CN113449783B - 一种对抗样本生成方法、系统、计算机设备和存储介质 - Google Patents
一种对抗样本生成方法、系统、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN113449783B CN113449783B CN202110675839.5A CN202110675839A CN113449783B CN 113449783 B CN113449783 B CN 113449783B CN 202110675839 A CN202110675839 A CN 202110675839A CN 113449783 B CN113449783 B CN 113449783B
- Authority
- CN
- China
- Prior art keywords
- matrix
- image sample
- sample
- original image
- information entropy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Evolutionary Biology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Image Analysis (AREA)
Abstract
本发明提供了一种对抗样本生成方法、系统、计算机设备和存储介质,通过获取待攻击的原始图像样本和神经网络模型,根据原始图像样本输入神经网络模型得到对应的梯度符号矩阵,以及采用熵值滤波器获取原始图像样本的信息熵分布矩阵生成扰动矩阵,并使用该扰动矩阵对原始图像样本添加扰动,并在得到的噪声图像样本满足对抗样本生成要求时,停止迭代,将该噪声图像样本作为对抗样本,反之,将噪声图像样本输入神经网络模型,进行下一轮噪声图像样本生成迭代,直至得到满足要求的对抗样本的方法,克服现有技术中未对梯度信息的重要程度作区分,在图像信息熵不同的区域生成均匀分布扰动缺陷的同时,增加了对抗样本的隐蔽性,提升了对抗样本的攻击效果。
Description
技术领域
本发明涉及人工智能深度学习技术领域,特别是涉及一种基于图像信息熵分布的对抗样本生成方法、系统、计算机设备和存储介质。
背景技术
随着人工智能技术的飞速发展,基于人工智能的系统和应用呈现了爆发式增长,也给人们的生活带来了极大便利。其中,深度学习作为人工智能的代表,也因能够有效的从大量数据中训练得到高精度的分类模型,且在分类任务上有着卓越的表现,而被许多领域引入使用,尤其在安全场景备受青睐,如自动驾驶中的物体识别,门禁系统中的人脸识别等。但在2014年由Szegedy提出对抗样本的概念后,实验证明在数据集中故意添加细微的干扰而形成的对抗样本会导致深度学习模型以高置信度给出一个错误的输出,这成为深度学习的一个深度缺陷,同时对抗样本也就成为恶意攻击者攻击深度学习模型的有力武器。随之,如何构造有效的对抗样本应用于深度学习模型的防御训练来提升深度学习模型抗干扰能力的问题,逐渐成为众多学者研究的对象。
现有的对抗样本生成方法有经典的FGSM对抗样本生成方法、引入多次迭代的PGD对抗样本生成方法、基于PGD方法引入动量因素的MI-FGSM对抗样本生成方法、构造更优损失函数加大惩罚项的CW对抗样本生成方法、以及基于寻找最近决策面的Deepfool对抗样本生成方法等。虽然由上述现有对抗样本生成方法生成的对抗样本在一定程度上满足了应用的需求,但它们在对抗样本的生成过程中均未考虑梯度信息在生成对抗样本中的重要程度,在图像包含更多信息量的信息熵高的区域与图像包含相对较少信息量的信息熵低的区域生成均匀分布的扰动,导致在图像信息量相对较少区域(如色调单一的空白区域)生成的扰动更容易被察觉,却在图像包含更多信息量的区域(如图像中物体边缘区域、颜色变换复杂的区域)生成的扰动不足,进而导致生成的对抗样本攻击性不强的问题,并不能很好地应用于深度学习模型的防御训练。
因此,亟需提供一种在对抗样本的生成过程中充分考虑梯度的重要程度,在图像中信息熵不同的区域生成不同的扰动,进而增加对抗样本隐蔽性和提升对抗样本的攻击效果的对抗样本生成方法。
发明内容
本发明的目的是提供一种对抗样本生成方法,在使用深度学习模型生成对抗样本的过程中采用图像信息熵分布给梯度信息分配对应权重,生成一个扰动更低更不容易察觉的对抗样本,克服现有对抗样本生成过程中未对梯度信息的重要程度作区分,在图像信息熵不同的区域生成均匀分布的扰动的缺陷同时,有效增加对抗样本的隐蔽性,进一步提升对抗样本的攻击效果。
为了实现上述目的,有必要针对上述技术问题,提供了一种对抗样本生成方法、系统、计算机设备及存储介质。
第一方面,本发明实施例提供了一种对抗样本生成方法,所述方法包括以下步骤:
获取待攻击的原始图像样本和神经网络模型;
将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵;
获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵;
采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本;
判断所述噪声图像样本是否满足对抗样本生成要求,若未满足,则将所述噪声图像样本输入所述神经网络模型,进行下一轮噪声图像样本生成迭代,反之,则停止迭代,将所述噪声图像样本作为对抗样本。
进一步地,所述判断所述噪声图像样本是否满足对抗样本生成要求的步骤包括:
判断所述噪声图像样本生成迭代的次数是否已达到预设最大迭代次数;
或判断所述噪声图像样本是否已能成功攻击所述神经网络模型。
进一步地,所述将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵的步骤包括:
采用快速梯度下降法,获取损失函数相对于所述原始图像样本的梯度信息矩阵;所述损失函数与所述神经网络模型相对应;
将所述梯度信息矩阵输入sign符号函数,得到所述梯度符号矩阵。
进一步地,所述获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵的步骤包括:
通过熵值滤波器,得到所述原始图像样本的信息熵值矩阵;
将所述信息熵值矩阵进行特征变换,得到所述信息熵分布矩阵;
将所述信息熵分布矩阵与所述梯度符号矩阵作矩阵乘法,得到所述扰动矩阵。
进一步地,所述采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本的步骤包括:
将所述扰动矩阵与所述原始图像样本叠加,得到所述噪声图像样本;所述噪声图像样本表示为:
t=x+ε
ε=M′e·Mg
式中,t为噪声图像样本;x为原始图像样本;ε为扰动矩阵;M′e为原始图像样本的信息熵分布矩阵;Mg为原始图像样本的梯度符号矩阵。
进一步地,所述通过熵值滤波器,得到所述原始图像样本的信息熵值矩阵的步骤包括:
根据所述熵值滤波器的大小,采用边缘填充法对所述原始图像样本进行填充,得到填充图像样本;
通过熵值滤波器,将所述填充图像样本的每个像素值按照预设类别数目计算信息熵,得到所述信息熵值矩阵。
进一步地,所述将所述信息熵值矩阵进行特征变换,得到所述信息熵分布矩阵的步骤包括:
将所述信息熵值矩阵进行数值归一化处理,得到归一化信息熵值矩阵;
将所述归一化信息熵值矩阵进行标准化处理,得到所述信息熵分布矩阵。
第二方面,本发明实施例提供了一种对抗样本生成系统,所述系统包括:
样本获取模块,用于获取待攻击的原始图像样本和神经网络模型;
梯度符号模块,用于将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵;
扰动生成模块,用于获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵;
扰动添加模块,用于采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本;
样本生成模块,用于判断所述噪声图像样本是否满足对抗样本生成要求,若未满足,则将所述噪声图像样本输入所述神经网络模型,进行下一轮噪声图像样本生成迭代,反之,则停止迭代,将所述噪声图像样本作为对抗样本。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
第四方面,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
上述本申请提供了一种对抗样本生成方法、系统、计算机设备及存储介质,通过所述方法,实现了通过预先获取待攻击的原始图像样本和神经网络模型,再将原始图像样本输入神经网络模型采用快速梯度下降法得到的梯度信息矩阵输入至符号函数得到对应的梯度符号矩阵,以及采用熵值滤波器对边缘填充处理后的原始图像样本的每个像素值按照预设类别数目计算信息熵,得到信息熵值矩阵后,依次进行归一化和标准化处理得到对应的信息熵分布矩阵,并将梯度符号矩阵和信息熵分布矩阵作矩阵乘法生成扰动矩阵,以及使用该扰动矩阵对原始图像样本添加扰动,判断得到的噪声图像样本满足对抗样本生成要求时,停止迭代,将该噪声图像样本作为对抗样本,反之,将噪声图像样本输入神经网络模型,进行下一轮噪声图像样本生成迭代,直至得到满足要求的对抗样本的技术方案。与现有技术相比,在使用深度学习模型生成对抗样本的过程中采用图像信息熵分布给梯度信息分配对应权重,生成一个扰动更低更不容易察觉的对抗样本的方法,克服现有技术中未对梯度信息的重要程度作区分,在图像信息熵不同的区域生成均匀分布的扰动的缺陷同时,有效增加对抗样本的隐蔽性,进一步提升对抗样本的攻击效果。
附图说明
图1是本发明实施例中对抗样本生成方法的应用场景示意图;
图2是基于模型梯度的一次迭代生成对抗样本的流程示意图;
图3是本发明实施例对抗样本生成方法的流程示意图;
图4是图3中步骤S12获取原始图像样本的梯度符号矩阵的流程示意图;
图5是图3中步骤S12获取原始图像样本的扰动矩阵的流程示意图;
图6是图5中步骤S131获取原始图像样本的信息熵值矩阵的流程示意图;
图7是本发明实施例中原始图像样本与对应的图像信息熵值分布图的对比示意图;
图8是图5中步骤S132根据信息熵值矩阵得到信息熵分布矩阵的流程示意图;
图9是本发明实施例中单次迭代生成对抗样本的流程示意图;
图10是本发明实施例中对抗样本生成系统的结构示意图;
图11是本发明实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案和有益效果更加清楚明白,下面结合附图及实施例,对本发明作进一步详细说明,显然,以下所描述的实施例是本发明实施例的一部分,仅用于说明本发明,但不用来限制本发明的范围。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的基于图像信息熵分布的对抗样本生成方法是对现有基于模型梯度信息生成对抗样本方法的改进,将FGSM基于模型梯度信息生成对抗样本的思想和PGD将每次迭代生成的对抗样本作为下次迭代输入的多次迭代生成对抗样本的思想融合的基础上,引入了采用图像的信息熵分布设置模型梯度信息的权重的方法,对模型梯度信息的重要程度进行区分,以生成攻击性更强、隐蔽性更高的对抗样本,且可以应用于如图1所示的终端或服务器上。其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。服务器可采用基于图像信息熵分布的对抗样本生成方法生成最终的对抗样本,将生成的对抗样本发送至终端,以供终端进行对应的神经网络模型攻击使用。
FGSM对抗样本生成方法是基于模型梯度信息生成对抗样本的经典算法,如图2所示,FGSM算法通过输入一张正常数据样本x送到深度神经网络,基于模型梯度获取扰动向量φ,该扰动向量的元素等于损失函数相对于输入的梯度元素符号乘以超参数∈(通常超参数∈取值小于0.1),扰动向量φ形状与输入图像的形状一致,将扰动向量φ与原图在对应像素点上的值相叠加得到对抗样本。本发明以此为改进基础,结合图像信息熵分布使用多次迭代来生成对抗样本,具体改进方法在下述实施例进行详细说明。
在一个实施例中,如图3所示,提供了一种对抗样本生成方法,包括以下步骤:
S11、获取待攻击的原始图像样本和神经网络模型;
其中,神经网络模型为已经训练稳定的模型,原始图像样本和神经网络模型之间只需存在着一定的对应关系即可,比如该原始图像样本为训练得到神经网络模型使用的训练样本,或该原始图像样本可以使用神经网络模型进行分类预测等,此处对原始图像样本和神经网络模型的类型都不作限制,可以根据实际使用需求确定。需要说明的是原始图像样本包括原始图像样本数据和对应的标签值,将原始图像样本输入至神经网络模型计算对应模型梯度时使用的是原始图像样本数据。
S12、将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵;
其中,梯度符号矩阵的获取方式沿用现有基于梯度攻击让模型预测损失尽可能增大的方法得到,如图4所示,所述将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵的步骤S12包括:
S121、采用快速梯度下降法,获取损失函数相对于所述原始图像样本的梯度信息矩阵;所述损失函数与所述神经网络模型相对应;
其中,损失函数可设为J(θ,x,y),θ为神经网络模型参数,x为神经网络模型的输入,此处为原始图像样本数据,y为原始图像样本数据对应的结果标签,利用快速梯度下降法得到损失函数在原始图像样本数据上的梯度信息矩阵
S122、将所述梯度信息矩阵输入sign符号函数,得到所述梯度符号矩阵。
其中,sign符号函数就是常用结果为1或-1的符号函数,即通过
取出损失函数J(θ,x,y)在该原始图像样本数据x上的梯度变化方向,得到对应的梯度符号矩阵Mg。
本实施例中沿用现有基于梯度攻击生成扰动的思想,得到原始图像样本对应的梯度符号矩阵,并将其作为后续生成扰动矩阵的基础,很好的保留了现有对抗样本在梯度攻击上的优势。
S13、获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵;
其中,信息熵的概念由香农在1948提出,解决了对信息的量化度量问题,可被理解为不确定性的度量,信息熵越大,就越无序、越混乱和越不确定,且信息世界,信息熵越高表示能传输的信息越多,信息熵越低意味着传输的信息越少。设P为x的概率函数,b是对数所使用的底,香农把随机变量x的熵值H定义如下:
H(x)=-ΣP(xi)logbP(xi) (1)
图像的信息熵是一种特征的统计形式,它反映了图像中平均信息量的多少,因此可以通过一个熵值滤波器在图像上从左至右,从上至下滑动,获得该图像的信息熵分布矩阵,并以此来表示图像中信息量分布情况,并将得到原始图像样本的信息熵分布矩阵的元素作为对应梯度符号矩阵中对应位置元素的权重,生成原始图像样本的扰动矩阵。如图5所示,所述获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵的步骤S13包括:
S131、通过熵值滤波器,得到所述原始图像样本的信息熵值矩阵;
其中,熵值滤波器的大小可根据实际应用需求进行选择。本实施例中优选的熵值滤波器大小为3*3,步长为1,采用从上至下,从左往右的方式滑过整个输入图像(原始图像样本)得到对应的信息熵值矩阵。在计算图像信息熵时先将图像中每一个像素值根据其数值大小按照预设类别数目分类,如将原始图像样本0-255的每个像素值根据其大小划分为0-51、52-102、103-153、154-204、以及205-255等5个类别,再基于预设列表数目和分类原则的基础上采用(1)式计算对应信息熵。需要说明的是,此处图像像素分类的预设类别数目可根据实际应用需求或实验情况进行调整,上述分类仅为一个示例行说明,并不对预设分类数目和分类原则作具体限制。如图6所示,所述通过熵值滤波器,得到所述原始图像样本的信息熵值矩阵的步骤S131包括:
S1311、根据所述熵值滤波器的大小,采用边缘填充法对所述原始图像样本进行填充,得到填充图像样本;
其中,边缘填充法包括零填充、常数填充、镜像填充和重复填充,原则上都可以使用,优选的可采用对原始图像样本改变最小的重复填充的方法保证使用熵值滤波器计算得到的信息熵分布矩阵的大小与原始图像样本的大小一致,在保证填充效果的同时,不会导致原始图像样本失真。如原始图像样本x的大小为H*W,通过大小为3*3且步长为1的熵值滤波器将得到(H-2)*(W-2)的信息熵值矩阵,就会与原始图像样本的大小不一致,进而影响后续的扰动矩阵的生成,在计算原始图像样本的信息熵值矩阵前,要先对原始图像样本x的上下左右4个边进行大小为1的像素填充,得到大小为(H+2)*(W+2)的填充图像样本x′,如一个大小为1*3的矩阵[1 2 3],对其上下左右4个边进行大小为1的填充,采用填充值与图像边缘的像素值一致的重复填充,则填充后得到一个大小为3*5的矩阵
通过大小为3*3步长为1的熵值滤波器对填充后3*5的填充图像样本x′滤波将得到与原图x大小一致的信息熵值矩阵。原始图像样本与对应的图像信息熵值分布图对比如,如图7所示,其中第一行为原始图像样本,第二行为对应的图像信息熵值分布图。
S1312、通过熵值滤波器,将所述填充图像样本的每个像素值按照预设类别数目计算信息熵,得到所述信息熵值矩阵。
其中,信息熵值矩阵为填充图像样本基于上述公式(1)计算得到,具体的计算过程此处不再赘述。
S132、将所述信息熵值矩阵进行特征变换,得到所述信息熵分布矩阵;
其中,信息熵值矩阵按照上述步骤计算得到后,为了保证后续机器学习中提高准确率和收敛速度,会对其进行一定的特征变换,具体的,如图8所示,所述将所述信息熵值矩阵进行特征变换,得到所述信息熵分布矩阵的步骤S132包括:
S1321、将所述信息熵值矩阵进行数值归一化处理,得到归一化信息熵值矩阵;
其中,矩阵的归一化处理就是将样本的特征值转换到同一量纲下把数据映射到[0,1]或者[-1,1]区间内,仅由变量的极值决定,即将矩阵每一行的值,除以每一行所有元素平方和的绝对值,以保证矩阵每一行元素的平方和为1的矩阵元素无量纲化处理,可达到均衡各类特征值影响的效果。如矩阵[1,2,3],将其归一化的结果就是[0.2673,0.5345,0.8018],其行元素的平方和就为1了。
S1322、将所述归一化信息熵值矩阵进行标准化处理,得到所述信息熵分布矩阵。
其中,矩阵的标准化处理就是通过标准化处理得到均值为0,标准差为1的服从标准正态分布的数据。具体的矩阵的标准化方法很多,较常用的就是z-score标准化,即使用矩阵元素减去对应行元素的均值再除以应行元素的标准差得到标准化后的元素值。采用矩阵标准化处理不仅方便了后续的数据处理,而且能够加快机器学习的收敛速度,还可以提高学习精度,防止梯度爆炸。
S133、将所述信息熵分布矩阵与所述梯度符号矩阵作矩阵乘法,得到所述扰动矩阵。
其中,信息熵分布矩阵M′e按照上述步骤得到后,与对应的梯度符号矩阵Mg按照矩阵乘法的原则作积,得到对应的扰动矩阵ε,扰动矩阵ε表示为:
ε=M′e·Mg
式中,ε为扰动矩阵;M′e为原始图像样本的信息熵分布矩阵;Mg为原始图像样本的梯度符号矩阵。
本实施例中基于图像包含有高信息熵的区域添加扰动会更加不容易察觉的现象,在保持现有对抗样本的梯度攻击优势的基础上,采用熵值滤波得到原始图像样本的信息熵分布矩阵给神经网络模型对应原始图像样本下的梯度信息分配对应权重,可以生成一个扰动更低、更合理且更不容易察觉的扰动矩阵,使用该方法得到的扰动矩阵为原始图像样本添加扰动,更利于得到有效的噪声图像样本。
S14、采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本;
其中,扰动矩阵按照上述步骤得到后,对原始图像样本添加扰动时遵循现有扰动添加的方法,将所述扰动矩阵与所述原始图像样本叠加,得到所述噪声图像样本;所述噪声图像样本表示为:
t=x+ε
ε=M′e·Mg
式中,t为噪声图像样本;x为原始图像样本;ε为扰动矩阵;M′e为原始图像样本的信息熵分布矩阵;Mg为原始图像样本的梯度符号矩阵。
上述步骤S14生成噪声图像样本后即完成了一次生成对抗样本的迭代,若实际应用中对对抗样本的要求不高,至此就可以停止迭代得到的噪声图像样本就可以作为基于原始图像样本生成的对抗样本使用,但一次迭代生成的对抗样本的攻击能力往往不高,本实施例优选的采用多次迭代来生成对抗样本,即需要在每次迭代完成后采用下述步骤判断得到的噪声图像样本是否满足实际应用中的对抗样本生成要求。
S15、判断所述噪声图像样本是否满足对抗样本生成要求,若未满足,则将所述噪声图像样本输入所述神经网络模型,进行下一轮噪声图像样本生成迭代,反之,则停止迭代,将所述噪声图像样本作为对抗样本。
其中,判断所述噪声图像样本是否满足对抗样本生成要求的步骤包括:判断所述噪声图像样本生成迭代的次数是否已达到预设最大迭代次数;或判断所述噪声图像样本是否已能成功攻击所述神经网络模型。即每次生成噪声图像样本认为是对原始图像样本完成了一次扰动添加,会将添加扰动得到的噪声图像样本输入到待攻击的神经网络模型得到对应的预测结果,并判定该预测结果是否正确,若正确则认为该噪声图像样本对神经网络模型的攻击效果不好,则还需要基于该噪声图像样本按照如图9所示的上述步骤进一步迭代生成新的扰动矩阵,再基于新的扰动矩阵对噪声图像样本添加扰动得到新的噪声图像样本,直到当前迭代的次数超过了预设最大迭代次数或者在预设最大迭代次数内的某次迭代得到的噪声图像样本输入到待攻击的神经网络模型得到的预测结果是错误的,即攻击成功了,才停止迭代。上述预设最大迭代次数可以根据实际情况进行设置,本实例中基于实验给出预设最大迭代次数为20,即将第i次按照上述步骤生成的噪声图像样本ti作为第i+1次步骤S12的原始图像样本,重复20次步骤S12-S15,得到的噪声图像样本t20作为最终的对抗样本,或当迭代次数少于20次,且生成的噪声图像样本成功攻击神经网络模型时则提前停止迭代训练,将此次迭代得到噪声图像样本作为最终的对抗样本。需要说明的是,预设最大迭代次数与具体神经网络模型和原始图像样本的选取都有关系,上述预设最大迭代次数20的取值仅为示例性说明,此处不对具体实施时预设最大迭代次作限制。
本实施例中在将FGSM基于模型梯度信息生成对抗样本的思想和PGD将每次迭代生成的对抗样本作为下次迭代输入的多次迭代生成对抗样本的思想融合的基础上,引入了采用熵值滤波器获取到的图像信息熵分布为模型梯度信息设置权重的方法,对模型梯度信息的重要程度进行区分,以生成攻击性更强、隐蔽性更高的对抗样本。为了验证本发明对抗样本生成方法的实际技术效果,本实施例在MNIST手写数据集上与现有的经典对抗样本生成方法进行了有效性的对比验证,如表1所示,该方法能够在生成更小扰动让肉眼更不容易察觉的同时提高其攻击率,在相同20的l1范数扰动限制下,其攻击率高达95.91%,相比Deepfool[6]攻击成功率高14个百分点,比PGD[2]高28个百分点。
表1本发明与现有的经典对抗样本生成方法有效性的对比验证结果
需要说明的是,虽然上述流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。
在一个实施例中,如图10所示,提供了一种对抗样本生成系统,所述系统包括:
样本获取模块1,用于获取待攻击的原始图像样本和神经网络模型;
梯度符号模块2,用于将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵;
扰动生成模块3,用于获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵;
扰动添加模块4,用于采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本;
样本生成模块5,用于判断所述噪声图像样本是否满足对抗样本生成要求,若未满足,则将所述噪声图像样本输入所述神经网络模型,进行下一轮噪声图像样本生成迭代,反之,则停止迭代,将所述噪声图像样本作为对抗样本。
关于一种对抗样本生成系统的具体限定可以参见上文中对于一种对抗样本生成方法的限定,在此不再赘述。上述一种对抗样本生成系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图11示出一个实施例中计算机设备的内部结构图,该计算机设备具体可以是终端或服务器。如图11所示,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示器和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种对抗样本生成方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域普通技术人员可以理解,图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述方法的步骤。
综上,本发明实施例提供的一种对抗样本生成方法、系统、计算机设备及存储介质,其对抗样本生成方法通过先获取待攻击的原始图像样本和神经网络模型,再将原始图像样本输入神经网络模型采用快速梯度下降法得到的梯度信息矩阵输入至符号函数得到对应的梯度符号矩阵,以及采用熵值滤波器对边缘填充处理后的原始图像样本的每个像素值按照预设类别数目计算信息熵,得到信息熵值矩阵后,依次进行归一化和标准化处理得到对应的信息熵分布矩阵,并将梯度符号矩阵和信息熵分布矩阵作矩阵乘法生成扰动矩阵,以及使用该扰动矩阵对原始图像样本添加扰动,判断得到的噪声图像样本满足对抗样本生成要求时,停止迭代,将该噪声图像样本作为对抗样本,反之,将噪声图像样本输入神经网络模型,进行下一轮噪声图像样本生成迭代,直至得到满足要求的对抗样本的技术方案。与现有技术相比,在使用深度学习模型生成对抗样本的过程中采用图像信息熵分布给梯度信息分配对应权重,生成一个扰动更低更不容易察觉的对抗样本的方法,克服了现有技术中未对梯度信息的重要程度作区分,在图像信息熵不同的区域生成均匀分布的扰动的缺陷同时,还有效地增加对抗样本的隐蔽性,进一步提升了对抗样本的攻击效果。
本说明书中的各个实施例均采用递进的方式描述,各个实施例直接相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。需要说明的是,上述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种优选实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。因此,本申请专利的保护范围应以所述权利要求的保护范围为准。
Claims (7)
1.一种对抗样本生成方法,其特征在于,所述方法包括以下步骤:
获取待攻击的原始图像样本和神经网络模型;
将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵,具体包括:
采用快速梯度下降法,获取损失函数相对于所述原始图像样本的梯度信息矩阵;所述损失函数与所述神经网络模型相对应;
将所述梯度信息矩阵输入sign符号函数,得到所述梯度符号矩阵;
获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵,具体包括:
通过熵值滤波器,得到所述原始图像样本的信息熵值矩阵;
将所述信息熵值矩阵进行特征变换,得到所述信息熵分布矩阵;
将所述信息熵分布矩阵与所述梯度符号矩阵作矩阵乘法,得到所述扰动矩阵;所述信息熵分布矩阵的元素作为对应所述梯度符号矩阵中对应位置元素的权重;
采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本;
判断所述噪声图像样本是否满足对抗样本生成要求,若未满足,则将所述噪声图像样本输入所述神经网络模型,进行下一轮噪声图像样本生成迭代,反之,则停止迭代,将所述噪声图像样本作为对抗样本;
其中,所述通过熵值滤波器,得到所述原始图像样本的信息熵值矩阵的步骤包括:
根据所述熵值滤波器的大小,采用边缘填充法对所述原始图像样本的四个侧边按照大小为1且填充值采用对应图像边缘像素值的方式进行填充,得到填充图像样本;所述熵值滤波器大小为3*3,步长为1;
通过熵值滤波器,将所述填充图像样本的每个像素值按照预设类别数目分类,再基于预设类别数目和分类原则计算信息熵,得到所述信息熵值矩阵。
2.如权利要求1所述的对抗样本生成方法,其特征在于,所述判断所述噪声图像样本是否满足对抗样本生成要求的步骤包括:
判断所述噪声图像样本生成迭代的次数是否已达到预设最大迭代次数;
或判断所述噪声图像样本是否已能成功攻击所述神经网络模型。
3.如权利要求1所述的对抗样本生成方法,其特征在于,所述采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本的步骤包括:
将所述扰动矩阵与所述原始图像样本叠加,得到所述噪声图像样本;所述噪声图像样本表示为:
t=x+ε
ε=M′e·Mg
式中,t为噪声图像样本;x为原始图像样本;ε为扰动矩阵;M′e为原始图像样本的信息熵分布矩阵;Mg为原始图像样本的梯度符号矩阵。
4.如权利要求1所述的对抗样本生成方法,其特征在于,所述将所述信息熵值矩阵进行特征变换,得到所述信息熵分布矩阵的步骤包括:
将所述信息熵值矩阵进行数值归一化处理,得到归一化信息熵值矩阵;
将所述归一化信息熵值矩阵进行标准化处理,得到所述信息熵分布矩阵。
5.一种对抗样本生成系统,其特征在于,能够执行如权利要求1所述 的对抗样本生成方法,所述系统包括:
样本获取模块,用于获取待攻击的原始图像样本和神经网络模型;
梯度符号模块,用于将所述原始图像样本输入所述神经网络模型,得到对应的梯度符号矩阵;
扰动生成模块,用于获取所述原始图像样本的信息熵分布矩阵,并根据所述信息熵分布矩阵和所述梯度符号矩阵,生成对应的扰动矩阵;
扰动添加模块,用于采用所述扰动矩阵对所述原始图像样本添加扰动,得到噪声图像样本;
样本生成模块,用于判断所述噪声图像样本是否满足对抗样本生成要求,若未满足,则将所述噪声图像样本输入所述神经网络模型,进行下一轮噪声图像样本生成迭代,反之,则停止迭代,将所述噪声图像样本作为对抗样本。
6.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一所述方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110675839.5A CN113449783B (zh) | 2021-06-17 | 2021-06-17 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110675839.5A CN113449783B (zh) | 2021-06-17 | 2021-06-17 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113449783A CN113449783A (zh) | 2021-09-28 |
| CN113449783B true CN113449783B (zh) | 2022-11-08 |
Family
ID=77811665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110675839.5A Active CN113449783B (zh) | 2021-06-17 | 2021-06-17 | 一种对抗样本生成方法、系统、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113449783B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113935913A (zh) * | 2021-10-08 | 2022-01-14 | 北京计算机技术及应用研究所 | 一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法 |
| CN114067184B (zh) * | 2022-01-17 | 2022-04-15 | 武汉大学 | 一种基于噪声模式分类的对抗样本检测方法及系统 |
| CN114549941A (zh) * | 2022-02-21 | 2022-05-27 | 北京百度网讯科技有限公司 | 一种模型测试方法、装置及电子设备 |
| CN114663665B (zh) * | 2022-02-28 | 2024-04-05 | 华南理工大学 | 基于梯度的对抗样本生成方法与系统 |
| CN114998657B (zh) * | 2022-06-17 | 2024-04-05 | 北京百度网讯科技有限公司 | 一种用于生成添加干扰后的图像的方法和装置 |
| CN114861893B (zh) * | 2022-07-07 | 2022-09-23 | 西南石油大学 | 一种多通路聚合的对抗样本生成方法、系统及终端 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109948663A (zh) * | 2019-02-27 | 2019-06-28 | 天津大学 | 一种基于模型抽取的步长自适应的对抗攻击方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110163835B (zh) * | 2018-07-03 | 2023-06-16 | 腾讯科技(深圳)有限公司 | 检测截图的方法、装置、设备及计算机可读存储介质 |
| CN110046622B (zh) * | 2019-04-04 | 2021-09-03 | 广州大学 | 一种有目标的攻击样本生成方法、装置、设备及存储介质 |
| CN111353403A (zh) * | 2020-02-24 | 2020-06-30 | 中国人民大学 | 一种深度神经网络图像对抗样本检测方法和系统 |
| CN111475797B (zh) * | 2020-03-26 | 2023-09-29 | 深圳先进技术研究院 | 一种对抗图像生成方法、装置、设备以及可读存储介质 |
| CN111476228A (zh) * | 2020-04-07 | 2020-07-31 | 海南阿凡题科技有限公司 | 针对场景文字识别模型的白盒对抗样本生成方法 |
| CN112861275A (zh) * | 2021-01-11 | 2021-05-28 | 南京航空航天大学 | 一种基于最小信息熵特征学习模型的旋转机械故障诊断方法 |
-
2021
- 2021-06-17 CN CN202110675839.5A patent/CN113449783B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109948663A (zh) * | 2019-02-27 | 2019-06-28 | 天津大学 | 一种基于模型抽取的步长自适应的对抗攻击方法 |
Non-Patent Citations (1)
| Title |
|---|
| 钱亚冠等.一种基于二维码对抗样本的物理补丁攻击.《 信息安全学报》.2020,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113449783A (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113449783B (zh) | 一种对抗样本生成方法、系统、计算机设备和存储介质 | |
| CN109983480B (zh) | 使用聚类损失训练神经网络 | |
| US11995155B2 (en) | Adversarial image generation method, computer device, and computer-readable storage medium | |
| CN110941794B (zh) | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 | |
| CN111783083B (zh) | 一种防御算法的推荐方法及装置 | |
| WO2017044189A1 (en) | Cost-sensitive classification with deep learning using cost-aware pre-training | |
| CN110929839B (zh) | 训练神经网络的方法和装置、电子设备和计算机存储介质 | |
| CN111260620B (zh) | 图像异常检测方法、装置和电子设备 | |
| CN111783085B (zh) | 一种对抗样本攻击的防御方法、装置及电子设备 | |
| CN114187483A (zh) | 生成对抗样本的方法、检测器的训练方法及相关设备 | |
| Bu et al. | Taking care of the discretization problem: A comprehensive study of the discretization problem and a black-box adversarial attack in discrete integer domain | |
| CN116250020A (zh) | 使用潜在邻域图检测对抗性示例 | |
| CN114565513A (zh) | 对抗图像的生成方法、装置、电子设备和存储介质 | |
| CN114677565A (zh) | 特征提取网络的训练方法和图像处理方法、装置 | |
| CN112200380A (zh) | 优化风险检测模型的方法及装置 | |
| CN111881439A (zh) | 一种基于对抗性正则化的识别模型设计方法 | |
| Costa et al. | How Deep Learning Sees the World: A Survey on Adversarial Attacks & Defenses | |
| CN113935396A (zh) | 基于流形理论的对抗样本攻击方法及相关装置 | |
| CN116665282A (zh) | 人脸识别模型训练方法、人脸识别方法及装置 | |
| CN116152884A (zh) | 人脸图像的识别方法、装置、处理器及电子设备 | |
| CN113159317B (zh) | 一种基于动态残差侵蚀的对抗样本生成方法 | |
| CN114463646A (zh) | 一种基于多头自注意力卷积神经网络的遥感场景分类方法 | |
| Mohammadi et al. | Privacy-preserving Deep-learning Models for Fingerprint Data using Differential Privacy | |
| Yazdani et al. | RPCA: a novel preprocessing method for PCA | |
| CN113239840A (zh) | 字迹鉴定方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |