CN110728629A

CN110728629A - 一种用于对抗攻击的图像集增强方法

Info

Publication number: CN110728629A
Application number: CN201910827184.1A
Authority: CN
Inventors: 史再峰; 王溥萌; 曹清洁; 徐江涛; 任辉政
Original assignee: Tianjin University
Current assignee: Tianjin University
Priority date: 2019-09-03
Filing date: 2019-09-03
Publication date: 2020-01-24
Anticipated expiration: 2039-09-03
Also published as: CN110728629B

Abstract

本发明公开一种用于对抗攻击的图像集增强方法，是将要转换的数字图像x输入训练好的D2P图像风格转换网络模型，得到对应的模拟拍摄图像G_D2P(x)；以模拟拍摄图像G_D2P(x)为基础应用EOT方法对其几何变换进行采样，生成对不同角度与距离具有鲁棒性的对抗性噪声；将所述对抗性噪声添加到模拟拍摄图像G_D2P(x)，得到对抗样本图像x’。本发明训练好的模型能够将数字图像转换为具有拍摄图像风格的模拟拍摄图像，在此基础上添加基于EOT算法产生的对抗噪声制成的对抗样本，具有鲁棒性。

Description

一种用于对抗攻击的图像集增强方法

技术领域

本发明涉及图像处理技术领域，特别是涉及一种用于对抗攻击的图像集增强方法。

背景技术

随着深度学习技术不断发展，基于神经网络的算法在图像语音的识别与分类等领域展示出了很好的性能，从而得到广泛的应用。同时，人们对于深层神经网络(DeepNeuralNetworks，DNN)的安全性与鲁棒性也越发关注。近年来研究者们发现，通过在图像上添加人为计算的微小扰动而得到的对抗样本可以轻而易举地使DNN分类网络的结果出错。并且，有学者已经证明对抗样本的攻击具有很强的迁移能力，也就是说针对某一特定模型攻击的对抗样本对其他不同模型的攻击仍然有效。

对抗攻击由于其作用的领域不同一般分为两种：数字攻击与物理攻击。数字攻击假设攻击者可以将数字图像直接输入DNN分类器，这也是对抗样本领域研究的开端。迄今为止，已经产生了很多有效并成熟的方法，如FGSM、JSMA、Deepfool、C&W等。然而，这种假设是一种理想条件，它没有考虑到攻击者对目标系统(例如，自动驾驶汽车，监视摄像机)拍照的控制是有限的。

因此，物理攻击研究物理世界中的对抗样本实例对DNN的攻击过程，这相对于数字攻击来说更加复杂。Kurakin等人证明了对抗性攻击的威胁也存在于物理世界中，其流程如图1所示：数字对抗图像被打印在纸上，经过相机拍照变换为物理对抗图像后送入神经网络分类器，仍有一大部分图像被分类错误。

Expectation over Transformation(EOT)算法是当下物理攻击研究的最新成果之一。通过在原始图像上应用数字变换来模拟旋转，缩放和透视等变化的影响，同时加入对抗性噪声，从而提高对抗样本实例在物理域的鲁棒性。但是，该算法完全基于数字图像的合成变换，没有考虑到样本在制成实例的过程中通过物理设备的转换引入的效应。这影响了最终对抗样本实例的鲁棒性。

发明内容

本发明的目的是针对现有技术中存在的技术缺陷，而提供一种用于对抗攻击的图像集增强方法，以增强EOT算法产生的对抗样本实例鲁棒性。

为实现本发明的目的所采用的技术方案是：

一种用于对抗攻击的图像集增强方法，包括步骤：

将要转换的数字图像x输入训练好的D2P图像风格转换网络模型，得到对应的模拟拍摄图像G_D2P(x)；

以模拟拍摄图像G_D2P(x)为基础应用EOT方法对其几何变换进行采样，生成对不同角度与距离具有鲁棒性的对抗性噪声；

将所述对抗性噪声添加到模拟拍摄图像G_D2P(x)，得到对抗样本图像x’。

本发明通过训练生成对抗网络模型学习数字图像经过打印机、相机等物理设备后变为拍摄图像的过程，即学习D(数字域)到P(物理域)的映射D→P(D2P)，训练好的模型能够将数字图像转换为具有拍摄图像风格的模拟拍摄图像，在此基础上添加基于EOT算法产生的对抗噪声制成对抗样本。

本发明通过此方式引入物理设备带来的转换，从而对EOT算法生成的对抗样本进行图像增强，提升其鲁棒性。

附图说明

图1所示为物理世界对抗样本实例对DNN分类网络攻击流程图；

图2所示为本发明提出的用于对抗攻击的图像集增强方法的流程图；

图3所示为本发明的D2P网络模型框架图；

图4所示为本发明的D2P网络模型循环过程示意图。

具体实施方式

以下结合附图和具体实施例对本发明作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明是通过获取数字图像集与物理图像集，构建转换模型的网络架构与损失函数。同时使用数字图像集与物理图像集对网络进行训练，经过测试无误后，得到符合要求的模型；然后将数字图像输入模型，经过模型处理后，输出对应的模拟拍摄图像，在此基础上添加EOT噪声，得到增强后的对抗样本，从而解决原算法中没有考虑物理设备产生的影响这一问题。

如图2-4所示，本发明用于对抗攻击的图像集增强方法，具体步骤如下：

步骤1：构建图像集。

原始数字图像样本d经过彩色打印机打印，并被相机拍照后转换为对应拍摄图像p。从图像集中随机抽取m副数字图像，经过打印拍照转换后构成拍摄图像集P(p∈P)，或称为模拟图像集，全部用作生成网络训练。另取n副图像构成数字图像集D`(d∈D`)，按比例分为生成网络的训练集与测试集。

如在图像集中取100张制作物理图像集，另取1200张构成数字图像集，将数字图像集以5:1的比例分为训练集与测试集。图片均设定为128×128分辨率3通道24bit彩色图像，以符合网络输入要求，图片格式包括但不限于.jpeg或.bmp格式。

步骤2：构建一对生成网络与一对判别网络。

生成网络为基于数字域的生成模型G_D2P与基于物理域的生成模型G_P2D，两个模型可以分别学习数字域的图像分布p_data(d)和物理域的数据分布p_data(p)。判别网络分别为C_P与C_D，用来分别判别生成模型G_D2P与G_P2D生成的图像是否属于其目标样本空间。生成网络与判别网络均为深度卷积神经网络。

本发明所提出的D2P图像风格转换模型基于生成对抗网络(GAN)框架实现。其中两个生成网络G_D2P和与G_P2D结构相同，生成器包含由两个步长为2的卷积块组成的编码层，由六个残差块组成的转换层，以及由两个反卷积层和一个卷积层组成的解码层。编码层的卷积块分别包含128和256个卷积层，每个卷积层的卷积核为3×3，步长为2；残差块均有两个卷积块，它们有256个卷积层，卷积核为3×3，步长为1；在解码层的反卷积层中分别有128和64个卷积层，卷积核为3×3，步长为2；最后一层卷积层卷积核数目为3，大小为3×3，步长为1。

判别网络C_P与C_D结构相同，均具有5个连续层的卷积层，卷积核大小为4×4，数量分别为64/128/256/512/1，前四层步长为2，最后一层步长为1。前四层卷积层用于提取图像特征，第五层卷积层基于高级特征判断图像真实性，经Sigmoid函数激活后产生1维输出鉴别结果。Sigmoid函数由如下公式定义：

输出函数方面，除判别网络输出卷积层使用sigmoid函数外，所有卷积层输出函数均使用线性整流函数。

步骤3：正向循环网络的框架搭建。

具体由4个步骤构成：

(1)从数字图像训练集D中任取样本d，通过卷积核特征提取的方式输入数字域到物理域的生成网络G_D2P中。G_D2P由编码器、转换器和解码器构成：首先通过卷积神经网络从输入数字图像d中提取特征，接下来通过组合图像的不相近特征，将图像在数字域中的特征向量转换为物理域中的特征向量，最后利用反卷积层完成从特征向量中还原出低级特征的工作，输出与d同尺寸的模拟拍摄图像p_s。

(2)将p_s输入与G_D2P结构完全相同而功能相反的物理域到数字域的生成网络G_P2D中，输出同尺寸正向循环图像d_cyc。G_P2D的功能为保证d_cyc≈d，其中所采用的损失函数将在步骤5中详细说明。至此，完成了正向循环网络框架搭建。

(3)将第(1)步所得p_s与任取自训练样本集P的p同时输入判别网络C_P，用于判别模型的训练。判别网络本身也属于卷积网络，从图像中提取特征，再通过添加产生一维输出的卷积层来确定提取的特征是否属于特定类别。C_P输出卷积层进行权重和偏置后通过激活函数，输出一个位于[0,1]区间的标量C_P(p_s)，表示判别网络C_P判断p_s来自P(物理域)的概率。它的值反映了生成网络G_D2P训练是否完善。若C_P较小，说明判别网络C_P判定G_D2P生成的图像p_s不符合目标分布P，训练不够完善；若C_P≈0.5，则说明C_P无法判定p_s真假，网络训练完成。

该正向循环网络框架的损失函数为：

其中，E(*)表示分布函数的期望值。

步骤4：构建反向循环网络框架。

将p输入生成网络G_P2D得到模拟数字图像d_s，并将d_S输入G_D2P中生成反向循环图像p_cyc。其中，将d_s与d同时输入判别网络C_D中得到一个位于[0,1]区间的标量C_D(d_s)，表示判别网络C_D判断d_s来自数字域D的概率。判别方法同上述的判别网络C_P，不再详细说明。

该反向循环网络框架的损失函数为：

步骤5：为防止单向网络学习中可能出现的损失无效化问题，需保证d_cyc≈d，p_cyc≈p，其中相对应的损失函数为：

其中，‖‖₁代表1-范数。

步骤6：确定整体网络最终损失函数。

根据步骤3、4、5，得到整体过程对应的损失函数：

L(G_D2P,G_P2D,C_D,C_P)＝λ₁L₁(G_D2P,C_P,D,P)+λ₂L₂(G_P2D,C_D,P,D)+λ₃L₃(G_D2P,G_P2D)

其中，λ₁、λ₂和λ₃分别为L₁、L₂和L₃的权重。

在损失函数方面，λ₁与λ₂为1，λ₃可设置为15，保证生成器输出图像与源输入图像之间的结构相似性。

步骤7：对整体网络框架进行训练。

训练过程可用下式表示：

其中G_D2P ^*表示生成网络G_D2P最优解、G_P2D ^*表示生成网络G_P2D最优解。使用步骤1中构建的图像训练集对网络进行训练，其训练目标是获得令判别网络分类准确率最高的参数和具有对判别网络最强欺骗能力的生成网络参数。通过生成网络与判别网络交替梯度更新，使用最优化方法来训练整体网络框架。

在训练过程中，首先利用少量数据集对网络进行预训练，获得初始的D2P图像风格转换模型并评价其效果，继而使用完整的数据集对网络进行大规模迭代训练，判断框架的损失函数L(G_D2P,G_P2D,C_D,C_P)经过若干次交替迭代训练之后是否基本达到其最小值，若是则说明网络收敛，得到D2P图像风格转换模型，同时分析迭代次数、卷积核大小、学习率等超参数对训练模型结果的影响。

其中，整体网络训练过程方面，最优化方法可选择反向传播实现，训练周期为10，batchsize为8，迭代次数为6000次。将训练集输入网络中进行网络训练，观察损失函数是否可以收敛到最小值，如果不收敛，则改变网络中的学习率，卷积核个数的初始值后重新进行训练，直到损失函数收敛时停止训练。最后使用测试集进行测试，采用Inception-V3分类器进行对抗样本鲁棒性检测。

步骤8：网络测试。

利用步骤1中构建的图像测试集，对训练好的D2P模型进行测试，并记录模型准确率，选出效果最佳的模型作为最终网络模型。

步骤9：图像风格转换。

首先选取需要转换的数字图像x，然后将图像输入训练好的网络模型，得到对应的模拟拍摄图像G_D2P(x)。

步骤10：生成对抗噪声。

以G_D2P(x)为基础应用EOT方法对其几何变换进行采样，从而生成对不同角度与距离具有鲁棒性的对抗性噪声。

更具体地，EOT应用变换函数t以生成用于噪声优化的分布T，从而使扰动δ对于物理变化更加具有鲁棒性。目标函数的形式为：

其中，F为图像分类器，L(,)为计算输出F(t(G_D2P(x)+δ))与目标标签y′之间距离的损失函数，c控制失真的正则化，‖‖_p为L_p-范数。变换t可以是图像平移，旋转，缩放和光照变化等。

步骤11：获得具有拍摄图像特性的对抗图像x’。

将步骤10中所得对抗噪声添加到步骤9中生成的模拟拍摄图像G_D2P(x)，得到对抗样本图像x’。

本发明所提出的物理攻击算法图像增强方法，针对EOT算法产生的对抗样本忽略了物理设备带来的偏差这一缺点，引入生成对抗网络模型作为图像增强手段，学习数字域到物理域的映射，可以生成包含物理转换映射的对抗样本实例，有效提高算法产生的对抗样本实例的鲁棒性。

以上所述仅是本发明的优选实施方式，应当指出的是，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种用于对抗攻击的图像集增强方法，其特征在于，包括步骤：

2.根据权利要求1所述用于对抗攻击的图像集增强方法，其特征在于，所述D2P图像风格转换网络模型的训练及测试集是由原始数字图像样本经过彩色打印机打印，并被相机拍照后转换为对应拍摄图像所形成。

3.根据权利要求1所述用于对抗攻击的图像集增强方法，其特征在于，所述D2P图像风格转换网络模型的形成过程如下：

构建一对生成网络与一对判别网络；

其中，生成网络为基于数字域的生成模型G_D2P与基于物理域的生成模型G_P2D，可以分别学习数字域的图像分布p_data(d)和物理域的数据分布p_data(p)，判别网络分别为C_P与C_D，用来分别判别生成模型G_D2P与G_P2D生成的图像是否属于其目标样本空间；生成网络与判别网络均为深度卷积神经网络；

依次搭建正向循环网络框架与反向循环网络框架；

其中，正向循环网络框架的搭建步骤如下：

从数字图像训练集D的样本d，通过卷积核特征提取的方式输入数字域到物理域的生成模型G_D2P中，由卷积神经网络从样本d中提取特征，通过组合图像的不相近特征，将图像在数字域中的特征向量转换为物理域中的特征向量，最后利用反卷积层完成从特征向量中还原出低级特征，输出与样本d同尺寸的模拟拍摄图像p_s；

将模拟拍摄图像p_s输入与生成模型G_D2P结构完全相同而功能相反的物理域到数字域的生成模型G_P2D中，输出对应于模拟拍摄图像p_s的同尺寸正向循环图像d_cyc；

将模拟拍摄图像p_s与模拟图像训练集P的样本p同时输入判别网络C_P，以判别生成模型G_D2P的训练；判别达到预定目标后，训练完成；

其中，反向循环网络框架的搭建步骤如下：

将模拟图像训练集P的样本p输入生成模型G_P2D得到模拟数字图像d_s，并将模拟数字图像d_s输入生成模型G_D2P中生成反向循环图像p_cyc；

将模拟数字图像d_s与样本d同时输入判别网络C_D，判断模拟数字图像d_s来自数字图像训练集D的概率；判别达到预定目标后，训练完成。

4.根据权利要求3所述用于对抗攻击的图像集增强方法，其特征在于，所述正向循环网络框架的的损失函数为：

该反向循环网络框架的损失函数为：

其中，d_cyc≈d，p_cyc≈p，相对应的损失函数为：

其中，|| ||₁代表1-范数，E(*)表示分布函数的期望值；

整体网络最终损失函数如下

L(G_D2P，G_P2D，C_D，C_P)＝λ₁L₁(G_D2P，C_P，D，P)+λ₂L₂(G_P2D，C_D，P，D)+λ₃L₃(G_D2P，G_P2D)

其中，λ₁、λ₂和λ₃分别为L₁、L₂和L₃的权重。

5.根据权利要求3所述用于对抗攻击的图像集增强方法，其特征在于，所述判别网络C_P与C_D属于卷积网络，从图像中提取特征，再通过添加产生一维输出的卷积层来确定提取的特征是否属于特定类别，其中，C_P输出卷积层进行权重和偏置后通过激活函数，输出一个位于[0，1]区间的标量C_P(p_s)，表示判别网络C_P判断p_s来自模拟图像训练集P的概率，其值反映生成网络G_D2P训练是否完善；若C_P较小，说明判别网络C_P判定G_D2P生成的图像p_s不符合目标分布P，训练不够完善；若C_P≈0.5，则说明C_P无法判定p_s真假，网络训练完成。

6.根据权利要求3所述用于对抗攻击的图像集增强方法，其特征在于，在训练过程中，首先利用少量数据集对网络进行预训练，获得初始的D2P图像风格转换模型并评价其效果，继而使用完整的数据集对网络进行大规模迭代训练，判断框架的损失函数L(G_D2P，G_P2D，C_D，C_P)经过若干次交替迭代训练之后是否基本达到其最小值，若是则说明网络收敛，得到D2P图像风格转换模型。