空间转换到CIE-Lab颜色空间中,即对任意一个像素(r,g,b)转换到
Figure BDA0002012030660000021
接着利用现有的两个模型AJNCD和NAMM来构建该像素点在CIE-Lab下的冗余空间,通过将限制AJNCD模型的亮度分量到NAMM的亮度分量,得到一个由不可区分的颜色组成的不规则的空间区域,表示为
Figure BDA0002012030660000031
其中
Figure BDA0002012030660000032
是由AJNCD模型计算的像素
Figure BDA0002012030660000033
在三个通道下的冗余,
Figure BDA0002012030660000034
Figure BDA0002012030660000035
是NAMM模型计算的亮度分量的冗余上下界,(l,a,b)表示颜色原点,(l’,a’,b’)表示与(l,a,b)不可区分的颜色点。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,所述的CIE-Lab颜色空间下的感知冗余估计步骤包括,AJNCD模型考虑两种因素,1)该像素的亮度值;2)亮度通道的属性。表示为
Figure BDA0002012030660000036
其中JNDLab是一个表示CIE-Lab颜色空间下的颜色可见性的常数,SC(a,b)表示像素
Figure BDA0002012030660000037
的亮度,SL(E(L),Δ)模拟了纹理掩盖效应,表示为
Figure BDA0002012030660000038
Figure BDA0002012030660000039
其中E(L)表示像素
Figure BDA00020120306600000310
的平均背景亮度,ΔL表示最大亮度梯度。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,所述的CIE-Lab颜色空间下的感知冗余估计步骤包括,相比于色度变化,人眼感知系统通常对亮度的变化更为敏感,HAMM模型用于衡量一个像素的亮度冗余,其考虑两种影响因素:1)背景亮度掩盖;2)纹理掩盖,其表示为
Figure BDA00020120306600000311
其中Tl和Tt是对应的可见性阈值,Ql,t∈(0,1)表示掩盖效应的影响。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,所述的采样步骤包括攻击者通常需要获得RGB颜色空间下的对抗性图像,但简单地将区域内的颜色转换到CIE-Lab颜色空间下是不实际的,本方案提出一种颜色采样的方法用于将CIE-Lab下的冗余颜色区域转换到RGB下。攻击者首先采样区域内有较大亮度下的最大的色度的颜色作为候选,表示为
Figure BDA0002012030660000041
Figure BDA0002012030660000042
其中
Figure BDA0002012030660000043
Figure BDA0002012030660000044
表示为分别从亮度为αiJNDl1和αiJNDl2采样的候选点,对于采样得到的2n个点,攻击者将其转换到RGB颜色空间下,每个通道下的冗余可以表示为
Figure BDA0002012030660000045
Figure BDA0002012030660000046
Figure BDA0002012030660000047
Figure BDA0002012030660000048
表示像素
Figure BDA0002012030660000049
在RGB颜色空间下每个通道的像素值。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,提出一种带权重的感知误差测量方法,表示为
Figure BDA00020120306600000410
其中τ>0是避免jndi的0值。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,构建合成对抗性图像的目标函数,并分别加入感知误差作为正则项,最终合成对抗性图像,表示为
min JNDp(δ)+c·loss(x+δ,t)
其中loss(x+δ,t)表示对抗性图像x+δ的预测值与真实分类结果的差异。
本发明和现有技术相比,具有的有益效果是:1)与现存的基于Lp范式的对抗性图像攻击方法不同,本发明能根据图像的局部特征,自适应地对不同像素上的噪声扰动设置惩罚,实现高隐蔽性高攻击性的对抗性图像攻击。2)本发明引入一种新的感知模型,根据图像的亮度掩盖、纹理掩盖效应来刻画,计算出单个像素值在RGB三个通道中分别的感知冗余,更好地刻画了人眼感知系统。3)本发明提出一种带权重的误差测量方法,表现为全体噪声的加权Lp范式距离的总和,更好地刻画了人眼对对抗性图像的感知误差。
附图说明
图1为RGB颜色空间下像素感知冗余计算框架。
图2为冗余区域在CIE-Lab到RGB颜色空间转换。
图3为MNIST数据集的感知冗余轮廓。
图4为面向MNIST、CIFAR-10数据集合成的对抗性图像。
图5为面向ImageNet数据集合成的对抗性图像及对现有方法比较。
图6a为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果一)。
图6b为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果二)。
图6c为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果三)。
图6d为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果四)。
具体实施方式
一种面向深度神经网络的自适应感知冗余的高隐蔽性对抗性图像攻击方法包含如下步骤:
1)给定一个目标分类神经网络,假定攻击者拥有对目标模型的白盒访问权限,并设定目标类别t。
2)为了衡量人眼对图像中不同像素点的感知冗余,引入一种新的感知模型,根据图像的亮度掩盖、纹理掩盖效应来刻画,计算出图像中单个像素值在RGB三个通道中的感知冗余。
3)为了衡量对抗性图像的感知误差,提出一种带权重的误差测量方法,首先计算每个像素的感知冗余,其倒数为每个像素的权重,然后计算噪声矩阵带权重的Lp范式距离,得到感知误差。这个距离越大,感知误差就越大。
4)基于目标函数:
min JNDp(δ)+c·loss(x+δ,t)
构建合成对抗性图像的目标函数,以感知误差作为正则项,最终合成对抗性图像。JNDp(δ)表示噪声的感知误差,loss(x+δ,t)表示噪声图x+δ的分类结果与分类目标的差异,c为权重参数。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,攻击者以一个预训练好的分类神经网络为攻击目标,并拥有对目标模型的白盒访问权限,设定目标类别为t。目标神经网络可以形式化为F(x,θ)=y,网络模型可以表示为
F(x)=softmax(Z(x))=y
其中Z表示logits层,softmax表示将模型输出映射到[0,1],y表示模型的最终输出。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,其特征在于,攻击者计算给定图像中每个像素点的感知冗余,主要包含像素颜色空间转换、CIE-Lab颜色空间下的感知冗余估计、采样三个步骤,计算出单个像素值在RGB三个通道中分别的感知冗余。
所述的像素颜色空间转换步骤包括,攻击者将原始图像从RGB颜色空间转换到CIE-Lab颜色空间中,即对任意一个像素(r,g,b)转换到
Figure BDA00020120306600000610
接着利用现有的两个模型AJNCD和NAMM来构建该像素点在CIE-Lab下的冗余空间,通过将限制AJNCD模型的亮度分量到NAMM的亮度分量,得到一个由不可区分的颜色组成的不规则的空间区域,表示为
Figure BDA0002012030660000061
其中
Figure BDA0002012030660000062
是由AJNCD模型计算的像素
Figure BDA0002012030660000063
在三个通道下的冗余,
Figure BDA0002012030660000064
Figure BDA0002012030660000065
是NAMM模型计算的亮度分量的冗余上下界,(l,a,b)表示颜色原点,(l’,a’,b’)表示与(l,a,b)不可区分的颜色点。
所述的CIE-Lab颜色空间下的感知冗余估计步骤包括,AJNCD模型考虑两种因素,1)该像素的亮度值;2)亮度通道的属性。表示为
Figure BDA0002012030660000066
其中JNDLab是一个表示CIE-Lab颜色空间下的颜色可见性的常数,SC(a,b)表示像素
Figure BDA0002012030660000067
的亮度,SL(E(L),Δ)模拟了纹理掩盖效应,表示为
Figure BDA0002012030660000068
SL(E(L),Δ)=ρ(E(L))ΔL+1.0
其中E(L)表示像素
Figure BDA0002012030660000069
的平均背景亮度,ΔL表示最大亮度梯度。
所述的CIE-Lab颜色空间下的感知冗余估计步骤包括,相比于色度变化,人眼感知系统通常对亮度的变化更为敏感,HAMM模型用于衡量一个像素的亮度冗余,其考虑两种影响因素:1)背景亮度掩盖;2)纹理掩盖,其表示为
Figure BDA0002012030660000071
其中Tl和Tt是对应的可见性阈值,Ql,t∈(0,1)表示掩盖效应的影响。
所述的采样步骤包括攻击者通常需要获得RGB颜色空间下的对抗性图像,但简单地将区域内的颜色转换到CIE-Lab颜色空间下是不实际的,本方案提出一种颜色采样的方法用于将CIE-Lab下的冗余颜色区域转换到RGB下。攻击者首先采样区域内有较大亮度下的最大的色度的颜色作为候选,表示为
Figure BDA0002012030660000072
Figure BDA0002012030660000073
其中
Figure BDA0002012030660000074
Figure BDA0002012030660000075
表示为分别从亮度为αiJNDl1和αiJNDl2采样的候选点,对于采样得到的2n个点,攻击者将其转换到RGB颜色空间下,每个通道下的冗余可以表示为
Figure BDA0002012030660000076
Figure BDA0002012030660000077
Figure BDA0002012030660000078
Figure BDA0002012030660000079
表示像素
Figure BDA00020120306600000710
在RGB颜色空间下每个通道的像素值。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,其特征在于,提出一种带权重的感知误差测量方法,表示为
Figure BDA00020120306600000711
其中τ>0是避免jndi的0值。
所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法,其特征在于,构建合成对抗性图像的目标函数,并分别加入感知误差作为正则项,最终合成对抗性图像,表示为
min JNDp(δ)+c·loss(x+δ,t)
其中loss(x+δ,t)表示对抗性图像x+δ的预测值与真实分类结果的差异。
实施例1
1)给定一个预训练好的分类神经网络作为攻击目标,给定原始图像,攻击者拥有对目标模型的白盒访问权限,并设定目标类别,目标模型表示为
F(x)=softmax(Z(x))=y
其中Z表示logits层,y表示模型的最终输出。
2)引入一种新的感知模型衡量人眼对图像中不同像素点的感知冗余,根据图像的亮度掩盖、纹理掩盖效应来刻画,计算出单个像素值在RGB三个通道中分别的感知冗余。先计算出在颜色空间CIE-Lab下冗余颜色组成的不规则的空间区域,表示为
Figure BDA0002012030660000081
其中
Figure BDA0002012030660000082
是由AJNCD模型计算的像素
Figure BDA0002012030660000083
在三个通道下的冗余,
Figure BDA0002012030660000084
Figure BDA0002012030660000085
是NAMM模型计算的亮度分量的冗余上下界,(l,a,b)表示颜色原点,(l’,a’,b’)表示与(l,a,b)不可区分的颜色点。第二步利用采样,将CIE-Lab下的冗余颜色区域转换到RGB下,表示为
Figure BDA0002012030660000086
Figure BDA0002012030660000087
其中
Figure BDA0002012030660000088
Figure BDA0002012030660000089
表示为分别从亮度为αiJNDl1和αiJNDl2采样的候选点,最后每个通道下的感知冗余可以表示为
Figure BDA00020120306600000810
Figure BDA00020120306600000811
Figure BDA00020120306600000812
Figure BDA00020120306600000813
表示像素
Figure BDA00020120306600000814
在RGB颜色空间下每个通道的像素值。
3)为了衡量对抗性图像的感知误差,提出一种带权重的误差测量方法,表现为对每个像素上的噪声值,施以感知冗余的倒数作为权重,最终计算这个带权重的噪声矩阵的Lp范式距离,表示为
Figure BDA00020120306600000815
其中τ>0是避免jndi的0值。
4)构建合成对抗性图像的目标函数,并分别加入两种感知误差作为正则项,最终合成对抗性图像,表示为
min JNDp(δ)+c·loss(x+δ,t)
其中loss(x+δ,t)表示对抗性图像x+δ的预测值与真实分类结果的差异,并利用基于梯度下降的ADAM算法来优化求解。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (4)

1.一种面向深度神经网络的高隐蔽性对抗性图像攻击方法,其特征在于,包含如下步骤:
步骤1、给定一个目标分类神经网络,假定攻击者拥有对目标模型的白盒访问权限,并设定目标类别t;
步骤2、为了衡量人眼对图像中不同像素点的感知冗余,引入一种新的感知模型,根据图像的亮度掩盖、纹理掩盖效应来刻画,计算出图像中单个像素值在RGB三个通道中的感知冗余;攻击者计算给定图像中每个像素点的感知冗余,包含像素颜色空间转换、CIE-Lab颜色空间下的感知冗余估计、采样三个步骤,计算出单个像素值在RGB三个通道中分别的感知冗余,
像素颜色空间转换步骤包括,攻击者将原始图像从RGB颜色空间转换到CIE-Lab颜色空间中,即对任意一个像素(r,g,b)转换到
Figure FDA0003746884700000011
接着利用现有的两个模型AJNCD和NAMM来构建该像素点在CIE-Lab下的冗余空间,通过将限制AJNCD模型的亮度分量到NAMM的亮度分量,得到一个由不可区分的颜色组成的不规则的空间区域,表示为
Figure FDA0003746884700000012
其中
Figure FDA0003746884700000013
是由AJNCD模型计算的像素
Figure FDA0003746884700000014
在三个通道下的冗余,
Figure FDA0003746884700000015
Figure FDA0003746884700000016
是NAMM模型计算的亮度分量的冗余上下界,(l,a,b)表示颜色原点,(l’,a’,b’)表示与(l,a,b)不可区分的颜色点,
CIE-Lab颜色空间下的感知冗余估计步骤包括,AJNCD模型考虑两种因素,1)该像素的亮度值;2)亮度通道的属性;表示为
Figure FDA0003746884700000017
其中JNDLab是一个表示CIE-Lab颜色空间下的颜色可见性的常数,SC(a,b)表示像素
Figure FDA0003746884700000018
的亮度,SL(E(L),Δ)模拟了纹理掩盖效应,表示为
Figure FDA0003746884700000019
SL(E(L),Δ)=ρ(E(L))ΔL+1.0
其中E(L)表示像素
Figure FDA00037468847000000110
的平均背景亮度,ΔL表示最大亮度梯度,
采样步骤包括攻击者需要获得RGB颜色空间下的对抗性图像;攻击者首先采样区域内有较大亮度下的最大的色度的颜色作为候选,表示为
Figure FDA0003746884700000021
Figure FDA0003746884700000022
其中
Figure FDA0003746884700000023
Figure FDA0003746884700000024
表示为分别从亮度为αiJNDl1和αiJNDl2采样的候选点,对于采样得到的2n个点,攻击者将其转换到RGB颜色空间下,每个通道下的冗余可以表示为
Figure FDA0003746884700000025
Figure FDA0003746884700000026
Figure FDA0003746884700000027
Figure FDA0003746884700000028
表示像素
Figure FDA0003746884700000029
在RGB颜色空间下每个通道的像素值;
步骤3、为了衡量对抗性图像的感知误差,提出一种带权重的误差测量方法,首先计算每个像素的感知冗余,其倒数为每个像素的权重,然后计算噪声矩阵带权重的Lp范式距离,得到感知误差;这个距离越大,感知误差就越大;
步骤4、基于目标函数:
min JNDp(δ)+c·loss(x+δ,t)
构建合成对抗性图像的目标函数,以感知误差作为正则项,最终合成对抗性图像;JNDp(δ)表示噪声的感知误差,loss(x+δ,t)表示噪声图x+δ的分类结果与分类目标的差异,c为权重参数。
2.如权利要求1所述的一种面向深度神经网络的高隐蔽性对抗性图像攻击方法,其特征在于,攻击者以一个预训练好的分类神经网络为攻击目标,并拥有对目标模型的白盒访问权限,设定目标类别为t;目标神经网络可以形式化为F(x,θ)=y,网络模型可以表示为
F(x)=softmax(Z(x))=y
其中Z表示logits层,softmax表示将模型输出映射到[0,1],y表示模型的最终输出。
3.如权利要求1所述的一种面向深度神经网络的高隐蔽性对抗性图像攻击方法,其特征在于,所述的CIE-Lab颜色空间下的感知冗余估计步骤包括,相比于色度变化,人眼感知系统对亮度的变化更为敏感,HAMM模型用于衡量一个像素的亮度冗余,其考虑两种影响因素:1)背景亮度掩盖;2)纹理掩盖,其表示为
Figure FDA0003746884700000031
其中Tl和Tt是对应的可见性阈值,Ql,t∈(0,1)表示掩盖效应的影响。
4.如权利要求1所述的一种面向深度神经网络的高隐蔽性对抗性图像攻击方法,其特征在于,提出一种带权重的感知误差测量方法,表示为
Figure FDA0003746884700000032
其中τ>0是避免jndi的0值。
CN201910249634.3A 2019-03-29 2019-03-29 一种面向深度神经网络的高隐蔽性对抗性图像攻击方法 Active CN109993805B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910249634.3A CN109993805B (zh) 2019-03-29 2019-03-29 一种面向深度神经网络的高隐蔽性对抗性图像攻击方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910249634.3A CN109993805B (zh) 2019-03-29 2019-03-29 一种面向深度神经网络的高隐蔽性对抗性图像攻击方法

Publications (2)

Publication Number Publication Date
CN109993805A CN109993805A (zh) 2019-07-09
CN109993805B true CN109993805B (zh) 2022-08-30

Family

ID=67131963

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910249634.3A Active CN109993805B (zh) 2019-03-29 2019-03-29 一种面向深度神经网络的高隐蔽性对抗性图像攻击方法

Country Status (1)

Country Link
CN (1) CN109993805B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959684A (zh) * 2016-05-26 2016-09-21 天津大学 基于双目融合的立体图像质量评价方法
CN109086675A (zh) * 2018-07-06 2018-12-25 四川奇迹云科技有限公司 一种基于光场成像技术的人脸识别及攻击检测方法及其装置
CN109492582A (zh) * 2018-11-09 2019-03-19 杭州安恒信息技术股份有限公司 一种基于算法对抗性攻击的图像识别攻击方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013142067A1 (en) * 2012-03-21 2013-09-26 Dolby Laboratories Licensing Corporation Systems and methods for iso-perceptible power reduction for displays

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959684A (zh) * 2016-05-26 2016-09-21 天津大学 基于双目融合的立体图像质量评价方法
CN109086675A (zh) * 2018-07-06 2018-12-25 四川奇迹云科技有限公司 一种基于光场成像技术的人脸识别及攻击检测方法及其装置
CN109492582A (zh) * 2018-11-09 2019-03-19 杭州安恒信息技术股份有限公司 一种基于算法对抗性攻击的图像识别攻击方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Adaptive Image Watermarking Algorithm Based on an Efficient Perceptual Mapping Model;Taha Basheer Taha;《 IEEE Access 》;20181229;全文 *
基于图像特征的抗几何攻击水印研究;罗海军;《中国优秀硕士学位论文全文数据库》;20130615;全文 *

Also Published As

Publication number Publication date
CN109993805A (zh) 2019-07-09

Similar Documents

Publication Publication Date Title
CN110991299B (zh) 一种物理域上针对人脸识别系统的对抗样本生成方法
US7706606B1 (en) Fast, adaptive color to grayscale conversion
WO2019062608A1 (zh) 图像处理方法和装置、电子设备、计算机存储介质
Ribeiro et al. Recoloring algorithms for colorblind people: A survey
Sathya et al. Classification and segmentation in satellite imagery using back propagation algorithm of ann and k-means algorithm
US20060050957A1 (en) Method of generating a mask image of membership of single pixels to certain chromaticity classes and of adaptive improvement of a color image
CN103200410B (zh) 白平衡控制方法及其装置
Liu et al. No-reference image quality assessment method based on visual parameters
CN113869152A (zh) 一种基于对抗性攻击的反人脸识别方法及系统
CN115526803A (zh) 非均匀光照图像增强方法、系统、存储介质及设备
CN109993805B (zh) 一种面向深度神经网络的高隐蔽性对抗性图像攻击方法
EP3624432B1 (en) Color processing program, color processing method, chromatic sensation examination system, output system, color vision correction image processing system, and color vision simulation image processing system
Huang et al. Image dehazing based on robust sparse representation
CN109657544B (zh) 一种人脸检测方法和装置
Zhou et al. A perceptive uniform pseudo-color coding method of SAR images
CN115034985A (zh) 一种水下图像增强方法
CN111325730A (zh) 一种基于随机连接网络的水下图像指标评价方法
Dehesa‐González et al. Lighting source classification applied in color images to contrast enhancement
KR20090060029A (ko) 영상 시퀀스 디스플레이에 대한 몰입감 향상 방법 및시스템
Choi et al. Federated-cloud based deep neural networks with privacy preserving image filtering techniques
CN114757856B (zh) 一种基于无监督深度学习的自动白平衡算法及系统
Wei Research of neural networks in image anomaly identification application
CN114882312B (zh) 对抗图像样本的生成方法、装置、电子设备以及存储介质
Provenzi Achromatic induction: A variational interpretation of Rudd-Zemach's edge integration model
Shohara et al. Measurement of color noise perception

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant