CN110348475B

CN110348475B - 一种基于空间变换的对抗样本增强方法和模型

Info

Publication number: CN110348475B
Application number: CN201910458051.1A
Authority: CN
Inventors: 贾西平; 陈桂君; 方刚
Original assignee: Guangdong Polytechnic Normal University
Current assignee: Guangdong Polytechnic Normal University
Priority date: 2019-05-29
Filing date: 2019-05-29
Publication date: 2023-04-18
Anticipated expiration: 2039-05-29
Also published as: CN110348475A

Abstract

本发明公开了一种基于空间变换的对抗样本增强方法和模型，所述的方法利用随机扰动生成初始对抗图像后输入基于空间变换的增强模块，所述增强模块在深度神经网络的前向传播过程中对初始对抗样本及其特征图应用空间变换，并且能随着深度神经网络的反向传播进行更新，通过不断优化随机扰动使生成的对抗样本能对不同角度与视角的旋转变换保持一定的攻击成功率，增强对抗样本对仿射变换等复杂条件的健壮性。所述的模型包括生成模块，增强模块ST，分类器F，测试模块，测试模块的最终输出即为增强的对抗样本。本发明适用性较广，通用性较强，在不同类型的数据集与不同结构的模型上的攻击成功率都较高。

Description

一种基于空间变换的对抗样本增强方法和模型

技术领域

本发明涉及机器学习领域，更具体地，涉及一种基于空间变换的对抗样本增强方法和模型。

背景技术

对抗攻击是当前机器学习领域研究的一个热点问题。对抗攻击的原理是通过对抗样本(向原数据样本中添加经过精心训练的人眼不易察觉的微小扰动得到的新样本)来欺骗深度神经网络，使其做出错误判定。

现有关于神经网络的攻击方法研究大多基于一个假设——攻击者可以直接将对抗样本输入到深度学习分类器中。该假设能较好使用于发生在信息系统内部的攻击场景，例如躲避垃圾邮件过滤器的过滤或恶意软件检测器的检测。然而，对于运行在物理世界的系统而言，情况并非总是如此，特别是使用摄像机和其他传感器信号作为输入的系统。因为对抗样本可能在输入到分类器之前就进行了转换。已有研究表明，对抗样本一旦经过较小的转换，往往就失去了攻击性，导致攻击成功率大幅度下降。这反映了对抗样本具有脆弱性(vulnerability)，攻击能力在噪声、对比度和亮度变化等环境条件干扰下容易失效。特别是一些常规的图像转换，如仿射变换(旋转、缩放、平移、斜切等)，会极大地降低攻击的成功率。因此，出现了对抗样本的健壮性问题。对抗样本的健壮性是指在普通条件下生成的对抗样本转换到复杂条件下仍然能成功欺骗分类器的特质。

提高对抗样本的健壮性，使对抗样本在复杂条件下保持攻击成功率是一项极具挑战性的任务。因为物理世界中的转换通常是不确定的，而且很难建模。最近有研究致力于增强针对特定情况的对抗样本的健壮性，如人脸识别和路标识别。但是，他们都是应用于特定的程序，并不普遍适用。如文献[1]Goodfellow I J,Shlens J,Szegedy C,etal.Explaining and Harnessing Adversarial Examples[J].International Conferenceon Learning Representations,2015、文献[2]Kurakin A,Goodfellow I J,Bengio S,etal.Adversarial examples in the physical world[J].arXiv:Computer Vision andPattern Recognition,2017、文献[3]Moosavidezfooli S,Fawzi A,Frossard P,etal.DeepFool:A Simple and Accurate Method to Fool Deep Neural Networks[J].Computer Vision and Pattern Recognition,2016:2574-2582。

综上所述，虽然已有研究证明了现有攻击方法对神经网络的有效攻击，但仍存在现有攻击方法生成的对抗样本健壮性不足导致的攻击成功率大幅度下降等问题。

发明内容

本发明的首要目的是提供一种基于空间变换的对抗样本增强方法，提高对抗样本对旋转、缩放、平移、斜切等仿射变换处理的健壮性，进而提高攻击成功率。

本发明的进一步目的是提供一种基于空间变换的对抗样本增强模型。

为解决上述技术问题，本发明的技术方案如下：

一种基于空间变换的对抗样本增强方法，包括以下步骤：

S1：在原图像x添加随机扰动r，生成初始对抗样本x′；

S2：将初始对抗样本x′输入到基于空间变换的增强模块ST，得到转换后的对抗样本x′_st，所述增强模块ST在深度神经网络的前向传播过程中对初始对抗样本及其特征图应用空间变换，并且能随着深度神经网络的反向传播进行更新；

S3：将转换后的对抗样本x′_st输入到分类器F中，根据分类器的损失函数L_F优化随机扰动r；

S4：重复S1至S3，直到原图像x添加优化后的随机扰动r得到的对抗样本同时具有有效性和健壮性，停止优化，得到增强的对抗样本。

优选地，所述增强模块ST对多通道的图像输入，对每个通道应用相同的变换。

优选地，所述增强模块ST的空间变换过程具体包括以下步骤：

S2.1：通过随机种子产生欧拉角的角参量，根据角参量生成用于图像的空间转换矩阵参数θ；

S2.2：根据空间转换矩阵参数θ创建变换函数T_θ；

S2.3：创建采样网格S，并利用变换函数T_θ对采样网络进行变换，所述采样网络为一组坐标点；

S2.4：利用变换后的采样网络对初始对抗样本x′进行采样，生成转换后的输出。

优选地，步骤S3中分类器的损失函数L_F为交叉熵函数。

优选地，步骤S4所述的有效性为将原图像x添加优化后的随机扰动r得到的对抗样本输入至分类器F时，分类器F分类错误。

优选地，步骤S4所述的健壮性为将原图像x添加优化后的随机扰动r得到的对抗样本进行十次随机空间变换，分别得到十个变换后的对抗样本x_i″(i＝1,2,3,...,10)，分类器F对这十个变换后的对抗样本进行分类，十次中累计输出次数最多的类别为最终分类结果，该类别与原始标签类不一致，分类器F分类错误。

优选地，根据分类器的损失函数L_F优化随机扰动r，通过快速梯度下降法FGSM或基本迭代法BIM或迷惑深度法DeepFool优化随机扰动r。

优选地，所述分类器F采用深度神经网络构成，其中的深度神经网络可为ResNet-18或VGG-16或Multi-Scale CNN。

一种基于空间变换的对抗样本增强模型，包括：

生成模块，用于在原图像x添加随机扰动r，生成初始对抗样本x′；

增强模块ST，基于空间变换，在深度神经网络的前向传播过程中对初始对抗样本及其特征图应用空间变换，并且能随着深度神经网络的反向传播进行更新，增强模块的输入为初始对抗样本x′，输出为转换后的对抗样本x′_st；

分类器F，用于将转换后的对抗样本x′_st进行分类并根据分类器的损失函数L_F优化随机扰动r；

测试模块，用于测试原图像x添加优化后的随机扰动r得到的对抗样本的有效性和健壮性，测试模块的最终输出即为增强的对抗样本。

与现有技术相比，本发明技术方案的有益效果是：

本发明方法的适用性较广，通用性较强，在不同类型的数据集与不同结构的模型上的攻击成功率都较高。与已有算法相比，本发明能有效提高对抗样本对仿射变换的健壮性，提高仿射变换条件下的攻击成功率。

附图说明

图1为一种基于空间变换的对抗样本增强方法流程示意图。

图2为仿射变换增强的攻击流程。

图3为变换过程示意图。

图4为攻击样本有效性和健壮性实施流程图。

图5为一种基于空间变换的对抗样本增强模型模块示意图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；

对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1

一种基于空间变换的对抗样本增强方法，如图1，包括以下步骤：

S1：在原图像x添加随机扰动r，生成初始对抗样本x′；

S2：将初始对抗样本x′输入到基于空间变换的增强模块ST，得到转换后的对抗样本x′_st，所述增强模块ST在深度神经网络的前向传播过程中对初始对抗样本及其特征图应用空间变换，并且能随着深度神经网络的反向传播进行更新；所述增强模块ST对多通道的图像输入，对每个通道应用相同的变换；

所述增强模块ST的空间变换过程如图3所示，具体包括以下步骤：

S2.2：根据空间转换矩阵参数θ创建变换函数T_θ；

S2.4：利用变换后的采样网络对初始对抗样本x′进行采样，生成转换后的输出；

S3：将转换后的对抗样本x′_st输入到分类器F中，根据分类器的损失函数L_F优化随机扰动r，损失函数L_F为交叉熵函数，根据分类器的损失函数L_F优化随机扰动r，通过快速梯度下降法FGSM或基本迭代法BIM或迷惑深度法DeepFool优化随机扰动r；

S4：重复S1至S3，直到原图像x添加优化后的随机扰动r得到的对抗样本同时具有有效性和健壮性，停止优化，得到增强的对抗样本，有效性为将原图像x添加优化后的随机扰动r得到的对抗样本输入至分类器F时，分类器F分类错误，健壮性为将原图像x添加优化后的随机扰动r得到的对抗样本进行十次随机空间变换，分别得到十个变换后的对抗样本x_i″(i＝1,2,3,...,10)，分类器F对这十个变换后的对抗样本进行分类，十次中累计输出次数最多的类别为最终分类结果，该类别与原始标签类不一致，分类器F分类错误。

在具体实施过程中，以FGSM，BIM和DeepFool等典型白盒攻击方法为基础进行攻击健壮性测试，具体流程如图4所示。

选择攻击目标F。利用CIFAR-10数据集分别训练ResNet-18和VGG-16，另外用GTSRB数据集训练Multi-Scale CNN和VGG-16，得到两组共四个分类网络作为攻击目标。

数据预处理。为了排除网络本身的性能所导致的分类错误的影响，将目标分类网络能正确分类的样本筛选出来，作为生成对抗样本的原样本。

生成对抗样本。根据图2的过程生成基于FGSM(或BIM，DeepFool)的对抗样本x′。

测试对抗样本的有效性：生成的对抗样本x′成功欺骗了目标F使其错误分类，对抗样本有效。

测试对抗样本的健壮性。对每个对抗样本x′进行十次随机空间变换，分别得到十个变换后的对抗样本x_i″(i＝1,2,3,...,10)，分类网络F对这十个变换后的对抗样本进行分类，十次中累计输出次数最多的类别为最终分类结果。该类别与原始标签类不一致，分类网络F分类错误，对抗样本x′成功欺骗了分类网络。

本发明与已有算法攻击成功率实验结果比较如表1所示：

表1

仿射变换条件下攻击成功率实验结果比较如表2所示：

表2

实施例2

本实施例提供一种基于空间变换的对抗样本增强模型，如图5，包括：

分类器F，用于将转换后的对抗样本x′_st进行分类并根据分类器的损失函数L_F优化随机扰动r；优化后的随机扰动r返回生成模块，进行反复优化；

相同或相似的标号对应相同或相似的部件；

附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制；

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims

1.一种基于空间变换的对抗样本增强方法，其特征在于，包括以下步骤：

S1：在原图像x添加随机扰动r，生成初始对抗样本x′；

S4：重复S1至S3，直到原图像x添加优化后的随机扰动r得到的对抗样本同时具有有效性和健壮性，停止优化，得到增强的对抗样本；

所述增强模块ST的空间变换过程具体包括以下步骤：

S2.2：根据空间转换矩阵参数θ创建变换函数T_θ；

2.根据权利要求1所述的基于空间变换的对抗样本增强方法，其特征在于，所述增强模块ST对多通道的图像输入，对每个通道应用相同的变换。

3.根据权利要求1所述的基于空间变换的对抗样本增强方法，其特征在于，步骤S3中分类器的损失函数L_F为交叉熵函数。

4.根据权利要求1所述的基于空间变换的对抗样本增强方法，其特征在于，步骤S4所述的有效性为将原图像x添加优化后的随机扰动r得到的对抗样本输入至分类器F时，分类器F分类错误。

5.根据权利要求1所述的基于空间变换的对抗样本增强方法，其特征在于，步骤S4所述的健壮性为将原图像x添加优化后的随机扰动r得到的对抗样本进行十次随机空间变换，分别得到十个变换后的对抗样本x″_i,i＝1,2,3…,10，分类器F对这十个变换后的对抗样本进行分类，十次中累计输出次数最多的类别为最终分类结果，该类别与原始标签类不一致，分类网络F分类错误。

6.根据权利要求1所述的基于空间变换的对抗样本增强方法，其特征在于，根据分类器的损失函数L_F优化随机扰动r，通过快速梯度下降法FGSM或基本迭代法BIM或迷惑深度法DeepFool优化随机扰动r。

7.根据权利要求1至6任一项所述的基于空间变换的对抗样本增强方法，其特征在于，所述分类器F采用深度神经网络构成，其中的深度神经网络可为ResNet-18或VGG-16或Multi-Scale CNN。