CN111353403A - 一种深度神经网络图像对抗样本检测方法和系统 - Google Patents
一种深度神经网络图像对抗样本检测方法和系统 Download PDFInfo
- Publication number
- CN111353403A CN111353403A CN202010111521.XA CN202010111521A CN111353403A CN 111353403 A CN111353403 A CN 111353403A CN 202010111521 A CN202010111521 A CN 202010111521A CN 111353403 A CN111353403 A CN 111353403A
- Authority
- CN
- China
- Prior art keywords
- image
- pixel
- points
- dimensional entropy
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 20
- 230000009467 reduction Effects 0.000 claims abstract description 33
- 238000013139 quantization Methods 0.000 claims abstract description 27
- 238000012545 processing Methods 0.000 claims abstract description 23
- 238000001914 filtration Methods 0.000 claims abstract description 21
- 238000001514 detection method Methods 0.000 claims abstract description 13
- 238000004364 calculation method Methods 0.000 claims description 9
- 230000003042 antagnostic effect Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 7
- 238000013507 mapping Methods 0.000 description 6
- 238000012549 training Methods 0.000 description 6
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 238000009499 grossing Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000004821 distillation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/16—Human faces, e.g. facial parts, sketches or expressions
- G06V40/172—Classification, e.g. identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/20—Image preprocessing
- G06V10/30—Noise filtering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/50—Maintenance of biometric data or enrolment thereof
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Multimedia (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Human Computer Interaction (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Oral & Maxillofacial Surgery (AREA)
- Image Processing (AREA)
- Image Analysis (AREA)
Abstract
本发明涉及一种深度神经网络图像对抗样本检测方法和系统,属于图像处理技术领域,包括以下步骤:1)输入图像f,计算图像f的一维熵;2)根据图像f的一维熵值,采用标量量化和平滑滤波的方法,对图像f进行降噪处理,生成降噪图像f′;3)对图像f和降噪图像f′进行分类,若图像f和降噪图像f′属于同一类别,表明输入的图像f为正常样本,否则,图像f为对抗样本。本发明无需对目标模型进行修改,也不需要大量的对抗样本作为检测基础,也不需要了解对抗样本的具体技术细节,就可以轻易的部署到已有的模型中进行检测,检测效果好,精确度高。
Description
技术领域
本发明是关于一种深度神经网络图像对抗样本检测方法和系统,属于图像处理技术领域。
背景技术
深度学习是人工智能领域的重要分支,其已被广泛的用于处理各种任务,比如图像识别、语音识别以及自然语言处理等。采用深度神经网络对图像进行识别取得了良好效果,在处理图像分类任务时,一些基于深度神经网络的分类器甚至能够表现的比人更好。与此同时,深度神经网络自身的安全性也吸引了越来越多的关注。
近年来,攻击者通过向原始图像中添加人眼不可察觉的扰动,构造出相应的对抗样本。对抗样本可造成已经训练好的分类器出现严重的错误分类现象。目前,越来越多的人工智能应用,如人脸识别、自动驾驶等,其依附的主要技术都是图像识别。对抗样本的存在使得这些应用面临着巨大的安全风险。举例而言,某公司采用一套人脸识别软件作为其门禁系统,非该公司的员工可以通过构造对抗样本来欺骗该人脸识别软件,进而混入公司。再比如,通过构造路标对抗样本,攻击者可使得装备了特定深度神经网络分类器的自动驾驶汽车出现错误的驾驶行为,如在本应该停止的路口选择了继续直行。诸如此类的错误分类现象,都有可能造成巨大的财产损失甚至人身伤亡。
现有技术中主要通过增强模型的鲁棒性来抵御对抗样本的攻击。其中比较常见的抵御对抗样本的方法包括对抗训练方法(adversarialtraining)和防御蒸馏方法(defensivedistillation)。然而,上述两种抵御对抗样本的方法都需要对目标分类器进行修改。且对抗训练方法还要求在原始训练样本集中加入大量的对抗样本,进而需要对整个模块进行重新训练,以此来保证经过重新训练的模型能够正确分类某些对抗样本。
除了通过增强模型鲁棒性来防御对抗样本,还可以通过直接检测对抗样本来抵御对抗样本。然而,直接检测对抗样本的方法不是需要大量的对抗样本作为数据基础,就是需要对原始分类器进行修改,或者既需要修改分类器也需要大量的对抗样本。举例而言,一些方法虽然不直接更改原始模型,但是会利用混入了大量对抗样本的训练集去训练一个附加模型,用附加模型来检测给定的图像是正常样本还是对抗样本;一些方法则利用了主成分分析技术(principalcomponentanalysis)去发现正常样本和对抗样本的差异,并利用这种差异进行检测;还有一些方法则是对大量样本进行统计分析以发现对抗样本的特性或者对输入样本进行一些预处理。
上述抵御对抗样本的方法虽然均可以在一定程度上检测、识别出某些对抗样本。但其也存在如下缺陷:首先,在现实中,对模型进行修改(重训练或者改变模型架构)会引入巨大的训练开销,而要获得大量合适的对抗样本作为检测的基础也是耗时耗力的一件事情。其次,上述方法不具有通用性。具体而言,同一个方法,比如对抗训练,当部署到一个模型上后,相关的配置无法直接迁移到另一个模型上。也就是说,对于我们想要加固的模型,我们都得逐一进行配置,十分繁琐低效。最后,有研究表明,上述的方法均为基于现有的对抗样本获得,对攻击者采用新的攻击手段生成的对抗样本难以有效预防和识别。
发明内容
针对上述现有技术的不足,本发明的目的是提供一种深度神经网络图像对抗样本检测方法和系统,其无需对目标模型进行修改,也不需要大量的对抗样本作为检测基础,也不需要了解对抗样本的具体技术细节,就可以轻易的部署到已有的模型中进行检测,检测效果好,精确度高。
为实现上述目的,本发明提供了一种深度神经网络图像对抗样本检测方法,包括以下步骤:1)输入图像f,计算图像f的一维熵;2)根据图像f的一维熵值,采用标量量化和平滑滤波的方法,对图像f进行降噪处理,生成降噪图像f′;3)对图像f和降噪图像f′进行分类,若图像f和降噪图像f′属于同一类别,表明输入的图像f为正常样本,否则,图像f为对抗样本。
进一步,步骤1)中图像f的一维熵值的计算公式如下:
其中,图像f由M×N个像素点组成,每个像素点的像素值均在[0,a]的范围内,fi表示像素值为i的像素点的个数,pi表示像素点的像素值为i的概率,H表示一维熵值。
进一步,步骤2)中将图像f的一维熵值分成三个阶段,当图像f的一维熵值处于第一阶段和第二阶段时,对图像f进行标量量化生成降噪图像f′;当图像f处于第三阶段时,对图像f进行标量量化后,再进行平滑滤波生成降噪图像f′。
进一步,当图像f的一维熵值大于等于零且小于a2时,图像f的一维熵值处于第一阶段,设0<a1<a2,a/a1=b1,将图像中的像素数a等分为a1个段,其中第一段即像素值小于等于b1的像素点,其像素值都为0;第二段即像素值大于b1且小于等于2b1的像素点,其像素值都为b1,以此类推,第a1段即像素值大于(a1-1)b1且小于等于a的像素点,其像素值都为(a1-1)b1,根据以上规则生成第一阶段降噪图像f1′。
进一步,当图像f的一维熵值大于等于a2且小于a3时,图像f的一维熵值处于第二阶段,设a/a2=b2,将图像中的像素数a等分为a2个段,其中第一段即像素值小于等于b2的像素点,其像素值都为0;第二段即像素值大于b2且小于等于2b2的像素点,其像素值都为b2,以此类推,第a2段即像素值大于(a2-1)b2且小于等于a的像素点,其像素值都为(a2-1)b2,根据以上规则生成第二阶段降噪图像f2′。
进一步,当图像f的一维熵值大于等于a3时,图像f的一维熵值处于第三阶段,设a/a3=b3,将图像中的像素数a等分为a3个段,其中第一段即像素值小于等于b3的像素点,其像素值都为0;第二段即像素值大于b3且小于等于2b3的像素点,其像素值都为b3,以此类推,第a2段即像素值大于(a3-1)b3且小于等于a的像素点,其像素值都为(a3-1)b3,根据以上规则生成图像fSQ。
进一步,采用十字滤波核对图像fSQ上的每一个像素点进行平滑滤波处理,生成滤波后的图像fSQ-SF。
进一步,对于M×N个像素点组成的图像,在坐标(m,n)上的像素点,其像素值由图像fSQ在坐标(m,n)上的像素点纵向上c个点、下c个点和横向左c个点、右c个点及其自身的像素值的平均值确定,根据以上规则生成滤波后的图像fSQ-SF。
进一步,第三阶段降噪图像f3′根据如下公式得到:
本发明还公开了一种深度神经网络图像对抗样本检测系统,包括:图像输入模块,用于输入图像;一维熵计算模块,用于计算图像f的一维熵;降噪图像生成模块,用于根据图像f的一维熵值,采用标量量化和平滑滤波的方法,对图像f进行降噪处理,生成降噪图像f′;图像对比模块,对图像f和降噪图像f′进行分类,若图像f和降噪图像f′属于同一类别,表明输入的图像f为正常样本,否则,图像f为对抗样本。
本发明由于采取以上技术方案,其具有以下优点:1、本发明无需对目标模型进行修改,也不需要大量的对抗样本作为检测基础,也不需要了解对抗样本的具体技术细节,就可以轻易的部署到已有的模型中进行检测,检测效果好,精确度高。2、选取了适当的降噪方法,可以在不影响分类器对正常样本进行正确分类的前提下,有效的检测出对抗样本。3、不仅可以识别原有的攻击方法生成的对抗样本,而且对采用新的攻击手段生成的对抗样本也有一定的预测和防御作用。4、操作简单,对于对抗样本识别效果好。
附图说明
图1是本发明一实施例中深度神经网络图像对抗样本检测方法的流程图;
图2是本发明一实施例中十字滤波核的结构示意图。
具体实施方式
以下结合附图来对本发明进行详细的描绘。然而应当理解,附图的提供仅为了更好地理解本发明,它们不应该理解成对本发明的限制。在本发明的描述中,需要理解的是,所用到的术语仅仅是用于描述的目的,而不能理解为指示或暗示相对重要性。
实施例一
本实施例提供了一种深度神经网络图像对抗样本检测方法,如图1所示,包括以下步骤:1)输入图像f,计算图像f的一维熵,步骤1)中图像f的一维熵值的计算公式如下:
其中,图像f由M×N个像素点组成,每个像素点的像素值均在[0,a]的范围内,fi表示像素值为i的像素点的个数,pi表示像素点的像素值为i的概率,H表示一维熵值。
2)根据图像f的一维熵值,采用标量量化和平滑滤波的方法,对图像f进行降噪处理,生成降噪图像f′。其具体过程包括:
将图像f的一维熵值分成三个阶段,当图像f的一维熵值大于等于零且小于a2时为第一阶段,图像f的一维熵值处于第一阶段,设0<a1<a2,a/a1=b1,将图像中的像素数a等分为a1个段,其中第一段即像素值小于等于b1的像素点,其像素值都为0;第二段即像素值大于b1且小于等于2b1的像素点,其像素值都为b1,以此类推,第a1段即像素值大于(a1-1)b1且小于等于a的像素点,其像素值都为(a1-1)b1,无需进行平滑滤波,直接根据以上规则生成第一阶段降噪图像f1′。
当图像f的一维熵值大于等于零且小于a2时,进一步,当图像f的一维熵值大于等于a2且小于a3时,图像f的一维熵值处于第二阶段,设a/a2=b2,将图像中的像素数a等分为a2个段,其中第一段即像素值小于等于b2的像素点,其像素值都为0;第二段即像素值大于b2且小于等于2b2的像素点,其像素值都为b2,以此类推,第a2段即像素值大于(a2-1)b2且小于等于a的像素点,其像素值都为(a2-1)b2,无需进行平滑滤波,直接根据以上规则生成第二阶段降噪图像f2′。
进一步,当图像f的一维熵值大于等于a3时,图像f的一维熵值处于第三阶段,设a/a3=b3,将图像中的像素数a等分为a3个段,其中第一段即像素值小于等于b3的像素点,其像素值都为0;第二段即像素值大于b3且小于等于2b3的像素点,其像素值都为b3,以此类推,第a2段即像素值大于(a3-1)b3且小于等于a的像素点,其像素值都为(a3-1)b3,根据以上规则生成图像fSQ。
其中,b1、b2和b3可以是整数也可以是小数或分数,对于b1、b2和b3是整数的情况直接带入以上的三个规则进行计算即可。对于b1、b2和b3是小数或分数的情况,可以将其四舍五入形成整数,按照上述规则计算。也可以直接以小数或分数形式带入上述规则计算,因为像素点的个数一定是整数,若b1、b2和b3是小数或分数时,虽然不存在像素点的个数等于上述值的情况,但仍然可以存在大于或小于该值的情况,故只要按照相应规则处理即可,对结果没有影响。
当图像f处于第三阶段时,在对图像f进行标量量化后,还需要进行平滑滤波生成降噪图像f′。采用十字滤波核对图像fSQ上的每一个像素点进行平滑滤波处理,生成滤波后的图像fSQ-SF。对于M×N个像素点组成的图像,在坐标(m,n)上的像素点,其像素值由图像fSQ在坐标(m,n)上的像素点纵向上c个点、下c个点和横向左c个点、右c个点及其自身的像素值的平均值确定,根据以上规则生成滤波后的图像fSQ-SF。
像素值的平均值通过下式计算:
第三阶段降噪图像f3′根据如下公式得到:
3)对图像f和降噪图像f′进行分类,若图像f和降噪图像f′属于同一类别,表明输入的图像f为正常样本,否则,图像f为对抗样本。
本实施例中方法原理如下:若要让人眼难以发现对抗样本和正常样本的区别,向正常样本中加入的扰动需要被限制在一定的范围内,也就是说,加入的扰动一定要小。因此,由扰动引入的信息肯定比原始图像自身的消息要少得多。我们将引入的扰动视作一种人工的噪声,并利用传统的图像处理技术来削弱甚至消除这种人工噪声对分类器的干扰。降噪技术的选取至关重要,如果选取得当,我们的方法可以在不影响分类器对正常样本进行正确分类的前提下,有效的检测出对抗样本。具体而言,一个好的降噪方案能有以下效果:若当前样本是对抗样本,经过降噪处理后,分类器对于对抗样本和降噪样本将给出不一样的预测类别;若当前样本是正常样本,经过降噪处理后,分类器给出的预测类别是一致的。
实施例二
经过大量的交叉验证实验,选取了两项经典的图像处理技术——标量量化和平滑空间滤波,用于消除扰动的影响。标量量化可以将连续的像素值(0~255间的实数值)映射到若干个整数值,在本实施例中,主要采用了2阶段量化、4阶梯量化以及6阶梯量化。2阶梯量化的映射表如表1所示。表1表示,对任意像素点,若其像素值小于128,则该点像素值会被置为0,若大于等于128,则会被置为128。类似的,表2和表3分别为4阶梯量化和6阶梯量化的映射表.
表1二阶梯量化映射表
表2四阶梯量化映射表
表3六阶梯量化映射表
表3 6阶梯量化映射表
对于平滑空间滤波,我们主要使用了大小为7×7的十字形滤波核,如图2所示,对像素点进行平滑处理。
同时,我们从实验中发现,针对不同的图像,采取不同的降噪参数能够更好的检测对抗样本。给定图像样本,我们的检测方法会首先计算该图像的一维熵值,一维熵值通过以下计算公式得出:
举例来说,给定一幅高为M个像素点,宽为N个像素点的灰度图像,图像上各个像素点的值域都在0~255之间。首先我们要计算256个像素值(即0到255)各自出现的频率,fi代表像素值为i的像素点的个数。然后,将这256个像素点出现频率(pi)代入公式,即可得该灰度图像的一维熵值。若给定的图像是含有RGB三通道的彩色图像,则可将每一个通道视作一幅灰度图像,计算出各个通道的一维熵值,然后对三个熵值求平均,所得的平均值即为该彩色图像的一维熵值。
熵值计算完毕后,根据表4展示的降噪策略对图像进行处理。
表4对于不同一维熵值的样本的处理策略表
具体而言,若熵值小于4,则对图像上的每一个像素点进行2阶梯量化处理,生成降噪图像;若熵值大于等于4但是小于等于5,则对图像上的每一个像素点进行4阶梯量化处理,生成降噪图像。若熵值大于5,首先对图像上的每一个像素点进行6阶梯量化处理,生成量化后的图像,记为fSQ。然后用大小为7×7的十字滤波核对图像fSQ上的每一个像素点进行平滑滤波处理(处于图像的上三行、下三行、左三列以及右三列的像素点不做处理),生成滤波后的图像,记为fSQ-SF。最后,采取如下式生成降噪图像f′。
生成降噪图像f'后,我们用目标分类器分别预测原始图像f和降噪图像f'的类别,若类别相同,则说明原始图像f是正常样本,否则,则为对抗样本。
实验证明,本实施例中方法能够以95.00%的高召回率和97.81%的高精确率识别对抗样本,并能够快速的部署在各种不同的模型上。本实施例中方法能够广泛应用于涉及图像识别的人工智能领域。
实施例三
本实施例公开了一种深度神经网络图像对抗样本检测系统,包括:图像输入模块,用于输入图像;一维熵计算模块,用于计算图像f的一维熵;降噪图像生成模块,用于根据图像f的一维熵值,采用标量量化和平滑滤波的方法,对图像f进行降噪处理,生成降噪图像f′;图像对比模块,对图像f和降噪图像f′进行分类,若图像f和降噪图像f′属于同一类别,表明输入的图像f为正常样本,否则,图像f为对抗样本。
上述内容仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种深度神经网络图像对抗样本检测方法,其特征在于,包括以下步骤:
1)输入图像f,计算所述图像f的一维熵;
2)根据所述图像f的一维熵值,采用标量量化和平滑滤波的方法,对所述图像f进行降噪处理,生成降噪图像f′;
3)对所述图像f和所述降噪图像f′进行分类,若所述图像f和所述降噪图像f′属于同一类别,表明输入的所述图像f为正常样本,否则,所述图像f为对抗样本。
2.如权利要求1所述的深度神经网络图像对抗样本检测方法,其特征在于,所述步骤1)中所述图像f的一维熵值的计算公式如下:
其中,所述图像f由M×N个像素点组成,每个所述像素点的像素值均在[0,a]的范围内,fi表示像素值为i的像素点的个数,pi表示像素点的像素值为i的概率,H表示一维熵值。
3.如权利要求1或2所述的深度神经网络图像对抗样本检测方法,其特征在于,所述步骤2)中将所述图像f的一维熵值分成三个阶段,当所述图像f的一维熵值处于第一阶段和第二阶段时,对所述图像f进行标量量化生成降噪图像f′;当所述图像f处于第三阶段时,对所述图像f进行标量量化后,再进行平滑滤波生成降噪图像f′。
4.如权利要求3所述的深度神经网络图像对抗样本检测方法,其特征在于,当所述图像f的一维熵值大于等于零且小于a2时,所述图像f的一维熵值处于所述第一阶段,设0<a1<a2,a/a1=b1,将所述图像中的像素数a等分为a1个段,其中第一段即像素值小于等于b1的像素点,其像素值都为0;第二段即像素值大于b1且小于等于2b1的像素点,其像素值都为b1,以此类推,第a1段即像素值大于(a1-1)b1且小于等于a的像素点,其像素值都为(a1-1)b1,根据以上规则生成第一阶段降噪图像f1′。
5.如权利要求3所述的深度神经网络图像对抗样本检测方法,其特征在于,当所述图像f的一维熵值大于等于a2且小于a3时,所述图像f的一维熵值处于所述第二阶段,设a/a2=b2,将所述图像中的像素数a等分为a2个段,其中第一段即像素值小于等于b2的像素点,其像素值都为0;第二段即像素值大于b2且小于等于2b2的像素点,其像素值都为b2,以此类推,第a2段即像素值大于(a2-1)b2且小于等于a的像素点,其像素值都为(a2-1)b2,根据以上规则生成第二阶段降噪图像f2′。
6.如权利要求3所述的深度神经网络图像对抗样本检测方法,其特征在于,当所述图像f的一维熵值大于等于a3时,所述图像f的一维熵值处于所述第三阶段,设a/a3=b3,将所述图像中的像素数a等分为a3个段,其中第一段即像素值小于等于b3的像素点,其像素值都为0;第二段即像素值大于b3且小于等于2b3的像素点,其像素值都为b3,以此类推,第a2段即像素值大于(a3-1)b3且小于等于a的像素点,其像素值都为(a3-1)b3,根据以上规则生成图像fSQ。
7.如权利要求6所述的深度神经网络图像对抗样本检测方法,其特征在于,采用十字滤波核对所述图像fSQ上的每一个像素点进行平滑滤波处理,生成滤波后的图像fSQ-SF。
8.如权利要求7所述的深度神经网络图像对抗样本检测方法,其特征在于,对于M×N个像素点组成的所述图像,在坐标(m,n)上的像素点,其像素值由所述图像fSQ在坐标(m,n)上的像素点纵向上c个点、下c个点和横向左c个点、右c个点及其自身的像素值的平均值确定,根据以上规则生成滤波后的图像fSQ-SF。
9.如权利要求8所述的深度神经网络图像对抗样本检测方法,其特征在于,第三阶段降噪图像f3′根据如下公式得到:
10.一种深度神经网络图像对抗样本检测系统,其特征在于,包括:
图像输入模块,用于输入图像;
一维熵计算模块,用于计算所述图像f的一维熵;
降噪图像生成模块,用于根据所述图像f的一维熵值,采用标量量化和平滑滤波的方法,对所述图像f进行降噪处理,生成降噪图像f′;
图像对比模块,对所述图像f和所述降噪图像f′进行分类,若所述图像f和所述降噪图像f′属于同一类别,表明输入的所述图像f为正常样本,否则,所述图像f为对抗样本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010111521.XA CN111353403A (zh) | 2020-02-24 | 2020-02-24 | 一种深度神经网络图像对抗样本检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010111521.XA CN111353403A (zh) | 2020-02-24 | 2020-02-24 | 一种深度神经网络图像对抗样本检测方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111353403A true CN111353403A (zh) | 2020-06-30 |
Family
ID=71195777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010111521.XA Pending CN111353403A (zh) | 2020-02-24 | 2020-02-24 | 一种深度神经网络图像对抗样本检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111353403A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113449783A (zh) * | 2021-06-17 | 2021-09-28 | 广州大学 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107463951A (zh) * | 2017-07-19 | 2017-12-12 | 清华大学 | 一种提高深度学习模型鲁棒性的方法及装置 |
| CN110321790A (zh) * | 2019-05-21 | 2019-10-11 | 华为技术有限公司 | 一种对抗样本的检测方法及电子设备 |
-
2020
- 2020-02-24 CN CN202010111521.XA patent/CN111353403A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107463951A (zh) * | 2017-07-19 | 2017-12-12 | 清华大学 | 一种提高深度学习模型鲁棒性的方法及装置 |
| CN110321790A (zh) * | 2019-05-21 | 2019-10-11 | 华为技术有限公司 | 一种对抗样本的检测方法及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| BIN LIANG 等: "Detecting Adversarial Image Examples in Deep Neural Networks with Adaptive Noise Reduction", 《IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113449783A (zh) * | 2021-06-17 | 2021-09-28 | 广州大学 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110991299B (zh) | 一种物理域上针对人脸识别系统的对抗样本生成方法 | |
| CN105095856B (zh) | 基于掩模的有遮挡人脸识别方法 | |
| Cho et al. | Dapas: Denoising autoencoder to prevent adversarial attack in semantic segmentation | |
| CN113283599B (zh) | 基于神经元激活率的对抗攻击防御方法 | |
| CN111475797A (zh) | 一种对抗图像生成方法、装置、设备以及可读存储介质 | |
| Jia et al. | Fooling the eyes of autonomous vehicles: Robust physical adversarial examples against traffic sign recognition systems | |
| Mohamed et al. | An improved LBP algorithm for avatar face recognition | |
| Wang et al. | SmsNet: A new deep convolutional neural network model for adversarial example detection | |
| CN103093180A (zh) | 一种色情图像侦测的方法和系统 | |
| Perveen et al. | Facial expression recognition using facial characteristic points and Gini index | |
| TW201308254A (zh) | 適用複雜場景的移動偵測方法 | |
| Ye et al. | Detection defense against adversarial attacks with saliency map | |
| Mohamed et al. | Avatar face recognition using wavelet transform and hierarchical multi-scale LBP | |
| CN112883874A (zh) | 针对深度人脸篡改的主动防御方法 | |
| CN115641471A (zh) | 一种基于生成对抗网络的对抗样本生成方法及系统 | |
| CN113627543A (zh) | 一种对抗攻击检测方法 | |
| CN114049537B (zh) | 一种基于卷积神经网络的对抗样本防御方法 | |
| CN104616034B (zh) | 一种烟雾检测方法 | |
| CN111353403A (zh) | 一种深度神经网络图像对抗样本检测方法和系统 | |
| CN113435264A (zh) | 基于寻找黑盒替代模型的人脸识别对抗攻击方法及装置 | |
| CN117152486A (zh) | 一种基于可解释性的图像对抗样本检测方法 | |
| CN108647679A (zh) | 一种基于车窗粗定位的车标识别方法 | |
| Abidin et al. | Wavelet based approach for facial expression recognition | |
| CN113128505A (zh) | 局部可视对抗样本的检测方法、装置、设备和存储介质 | |
| Wang et al. | Pedestrian fall action detection and alarm in video surveillance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200630 |