CN110175646B - 基于图像变换的多通道对抗样本检测方法及装置 - Google Patents

基于图像变换的多通道对抗样本检测方法及装置 Download PDF

Info

Publication number
CN110175646B
CN110175646B CN201910447411.8A CN201910447411A CN110175646B CN 110175646 B CN110175646 B CN 110175646B CN 201910447411 A CN201910447411 A CN 201910447411A CN 110175646 B CN110175646 B CN 110175646B
Authority
CN
China
Prior art keywords
image
channel
transformation
sample
channels
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910447411.8A
Other languages
English (en)
Other versions
CN110175646A (zh
Inventor
陈晋音
刘靓颖
郑海斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University of Technology ZJUT
Original Assignee
Zhejiang University of Technology ZJUT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University of Technology ZJUT filed Critical Zhejiang University of Technology ZJUT
Priority to CN201910447411.8A priority Critical patent/CN110175646B/zh
Publication of CN110175646A publication Critical patent/CN110175646A/zh
Application granted granted Critical
Publication of CN110175646B publication Critical patent/CN110175646B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Probability & Statistics with Applications (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于图像变换的多通道对抗样本检测方法及装置,包括:1)首先挑选分类正确并攻击失败的数据集,2)然后通过对输入图像的旋转、缩放、平移、加噪声等操作,破坏攻击扰动,降低攻击成功率;3)并进一步从而挑选出图像变换前后分类准确率波动较大的数据集,将其对应的置信度组合为不同通道数的新数据集;4)接着将不同分类器生成的新数据集组合,输入对抗样本检测器中训练对抗样本检测器。该方法及装置能够以较小的网络复杂度和训练代价,实现较高的对抗样本识别率。

Description

基于图像变换的多通道对抗样本检测方法及装置
技术领域
本发明属于人工智能领域中的深度学习算法在图像分类任务中的安全研究领域,具体涉及一种基于图像变换的多通道对抗样本检测方法及装置。
背景技术
结合深度学习在自动寻找新特征的功能方面的巨大应用潜力,深度学习已经大量运用于自然语言处理、计算机视觉、生物信息学、复杂网络等领域,并且在一些特定领域显示出了传统方法无法匹及的优越性。如深度学习在处理语音、文本、图像和视频方面实现了出色的功能;通过强化学习,AI游戏、自动驾驶汽车、机器人等方面取得了重大进展。
然而,经过对深度学习的不断深入研究,学者发现深度学习容易被扰动干扰,即深度学习模型容易受到对抗攻击。加入轻微扰动后的对抗样本并不能被人眼所识别,但是极大地困扰了深度学习模型,使其将对抗样本错误分类,进一步威胁到基于深度学习模型的系统的安全性,如欺骗人脸识别系统、使自动驾驶车辆错误识别路牌等事件,从而威胁到人们的生命财产安全。
为了更好地研究对抗攻击对深度模型的影响并做出防御,学者依据对模型的了解程度,将不同的攻击方式分为白盒攻击、黑盒攻击与灰盒攻击。白盒攻击中攻击者了解模型的全部属性;黑盒攻击中攻击者并不了解模型的任何参数与结构;灰盒攻击则是介于两者之间的情况,即攻击者了解模型的部分参数与结构。
相对应的,针对对抗攻击的防御方法也在不断研究中。如通过修改输入数据破坏对抗扰动;修改模型网络结构提高准确率;增加对抗样本检测模型等方法,对对抗攻击都起到了一定的防御作用。若要进一步降低攻击对深度模型的影响,在源头,即输入模型前就对样本进行识别,可以大大降低风险。
发明内容
针对以上内容,本发明提供了一种基于图像变换的多通道对抗样本检测方法及装置,能够以较小的网络复杂度和训练代价,实现较高的对抗样本识别率。
本发明解决其技术问题所采用的技术方案是:
一种基于图像变换的多通道对抗样本检测方法,包括以下步骤:
(1)将获取的图像分成训练集和验证集,利用训练集对基于深度网络的分类器进行训练,利用训练好的分类器对验证集进行验证,挑选验证正确的图像组成数据集;
(2)将数据集中的图像输入至训练好的分类器中,并采用白盒攻击方法对分类器进行攻击,根据分类器的输出结果,挑选攻击成功的图像组成对抗样本集,并挑选对抗样本对应的正常图像组成正常样本集;
(3)将对抗样本和正常样本分别输入至训练好的分类器中,输出对抗样本的分类置信度和正常样本的分类置信度;
(4)将对抗样本和正常样本进行旋转、平移、缩放及放缩、加噪声、平移并旋转五类图像变换,获得新对抗样本集和新正常样本集,并将新对抗样本和新正常样本输入至训练好的分类器中,输出对应的分类置信度;
(5)根据正常样本变换操作前后的分类置信度,与对抗样本变换操作前后的分类置信度的波动情况,在一定范围内,挑选新正常样本和新对抗样本对应的那种图像变换操作作为备用通道;
(6)根据图像变换操作前后分类置信度的变化情况,挑选若干分类置信度波动大的变换操作对应的通道,以及步骤(5)中获得的备选通道拼接成不同通道数数目的多通道,进而获得不同多通道样本集;
(7)对不同通道样本进行组合后,利用组合样本集对对抗样本检测器进行训练,以获得训练好的对抗样本检测器;
(8)应用时,将待检测的图像利用步骤(4)~步骤(6)处理后获得多通道测试样本,将多通道测试样本输入至训练好的对抗样本检测器,经计算,输出检测结果。
本发明还提供了一种基于图像变换的多通道对抗样本检测装置,包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序,所述计算机处理器执行所述计算机程序时实现上述基于图像变换的多通道对抗样本检测方法。
本发明的有益效果为:
本发明提供的多通道对抗样本检测方法及装置主要依据破坏攻击过程中对图像增加的扰动,降低攻击成功率,从而挑选出图像变换前后分类准确率波动较大,即置信度波动较大的方式,组合相应置信度从而制作多通道数据集,将其来训练对抗样本检测器,以此来提高对抗样本识别准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动前提下,还可以根据这些附图获得其他附图。
图1是本发明提供的基于图像变换的多通道对抗样本检测方法实施例的实现框图;
图2是本发明提供的基于图像变换的多通道对抗样本检测方法实施例中基于深度网络的分类器的结构示意图;
图3是本发明提供的基于图像变换的多通道对抗样本检测方法实施例中待检测的图像检测时的实现框图。
具体实施方式
本发明的核心是提供一种基于图像变换的多通道对抗样本检测方法,以提高对抗样本的识别率。
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
下面对本发明提供的一种基于图像变换的多通道对抗样本检测方法实施例进行介绍,参见图1,实施例包括:
S101,将获取的图像分成训练集和验证集,利用训练集对基于深度网络的分类器进行训练,利用训练好的分类器对验证集进行验证,挑选验证正确的图像组成数据集。
获取的图像包含dv张图像,每张图像大小为(h×w×t),h、w分别表示图像在垂直方向和水平方向的像素点个数,t为图像通道数,一般为3,表示图像具有RGB三通道。本方法所采用的图像实例来自于CIFAR10数据集。该数据集由10个类的60000个32×32彩色图像组成,每个类有6000个图像,包含有50000个训练图像和10000个测试图像。
分类器是基于深度网络建立的,如图2所示,具体包含卷积层和全连接层,其中卷积层用于提取图像的语义特征向量,全连接层主要用于对语义特征向量进行全连接操作,输出图像的分类置信度。
在获得图像的分类置信度后,根据图像的分类置信度,挑选分类正确的图像组成数据集Uz,其中,数据集Uz的大小为dz×h×w×t,其中dz为图像数量,h、w分别表示图像在垂直方向和水平方向的像素点个数,t为图像通道数。
S102,将数据集中的图像输入至训练好的分类器中,并采用白盒攻击方法对分类器进行攻击,根据分类器的输出结果,挑选攻击成功的图像组成对抗样本集,并挑选对抗样本对应的正常图像组成正常样本集。
白盒攻击是攻击者掌握目标模型的完整知识情况下进行的攻击,包括它的参数值、体系结构、训练方法。实例中所采用的白盒攻击方法包括FGSM,DeepFool,CW等。白盒攻击方法大多基于梯度的攻击。FGSM是通过计算代价函数的梯度,并将其限制在一个较小值,给图像添加扰动以愚弄分类器。DeepFool以迭代方式计算给定图像的最小范数对抗扰动,以更小的扰动达到和FGSM相似的欺骗率。CW攻击是一种强大的基于优化的攻击方法,可以调节置信度并生成的小扰动,进而破解很多的防御方法。
攻击成功是指表示攻击前能够正确分类、但是攻击后被错误分类。在对输入图像进行攻击后,会获得攻击后的数据集Ug,从数据集Ug中挑选出攻击成功(即分类器f错误分类)的图像组合成对抗样本集Ua,同时挑选出对抗样本对应的正常图像组合成正常样本集U0
S103,将对抗样本和正常样本分别输入至训练好的分类器中,输出对抗样本的分类置信度和正常样本的分类置信度。
具体地,将对抗样本集Ua和正常样本集U0中的图像输入至分类器f中,得到正常样本的分类置信度C0,大小为d0×h×w×n;得到对抗样本的分类置信度Ca,大小为d0×h×w×n,其中,n表示图像数据集为n分类,即包含n种图像类。
S104,将对抗样本和正常样本进行旋转、平移、缩放及放缩、加噪声、平移并旋转五类图像变换,获得新对抗样本集和新正常样本集,并将新对抗样本和新正常样本输入至训练好的分类器中,输出对应的分类置信度。
本发明中图像变换包含五类型,分别为旋转、平移、缩放及放缩、加噪声、平移并旋转,每类型图像变换包含多种图像变换操作,具体地,
旋转变换包括将图像按照旋转角度分别为±50°、±25°、0°进行旋转操作,得到5种由旋转操作获得的新变换图像;
平移变换包括将图像分别向上、下、左、右平移1个、2个像素点的平移操作,得到8种由平移操作获得的新变换图像;
缩放及放缩变换为分别把图像缩小、放大到一定程度,再调整至原大小,具体包括将图像分别缩小至边长为20像素点、24像素点、28像素点,放大至36像素点、40像素点、44像素点后,再调整为图像原来尺寸的缩放及放缩操作,得到6种由缩放及放缩操作获得的新变换图像;
加噪声变换包括给图像分别加上方差大小为0.01、0.02、0.03、0.04和0.05的高斯噪声的加噪声操作,得到5种由加噪声操作获得的新变换图像;
平移并旋转变换是指在平移图像后的基础上进行图像的旋转操作,具体包含图像分别向上、下、左、右平移1个、2个像素点后按±50°、±25°角度旋转,得到32种由平移并旋转操作获得的新变换图像;
总计包含56种图像变换操作,针对1个对抗样本,经过这56种图像变换操作,可以获得56张新对抗样本;针对1个正常样本,经过这56种图像变换操作,可以获得56张新正常样本。
在获得新对抗样本和新正常样本后,将其输入至分类器中,输出对应的分类置信度,形成分类置信度数据集。
为了提升对抗样本检测器对各种分类器的普适性,本发明采用不同结构的分类器fi(i=0,1,2……,N),重复S101~S105,生成相对应的不同通道的分类置信度数据集
Figure BDA0002074072130000071
其中m表示通道数,i表示对应的分类器种类。
S105,根据正常样本变换操作前后的分类置信度,与对抗样本变换操作前后的分类置信度的波动情况,在一定范围内,挑选新正常样本和新对抗样本对应的那种图像变换操作作为备用通道;
本发明中采用的图像变换操作共有56种,倘若任意排列组合来测试最佳组合将耗费大量时间。为了尽可能得到较高的分类识别准确率,要对各种图像变换操作所得到的分类置信度进行有根据的选择。
根据图像变换操作可以破坏攻击扰动,从而降低攻击成功率的依据,基于图像变换操作前后数据集在分类器f分类准确率变化情况,选择图像变换操作前后,对抗样本分类准确率波动较大而正常样本分类准确率较小的数据,或抗样本分类准确率波动较小而正常样本分类准确率较大的数据作为多通道组成之一。
具体地,记录每种图像变换操作生成新正常样本集和新对抗样本集的分类准确率,当正常样本变换操作前后的分类置信度,与对抗样本变换操作前后的分类置信度满足关系式(1)时,
Figure BDA0002074072130000081
其中,Acc0、Acca分别表示正常样本的分类准确率与对抗样本分类准确率,将Accper0、Accpera分别表示图像变换操作后的新正常样本与新对抗样本的分类置信度;
Figure BDA0002074072130000082
范围内,挑选新正常样本和新对抗样本对应的那种图像变换操作作为备用通道。
S106,从S105中获得的备选通道中挑选任意个备选通道拼接成不同通道数数目的多通道,进而获得不同多通道样本集;
具体地,本发明采用五种策略构建分别为5通道、8通道、18通道、45通道以及56通道的多通道样本,具体地,每个通道组合情况如下所示:
对于5通道样本,从5类图像变换中各挑选一种针对正常样本和对抗样本的分类置信度波动均最大的图像变换操作,组成5通道,根据该5通道对应的图像变换操作对图像进行图像变换,获得5通道样本;
对于8通道样本,在上述5通道的基础上,任意选择其他3个备用通道,组成8通道,根据该8通道对应的图像变换操作对图像进行图像变换,获得8通道样本;
对于18通道样本,在上述5通道的基础上,任意选择其他13个备用通道,组成18通道,根据该18通道对应的图像变换操作对图像进行图像变换,获得18通道样本;
对于45通道样本,利用平移变换、旋转变换、平移并旋转变换包含的45种图像变换操作对图像进行图像变换,获得45通道样本;
对于56通道样本,利用平移变换、旋转变换、缩放及放缩变换、加噪声变换、平移并旋转变换包含的56种图像变换操作对图像进行图像变换,获得56通道样本。
S107,对不同通道样本进行组合后,利用组合样本集对对抗样本检测器进行训练,以获得训练好的对抗样本检测器。
本发明所采用的对抗样本检测器是用3层全连接网络搭建而成的对抗样本检测器D,用大小为(dc×m×nc×t)的组合样本集X作为训练集与测试集,其中,dc大小等于图像数目,大小由不同组合方式决定,m表示通道数,nc大小由不同组合方式决定,t为原图像色彩通道,实例中t为3;
采用两种不同通道样本组合方式,方式一:将相同通道数的样本进行纵向拼接,即增大第0维度的值dc,其中
Figure BDA0002074072130000091
di为不同分类器生成的置信度数据集第0维的大小,nc大小为数据集类别数n;方式二:挑选对应正常样本相同的图像,在此基础上将相同通道数的样本进行横向拼接,即增大第3维度的值nc,其中nc=N×n,此处dc大小为di(i=0,1,……,N)的交集的大小。搭建全连接对抗样本检测器D,用组合样本集X进行训练和测试,得到一个性能较为优良的检测器。
S108,应用时,将待检测的图像利用S104~S106处理后获得多通道测试样本,将多通道测试样本输入至训练好的对抗样本检测器,经计算,输出检测结果。
本发明还提供了一种基于图像变换的多通道对抗样本检测装置,包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序,所述计算机处理器执行所述计算机程序时实现上述基于图像变换的多通道对抗样本检测方法。
由于实施例的一种基于图像变换的多通道对抗样本检测装置主要用于实现前述的基于图像变换的多通道对抗样本检测方法,因此其作用与上述方法的作用相对应,这里不再赘述。
上述基于图像变换的多通道对抗样本检测方法和装置主要依据破坏攻击过程中对图像增加的扰动,降低攻击成功率,从而挑选出图像变换前后分类准确率波动较大,即置信度波动较大的方式,组合相应置信度从而制作多通道数据集,将其来训练对抗样本检测器,以此来提高对抗样本识别准确率。
以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明,应理解的是以上所述仅为本发明的最优选实施例,并不用于限制本发明,凡在本发明的原则范围内所做的任何修改、补充和等同替换等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于图像变换的多通道对抗样本检测方法,包括以下步骤:
(1)将获取的图像分成训练集和验证集,利用训练集对基于深度网络的分类器进行训练,利用训练好的分类器对验证集进行验证,挑选验证正确的图像组成数据集;
(2)将数据集中的图像输入至训练好的分类器中,并采用白盒攻击方法对分类器进行攻击,根据分类器的输出结果,挑选攻击成功的图像组成对抗样本集,并挑选对抗样本对应的正常图像组成正常样本集;
(3)将对抗样本和正常样本分别输入至训练好的分类器中,输出对抗样本的分类置信度和正常样本的分类置信度;
(4)将对抗样本和正常样本进行旋转、平移、缩放及放缩、加噪声和平移并旋转五类图像变换,获得新对抗样本集和新正常样本集,并将新对抗样本和新正常样本输入至训练好的分类器中,输出对应的分类置信度;
(5)根据正常样本变换操作前后的分类置信度,与对抗样本变换操作前后的分类置信度的波动情况,在一定范围内,挑选新正常样本和新对抗样本对应的那种图像变换操作作为备用通道;
(6)根据图像变换操作前后分类置信度的变化情况,挑选若干分类置信度波动大的变换操作对应的通道,以及步骤(5)中获得的备选通道拼接成不同通道数数目的多通道,进而获得不同多通道样本集;
(7)对不同通道样本进行组合后,利用组合样本集对对抗样本检测器进行训练,以获得训练好的对抗样本检测器;
(8)应用时,将待检测的图像利用步骤(4)~步骤(6)处理后获得多通道测试样本,将多通道测试样本输入至训练好的对抗样本检测器,经计算,输出检测结果。
2.如权利要求1所述的基于图像变换的多通道对抗样本检测方法,其特征在于,步骤(4)中,旋转变换包括将图像按照旋转角度分别为±50°、±25°、0°进行旋转操作,得到5种由旋转操作获得的新变换图像;
平移变换包括将图像分别向上、下、左、右平移1个、2个像素点的平移操作,得到8种由平移操作获得的新变换图像;
平移并旋转变换是指在平移图像后的基础上进行图像的旋转操作,具体包含图像分别向上、下、左、右平移1个、2个像素点后按照±50°、±25°角度旋转,得到32种由平移并旋转操作获得的新变换图像。
3.如权利要求2所述的基于图像变换的多通道对抗样本检测方法,其特征在于,步骤(4)中,缩放及放缩变换为分别把图像缩小、放大到一定程度,再调整至原大小,具体包括将图像分别缩小至边长为20像素点、24像素点、28像素点,放大至36像素点、40像素点、44像素点后,再调整为图像原来尺寸的缩放及放缩操作,得到6种由缩放及放缩操作获得的新变换图像;
4.如权利要求3所述的基于图像变换的多通道对抗样本检测方法,其特征在于,步骤(4)中,加噪声变换包括给图像分别加上方差大小为0.01、0.02、0.03、0.04和0.05的高斯噪声的加噪声操作,得到5种由加噪声操作获得的新变换图像。
5.如权利要求4所述的基于图像变换的多通道对抗样本检测方法,其特征在于,所述多通道对抗样本检测方法还包括:
采用不同结构的分类器fi,i=0,1,2……,N,重复步骤(1)~步骤(4),生成相对应的不同通道的分类置信度数据集
Figure FDA0002968233720000021
其中m表示通道数,i表示对应的分类器种类。
6.如权利要求5所述的基于图像变换的多通道对抗样本检测方法,其特征在于,步骤(5)中,记录每种图像变换操作生成新正常样本集和新对抗样本集的分类置信度,当正常样本变换操作前后的分类置信度,与对抗样本变换操作前后的分类置信度满足关系式(1)时,
Figure FDA0002968233720000031
其中,Acc0、Acca分别表示正常样本的分类置信度与对抗样本分类置信度,将Accper0、Accpera分别表示图像变换操作后的新正常样本与新对抗样本的分类置信度;
Figure FDA0002968233720000032
范围内,挑选新正常样本和新对抗样本对应的那种图像变换操作作为备用通道。
7.如权利要求6所述的基于图像变换的多通道对抗样本检测方法,其特征在于,步骤(6)中,采用五种策略构建分别为5通道、8通道、18通道、45通道以及56通道的多通道样本,具体地,每个通道组合情况如下所示:
对于5通道样本,从5类图像变换中各挑选一种针对正常样本和对抗样本的分类置信度波动均最大的图像变换操作,组成5通道,根据该5通道对应的图像变换操作对图像进行图像变换,获得5通道样本;
对于8通道样本,在上述5通道的基础上,任意选择其他3个备用通道,组成8通道,根据该8通道对应的图像变换操作对图像进行图像变换,获得8通道样本;
对于18通道样本,在上述5通道的基础上,任意选择其他13个备用通道,组成18通道,根据该18通道对应的图像变换操作对图像进行图像变换,获得18通道样本;
对于45通道样本,利用平移变换、旋转变换、平移并旋转变换包含的45种图像变换操作对图像进行图像变换,获得45通道样本;
对于56通道样本,利用平移变换、旋转变换、缩放及放缩变换、加噪声变换、平移并旋转变换包含的56种图像变换操作对图像进行图像变换,获得56通道样本。
8.如权利要求7所述的基于图像变换的多通道对抗样本检测方法,其特征在于,步骤(7)中,采用的对抗样本检测器是用3层全连接网络搭建而成的对抗样本检测器D,用大小为dc×m×nc×t的组合样本集X作为训练集与测试集,其中,dc大小等于图像数目,大小由不同组合方式决定,m表示通道数,nc大小由不同组合方式决定,t为原图像色彩通道,实例中t为3;
采用两种不同通道样本组合方式,方式一:将相同通道数的样本进行纵向拼接,即增大第0维度的值dc,其中
Figure FDA0002968233720000041
di为不同分类器生成的置信度数据集第0维的大小,nc大小为数据集类别数n;方式二:挑选对应正常样本相同的图像,在此基础上将相同通道数的样本进行横向拼接,即增大第3维度的值nc,其中nc=N×n,此处dc大小为di的交集的大小,i=0,1,……,N。
9.一种基于图像变换的多通道对抗样本检测装置,包括计算机存储器、计算机处理器以及存储在所述计算机存储器中并可在所述计算机处理器上执行的计算机程序,其特征在于,所述计算机处理器执行所述计算机程序时实现权利要求1~8任一项所述的基于图像变换的多通道对抗样本检测方法。
CN201910447411.8A 2019-05-27 2019-05-27 基于图像变换的多通道对抗样本检测方法及装置 Active CN110175646B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910447411.8A CN110175646B (zh) 2019-05-27 2019-05-27 基于图像变换的多通道对抗样本检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910447411.8A CN110175646B (zh) 2019-05-27 2019-05-27 基于图像变换的多通道对抗样本检测方法及装置

Publications (2)

Publication Number Publication Date
CN110175646A CN110175646A (zh) 2019-08-27
CN110175646B true CN110175646B (zh) 2021-05-11

Family

ID=67696214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910447411.8A Active CN110175646B (zh) 2019-05-27 2019-05-27 基于图像变换的多通道对抗样本检测方法及装置

Country Status (1)

Country Link
CN (1) CN110175646B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110717525B (zh) * 2019-09-20 2022-03-08 浙江工业大学 一种通道自适应优化的对抗攻击防御方法和装置
CN110942094B (zh) * 2019-11-26 2022-04-01 电子科技大学 一种基于范数的对抗性样本检测分类方法
CN111062442B (zh) * 2019-12-20 2022-04-12 支付宝(杭州)信息技术有限公司 解释业务处理模型的业务处理结果的方法和装置
CN111340143A (zh) * 2020-05-15 2020-06-26 支付宝(杭州)信息技术有限公司 一种获取对抗样本生成模型的方法和系统
CN113283418B (zh) * 2021-04-15 2024-04-09 南京大学 一种文本检测攻击方法
CN113610141B (zh) * 2021-08-02 2022-03-11 清华大学 自动驾驶多传感器融合感知模型的鲁棒性测试方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108229682A (zh) * 2018-02-07 2018-06-29 深圳市唯特视科技有限公司 一种基于反向传播攻击的图像检测对抗方法
CN108520268A (zh) * 2018-03-09 2018-09-11 浙江工业大学 基于样本选择和模型进化的黑盒对抗性攻击防御方法
CN108615048A (zh) * 2018-04-04 2018-10-02 浙江工业大学 基于扰动进化对图像分类器对抗性攻击的防御方法
CN108764267A (zh) * 2018-04-02 2018-11-06 上海大学 一种基于对抗式决策树集成的拒绝服务攻击检测方法
CN109583492A (zh) * 2018-11-26 2019-04-05 平安科技(深圳)有限公司 一种识别对抗性图像的方法及终端
CN109635850A (zh) * 2018-11-23 2019-04-16 杭州健培科技有限公司 一种基于生成对抗网络优化医学图像分类性能的方法
EP3477906A1 (en) * 2017-10-26 2019-05-01 Accenture Global Solutions Limited Systems and methods for identifying and mitigating outlier network activity

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108710892B (zh) * 2018-04-04 2020-09-01 浙江工业大学 面向多种对抗图片攻击的协同免疫防御方法
CN108537271B (zh) * 2018-04-04 2021-02-05 重庆大学 一种基于卷积去噪自编码机防御对抗样本攻击的方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3477906A1 (en) * 2017-10-26 2019-05-01 Accenture Global Solutions Limited Systems and methods for identifying and mitigating outlier network activity
CN108229682A (zh) * 2018-02-07 2018-06-29 深圳市唯特视科技有限公司 一种基于反向传播攻击的图像检测对抗方法
CN108520268A (zh) * 2018-03-09 2018-09-11 浙江工业大学 基于样本选择和模型进化的黑盒对抗性攻击防御方法
CN108764267A (zh) * 2018-04-02 2018-11-06 上海大学 一种基于对抗式决策树集成的拒绝服务攻击检测方法
CN108615048A (zh) * 2018-04-04 2018-10-02 浙江工业大学 基于扰动进化对图像分类器对抗性攻击的防御方法
CN109635850A (zh) * 2018-11-23 2019-04-16 杭州健培科技有限公司 一种基于生成对抗网络优化医学图像分类性能的方法
CN109583492A (zh) * 2018-11-26 2019-04-05 平安科技(深圳)有限公司 一种识别对抗性图像的方法及终端

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
Double layered recommendation algorithm based on fast density clustering: Case study on Yelp social networks dataset;Jinyin Chen等;《2017 International Workshop on Complex Systems and Networks 》;20180201;第242-252页 *
Lead Sheet Generation and Arrangement by Conditional Generative Adversarial Network;Hao-Min Liu等;《2018 17th IEEE International Conference on Machine Learning and Applications 》;20190117;第722-727页 *
不均衡数据集下基于生成对抗网络的改进深度模型故障识别研究;包萍等;《电子测量与仪器学报》;20190331;第176-183页 *
生成式对抗网络研究综述;罗佳等;《仪器仪表学报》;20190331;第74-84页 *
面向中文文本倾向性分类的对抗样本生成方法;王文琦等;《软件学报》;20190329;第2415-2427页 *

Also Published As

Publication number Publication date
CN110175646A (zh) 2019-08-27

Similar Documents

Publication Publication Date Title
CN110175646B (zh) 基于图像变换的多通道对抗样本检测方法及装置
CN109948658B (zh) 面向特征图注意力机制的对抗攻击防御方法及应用
CN108615048B (zh) 基于扰动进化对图像分类器对抗性攻击的防御方法
CN111310802B (zh) 一种基于生成对抗网络的对抗攻击防御训练方法
CN112085069B (zh) 基于集成注意力机制的多目标对抗补丁生成方法及装置
CN110059728B (zh) 基于注意力模型的rgb-d图像视觉显著性检测方法
CN112818862A (zh) 基于多源线索与混合注意力的人脸篡改检测方法与系统
CN113408537B (zh) 一种遥感影像域适应语义分割方法
CN113627543B (zh) 一种对抗攻击检测方法
CN111967006A (zh) 基于神经网络模型的自适应黑盒对抗攻击方法
CN109934239B (zh) 图像特征提取方法
CN113283599A (zh) 基于神经元激活率的对抗攻击防御方法
CN111783853A (zh) 一种基于可解释性的检测并恢复神经网络对抗样本方法
CN112651459A (zh) 深度学习图像对抗样本防御方法、装置、设备及存储介质
Lv et al. Chinese character CAPTCHA recognition based on convolution neural network
CN113378949A (zh) 一种基于胶囊网络和混合注意力的双重生成对抗学习方法
CN115147682A (zh) 一种具有迁移性的隐蔽白盒对抗样本生成方法及装置
CN113724271B (zh) 一种用于复杂环境移动机器人场景理解的语义分割模型训练方法
WO2021235247A1 (ja) 学習装置、生成方法、推論装置、推論方法、およびプログラム
US11599981B2 (en) Image processing system
CN115294424A (zh) 一种基于生成对抗网络的样本数据增强方法
CN115797711B (zh) 一种基于重构模型的对抗样本改进分类方法
CN116071625B (zh) 深度学习模型的训练方法、目标检测方法及装置
CN111192288B (zh) 基于形变样本生成网络的目标跟踪算法
CN112381176B (zh) 一种基于双目特征融合网络的图像分类方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant