CN112989359A - 针对基于三元组损失的行人重识别模型的后门攻击方法 - Google Patents

Abstract

本发明公开了一种针对基于三元组损失的行人重识别模型的后门攻击方法，包括步骤：1)获取行人重识别训练和测试数据，设计模型结构，设计水印；2)使用水印对数据进行污染后分别得到毒训练数据和毒测试数据；3)定义三元组样本抽样策略、训练模型的目标函数并在干净训练数据和毒训练数据上训练得到干净模型和毒模型；4)定义后门攻击对模型的要求。使用干净/毒测试数据对干净/毒模型进行评估，若评估结果达到要求，结束训练，把毒模型传到网上；否之继续训练毒模型。本发明将原本用于分类任务中的后门攻击方法经过调整后实现对基于三元组损失的行人重识别模型的攻击，是首个针对基于三元组损失的行人重识别模型的毒化攻击方法。

Description

针对基于三元组损失的行人重识别模型的后门攻击方法

技术领域

本发明涉及行人重识别的技术领域，尤其是指一种针对基于三元组损失的行人重识别模型的后门攻击方法。

背景技术

随着社会经济发展越来越快，社会运转对高效率的追求不断提升，对人工智能的需求也越来越大。人工智能的出现让机器能够在部分工作上代替人类，尤其是一些重复性操作较多、对精度要求教高的工作上。而机器学习是目前实现人工智能的最佳途径，深度学习作为机器学习的分支，更是由于其强大的拟合数据分布和提取特征的能力，在图像识别、图像生成、文本翻译、语音识别等众多领域大展身手，包括在本发明所关注的行人重识别领域，成为最常用的方法。深度学习的优势在于它不需要人工定义特征，它是通过直接在数据上进行端到端的学习，自己决定提取哪部分特征以及如何进行特征提取，正是这样的能力规避了传统机器学习中需要事先定义好的特征的限制，因此能够提取到更加深层的更有辨识度的特征，也极大地提升了模型的性能。但深度学习的优势也是它的劣势。由于深度学习是自动地、端到端地进行学习，其提取的特征从形式上、量级上难以被人类理解，因此深度学习模型在拥有强大性能的同时也十分脆弱。已有学者通过实验表明深度学习模型容易受到对抗样本的攻击，即攻击者只需要往输入的图片上添加难以察觉的、特定的干扰，就能误导深度模型对该输入的分类结果。且由于模型的高度复杂性，要自己从零开始训练一个好的深度学习模型需要极大的成本，许多中小型企业或个人用户并不具备这一条件。因此，往往需要下载一个网上的模型参数作为许多训练的起点，由于深度学习模型的冗余性、不透明性、下载的模型的来源的不确定性使得这一过程存在安全隐患。因此对这些领域下的深度学习模型的安全性进行分析和研究，对于深度学习的应用和进一步发展有十分重要的意义。

发明内容

本发明的目的在于弥补现有研究的空白，提出了一种针对基于三元组损失的行人重识别模型的后门攻击方法，是首个针对基于三元组损失的行人重识别模型的毒化攻击方法，且攻击可使受攻击的模型在正常情况下保持与干净的模型几乎一致的识别准确率，但在特定情况下的识别准确率严重下降，攻击高效，更弥补了该领域中的毒化攻击相关的研究空白。该方法通过对三元组损失进行分析和修改，并对用于分类任务的后门攻击方法进行修改，将后门攻击用于对基于三元组损失的行人重识别模型的攻击。经过攻击训练后得到的毒模型，能够在干净测试集上保持优异的识别准确率并在带攻击的测试集上识别准确率严重下降，表明了行人重识别模型容易受到后门攻击的影响。

为实现上述目的，本发明所提供的技术方案为：针对基于三元组损失的行人重识别模型的后门攻击方法，包括以下步骤：

1)获取不同行人的一个或多个角度的图片以及每张图片的标签，将所述图片进行划分得到训练数据和测试数据，并分别定义为干净训练数据和干净测试数据；设计模型结构，所述模型即用于行人重识别的卷积神经网络，所述行人重识别即给定一个角度的行人的图片，在其它相同或不同角度的行人图片中识别出该行人；设计水印，所述水印即触发后门攻击的触发器，所述后门攻击是通过污染模型训练过程向模型注入特定行为的攻击方法，所述特定行为是在给定行人图片中未出现所述水印时，模型能识别出该行人，水印出现时模型不能识别出该行人的行为；

2)向步骤1)所述干净训练数据和干净测试数据中的所有图片的行人的衣服区域内随机添加m个步骤1)所述水印完成污染，将污染后的数据进行划分并分别定义为毒训练数据和毒测试数据；

3)定义从步骤1)所述干净训练数和步骤2)所述毒训练数据中得到三元组样本的抽样策略，所述三元组样本为“锚点-正样本-负样本”的图片组合；定义训练步骤1)所述模型的干净目标函数和毒目标函数，所述干净目标函数即三元组损失函数，所述毒目标函数即三元组损失函数与修改的三元组损失函数的加权和；根据干净目标函数，在干净训练数据上进行训练后得到的模型定义为干净模型；根据毒目标函数，在干净训练数据和毒训练数据上进行训练后得到的模型定义为毒模型；

4)定义后门攻击对步骤3)所述干净模型和毒模型的要求，再使用步骤1)所述干净测试数据、步骤2)所述毒测试数据分别对步骤3)所述干净模型和毒模型进行评估得到评估结果；若评估结果达到后门攻击对步骤3)所述干净模型和毒模型的要求，则结束对毒模型的训练，把毒模型传到网上；否之继续执行对毒模型的训练直至达到要求。

在步骤1)中，所述角度为摄像头拍摄该行人时的角度，同个行人有1个角度或多于1个角度的图片；所述水印为一个特定的图案，具备隐蔽性，即在干净训练数据或干净测试数据中任意图片中的面积占比低于0.7％。

在步骤2)中，所述水印在被添加前，对其进行以下操作：

a、随机旋转；

b、随机拉伸；

c、根据待污染图片的对比度调整水印亮度；

所述对比度的计算方法为：

其中，C为求得的图片对比度，i、j是图片中不同的像素点的值，ξ(i,j)²即是相邻像素间的灰度差，计算公式为ξ(i,j)²＝i-j，E_ξ(i,j)²是相邻像素间灰度差为ξ的像素分布概率，且相邻像素的获取有四近邻和八近邻两种方式。

在步骤3)中，所述抽样策略是对应干净训练数据中的每一个图片，进行以下操作：

3.1)选择当前图片做锚点，记A，随机选择干净训练数据中与当前图片标签相同的其它图片做正样本，记P_A，随机选择干净训练数据中与当前图片标签不同的图片做负样本，记

得到的三元组样本定义为干净三元组样本，记“A，P_A，

”；

3.2)从毒训练数据中选择与当前图片对应的图片做锚点，记A_trigger，选择干净训练数据中距离当前图片最远的一类图片的中心做正样本，记

随机选择干净训练数据中与当前图片标签相同的图片做负样本，记N_A，得到的三元组样本定义为毒三元组样本，记“A_trigger，

N_A”；

给定一个三元组样本，三元组损失函数、修改的三元组损失函数的计算公式分别为：

其中，L_clean、L_poison分别是使用三元组损失函数和修改的三元组损失函数计算所得的值，a是该三元组样本中的锚点，p是该三元组样本中的正样本，n是该三元组样本中的负样本，f(·)是使用步骤1)所述模型从图片中提取到的特征，

是二次范式表达式，即计算得到给定两个特征之间的欧式距离，所述欧式距离的计算公式为

其中dist(X,Y)是求得的欧式距离，X、Y是待求解欧式距离的两个样本，ε是样本X或Y的数据维度，x_i是样本X的第i个维度的值，y_i是样本Y的第i个维度的值；k、β是常数且为正数，[·]₊为hinge函数，其操作为：

hinge(γ)＝max(γ,0)

其中，hinge(γ)是求得的值，γ为输入，max(·)返回输入的数中的最大值；此公式所示的操作即是：若输入γ大于0，则返回γ，否则返回0；

干净目标函数和毒目标函数的计算公式分别为：

L₁＝L_clean

L₂＝L_clean+λ×L_poison

其中，L₁、L₂分别是使用干净目标函数和毒目标函数计算所得的值，λ是毒三元组样本的权重且为非负数；

训练干净模型或毒模型时，根据L₁或L₂计算得到目标值后，再进行梯度的计算，所述梯度计算公式为：

其中，

是计算所得的梯度向量，w是输入向量，

表示对输入的第i个变量求偏导，T是矩阵转置操作；使用所述梯度向量更新干净模型或毒模型。

在步骤3)中，在干净训练数据和毒训练数据上进行训练的方式为“使用干净训练数据+毒训练数据-使用干净训练数据”的迭代式训练，共训练e个训练轮次；所述训练轮次即将该轮次中所使用的全部干净训练数据或干净训练数据和毒训练数据都进行一次读取操作完毕后即为一个训练轮次，所述迭代式训练即每t个训练轮次中，前x个训练轮次使用干净训练数据和毒训练数据一起训练，后y个训练轮次只使用干净训练数据训练，其中t能整除e且t＝x+y。

在步骤4)中，定义后门攻击对步骤3)所述干净模型和毒模型的要求如下：

a、干净模型在毒测试集上的识别率与在干净测试集上的识别率相比，降低幅度小于1.5％；

b、毒模型在干净测试集上的识别率与干净模型在干净测试集上的识别率相比，降低幅度小于1.5％；

c、毒模型在毒测试集上的识别率与干净模型在毒测试集上的识别率相比，降低幅度大于40％；

d、毒模型的模型结构与干净模型一致；

所述识别率为top-k识别率，即当给定一个行人的图片，模型返回的识别结果中的前k个图片中有包含该行人的图片，则识别成功，否之识别失败；对所有干净测试数据或毒测试数据的图片完成测试后即可计算识别率，计算公式为：

其中，R为计算所得的识别率，N_correct为识别成功的图片数，N_total为干净测试数据或毒测试数据中的图片数。

本发明与现有技术相比，具有如下优点与有益效果：

1、本发明分析探索了后门攻击在分类任务和检索任务中的异同，首次实现后门攻击在检索任务中的应用。

2、本发明首次提出并实现了针对基于三元组损失的行人重识别模型的后门攻击方法。

3、本发明对三元组损失的抽样策略进行分析并修改，提出一种带攻击作用的抽样策略。

4、本发明对完成攻击所采用的水印图案进行了分析研究，提出了基于图片对比度进行水印亮度调整的策略来提高触发器的隐蔽性。

5、本发明方法在基于深度学习的行人重识别领域中可高效完成攻击、应用广泛。

附图说明

图1为本发明逻辑流程示意图。

图2为本发明所设计的水印图案，是一个“白-黑-白”的无边框条纹图案。

图3为本发明所设计的水印图案在经过基于图片对比度进行亮度调整后的示意图。

图4为本发明所使用的毒训练数据中的图片示例图，其中左图为原图，右图为添加水印后的图。

图5为本发明所研发的攻击方法在训练毒模型时计算的目标值随训练轮次的变化。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

如图1所示，本实施例所提供的针对基于三元组损失的行人重识别模型的后门攻击方法，包括以下步骤：

1)获取不同行人的一个或多个角度的图片以及每张图片的标签，将所述图片进行划分得到训练数据和测试数据，并分别定义为干净训练数据和干净测试数据。此处所述训练数据来自一个公开发表的行人重识别算法数据集--Market1501，所述Market1501中包含三部分的数据，分别是：训练集train、测试集test，所述测试集还包含查询集query，所述各部分数据的图片数量、标签数量以及其它统计信息如表1所示：

表1 Market1501数据集统计信息

数据划分	图片数	标签数	摄像头数
				训练集	12,936	751	6
测试集	19,732	750	6
				查询集	3,368	750	6

设计模型结构，此处使用的模型为ResNet50卷积神经网络。

设计水印。设计好用于攻击目的的水印，即一个特定的图案，并对其进行随机拉伸、随机旋转，再根据欲攻击图片的对比度调整其亮度。此处水印采用一个大小为6x6个像素点的方块，且颜色为“白色-黑色-白色”相间，如图2所示，经过调整后的水印则如图3所示，调整的目的是让水印更难以察觉。

所述对比度的计算方法为：

其中，C为求得的图片对比度，i、j是图片中不同的像素点的值，ξ(i,j)²即是相邻像素间的灰度差，计算公式为ξ(i,j)²＝i-j，E_ξ(i,j)²是相邻像素间灰度差为ξ的像素分布概率，且相邻像素的获取有四近邻和八近邻两种方式。

2)向步骤1)所述干净训练数据和干净测试数据中的所有图片的行人的衣服区域内随机添加m个步骤1)所述水印完成污染，污染后分别得到毒训练数据和毒测试数据，此处在所述衣服区域内随机添加3到6个水印。添加水印前后的图片如图4所示，其中左图为添加水印前的图，右图为添加水印后的图。

3)确定三元组抽样策略，所述三元组样本为“锚点-正样本-负样本”的图片组合。具体抽样策略是对应步骤1)所述干净训练数据中的每一个图片，进行以下操作：

3.1)选择当前图片做锚点，记A，随机选择干净训练数据中与当前图片标签相同的其它图片做正样本，记P_A，随机选择干净训练数据中与当前图片标签不同的图片做负样本，记

得到的三元组样本定义为干净三元组样本，记“A，P_A，

”。

3.2)从毒训练数据中选择与当前图片对应的图片做锚点，记A_trigger，选择干净训练数据中距离当前图片最远的一类图片的中心做正样本，记

随机选择干净训练数据中与当前图片标签相同的图片做负样本，记N_A，得到的三元组样本定义为毒三元组样本，记“A_trigger，

N_A”。

4)定义训练步骤1)所述模型的干净目标函数和毒目标函数，所述干净目标函数即三元组损失函数，所述毒目标函数即三元组损失函数与修改的三元组损失函数的加权和。给定一个三元组样本，所述三元组损失函数、修改的三元组损失函数的计算公式分别为：

其中，L_clean、L_poison分别是使用三元组损失函数和修改的三元组损失函数计算所得的值，a是该三元组样本中的锚点，p是该三元组样本中的正样本，n是该三元组样本中的负样本，f(·)是使用步骤1)所述模型从图片中提取到的特征，

是二次范式表达式，即计算得到给定两个特征之间的欧式距离，所述欧式距离的计算公式为

其中dist(X,Y)是求得的欧式距离，X、Y是待求解欧式距离的两个样本，ε是样本X或Y的数据维度，x_i是样本X的第i个维度的值，y_i是样本Y的第i个维度的值；k、β是常数且为正数，[·]₊为hinge函数，其操作为：

hinge(γ)＝max(γ,0)

其中，hinge(γ)是求得的值，γ为输入，max(·)返回输入的数中的最大值；此公式所示的操作即是：若输入γ大于0，则返回γ，否则返回0。

所述干净目标函数和毒目标函数的计算公式分别为：

L₁＝L_clean

L₂＝L_clean+λ×L_poison

其中，L₁、L₂分别是使用干净目标函数和毒目标函数计算所得的值，λ是毒三元组样本的权重且为非负数。

训练干净模型或毒模型时，根据L₁或L₂计算得到目标值后，再进行梯度的计算，所述梯度计算公式为：

其中，

是计算所得的梯度向量，w是输入向量，

表示对输入的第i个变量求偏导，T是矩阵转置操作；使用所述梯度向量更新干净模型或毒模型。

5)根据干净目标函数，在干净训练数据上进行训练后得到的模型定义为干净模型。根据毒目标函数，在干净训练数据和毒训练数据上进行训练后得到的模型定义为毒模型。所述干净训练数据和毒训练数据上进行训练的方式为“使用干净训练数据+毒训练数据-使用干净训练数据”的迭代式训练，共训练e个训练轮次。所述训练轮次即将该轮次中所使用的全部干净训练数据或干净训练数据和毒训练数据都进行一次读取操作完毕后即为一个训练轮次，所述迭代式训练即每t个训练轮次中，前x个训练轮次使用干净训练数据和毒训练数据一起训练，后y个训练轮次只使用干净训练数据训练，其中t能整除e且t＝x+y。此处令e＝120,t＝10,x＝9,y＝1。训练毒模型过程中的目标值随训练轮次变化如图5所示。

6)定义后门攻击对干净模型和毒模型的要求，如下：

a、干净模型在毒测试集上的识别率与在干净测试集上的识别率相比，降低幅度小于1.5％；

b、毒模型在干净测试集上的识别率与干净模型在干净测试集上的识别率相比，降低幅度小于1.5％；

c、毒模型在毒测试集上的识别率与干净模型在毒测试集上的识别率相比，降低幅度大于40％；

d、毒模型的层数、各层类型、各层顺序、权重参数个数与干净模型一致。

所述识别率为top-k识别率，即当给定一个行人的图片，模型返回的识别结果中的前k个图片中有包含该行人的图片，则识别成功，否之识别失败；对所有干净测试数据或毒测试数据的图片完成测试后即可计算识别率，计算公式为：

其中，R为计算所得的识别率，N_correct为识别成功的图片数，N_total为干净测试数据或毒测试数据中的图片数。此处训练完成后的干净模型和毒模型表现如表2所示。

表2干净模型与使用本发明得到的毒模型的表现对比

综上所述，在采用以上方案后，本发明针对基于三元组损失的行人重识别模型提出了后门攻击方法，实现了有效的攻击手段。在行人重识别受到广大研究人员、工程人员的关注的时候，基于深度学习和三元组损失的行人重识别模型已经成为该领域中的标配，在享受深度学习、三元组损失带来的成就的同时也应该考虑其背后的安全问题。本发明则对其背后的安全问题进行了探讨并给出了答案，能够高效完成攻击，有力论证现有行人重识别模型存在的安全漏洞。在如今深度学习方法已广泛应用在行人重识别领域中的情况下，具有实际应用价值，值得推广。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (6)

1.针对基于三元组损失的行人重识别模型的后门攻击方法，其特征在于，包括以下步骤：

1)获取不同行人的一个或多个角度的图片以及每张图片的标签，将所述图片进行划分得到训练数据和测试数据，并分别定义为干净训练数据和干净测试数据；设计模型结构，所述模型即用于行人重识别的卷积神经网络，所述行人重识别即给定一个角度的行人的图片，在其它相同或不同角度的行人图片中识别出该行人；设计水印，所述水印即触发后门攻击的触发器，所述后门攻击是通过污染模型训练过程向模型注入特定行为的攻击方法，所述特定行为是在给定行人图片中未出现所述水印时，模型能识别出该行人，水印出现时模型不能识别出该行人的行为；

2)向步骤1)所述干净训练数据和干净测试数据中的所有图片的行人的衣服区域内随机添加m个步骤1)所述水印完成污染，将污染后的数据进行划分并分别定义为毒训练数据和毒测试数据；

3)定义从步骤1)所述干净训练数和步骤2)所述毒训练数据中得到三元组样本的抽样策略，所述三元组样本为“锚点-正样本-负样本”的图片组合；定义训练步骤1)所述模型的干净目标函数和毒目标函数，所述干净目标函数即三元组损失函数，所述毒目标函数即三元组损失函数与修改的三元组损失函数的加权和；根据干净目标函数，在干净训练数据上进行训练后得到的模型定义为干净模型；根据毒目标函数，在干净训练数据和毒训练数据上进行训练后得到的模型定义为毒模型；

4)定义后门攻击对步骤3)所述干净模型和毒模型的要求，再使用步骤1)所述干净测试数据、步骤2)所述毒测试数据分别对步骤3)所述干净模型和毒模型进行评估得到评估结果；若评估结果达到后门攻击对步骤3)所述干净模型和毒模型的要求，则结束对毒模型的训练，把毒模型传到网上；否之继续执行对毒模型的训练直至达到要求。

2.根据权利要求1所述的针对基于三元组损失的行人重识别模型的后门攻击方法，其特征在于：在步骤1)中，所述角度为摄像头拍摄该行人时的角度，同个行人有1个角度或多于1个角度的图片；所述水印为一个特定的图案，具备隐蔽性，即在干净训练数据或干净测试数据中任意图片中的面积占比低于0.7％。

3.根据权利要求1所述的针对基于三元组损失的行人重识别模型的后门攻击方法，其特征在于：在步骤2)中，所述水印在被添加前，对其进行以下操作：

a、随机旋转；

b、随机拉伸；

c、根据待污染图片的对比度调整水印亮度；

所述对比度的计算方法为：

其中，C为求得的图片对比度，i、j是图片中不同的像素点的值，ξ(i,j)²即是相邻像素间的灰度差，计算公式为ξ(i,j)²＝i-j，E_ξ(i,j)²是相邻像素间灰度差为ξ的像素分布概率，且相邻像素的获取有四近邻和八近邻两种方式。

4.根据权利要求1所述的针对基于三元组损失的行人重识别模型的后门攻击方法，其特征在于：在步骤3)中，所述抽样策略是对应干净训练数据中的每一个图片，进行以下操作：

3.1)选择当前图片做锚点，记A，随机选择干净训练数据中与当前图片标签相同的其它图片做正样本，记P_A，随机选择干净训练数据中与当前图片标签不同的图片做负样本，记

得到的三元组样本定义为干净三元组样本，记“A，P_A，

”；

3.2)从毒训练数据中选择与当前图片对应的图片做锚点，记A_trigger，选择干净训练数据中距离当前图片最远的一类图片的中心做正样本，记

随机选择干净训练数据中与当前图片标签相同的图片做负样本，记N_A，得到的三元组样本定义为毒三元组样本，记“A_trigger，

N_A”；

给定一个三元组样本，三元组损失函数、修改的三元组损失函数的计算公式分别为：

其中，L_clean、L_poison分别是使用三元组损失函数和修改的三元组损失函数计算所得的值，a是该三元组样本中的锚点，p是该三元组样本中的正样本，n是该三元组样本中的负样本，f(·)是使用步骤1)所述模型从图片中提取到的特征，

是二次范式表达式，即计算得到给定两个特征之间的欧式距离，所述欧式距离的计算公式为

其中dist(X,Y)是求得的欧式距离，X、Y是待求解欧式距离的两个样本，ε是样本X或Y的数据维度，x_i是样本X的第i个维度的值，y_i是样本Y的第i个维度的值；k、β是常数且为正数，[·]₊为hinge函数，其操作为：

hinge(γ)＝max(γ,0)

其中，hinge(γ)是求得的值，γ为输入，max(·)返回输入的数中的最大值；此公式所示的操作即是：若输入γ大于0，则返回γ，否则返回0；

干净目标函数和毒目标函数的计算公式分别为：

L₁＝L_clean

L₂＝L_clean+λ×L_poison

其中，L₁、L₂分别是使用干净目标函数和毒目标函数计算所得的值，λ是毒三元组样本的权重且为非负数；

训练干净模型或毒模型时，根据L₁或L₂计算得到目标值后，再进行梯度的计算，所述梯度计算公式为：

其中，

是计算所得的梯度向量，w是输入向量，

表示对输入的第i个变量求偏导，T是矩阵转置操作；使用所述梯度向量更新干净模型或毒模型。

5.根据权利要求1所述的针对基于三元组损失的行人重识别模型的后门攻击方法，其特征在于：在步骤3)中，在干净训练数据和毒训练数据上进行训练的方式为“使用干净训练数据+毒训练数据-使用干净训练数据”的迭代式训练，共训练e个训练轮次；所述训练轮次即将该轮次中所使用的全部干净训练数据或干净训练数据和毒训练数据都进行一次读取操作完毕后即为一个训练轮次，所述迭代式训练即每t个训练轮次中，前x个训练轮次使用干净训练数据和毒训练数据一起训练，后y个训练轮次只使用干净训练数据训练，其中t能整除e且t＝x+y。

6.根据权利要求1所述的针对基于三元组损失的行人重识别模型的后门攻击方法，其特征在于：在步骤4)中，定义后门攻击对步骤3)所述干净模型和毒模型的要求如下：

a、干净模型在毒测试集上的识别率与在干净测试集上的识别率相比，降低幅度小于1.5％；

b、毒模型在干净测试集上的识别率与干净模型在干净测试集上的识别率相比，降低幅度小于1.5％；

c、毒模型在毒测试集上的识别率与干净模型在毒测试集上的识别率相比，降低幅度大于40％；

d、毒模型的模型结构与干净模型一致；

所述识别率为top-k识别率，即当给定一个行人的图片，模型返回的识别结果中的前k个图片中有包含该行人的图片，则识别成功，否之识别失败；对所有干净测试数据或毒测试数据的图片完成测试后即可计算识别率，计算公式为：

其中，R为计算所得的识别率，N_correct为识别成功的图片数，N_total为干净测试数据或毒测试数据中的图片数。

Images