CN113361583A - 一种对抗样本检测方法和装置 - Google Patents
一种对抗样本检测方法和装置 Download PDFInfo
- Publication number
- CN113361583A CN113361583A CN202110610595.2A CN202110610595A CN113361583A CN 113361583 A CN113361583 A CN 113361583A CN 202110610595 A CN202110610595 A CN 202110610595A CN 113361583 A CN113361583 A CN 113361583A
- Authority
- CN
- China
- Prior art keywords
- image
- detected
- reconstruction network
- reconstructed
- image reconstruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 21
- 238000000034 method Methods 0.000 claims abstract description 51
- 238000012549 training Methods 0.000 claims description 65
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000012360 testing method Methods 0.000 claims description 5
- 238000013528 artificial neural network Methods 0.000 abstract description 32
- 238000013135 deep learning Methods 0.000 abstract description 31
- 230000008485 antagonism Effects 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 16
- 239000010410 layer Substances 0.000 description 14
- 238000009826 distribution Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 12
- 230000004913 activation Effects 0.000 description 10
- 210000002569 neuron Anatomy 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000003042 antagnostic effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Image Analysis (AREA)
Abstract
本发明实施例提供了一种对抗样本检测方法和装置,所述方法包括:获取待检测图像;将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;计算所述重构图像与所述待检测图像之间相似度;若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。从而可以基于待检测图像与图像重构网络输出的重构图像之间的相似度,确定所述待检测图像是否为对抗样本。可以在将图像输入深度学习神经网络之前,即可以将具有对抗性的待检测图像筛选出来,实现对抗样本的快速查找,且准确率高,具有较好的泛用性。
Description
技术领域
本发明涉及图像处理技术领域,特别是涉及一种对抗样本检测方法和一种对抗样本检测装置。
背景技术
现有技术中,图像识别的准确度、安全度要求不断提升。一般来说,图像可以采用深度学习神经网络进行识别。但是,深度学习神经网络容易受到对抗样本的攻击,导致图像识别的结果出现错误,出现深度学习神经网络无法在图像中识别目标,或者目标分类错误的情况。
一般来说,为了避免深度学习神经网络受到对抗样本的攻击,通常可以在训练中采用对抗样本对深度学习神经网络进行训练,提高深度学习神经网络的鲁棒性。但是,在面对训练过程未出现的对抗样本,深度学习神经网络仍然容易出现图像识别错误的情况。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种对抗样本检测方法和相应的一种对抗样本检测装置。
为了解决上述问题,本发明实施例公开了一种对抗样本检测方法,包括:
获取待检测图像;
将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;
计算所述重构图像与所述待检测图像之间相似度;
若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。
可选地,所述计算所述重构图像与所述待检测图像之间相似度的步骤,包括:
计算所述重构图像与所述待检测图像之间的欧式距离。
可选地,所述图像重构网络采用如下方式训练得到:
将训练样本输入待训练的所述图像重构网络中,得到所述图像重构网络输出的重构图像;
将所述重构图像输入预设的分类器中,得到所述分类器输出的判断结果;
基于所述分类器输出的判断结果以及预设的训练目标,对所述图像重构网络进行调整,直至满足预设的训练条件,所述图像重构网络训练完成。
可选地,所述预设的训练目标为最小化所述重构图像与正常图像之间的误差。
可选地,所述训练样本包括随机噪声图像。
本发明实施例还公开一种对抗样本检测装置,包括:
图像获取模块,用于获取待检测图像;
重构模块,用于将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;
相似计算模块,用于计算所述重构图像与所述待检测图像之间相似度;
样本确定模块,用于若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。
可选地,所述相似计算模块包括:
相似计算子模块,用于计算所述重构图像与所述待检测图像之间的欧式距离。
可选地,所述图像重构网络采用如下模块训练得到:
训练样本输入模块,用于将训练样本输入待训练的所述图像重构网络中,得到所述图像重构网络输出的重构图像;
分类模块,用于将所述重构图像输入预设的分类器中,得到所述分类器输出的判断结果;
调整模块,用于基于所述分类器输出的判断结果以及预设的训练目标,对所述图像重构网络进行调整,直至满足预设的训练条件,所述图像重构网络训练完成。
可选地,所述预设的训练目标为最小化所述重构图像与正常图像之间的误差。
可选地,所述训练样本包括随机噪声图像。
本发明实施例还公开了一种电子设备,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述电子设备执行如本发明实施例所述的一个或多个的方法。
本发明实施例还公开了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如本发明实施例所述的一个或多个的方法。
本发明实施例包括以下优点:
通过本发明实施例的对抗样本检测方法,获取待检测图像;将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;计算所述重构图像与所述待检测图像之间相似度;若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。从而可以基于待检测图像与图像重构网络输出的重构图像之间的相似度,确定所述待检测图像是否为对抗样本。可以在将图像输入深度学习神经网络之前,即可以将具有对抗性的待检测图像筛选出来,实现对抗样本的快速查找,且准确率高,具有较好的泛用性。
附图说明
图1是本发明实施例的一种对抗样本检测方法实施例的步骤流程图;
图2是本发明实施例的一种对抗样本检测方法的示意图;
图3是本发明实施例的一种对抗样本检测方法的示意图;
图4是本发明实施例的图像重构网络训练方法实施例的步骤流程图;
图5是本发明实施例中的一种图像重构网络的训练过程示意图
图6是本发明实施例的一种对抗样本检测装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例的核心构思之一在于,本发明针对深度学习神经网络容易受到对抗样本攻击的问题,在待检测图像输入深度学习神经网络之前,先基于图像重构网络识别待检测图像是否为对抗样本。从而可以在对抗样本对深度学习神经网络产生负面影响之前,即完成对抗样本的检测,且可以具有一定的泛用性,可以便捷地应用于不同应用场景的图像识别中。
参照图1,示出了本发明实施例的一种对抗样本检测方法实施例的步骤流程图,具体可以包括如下步骤:
步骤101,获取待检测图像;
在本发明实施例中,在需要采用深度学习神经网络对图像进行识别的情况下,可以首先获取待检测图像。针对所述深度学习神经网络不同的应用场景,所述待检测图像也可以具有不同的类型。例如,在人脸检测的应用场景下,所述待检测图像可以认为人脸图像。在船只检测的应用环境下,所述待检测图像可以为船只图像。
步骤102,将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;
在本发明实施例中,可以预设有图像重构网络,所述图像重构网络可以用于重构图像。具体地,所述图像重构网络可以在训练过程中学习某一类别图像的特征信息。其后,在应用过程中,可以基于待检测图像中包含的特征信息,生成重构的图像,从而正常情况下,所述重构图像可以与所述待检测图像具有较高的相似度。例如,若待检测图像中包含信息“6”,则重构图像中也可以包含信息“6”。
步骤103,计算所述重构图像与所述待检测图像之间相似度;
在本发明实施例中,一般来说,对抗样本与正常样本相比可以存在细微变动。这些变动可以导致对抗样本的流形区域与正常样本的流形区域相比,会产生偏移。这种偏移通常是通过激活起源通道和激活值分布通道两个途径来产生的。
具体而言,深度学习神经网络可以主要由输入层、隐藏层、输出层连接构成。其中,隐藏层可以为单层,也可以为多层。对于深度学习神经网络来说,其每一层可以看作是将前一层被激活的神经元提取出来,与该层的权值进行矩阵乘法,然后应用一个激活函数来确定该层中被激活的神经元的函数。因此可以定义前一层被激活的神经元与某一层被激活的神经元之间的关系即为该层的激活起源。
对于对抗样本来说,其可以对激活起源进行攻击,使得前一层神经元激活值的微小变化导致当前层激活神经元集合发生实质性变化,从而引起深度学习神经网络的错误。
对于对抗样本来说,其还可以对激活值分布通道进行攻击。具体而言,对抗样本的激活起源可以与正常样本的激活起源相同。但是,对抗样本的神经元的激活值分布与正常样本的神经元的激活值分布不同。最终导致对抗样本的输出值与正常样本的输出值不同,从而引起深度学习神经网络的错误。
从而可知,一般情况下,对抗样本的信息分布与正常样本的信息分布存在一定区别。同时,为了引起深度学习神经网络的误判,深度学习神经网络从对抗样本提取到的特征信息与深度学习神经网络从正常样本提取到的特征信息可以具有较为明显的不同。在此情况下,若采用所述图像重构网络基于待检测图像生成重构图像,对于正常样本来说,所述图像重构网络可以生成与所述待检测图像具有较高相似度的重构图像。而对于对抗样本来说,由于所述图像重构网络从对抗样本中提取得到的特征信息也可以与正常样本明显不同,从而导致所述图像重构网络生成的重构图像可以与原始的所述待检测图像具有较低的相似度。
由此,可以计算所述重构图像与所述待检测图像之间相似度,以确定所述待检测图像是否为对抗样本。
在具体实现中,可以采用直方图比较法、感知哈希法、内容特征法、关键点匹配法、结构相似性比较法、欧式距离、曼哈顿距离、余弦距离等方法计算所述重构图像与所述待检测图像之间相似度,本发明对此不做限制。
在本发明的一种实施例中,所述计算所述重构图像与所述待检测图像之间相似度的步骤,包括:
S11,计算所述重构图像与所述待检测图像之间的欧式距离。
在本发明实施例中,可以通过计算所述重构图像与所述待检测图像之间的欧式距离(L2距离),以计算所述重构图像与所述待检测图像之间的相似度。
具体而言,所述欧式距离可以用于较为直观地衡量个体在空间上存在的距离。由此,若所述重构图像与所述待检测图像之间的欧式距离越大,则可以认为所述重构图像与所述待检测图像之间的相似度越低。步骤104,若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。
在本发明实施例中,若所述重构图像与所述待检测图像之间的相似度小于预设阈值,则可以认为所述重构图像与所述待检测图像之间的相似度交底,所述待检测图像引起了所述图像重构网络的误判,导致所述图像重构网络无法正常生成与所述待检测图像相似度的重构图像。在此情况下,可以认为所述待检测图像为对抗样本。
由此,可以在所述深度学习神经网络对图像进行处理之前,首先采用图像重构网络识别所述待检测图像是否为对抗样本,可以有效地提高对对抗样本的检测效果。同时,采用图像重构网络识别对抗样本,可以一定程度上减轻对后续使用的深度学习神经网络的鲁棒性的要求。深度学习神经网络可以无需或者减少使用大量对抗样本进行训练的过程,同时仍然可以保持较好的识别准确率。图像重构网络还可以具有一定的泛用性,面对不同的使用场景,皆可以采用本发明实施例的图像重构网络高效地对对抗样本进行识别。
作为本发明的一种具体示例,图2为本发明实施例的一种对抗样本检测方法的示意图。可以将属于正常样本的待检测图像输入图像重构网络中,并得到所述图像重构网络输出的重构图像。其后,可以获取所述图像重构网络输出的重构图像。可以计算所述待检测图像与所述重构图像之间的相似度,并可以确定所述待检测图像与所述重构图像之间不小于预设阈值的相似度,即所述待检测图像与所述重构图像之间具有较高的相似度,则所述待检测图像可以为正常样本。此时,无论将所述待检测图像输入深度学习神经网络,还是将重构图像输入深度学习神经网络,深度学习神经网络皆可以输出正确的结果。
作为本发明的另一种具体示例,图3为本发明实施例的一种对抗样本检测方法的示意图。可以向正常样本的待检测图像添加对抗信息,得到具有噪点的对抗样本。其后,可以将属于对抗样本的待检测图像输入图像重构网络中,得到所述图像重构网络输出的重构图像。其后,可以获取所述图像重构网络输出的重构图像。可以计算所述待检测图像与所述重构图像之间的相似度,并可以确定所述待检测图像与所述重构图像之间具有小于预设阈值的相似度,即所述待检测图像与所述重构图像之间具有较低的相似度,则所述待检测图像可以为对抗样本。此时,若将所述待检测图像输入深度学习神经网络,深度学习神经网络可以输出错误的结果。
通过本发明实施例的对抗样本检测方法,获取待检测图像;将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;计算所述重构图像与所述待检测图像之间相似度;若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。从而基于待检测图像与图像重构网络输出的重构图像之间的相似度,确定所述待检测图像是否为对抗样本。可以在将图像输入深度学习神经网络之前,即可以将具有对抗性的待检测图像筛选出来,实现对抗样本的快速查找,且准确率高,具有较好的泛用性。
参照图4,示出了本发明实施例的图像重构网络训练方法实施例的步骤流程图,具体可以包括如下步骤:
步骤401,将训练样本输入待训练的所述图像重构网络中,得到所述图像重构网络输出的重构图像;
在本发明实施例中,可以采用生成对抗网络(Generative Adversarial Network,GAN)的方式训练所述图像重构网络。以使所述图像重构网络可以尽可能地提高其自身的图像重构能力,确保后续应用中可以准确地基于所述重构图像以及所述待检测图像,判断所述待检测图像是否为对抗样本。
具体而言,生成对抗网络是非监督式学习的一种方法,采用让两个神经网络相互博弈的方式进行学习。生成对抗网络可以包括生成模型以及鉴别模型。所述图像重构网络可以作为生成模型,同时可以设置一分类器作为鉴别模型。
作为生成模型的图像重构网络可以从训练样本中随机取样作为输入,其输出结果需要尽量模仿正常图像,即图像重构网络需要使其输出的重构图像尽可能地接近正常图像。作为鉴别模型的分类器可以用于对图像重构网络输出的重构图像进行分类,确定其是否属于正常图像。
其中,正常图像可以指所述图像重构网络需要学习的图像。所述正常图像可以具有不具有对抗性,从预设的训练样本集中获取得到。根据所述深度学习神经网络的应用场景,所述正常图像可以可以具有不同的类型。例如,在人脸检测的应用场景下,所述正常图像可以认为人脸图像。在船只检测的应用环境下,所述正常图像可以为船只图像。
所述图像重构网络需要尽可能提高自身输出的重构图像与正常图像之间的相似度,欺骗所述分类器,使分类器无法正确地区分图像重构网络输出的重构图像以及正常图像。而所述分类器需要尽可能提高自身的判别能力,使所述图像重构网络无法欺骗分类器。通过图像重构网络以及分类器相互训练,相互提高能力,最终得到具有较好输出效果的图像重构网络。
由此,为了对所述图像重构网络进行训练,可以将训练样本输入待训练的所述图像重构网络中,得到所述图像重构网络输出的重构图像,其后采用重构图像,进一步获得所述分类器输出的判断结果。
在本发明的一种实施例中,所述训练样本包括随机噪声图像。
所述训练样本可以包括随机噪声图像,所述图像重构网络可以学习所述正常图像的像素概率分布,并对所述随机噪声图像进行重构,使重构图像的像素概率分布可以尽可能地接近所述正常图像的像素概率分布。
具体而言,所述随机噪声图像可以为遵循高斯分布的随机变量,所述图像重构网络可以学习将一种高斯分布变换为目标数据分布,即正常图像的像素概率分布。采用随机噪声图像生成重构图像,可以所述图像重构网络学习面对不同的输入,皆可以尽可能地使输入转换为接近正常图像的像素概率分布的图像,以实现尽可能地生成与正常图像接近的重构图像。
步骤402,将所述重构图像输入预设的分类器中,得到所述分类器输出的判断结果;
在本发明实施例中,可以将所述重构图像输入预设的分类器中。所述分类器可以对其输入是否为正常图像进行判断,从而可以获取所述分类器输出的判断结果,并根据所述判断结果,确定所述分类器是否准确地判断所述重构图像并非所述正常图像,从而确定所述图像重构网络是否成功地欺骗所述分类器。
在具体实现中,可以同时将所述正常图像以及所述图像重构网络输出的重构图像同时输入所述分类器中,所述分类器可以针对输入的图像,输出判断结果。由此,可以得到所述分类针对所述重构图像输出的判断结果。
步骤403,基于所述分类器输出的判断结果以及预设的训练目标,对所述图像重构网络进行调整,直至满足预设的训练条件,所述图像重构网络训练完成。
在本发明实施例中,可以基于所述分类器输出的判断结果以及预设的训练目标,对所述图像重构网络进行调整,以提高自身输出的重构图像与正常图像之间的相似度。在所述图像重构网络满足预设的训练条件的情况下,可以认为所述图像重构网络训练完成。
在具体实现中,可以先基于所述分类器输出的判断结果,判断所述图像重构网络是否成功地使所述分类器输出错误的判断结果。
若所述分类器输出正确的判断结果,则可以对所述图像重构网络进行调整。具体地,所述图像重构网络可以基于预设的训练目标,对其自身进行调整。所述预设的训练目标可以为所述图像重构网络期望达到的输出效果。例如,所述训练目标可以为所述分类器的输出判断结果的错误率达到预设阈值。所述重构图像与所述正常图像之间的相似度达到预设阈值等,本发明对此不做限制。
若所述分类器输出错误的判断结果,则可以对所述分类器进行调整,使所述分类器可以正确地区分当前的重构图像以及所述正常图像,提高所述分类器的分类准确度。
在具体实现中,可以在对所述图像重构网络进行预设次数的训练之后,再对所述分类器进行预设次数的训练,通过两者之间的交替训练,提高所述图像重构网络以及所述分类器的输出效果。
由此,所述图像重构网络与所述分类器可以相互不断提高自身的输出效果,在所述图像重构网络满足预设的训练条件的情况下,可以认为所述图像重构网络训练完成。
其中,所述训练条件可以为所述图像重构网络输出的重构图像与所述正常图像之间的相似度大于预设阈值;或者所述重构图像与所述正常图像之间的相似度基本不再变化等,本发明对此不做限制。
在本发明的一种实施例中,所述预设的训练目标为最小化所述重构图像与所述正常图像之间的误差。
在本发明实施例中,在对所述图像重构网络进行调整的过程中,可以将所述训练目标设置为最小化所述重构图像与所述正常图像之间的误差,以使所述图像重构网络可以尽可能输出与所述正常图像中正常图像相似的重构图像。
在具体实现中,所述训练目标可以采用如下公式表示:
其中,G(z)为所述图像重构网络的输出,x为正常图像。
作为本发明的一种示例,图5为本发明实施例中的一种图像重构网络的训练过程示意图。可以将随机噪声图像输入图像重构网络501中,得到所述图像重构网络501输出的重构图像。其后,可以将重构图像以及正常图像输入分类器502中,得到所述分类器502输出的判断结果。其后,可以对所述图像重构网络501进行调整,使所述重构图像与所述正常图像之间的误差可以尽可能减少,尽可能达到最小化所述重构图像与正常图像之间的误差的训练目标,从而使所述分类器502的判断结果出现错误。在对所述图像重构网络501进行若干次数的调整之后,可以对所述分类器502进行调整,以提高所述分类器502对重构图像的鉴别能力。在对所述分类器502进行若干次数的调整之后,可以再对所述图像重构网络501进行调整。通过交替训练所述图像重构网络501以及所述分类器502,使所述图像重构网络501可以尽可能使所述分类器502输出错误的判断结果,且所述重构图像与所述正常图像之间的误差可以尽可能减少,最终在满足预设的训练条件的情况下,可以认为所述图像重构网络501训练完成。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图6,示出了本发明实施例的一种对抗样本检测装置实施例的结构框图,具体可以包括如下模块:
图像获取模块601,用于获取待检测图像;
重构模块602,用于将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;
相似计算模块603,用于计算所述重构图像与所述待检测图像之间相似度;
样本确定模块604,用于若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。
在本发明一种实施例中,所述相似计算模块包括:
相似计算子模块,用于计算所述重构图像与所述待检测图像之间的欧式距离。
在本发明一种实施例中,所述图像重构网络采用如下模块训练得到:
训练样本输入模块,用于将训练样本输入待训练的所述图像重构网络中,得到所述图像重构网络输出的重构图像;
分类模块,用于将所述重构图像输入预设的分类器中,得到所述分类器输出的判断结果;
调整模块,用于基于所述分类器输出的判断结果以及预设的训练目标,对所述图像重构网络进行调整,直至满足预设的训练条件,所述图像重构网络训练完成。
在本发明一种实施例中,所述预设的训练目标为最小化所述重构图像与正常图像之间的误差。
在本发明一种实施例中,所述训练样本包括随机噪声图像。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例还提供了一种电子设备,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述电子设备执行本发明实施例所述的方法。
本发明实施例还提供了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行本发明实施例所述的方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种对抗样本检测方法和一种对抗样本检测装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种对抗样本检测方法,其特征在于,包括:
获取待检测图像;
将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;
计算所述重构图像与所述待检测图像之间相似度;
若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。
2.根据权利要求1所述的方法,其特征在于,所述计算所述重构图像与所述待检测图像之间相似度的步骤,包括:
计算所述重构图像与所述待检测图像之间的欧式距离。
3.根据权利要求1所述的方法,其特征在于,所述图像重构网络采用如下方式训练得到:
将训练样本输入待训练的所述图像重构网络中,得到所述图像重构网络输出的重构图像;
将所述重构图像输入预设的分类器中,得到所述分类器输出的判断结果;
基于所述分类器输出的判断结果以及预设的训练目标,对所述图像重构网络进行调整,直至满足预设的训练条件,所述图像重构网络训练完成。
4.根据权利要求3所述的方法,其特征在于,所述预设的训练目标为最小化所述重构图像与正常图像之间的误差。
5.根据权利要求3所述的方法,其特征在于,所述训练样本包括随机噪声图像。
6.一种对抗样本检测装置,其特征在于,包括:
图像获取模块,用于获取待检测图像;
重构模块,用于将所述待检测图像输入预设的图像重构网络中,得到所述图像重构网络输出的重构图像;
相似计算模块,用于计算所述重构图像与所述待检测图像之间相似度;
样本确定模块,用于若所述重构图像与所述待检测图像之间的相似度小于预设阈值,确定所述待检测图像为对抗样本。
7.根据权利要求1所述的装置,其特征在于,所述相似计算模块包括:
相似计算子模块,用于计算所述重构图像与所述待检测图像之间的欧式距离。
8.根据权利要求1所述的装置,其特征在于,所述图像重构网络采用如下模块训练得到:
训练样本输入模块,用于将训练样本输入待训练的所述图像重构网络中,得到所述图像重构网络输出的重构图像;
分类模块,用于将所述重构图像输入预设的分类器中,得到所述分类器输出的判断结果;
调整模块,用于基于所述分类器输出的判断结果以及预设的训练目标,对所述图像重构网络进行调整,直至满足预设的训练条件,所述图像重构网络训练完成。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述电子设备执行如权利要求1-5所述的一个或多个的方法。
10.一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如权利要求1-5所述的一个或多个的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110610595.2A CN113361583A (zh) | 2021-06-01 | 2021-06-01 | 一种对抗样本检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110610595.2A CN113361583A (zh) | 2021-06-01 | 2021-06-01 | 一种对抗样本检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113361583A true CN113361583A (zh) | 2021-09-07 |
Family
ID=77530936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110610595.2A Pending CN113361583A (zh) | 2021-06-01 | 2021-06-01 | 一种对抗样本检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113361583A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018115440A1 (de) * | 2017-07-01 | 2019-01-03 | Intel Corporation | Techniken zum Trainieren tiefer neuronaler Netzwerke |
| CN109544656A (zh) * | 2018-11-23 | 2019-03-29 | 南京信息工程大学 | 一种基于生成对抗网络的压缩感知图像重建方法及系统 |
| CN110211122A (zh) * | 2019-06-12 | 2019-09-06 | 京东方科技集团股份有限公司 | 一种检测图像处理方法及装置 |
| CN110619618A (zh) * | 2018-06-04 | 2019-12-27 | 杭州海康威视数字技术股份有限公司 | 一种表面缺陷检测方法、装置及电子设备 |
| CN110768971A (zh) * | 2019-10-16 | 2020-02-07 | 伍军 | 适用于人工智能系统的对抗样本快速预警方法及系统 |
| CN111724372A (zh) * | 2020-06-19 | 2020-09-29 | 深圳新视智科技术有限公司 | 基于对抗神经网络的布匹缺陷检测方法、终端和存储介质 |
| CN111738351A (zh) * | 2020-06-30 | 2020-10-02 | 创新奇智(重庆)科技有限公司 | 模型训练方法、装置、存储介质及电子设备 |
| CN112070853A (zh) * | 2019-06-10 | 2020-12-11 | 阿里巴巴集团控股有限公司 | 图像生成方法及装置 |
| US20200408864A1 (en) * | 2019-06-26 | 2020-12-31 | Siemens Healthcare Gmbh | Progressive generative adversarial network in medical image reconstruction |
| CN112673381A (zh) * | 2020-11-17 | 2021-04-16 | 华为技术有限公司 | 一种对抗样本的识别方法及相关装置 |
-
2021
- 2021-06-01 CN CN202110610595.2A patent/CN113361583A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018115440A1 (de) * | 2017-07-01 | 2019-01-03 | Intel Corporation | Techniken zum Trainieren tiefer neuronaler Netzwerke |
| CN110619618A (zh) * | 2018-06-04 | 2019-12-27 | 杭州海康威视数字技术股份有限公司 | 一种表面缺陷检测方法、装置及电子设备 |
| CN109544656A (zh) * | 2018-11-23 | 2019-03-29 | 南京信息工程大学 | 一种基于生成对抗网络的压缩感知图像重建方法及系统 |
| CN112070853A (zh) * | 2019-06-10 | 2020-12-11 | 阿里巴巴集团控股有限公司 | 图像生成方法及装置 |
| CN110211122A (zh) * | 2019-06-12 | 2019-09-06 | 京东方科技集团股份有限公司 | 一种检测图像处理方法及装置 |
| US20200408864A1 (en) * | 2019-06-26 | 2020-12-31 | Siemens Healthcare Gmbh | Progressive generative adversarial network in medical image reconstruction |
| CN110768971A (zh) * | 2019-10-16 | 2020-02-07 | 伍军 | 适用于人工智能系统的对抗样本快速预警方法及系统 |
| CN111724372A (zh) * | 2020-06-19 | 2020-09-29 | 深圳新视智科技术有限公司 | 基于对抗神经网络的布匹缺陷检测方法、终端和存储介质 |
| CN111738351A (zh) * | 2020-06-30 | 2020-10-02 | 创新奇智(重庆)科技有限公司 | 模型训练方法、装置、存储介质及电子设备 |
| CN112673381A (zh) * | 2020-11-17 | 2021-04-16 | 华为技术有限公司 | 一种对抗样本的识别方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109948408B (zh) | 活性测试方法和设备 | |
| KR102415503B1 (ko) | 분류기 학습 방법 및 객체 검출 방법 | |
| CN106326829B (zh) | 检测虚假指纹的方法和设备以及识别指纹的方法和设备 | |
| CN110096977B (zh) | 笔迹鉴定模型的训练方法及笔迹鉴定方法、设备和介质 | |
| CN107622489B (zh) | 一种图像篡改检测方法及装置 | |
| KR20180109171A (ko) | 라이브니스 검사 방법 및 장치 | |
| Raghavendra et al. | Presentation attack detection algorithms for finger vein biometrics: A comprehensive study | |
| CN111079816A (zh) | 图像的审核方法、装置和服务器 | |
| CN110956080A (zh) | 一种图像处理方法、装置、电子设备及存储介质 | |
| US20220327189A1 (en) | Personalized biometric anti-spoofing protection using machine learning and enrollment data | |
| CN113886792A (zh) | 一种声纹识别和人脸识别相结合的印控仪应用方法和系统 | |
| CN111275070B (zh) | 一种基于局部特征匹配的签名验证方法及设备 | |
| Garg et al. | DeBNet: multilayer deep network for liveness detection in face recognition system | |
| CN111144425B (zh) | 检测拍屏图片的方法、装置、电子设备及存储介质 | |
| JP7141518B2 (ja) | 指静脈照合方法、装置、コンピュータ機器、及び記憶媒体 | |
| CN111950415A (zh) | 一种图像检测方法和装置 | |
| Yohannan et al. | Detection of copy-move forgery based on Gabor filter | |
| CN113361583A (zh) | 一种对抗样本检测方法和装置 | |
| CN111209567B (zh) | 提高检测模型鲁棒性的可知性判断方法及装置 | |
| TWI792017B (zh) | 生物特徵的辨識系統及辨識方法 | |
| WO2017179728A1 (ja) | 画像認識装置、画像認識方法および画像認識プログラム | |
| CN111274899B (zh) | 人脸匹配方法、装置、电子设备和存储介质 | |
| Deshpande et al. | MINU-EXTRACTNET: automatic latent fingerprint feature extraction system using deep convolutional neural network | |
| TWI775038B (zh) | 字元識別方法、裝置及電腦可讀取存儲介質 | |
| CN111950629A (zh) | 对抗样本的检测方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |