CN113537291B - 图像频域对抗样本生成方法及系统 - Google Patents

图像频域对抗样本生成方法及系统 Download PDF

Info

Publication number
CN113537291B
CN113537291B CN202110667860.0A CN202110667860A CN113537291B CN 113537291 B CN113537291 B CN 113537291B CN 202110667860 A CN202110667860 A CN 202110667860A CN 113537291 B CN113537291 B CN 113537291B
Authority
CN
China
Prior art keywords
sample data
sine wave
sample
wave amplitude
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110667860.0A
Other languages
English (en)
Other versions
CN113537291A (zh
Inventor
杨奎武
孙业鹏
胡学先
张田
李志博
张万里
陈越
魏江宏
刘文钊
汤敏达
周刚
侯雪梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202110667860.0A priority Critical patent/CN113537291B/zh
Publication of CN113537291A publication Critical patent/CN113537291A/zh
Application granted granted Critical
Publication of CN113537291B publication Critical patent/CN113537291B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明属于数据样本处理技术领域,特别涉及一种频域对抗样本生成方法及系统,针对原始样本数据,利用白盒攻击生成第一对抗样本数据;并依据第一对抗样本数据和原始样本数据的差异,通过傅里叶变换获取频域内样本数据之间正弦波幅度变化矩阵;将目标数据傅里叶变换后与正弦波幅度变化矩阵进行融合,并通过逆傅里叶变换输出目标数据最终的对抗样本数据。本发明在白盒攻击基础上利用对抗样本与原始数据之间的差异性来构造最终对抗样数据,利用结构相似性生成用于对抗样本生成中攻击阶段的通用扰动,能够获取具有较高攻击成功率的样本数据,提升生成样本的逼真程度,能够使得用于图像识别等模型优化识别效果更好,具有较好应用前景。

Description

图像频域对抗样本生成方法及系统
技术领域
本发明属于数据样本处理技术领域,特别涉及一种图像频域对抗样本生成方法及系统。
背景技术
白盒攻击的条件比较宽泛,能够完整获取模型,了解模型的结构以及每层的具体参数,可以完整控制模型的输入,对输入的数据甚至可以进行比特级的修改。所以白盒攻击可以获得模型的参数,甚至包括输出的梯度反馈,而白盒攻击就是基于输出梯度的反馈生成对抗样本。其代表算法有FGSM、DeepFool、JSMA、C&W等。一般来说,训练神经网络获得模型的流程是控制输入,将预测输出与目标输出经损失函数计算得到损失,反向传递计算梯度,调整训练模型的参数,最终的目的是为了得到模型的参数;而白盒攻击相反,对于一个样本的输入,控制已训练好的模型参数不变,将预测输出与目标输出经损失函数计算得到损失,反向传递计算梯度,获得的输入处的梯度,通过一定的算法调整输入,最终的目的是为了获得新的输入,可以使得输出为目标输出。传统的白盒攻击依然是面向空域的,最终的改动是像素级别的改动,所以白盒攻击生成的扰动一般来说属于特定扰动,即每一张图片所生成的扰动不一样,而不一致性反映在位置的不确定性、改变幅度的不确定性,是一种无规律的变化,仅对单幅图片有效,叠加在其他图片上,会使得人眼察觉到。
发明内容
为此,本发明提供一种图像频域对抗样本生成方法及系统,在白盒攻击基础上利用对抗样本与原始数据之间的差异性来构造最终对抗样数据,利用结构相似性生成用于对抗样本生成中攻击阶段的通用扰动,能够获取具有较高攻击成功率的样本数据。
按照本发明所提供的设计方案,提供一种图像频域对抗样本生成方法,包含:
针对原始图像样本数据,利用白盒攻击生成第一对抗样本数据;并依据第一对抗样本数据和原始图像样本数据的差异,通过傅里叶变换获取图像频域内样本数据之间正弦波幅度变化矩阵;
将目标数据傅里叶变换后与正弦波幅度变化矩阵进行融合,并通过逆傅里叶变换输出目标数据最终的对抗样本数据。
作为本发明图像频域对抗样本生成方法,进一步地,利用白盒攻击并通过不少于一种的生成对抗样本算法来获取第一对抗样本数据。
作为本发明图像频域对抗样本生成方法,进一步地,原始图像样本数据和第一对抗样本数据分别经过傅里叶变换后,通过两者用于表示频率的坐标位置的基本元素变化来获取正弦波幅度变化矩阵。
作为本发明图像频域对抗样本生成方法,进一步地,正弦波幅度变化矩阵A的基本元素表示
Figure GDA0004178617950000011
其中,(u,v)表示傅里叶变换后的坐标位置,R(u,v)、I(u,v)分别表示原始图像样本数据经傅里叶变换后得到的复数矩阵的实部、虚部,R′(u,v)、I′(u,v)分别表示第一对抗样本数据经傅里叶变换后得到的复数矩阵的实部、虚部。
作为本发明图像频域对抗样本生成方法,进一步地,针对通过傅里叶变换获取的正弦波幅度变化矩阵,通过取均值方法对矩阵元素进行处理来获取用于与目标数据融合的最终正弦波幅度变化矩阵。
作为本发明图像频域对抗样本生成方法,进一步地,通过公式
Figure GDA0004178617950000021
对正弦波幅度变化矩元素Ai进行取均值方法处理,其中,n为矩阵元素个数。
作为本发明图像频域对抗样本生成方法,进一步地,针对通过傅里叶变换获取的正弦波幅度变化矩阵,通过依概率取值方法对矩阵元素进行处理来获取用于与目标数据融合的最终正弦波幅度变化矩阵。
作为本发明图像频域对抗样本生成方法,进一步地,通过公式
Figure GDA0004178617950000022
对正弦波幅度变化矩阵进行依概率取值方法处理,其中,au,v为正弦波幅度变化矩阵中坐标位置(u,v)对应的基本元素,E()表示期望。
作为本发明图像频域对抗样本生成方法,进一步地,通过公式
Figure GDA0004178617950000023
Figure GDA0004178617950000024
和/>
Figure GDA0004178617950000025
将目标数据与正弦波幅度变化矩阵进行融合来获取第二对抗样本数据,并通过对第二对抗样本数据进行逆傅里叶变换来得到用于输出的最终对抗样本数据,其中,R″(u,v)、I″(u,v)为第二对抗样本数据复数矩阵的实部表示、虚部表示,R(u,v)、I(u,v)为目标数据傅里叶变换后复数矩阵的实部表示、虚部表示,/>
Figure GDA0004178617950000026
正弦波幅度变化矩阵坐标位置(u,v)对应的元素。
进一步地,本发明还提供一种图像频域对抗样本生成系统,包含:白盒攻击模块和迁移学习模块,其中,
白盒攻击模块,用于针对原始图像样本数据,利用白盒攻击生成第一对抗样本数据;并依据第一对抗样本数据和原始图像样本数据的差异,通过傅里叶变换获取图像频域内样本数据之间正弦波幅度变化矩阵;
迁移学习模块,用于将目标数据傅里叶变换后与正弦波幅度变化矩阵进行融合,并通过逆傅里叶变换输出目标数据最终的对抗样本数据。
本发明的有益效果:
本发明通过现有的白盒攻击算法生成一系列足够丰富的对抗样本,来构成对抗样本数据集,对抗样本数据集与原数据集的差异性包含模型语义上的脆弱性知识,这种知识文本可以尝试迁移到频域,模型接收到干净样本输入后通过混入通用扰动方法来构造出新的具有较高攻击成功率的样本数据,提升生成样本的逼真程度,能够使得用于图像识别等模型优化识别效果更好,具有较好的应用前景。
附图说明:
图1为实施例中图像频域对抗样本生成流程示意;
图2为实施例中白盒攻击流程示意;
图3为实施例中频域内数学模型攻击流程示意;
图4为实施例中幅度矩阵获取流程示意;
图5为实施例中原始样本和对抗样本对比示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
本发明实施例,提供一种图像频域对抗样本生成方法,包含:
S101、针对原始图像样本数据,利用白盒攻击生成第一对抗样本数据;并依据第一对抗样本数据和原始图像样本数据的差异,通过傅里叶变换获取图像频域内样本数据之间正弦波幅度变化矩阵;
S102、将目标数据傅里叶变换后与正弦波幅度变化矩阵进行融合,并通过逆傅里叶变换输出目标数据最终的对抗样本数据。
通用扰动是指一种精心构造的叠加扰动,不仅具有通用性,叠加在测试数据集上能够以较大概率欺骗分类模型;而且扰动微弱,叠加之后的大多数对抗样本,依旧无法察觉。现有通用扰动想要达到人眼察觉不到,并且具有较高攻击成功率的效果,计算成本是十分昂贵的。本案实施例中,白盒攻击流程参见图2所示,在白盒攻击基础上利用对抗样本与原始数据之间的差异性来构造最终对抗样数据,利用结构相似性生成用于对抗样本生成中攻击阶段的通用扰动,以获取具有较高攻击成功率的样本数据,提升生成对抗样本的逼真程度,便于后去模型训练识别中的应用。
作为本发明实施例中图像频域对抗样本生成方法,进一步地,利用白盒攻击并通过不少于一种的生成对抗样本算法来获取第一对抗样本数据。进一步地,原始图像样本数据和第一对抗样本数据分别经过傅里叶变换后,通过两者用于表示频率的坐标位置的基本元素变化来获取正弦波幅度变化矩阵。进一步地,正弦波幅度变化矩阵A的基本元素表示
Figure GDA0004178617950000031
Figure GDA0004178617950000032
其中,(u,v)表示傅里叶变换后的坐标位置,R(u,v)、I(u,v)分别表示原始图像样本数据经傅里叶变换后得到的复数矩阵的实部、虚部,R′(u,v)、I′(u,v)分别表示第一对抗样本数据经傅里叶变换后得到的复数矩阵的实部、虚部。
作为本发明实施例中图像频域对抗样本生成方法,进一步地,针对通过傅里叶变换获取的正弦波幅度变化矩阵,通过取均值方法对矩阵元素进行处理来获取用于与目标数据融合的最终正弦波幅度变化矩阵。进一步地,通过公式
Figure GDA0004178617950000041
对正弦波幅度变化矩元素Ai进行取均值方法处理,其中,n为矩阵元素个数。进一步地,针对通过傅里叶变换获取的正弦波幅度变化矩阵,通过依概率取值方法对矩阵元素进行处理来获取用于与目标数据融合的最终正弦波幅度变化矩阵。进一步地,通过公式/>
Figure GDA0004178617950000042
对正弦波幅度变化矩阵进行依概率取值方法处理,其中,au,v为正弦波幅度变化矩阵中坐标位置(u,v)对应的基本元素,E()表示期望。
作为本发明实施例中图像频域对抗样本生成方法,进一步地,通过公式
Figure GDA0004178617950000043
Figure GDA0004178617950000044
和/>
Figure GDA0004178617950000045
将目标数据与正弦波幅度变化矩阵进行融合来获取第二对抗样本数据,并通过对第二对抗样本数据进行逆傅里叶变换来得到用于输出的最终对抗样本数据,其中,R″(u,v)、I″(u,v)为第二对抗样本数据复数矩阵的实部表示、虚部表示,R(u,v)、I(u,v)为目标数据傅里叶变换后复数矩阵的实部表示、虚部表示,
Figure GDA0004178617950000046
正弦波幅度变化矩阵坐标位置(u,v)对应的元素。
进一步地,基于上述的方法,本发明实施例还提供一种图像频域对抗样本生成系统,包含:白盒攻击模块和迁移学习模块,其中,
白盒攻击模块,用于针对原始图像样本数据,利用白盒攻击生成第一对抗样本数据;并依据第一对抗样本数据和原始图像样本数据的差异,通过傅里叶变换获取图像频域内样本数据之间正弦波幅度变化矩阵;
迁移学习模块,用于将目标数据傅里叶变换后与正弦波幅度变化矩阵进行融合,并通过逆傅里叶变换输出目标数据最终的对抗样本数据。
假设不同的频率分量组合应该可以表示一定的语义信息。基于这样的假设,白盒攻击在空域中的扰动虽然属于特定扰动,是无规律的,但在语义上可能是有规律的,反映在频域上影响应该是集中的。本案实施例中,通过现有的白盒攻击算法,针对被攻击模型,生成一系列足够丰富的对抗样本,构成对抗样本数据集。这种对抗样本数据集与原数据集的差异性包含了模型语义上的脆弱性知识,这种知识文本可以尝试迁移到频域上的一种特殊的数学模型,攻击流程参见图3所示,利用混入通用扰动使得这种数学模型接收到干净样本的输入后,构造出新的对抗样本来进行攻击。为了实现图3中所述的数学模型,通过本案实施例中频域内的幅度变化矩阵作为生成通用扰动来生成对抗样本。一张图像的傅里叶变换表示为F(u,v)的一个复数矩阵,矩阵的元素表示为R(u,v)+I(u,v)i,其中(u,v)表示的位置代表其频率,在进行变换域之间的计算处理时频率的范围不变。也就是说一张图像只要大小不发生改变,无论像素值在空域内如何变化,在计算机进行傅里叶变换时,组成图像的一组正弦波的频率不变,变动的是正弦波的幅度与相位角。由于幅度变化反映正弦波的能量,以及对图像空域影响程度,所以,本案实施例中,通过构造幅度变化矩阵来从原始数据集和对抗样本数据集之间学习到正弦波的这种幅度变化。通过学习到的足够丰富的幅度变化来完成模型学习训练。在攻击阶段,将这种幅度变化融合到输入数据中产生新的对抗样本。参见图4所示,幅度变化矩阵构造算法可设计如下:
STEP 1:生成对抗样本
原始样本xz经过白盒攻击算法生成n张对抗样本,其中对抗样本算法可采取FGSM、DeepFool等多种算法进行多目标攻击生成;
STEP 2:提取频域内幅度变化矩阵——算子1
设原始样本
Figure GDA0004178617950000051
对抗样本
Figure GDA0004178617950000052
原始样本xz经过傅里叶变换后,坐标为(u,v)的基本元素表示为R(u,v)+I(u,v)i,对抗样本xi′(i=1,2……n)经过傅里叶变换后,其基本元素表示为R′(u,v)+I′(u,v)i,经算子1操作得到幅度变化矩阵Ai,其基本元素表示为a,算子1操作如下:
Figure GDA0004178617950000053
STEP 3:确定最终频域内幅度变化矩阵——算子2
得到一系列幅度变化矩阵Ai(i=1,2……n)后,经算子2操作,学习得到最终的幅度变化矩阵A*,算子2操作可采取以下两种方法:
Figure GDA0004178617950000054
Figure GDA0004178617950000055
备注:
Figure GDA0004178617950000056
为幅度变化矩阵A*的元素。该步骤中的两个公式分别对应采用取均值和采用依概率取值方法。
SETP 4:生成频域内对抗样本——算子3
在攻击阶段,将得到的幅度变化矩阵A*所包含的每个元素变化的幅度,经算子3融合到新的输入样本上xf,得到对抗样本上xf′,算子3操作如下:
Figure GDA0004178617950000061
Figure GDA0004178617950000062
STEP 5:生成空域内对抗样本——逆傅里叶变换
最后将对抗样本上xf′,经逆傅里叶变换输出。
为验证本案方案有效性,下面结合具体数据做进一步解释说明:
基于ImageNet数据集通过白盒攻击中的FGSM算法针对Alexnet模型生成包含2000张图像的对抗样本库,采用均值、依概率取值两种方法在获取幅度矩阵。采用3万张图像作为测试集,将幅度矩阵在Alexnet、Vgg16、Googlenet、Resnet50四种模型上进行测试。测试的过程中由于均值方法易受到极值的影响,在测试的过程中将其进行了截断处理,截断的幅度阈值为100,获取的测试结果如表1和图5所示:
表1两种方法攻击成功率的测试结果
Figure GDA0004178617950000063
从表1中可以发现,本案中通过融合幅度变化矩阵的方案有比较不错的攻击成功率,并且在不同模型结构之间都有较好的迁移性。除此之外,通过继续测试幅度矩阵所生成的对抗样本与原样本相比的结构相似性SSIM,结构相似性可以在很大的程度上反映人眼对图像变化的察觉性,SSIM越高表明扰动越小,人眼越不易察觉。发现三个通道的结构相似性均在0.73左右,在可接受的范围内,说明本案方案生成的通用扰动对抗样本数据方案可以作为有效的攻击手段,来提升样本数据的逼真程度。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的系统,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的系统,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述系统实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述系统实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述系统实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和系统,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (3)

1.一种图像频域对抗样本生成方法,其特征在于,包含:
针对原始图像样本数据,利用白盒攻击生成第一对抗样本数据;并将原始图像样本数据和第一对抗样本数据分别经过傅里叶变换后,通过两者用于表示频率的坐标位置的基本元素变化来获取图像频域内样本数据之间正弦波幅度变化矩阵,其中,当图像大小不发生改变,在进行傅里叶变换时,组成图像的一组正弦波的频率不变,变动的是正弦波幅度与相位角,且利用幅度变化反应正弦波能量以及对图像空域影响程度;正弦波幅度变化矩阵A的基本元素表示
Figure FDA0004178617940000011
其中,(u,v)表示傅里叶变换后的坐标位置,R(u,v)、I(u,v)分别表示原始图像样本数据经傅里叶变换后得到的复数矩阵的实部、虚部,R′(u,v)、I′(u,v)分别表示第一对抗样本数据经傅里叶变换后得到的复数矩阵的实部、虚部;
通过对正弦波幅度变化矩阵进行取均值或依概率取值来获取最终正弦波幅度变化矩阵,将新的输入图像样本傅里叶变换后与最终正弦波幅度变化矩阵进行融合,并通过逆傅里叶变换输出新的输入图像样本最终的对抗样本数据;其中,通过公式
Figure FDA0004178617940000012
和/>
Figure FDA0004178617940000013
将新的输入图像样本与最终正弦波幅度变化矩阵进行融合来获取第二对抗样本数据,并通过对第二对抗样本数据进行逆傅里叶变换来得到用于输出的最终对抗样本数据,R″(u,v)、I″(u,v)为第二对抗样本数据复数矩阵的实部表示、虚部表示,/>
Figure FDA0004178617940000018
为新的输入图像样本傅里叶变换后复数矩阵的实部表示、虚部表示,/>
Figure FDA0004178617940000014
为最终正弦波幅度变化矩阵坐标位置(u,v)对应的基本元素;依概率取值中,通过公式/>
Figure FDA0004178617940000015
Figure FDA0004178617940000016
对正弦波幅度变化矩阵进行依概率取值方法处理,E()表示正弦波幅度变化矩阵中坐标位置(u,v)对应的基本元素au,v的期望。
2.根据权利要求1所述的图像频域对抗样本生成方法,其特征在于,利用白盒攻击并通过不少于一种的生成对抗样本算法来获取第一对抗样本数据。
3.一种图像频域对抗样本生成系统,其特征在于,包含:白盒攻击模块和迁移学习模块,其中,
白盒攻击模块,用于针对原始图像样本数据,利用白盒攻击生成第一对抗样本数据;并将原始图像样本数据和第一对抗样本数据分别经过傅里叶变换后,通过两者用于表示频率的坐标位置的基本元素变化来获取图像频域内样本数据之间正弦波幅度变化矩阵,其中,当图像大小不发生改变,在进行傅里叶变换时,组成图像的一组正弦波的频率不变,变动的是正弦波幅度与相位角,且利用幅度变化反应正弦波能量以及对图像空域影响程度;正弦波幅度变化矩阵A的基本元素表示
Figure FDA0004178617940000017
其中,(u,v)表示傅里叶变换后的坐标位置,R(u,v)、I(u,v)分别表示原始图像样本数据经傅里叶变换后得到的复数矩阵的实部、虚部,R′(u,v)、I′(u,v)分别表示第一对抗样本数据经傅里叶变换后得到的复数矩阵的实部、虚部;
迁移学习模块,用于通过对正弦波幅度变化矩阵进行取均值或依概率取值来获取最终正弦波幅度变化矩阵,将新的输入图像样本傅里叶变换后与最终正弦波幅度变化矩阵进行融合,并通过逆傅里叶变换输出新的输入图像样本最终的对抗样本数据;其中,通过公式
Figure FDA0004178617940000021
和/>
Figure FDA0004178617940000022
将新的输入图像样本与最终正弦波幅度变化矩阵进行融合来获取第二对抗样本数据,并通过对第二对抗样本数据进行逆傅里叶变换来得到用于输出的最终对抗样本数据,R″(u,v)、I″(u,v)为第二对抗样本数据复数矩阵的实部表示、虚部表示,/>
Figure FDA0004178617940000023
为新的输入图像样本傅里叶变换后复数矩阵的实部表示、虚部表示,/>
Figure FDA0004178617940000024
为最终正弦波幅度变化矩阵坐标位置(u,v)对应的基本元素;依概率取值中,通过公式/>
Figure FDA0004178617940000025
对正弦波幅度变化矩阵进行依概率取值方法处理,E()表示正弦波幅度变化矩阵中坐标位置(u,v)对应的基本元素au,v的期望。
CN202110667860.0A 2021-06-16 2021-06-16 图像频域对抗样本生成方法及系统 Active CN113537291B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110667860.0A CN113537291B (zh) 2021-06-16 2021-06-16 图像频域对抗样本生成方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110667860.0A CN113537291B (zh) 2021-06-16 2021-06-16 图像频域对抗样本生成方法及系统

Publications (2)

Publication Number Publication Date
CN113537291A CN113537291A (zh) 2021-10-22
CN113537291B true CN113537291B (zh) 2023-06-16

Family

ID=78125025

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110667860.0A Active CN113537291B (zh) 2021-06-16 2021-06-16 图像频域对抗样本生成方法及系统

Country Status (1)

Country Link
CN (1) CN113537291B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3033014A1 (en) * 2018-02-07 2019-08-07 Royal Bank Of Canada Robust pruned neural networks via adversarial training
CN110244271A (zh) * 2019-05-17 2019-09-17 中国人民解放军战略支援部队信息工程大学 基于多重同步压缩变换的雷达辐射源分选识别方法及装置
CN110444208A (zh) * 2019-08-12 2019-11-12 浙江工业大学 一种基于梯度估计和ctc算法的语音识别攻击防御方法及装置
CN111261147A (zh) * 2020-01-20 2020-06-09 浙江工业大学 一种面向语音识别系统的音乐嵌入攻击防御方法
CN112132179A (zh) * 2020-08-20 2020-12-25 中国人民解放军战略支援部队信息工程大学 基于少量标注样本的增量学习方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11227215B2 (en) * 2019-03-08 2022-01-18 International Business Machines Corporation Quantifying vulnerabilities of deep learning computing systems to adversarial perturbations
CN111476228A (zh) * 2020-04-07 2020-07-31 海南阿凡题科技有限公司 针对场景文字识别模型的白盒对抗样本生成方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3033014A1 (en) * 2018-02-07 2019-08-07 Royal Bank Of Canada Robust pruned neural networks via adversarial training
CN110244271A (zh) * 2019-05-17 2019-09-17 中国人民解放军战略支援部队信息工程大学 基于多重同步压缩变换的雷达辐射源分选识别方法及装置
CN110444208A (zh) * 2019-08-12 2019-11-12 浙江工业大学 一种基于梯度估计和ctc算法的语音识别攻击防御方法及装置
CN111261147A (zh) * 2020-01-20 2020-06-09 浙江工业大学 一种面向语音识别系统的音乐嵌入攻击防御方法
CN112132179A (zh) * 2020-08-20 2020-12-25 中国人民解放军战略支援部队信息工程大学 基于少量标注样本的增量学习方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Probabilistic Analysis of Targeted Attacks Using Transform-Domain Adversarial Examples;Zakia Yahya等;IEEE Access;第33855-33869页 *
面向图像数据的对抗样本检测与防御技术综述;张田等;计算机研究与发展;第1315-1328页 *

Also Published As

Publication number Publication date
CN113537291A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
US11380034B2 (en) Semantically-consistent image style transfer
CN111340214B (zh) 对抗攻击模型的训练方法及装置
Walder et al. Implicit surface modelling with a globally regularised basis of compact support
EP3852451B1 (en) Training in communication systems
Gavrilov et al. Method for reconstructing nonlinear modes with adaptive structure from multidimensional data
CN113221902B (zh) 基于数据分布扩充的跨域自适应语义分割方法及系统
CN115115905A (zh) 基于生成模型的高可迁移性图像对抗样本生成方法
CN112184547B (zh) 红外图像的超分辨率方法及计算机可读存储介质
CN117454495B (zh) 一种基于建筑草图轮廓序列的cad矢量模型生成方法及装置
CN115719092A (zh) 基于联邦学习的模型训练方法和联邦学习系统
Liu et al. Wtfm layer: An effective map extractor for unsupervised shape correspondence
CN113935396A (zh) 基于流形理论的对抗样本攻击方法及相关装置
CN113537291B (zh) 图像频域对抗样本生成方法及系统
CN117972766A (zh) 一种基于多模态联邦学习的反演攻击方法
CN115719085B (zh) 一种深度神经网络模型反演攻击防御方法及设备
Sun et al. An image watermarking scheme using Arnold transform and fuzzy smooth support vector machine
CN114444690B (zh) 一种基于任务扩增的迁移攻击方法
Ben Charrada et al. TopoNet: Topology Learning for 3D Reconstruction of Objects of Arbitrary Genus
KR20230002041A (ko) 이미지 처리를 위한 인공 신경망 모델 학습 방법 및 시스템
CN115134114A (zh) 基于离散混淆自编码器的纵向联邦学习攻击防御方法
Xie et al. An iterative method with enhanced Laplacian-scaled thresholding for noise-robust compressive sensing magnetic resonance image reconstruction
Zhang et al. Deep learning in image reconstruction: vulnerability under adversarial attacks and potential defense strategies
Xie et al. Content‐Aware Compressive Sensing Recovery Using Laplacian Scale Mixture Priors and Side Information
CN116704588B (zh) 面部图像的替换方法、装置、设备及存储介质
Liu et al. Compressed wavelet tensor attention capsule network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant