CN113537374B - 一种对抗样本生成方法 - Google Patents

一种对抗样本生成方法 Download PDF

Info

Publication number
CN113537374B
CN113537374B CN202110842144.1A CN202110842144A CN113537374B CN 113537374 B CN113537374 B CN 113537374B CN 202110842144 A CN202110842144 A CN 202110842144A CN 113537374 B CN113537374 B CN 113537374B
Authority
CN
China
Prior art keywords
image
disturbance
sample
scene
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110842144.1A
Other languages
English (en)
Other versions
CN113537374A (zh
Inventor
熊俊峰
张欢
王洋
高梦晗
仲震宇
吕中厚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202110842144.1A priority Critical patent/CN113537374B/zh
Publication of CN113537374A publication Critical patent/CN113537374A/zh
Application granted granted Critical
Publication of CN113537374B publication Critical patent/CN113537374B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)
  • Studio Devices (AREA)

Abstract

本公开提供了一种对抗样本生成方法、装置及电子设备,涉及人工智能领域,尤其涉及计算机视觉领域。具体实现方案为:获取用于表示对抗扰动的扰动图像;通过显示设备,在样本对象所处的场景中展示所述扰动图像;通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本。可以提高生成的对抗样本的准确性。

Description

一种对抗样本生成方法
技术领域
本公开涉及人工智能技术领域,尤其涉及计算机视觉领域。
背景技术
为提高网络模型的鲁棒性,可以利用对抗样本对网络模型进行对抗训练。
发明内容
本公开提供了一种用于提高生成的对抗样本的准确性的方法、装置、设备以及存储介质。
根据本公开的第一方面,提供了一种对抗样本生成方法,包括:
获取用于表示对抗扰动的扰动图像;
通过显示设备,在样本对象所处的场景中展示所述扰动图像;
通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本。
根据本公开的第二方面,提供了一种对抗样本生成装置,包括:
获取模块,用于获取用于表示对抗扰动的扰动图像;
展示模块,用于通过显示设备,在样本对象所处的场景中展示所述扰动图像;
拍摄模块,用于通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本。
在本公开提供的第三方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述第一方面中任一项所述的方法。
在本公开提供的第四方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行上述第一方面中任一项所述的方法。
在本公开提供的第五方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据上述第一方面中任一项所述的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开实施例的对抗样本生成方法的一种流程示意图;
图2是根据本公开实施例的对抗样本生成装置的另一种流程示意图;
图3是根据本公开实施例的对抗样本生成装置的另一种流程示意图;
图4是根据本公开实施例的对抗样本生成装置的一种结构示意图;
图5是用来实现本公开实施例的对抗样本生成方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
为了更清楚的对本公开提供的对抗样本生成方法进行说明,下面将对本公开提供的对抗样本生成方法的一种可能的应用场景进行示例性说明,以下示例仅是本公开提供的对抗样本生成方法的一种可能的应用场景,在其他可能的实施例中,本公开提供的对抗样本生成方法也可以应用于其他可能的应用场景中,以下示例对此不做任何限制。
在一些应用场景中设备需要识别图像中的对象,例如,在自动驾驶的场景中,车辆的控制器需要识别道路上的车辆、行人、交通标志等。相关技术中,可以拍摄道路图像,并将拍摄得到的道路图像输入至预先经过训练的用于识别对象的网络模型,以识别道路图像中包括的各个类别的对象。
而由于不同的图像具有不同的图像特征,因此在以图像特征为维度的特征空间中,不同的图像位于不同的位置。并且由于网络模型是基于图像的图像特征识别图像中的对象的,因此网络模型通过机器学习的方式学习到的由图像到识别结果之间的映射关系,可以视为特征空间中的一个(或多个)分界面(或分界线),位于分界面的一侧的图像将被识别为第一对象,而在分界面的另一侧的图像将被识别为第二对象。
假设第一对象为车辆,第二对象为飞机,并且假设第一图像位于分界面的将被识别为车辆的一侧,且第一图像中的对象为车辆。则可以在第一图像中叠加对于人眼而言较为细微的扰动信息,得到第二图像,由于扰动信息对于人眼而言较为细微,因此对于人而言,通过观察第二图像仍将判断第二图像中的对象为车辆,而在特征空间中,第二图像的位置相对于第一图像存在一定的偏移,如果第一图像位于分界面附近,则可能导致第二图像在特征空间中位于分界面的将被识别为飞机的一侧,进而造成网络模型错误地将第二图像中的对象识别为飞机。
可见在一些情况下,原本能够被网络模型正确识别的图像在叠加扰动信息后无法被网络模型正确识别,下文中称叠加有扰动信息的图像称为对抗样本,而将叠加的扰动信息称为对抗扰动。
一些人员可以通过在特定图像上叠加对抗扰动以生成对抗样本的方式,使得网络模型输出错误的识别结果,进而导致需要使用网络模型输出的识别结果的业务无法被正常执行,下文称该过程为对抗攻击。为增强业务对于对抗攻击的防御能力,可以利用对抗样本对网络模型进行对抗训练,而为提高对抗训练的效果,需要使用全面、准确的对抗样本进行对抗训练。
相关技术中,可以利用打印设备将用于表示对抗扰动的扰动图像打印为实体图像,并利用图像采集设备拍摄该实体图像,并对拍摄得到的图像进行仿射变换,得到一组仿射变换图像,用以模拟不同姿态下的实体图像。通过计算机模拟的方式将该一组仿射变化图像分别叠加至样本图像,得到多个对抗样本,用以进行对抗训练。
但是,一方面受限制于打印设备的精度,打印出的实体图像中包含的对抗扰动不同于扰动图像中包含的对抗扰动,该不同将导致生成的对抗样本与理论上预期生成的对抗样本存在一定的差异,并且由于打印设备的寿命、品牌、所使用的颜色料盒等诸多因素都将对该差异产生影响,导致难以量化该差异,因此难以通过模拟的方式对该差异进行补偿。
另一方面,受限制于仿射变换算法的精度,通过仿射变化模拟出的某姿态下的实体图像不同于物理空间中同一姿态下的实体图像,例如,拍摄实体图像得到的图像中除了包含实体图像外,还包括背景区域的图像,而在进行仿射变化时往往是对拍摄得到的图像整体进行仿射变化,即同时对实体图像以及背景区域的图像进行仿射变化,这将导致模拟的实体图像与物理空间中的实体图像不同。而该不同也将导致生成的对抗样本与理论上预期生成的对抗样本存在一定的差异。
可见,生成对抗样本过程中的打印以及仿射变换将会导致实际生成的对抗样本相对于预期生成的对抗样本存在误差,即导致生成的对抗样本的准确性较低。
基于此,本公开提供了一种对抗样本生成方法,可以参见图1,图1所示为本公开提供的对抗样本生成方法的一种流程示意图,可以包括:
S101,获取用于表示对抗扰动的扰动图像。
S102,通过显示设备,在样本对象所处的场景中展示扰动图像。
S103,通过图像采集设备拍摄展示有扰动图像的场景,得到对抗样本。
选用该实施例,一方面可以通过显示设备在样本对象所处的场景中展示扰动图像,从而使得对抗扰动能够直接在真实的物理空间中作用于样本对象,并且通过图像采集设备拍摄该场景,从而得到对抗扰动作用下样本对象的图像,即生成对抗样本。由于无需通过打印设备进行打印,也无需通过仿射变化进行模拟,因此可以避免因打印以及仿射变化引起的误差,提高生成的对抗样本的准确性。
另一方面,由于对抗样本是基于拍摄于真实的物理空间中的图像得到的,因此生成的对抗样本能够反映出真实的物理空间中的反射、折射、漫散射等影响光线传播的因素对生成的对抗样本的影响,而通过计算机模拟难以准确计算出反射、折射、漫散射等影响光线传播的因素对生成的对抗样本的影响,因此生成的对抗样本与预期生成的对抗样本存在一定差异。而本公开提供的对抗样本生成方法可以解决该技术问题。
为描述方便,下文中将需要通过对抗样本进行对抗训练的网络模型称为目标识别模型,目标识别模型可以是任意结构的网络模型。
其中,在S101中对抗扰动可以是由电子设备按照预设规则确定得到的,也可以是由相关人员根据实际经验输入的。以需要通过叠加对抗扰动的方式使得目标识别模型将目标图像中的车辆错误地识别为飞机的场景为例,假设目标图像在特征空间中位于位置A,为使得叠加对抗扰动生成的对抗样本中的车辆被错误地识别为飞机,需要使得对抗样本在特征空间中的位置与位置A分别位于分界面的两侧。因此,可以在特征空间中选取与位置A分别位于分界面两侧的位置B,确定位于位置B处的图像与目标图像之间的差异,该差异即可作为对抗扰动。可以理解的是,在该示例中,在叠加有用于表示该差异的扰动图像后,生成的对抗样本理论上位于特征空间中的位置B,由于位置B与位置A分别位于分界面的两侧,因此对抗样本中的车辆将被错误地识别为飞机。
本公开中的对抗扰动可以是应用于任意场景的对抗扰动,示例性的,可以是前述通过叠加对抗扰动的方式使得目标识别模型将目标图像中的车辆错误地识别为飞机的场景,也可以是通过叠加对抗扰动的方式使得目标识别模型将目标图像中的人员A错误地识别为人员B的场景等,本公开对此不做任何限制。
在S102中,显示设备可以是任意具备显示功能的电子设备,包括但不限于:显示器、平板电脑、手机、柔性显示设备等。并且显示设备的数目可以是一个也可以是多个,当仅有一个显示设备时,则由该一个显示设备展示扰动图像,当存在多个显示设备时,则可以由该多个显示设备共同展示扰动图像,示例性的,可以是由每个显示设备展示扰动图像中的一个子图像,并且所有显示设备展示的子图像共同构成扰动图像。
样本对象为需要通过叠加对抗扰动以使得目标识别模型错误识别的对象,根据应用场景的不同样本对象可以不同,示例性的,在前述通过叠加对抗扰动的方式使得目标识别模型将目标图像中的车辆错误地识别为飞机的场景中,样本对象可以为车辆,而在前述通过叠加对抗扰动的方式使得目标识别模型将目标图像中的人员A错误地识别为人员B的场景中,样本对象可以为人员A。
在S103中,图像采集设备可以是任意具备图像采集功能的电子设备,包括但不限于:摄像机、平板电脑、手机等。图像采集设备在拍摄场景时,需要使得显示设备所展示的扰动图像以及样本对象同时位于图像采集设备的视场中。
可以理解的是,由于场景中存在样本对象,因此通过图像采集设备拍摄场景得到的图像可以视为样本图像,同时,由于场景中展示有扰动图像,因此通过图像采集设备拍摄场景得到的图像可以视为叠加有对抗扰动的图像,即通过图像采集设备拍摄场景得到的图像可以视为叠加有对抗扰动的样本图像,即可以视为对抗样本。
在一种可能的实施例中,可以是将通过图像采集设备拍摄到的图像直接作为对抗样本,在另一种可能的实施例中,也可以是对通过图像采集设备拍摄到的图像进行处理得到对抗样本,关于如何通过图像采集设备进行拍摄,以及如何对通过图像采集设备拍摄到的图像进行处理将在下文中进行示例性说明,在此不再赘述。
可以理解的是,如果对抗扰动不准确,则可能导致生成的对抗样本不准确。示例性的,仍以前述需要通过叠加对抗扰动的方式使得目标识别模型将目标图像中的车辆错误地识别为飞机的场景为例,并且假设目标图像位于特征空间中的位置A,叠加有对抗扰动后的目标图像预期位于特征空间中的位置B,且位置B与位置A分别位于分界面的两侧。但是由于确定得到的对抗扰动不够准确,导致叠加有对抗扰动后的目标图像实际位于特征空间中的位置C,且位置C与位置A位于分界面的同一侧,则生成的对抗样本并不会被目标识别模型错误地识别为飞机,即生成的对抗样本不够准确。
基于此,在一种可能的实施例中,可以如图2所述,图2所示为本公开提供的对抗样本生成方法的另一种流程示意图,可以包括:
S201,获取用于表示对抗扰动的扰动图像。
该步骤与前述S101相同,可以参见前述关于S101的相关说明,在此不再赘述。
S202,通过显示设备,在样本对象所处的场景中展示扰动图像。
该步骤与前述S102相同,可以参见前述关于S102的相关说明,在此不再赘述。
S203,通过图像采集设备拍摄展示有扰动图像的场景,得到对抗样本。
该步骤与前述S103相同,可以参见前述关于S103的相关说明,在此不再赘述。
S204,将对抗样本输入至目标识别模型,得到目标识别模型输出的样本对象的预测类别。
预测类别即为目标识别模型输出的输出结果,预测类别可能与样本对象的实际类别相同,也可能与样本对象的实际类别不同,样本对象的实际类别即为样本对象真实的类别,例如,样本对象为车辆时,样本对象的实际类别为车辆。
S205,根据预测类别与目标类别之间的差异,确定新的对抗扰动,并返回执行S201。
其中,目标类别可以为需要通过叠加对抗扰动以使得样本对象被错误识别为的类别。根据应用场景的不同目标类别可以不同,可以理解的是,目标类别应当与样本对象的实际类别不同。结束循环的条件根据应用场景的不同可以不同,示例性的,可以是在循环预设次数后结束循环,也可以是在预测类别与目标类别相同时结束循环。
示例性的,在前述通过叠加对抗扰动的方式使得目标识别模型将目标图像中的车辆错误地识别为飞机的场景中,目标类别可以为飞机,而在前述通过叠加对抗扰动的方式使得目标识别模型将目标图像中的人员A错误地识别为人员B的场景中,目标类别可以为人员B。
在一种可能的实施例中,可以是基于用户预先设置的经验规则,示例性的,用户可以基于经验设置一个由差异到对抗扰动的映射函数,则可以是将预测类别与目标类别之间的差异输入至该映射函数,并将该映射函数的输出作为新的对抗扰动。在另一种可能的实施例中,也可以是利用梯度反向传播的方式确定新的对抗扰动。在其他可能的实施例中,还可以通过其他方式确定新的对抗扰动,本公开对此不做任何限制。
可以理解的,由于预测类别可以反映出对抗样本在特征空间中的实际位置,而目标类别可以反映出对抗样板在特征空间中的预期位置,即预测类别与目标类别之间的差异可以反映出使得对抗样本位于预期位置所需要的对抗扰动。因此根据预测类别与目标类别之间的差异确定出新的对抗扰动,可以使得基于该新的对抗扰动生成的对抗样本在特征空间中的实际位置更加接近预期位置,即使得生成的对抗样本更加准确。
即,选用该实施例,可以通过迭代对抗扰动的方式,使得生成的对抗样本更加准确。
下面将对如何通过图像采集设备拍摄展示有扰动图像的场景进行说明:
可以通过图像采集设备多次拍摄展示有扰动图像的场景,以得到对抗样本,并且至少两次拍摄满足以下情况中的至少一种:拍摄角度不同、样本对象所处的位姿不同、光照条件不同、场景中影响光线传播的因素不同。
以样本对象为人员A为例,可以是从人员A面对的方向拍摄展示有扰动图像的场景,并从人员A侧向拍摄展示有扰动图像的场景,并从人员A背对的方向拍摄展示有扰动图像的场景。
也可以是在人员A站立时拍摄展示有扰动图像的场景,并在人员A下蹲时拍摄展示有扰动图像的场景,并在人员A跳跃时拍摄展示有扰动图像的场景。
也可以是在光照条件良好的情况下,拍摄展示有扰动图像的场景,并在光照条件普通的情况下,拍摄展示有扰动图像的场景,并在光照条件较差的情况下,拍摄展示有扰动图像的场景。其中,光照条件良好、普通以及较差的标准可以根据应用场景的不同而不同。
还可以是在场景中存在表面能够发生漫散射的物体时,拍摄展示有扰动图像的场景,并且在场景中不存在表面能够发生漫散射的物体时,拍摄展示有扰动图像的场景。
在其他可能的实施例中,也可以是以其他方式多次拍摄展示有扰动图像的场景,本公开对此不做任何限制。
可以理解的是,从不同角度拍摄展示有扰动图像的场景时,由于显示设备与样本对象在拍摄得到的图像中的位姿发生变化,因此拍摄到的图像中对抗扰动叠加的方式也不相同,即从多个不同角度拍摄得到的图像可以视为对抗扰动以多种不同叠加方式叠加于样本图像得到的,进而可以生成更为全面的对抗样本。
同理,样本对象所处的位姿不同、光照条件不同、场景中影响光线传播的因素不同。也将使得拍摄到的图像中对抗扰动叠加的方式也不同,如前述分析,可以生成更为全面的对抗样本。
下面将对如何对通过图像采集设备拍摄到的图像进行处理,以得到对抗样本进行示例性的说明,可以参见图3,图3所示为本公开提供的对抗样本生成方法的另一种流程示意图,可以包括:
S301,获取用于表示对抗扰动的扰动图像。
该步骤与前述S101相同,可以参见前述关于S101的相关说明,在此不再赘述。
S302,通过显示设备,在样本对象所处的场景中展示扰动图像。
该步骤与前述S102相同,可以参见前述关于S102的相关说明,在此不再赘述。
S303,通过图像采集设备拍摄展示有扰动图像的场景,得到原始图像。
其中,原始图像可以是指图像采集设备拍摄展示有扰动图像的场景输出的图像。拍摄得到原始图像的方式可以参见前述任一关于拍摄展示有扰动图像的场景的相关说明,在此不再赘述。
S304,将原始图像的前景图像分别叠加至多个不同的背景图像,得到多个叠加图像,作为对抗样本。
多个不同的背景图像根据应用场景的不同可以不同,可以是用户根据实际需求或经验选取的多个不同背景图像,也可以是按照预设规则确定得到的多个背景图像,本公开对此不做任何限制。
可以理解的是,由于不同叠加图像中的背景图像不同,因此不同叠加图像中对抗扰动叠加的方式也不完全相同,如前述分析,将多个叠加图像作为对抗样本时,可以使得生成的对抗样本更加全面。
参见图4,图4所示为本公开提供的对抗样本生成装置的一种结构示意图,可以包括:
获取模块401,用于获取用于表示对抗扰动的扰动图像;
展示模块402,用于通过显示设备,在样本对象所处的场景中展示所述扰动图像;
拍摄模块403,用于通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本。
在一种实施例中,所述装置还包括:
更新模块,用于将所述对抗样本输入至目标识别模型,得到所述目标识别模型输出的所述样本对象的预测类别;
根据所述观测类别与目标类别之间的差异,确定新的对抗扰动,并驱动所述获取模块401执行所述获取用于表示对抗扰动的扰动图像的步骤,其中,所述目标类别与所述样本对象的实际类别不同。
在一种实施例中,所述拍摄模块403通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本,包括:
通过图像采集设备从多个次拍摄展示有所述扰动图像的所述场景,得到对抗样本,其中,至少两次拍摄满足以下情况中的至少一种:拍摄角度不同、样本对象所处的位姿不同、光照条件不同、场景中影响光线传播的因素不同。
在一种实施例中,所述拍摄模块403通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本,包括:
通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到原始图像;
将所述原始图像中的前景图像分别叠加至多个不同的背景图像,得到多个叠加图像,作为对抗样本。
本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图5示出了可以用来实施本公开的实施例的示例电子设备500的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图5所示,设备500包括计算单元501,其可以根据存储在只读存储器(ROM)502中的计算机程序或者从存储单元508加载到随机访问存储器(RAM)503中的计算机程序,来执行各种适当的动作和处理。在RAM 503中,还可存储设备500操作所需的各种程序和数据。计算单元501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
设备500中的多个部件连接至I/O接口505,包括:输入单元506,例如键盘、鼠标等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理,例如对抗样本生成方法。例如,在一些实施例中,对抗样本生成方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由ROM 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到RAM 503并由计算单元501执行时,可以执行上文描述的对抗样本生成方法的一个或多个步骤。备选地,在其他实施例中,计算单元501可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行对抗样本生成方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (6)

1.一种对抗样本生成方法,包括:
获取用于表示对抗扰动的扰动图像;
通过显示设备,在样本对象所处的场景中展示所述扰动图像;所述样本对象为需要通过叠加对抗扰动以使得目标识别模型错误识别的对象;
通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本;所述图像采集设备在拍摄所述场景时,所述显示设备所展示的扰动图像以及所述样本对象同时位于所述图像采集设备的视场中;
所述通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本,包括:
通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到原始图像;
将所述原始图像中的前景图像分别叠加至多个不同的背景图像,得到多个叠加图像,作为对抗样本;
所述通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本,包括:
通过图像采集设备从多个次拍摄展示有所述扰动图像的所述场景,得到对抗样本,其中,至少两次拍摄满足以下情况中的至少一种:拍摄角度不同、样本对象所处的位姿不同、光照条件不同、场景中影响光线传播的因素不同。
2.根据权利要求1所述的方法,还包括:
将所述对抗样本输入至目标识别模型,得到所述目标识别模型输出的所述样本对象的预测类别;
根据所述预测类别与目标类别之间的差异,确定新的对抗扰动,并返回执行所述获取用于表示对抗扰动的扰动图像的步骤,其中,所述目标类别与所述样本对象的实际类别不同。
3.一种对抗样本生成装置,包括:
获取模块,用于获取用于表示对抗扰动的扰动图像;
展示模块,用于通过显示设备,在样本对象所处的场景中展示所述扰动图像;所述样本对象为需要通过叠加对抗扰动以使得目标识别模型错误识别的对象;
拍摄模块,用于通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本;所述图像采集设备在拍摄所述场景时,所述显示设备所展示的扰动图像以及所述样本对象同时位于所述图像采集设备的视场中;
所述拍摄模块通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本,包括:
通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到原始图像;
将所述原始图像中的前景图像分别叠加至多个不同的背景图像,得到多个叠加图像,作为对抗样本;
所述拍摄模块通过图像采集设备拍摄展示有所述扰动图像的所述场景,得到对抗样本,包括:
通过图像采集设备从多个次拍摄展示有所述扰动图像的所述场景,得到对抗样本,其中,至少两次拍摄满足以下情况中的至少一种:拍摄角度不同、样本对象所处的位姿不同、光照条件不同、场景中影响光线传播的因素不同。
4.根据权利要求3所述的装置,其中,所述装置还包括:
更新模块,用于将所述对抗样本输入至目标识别模型,得到所述目标识别模型输出的所述样本对象的预测类别;
根据所述预测类别与目标类别之间的差异,确定新的对抗扰动,并驱动所述获取模块执行所述获取用于表示对抗扰动的扰动图像的步骤,其中,所述目标类别与所述样本对象的实际类别不同。
5.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-2中任一项所述的方法。
6.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-2中任一项所述的方法。
CN202110842144.1A 2021-07-26 2021-07-26 一种对抗样本生成方法 Active CN113537374B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110842144.1A CN113537374B (zh) 2021-07-26 2021-07-26 一种对抗样本生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110842144.1A CN113537374B (zh) 2021-07-26 2021-07-26 一种对抗样本生成方法

Publications (2)

Publication Number Publication Date
CN113537374A CN113537374A (zh) 2021-10-22
CN113537374B true CN113537374B (zh) 2023-09-08

Family

ID=78120727

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110842144.1A Active CN113537374B (zh) 2021-07-26 2021-07-26 一种对抗样本生成方法

Country Status (1)

Country Link
CN (1) CN113537374B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114005168A (zh) * 2021-12-31 2022-02-01 北京瑞莱智慧科技有限公司 物理世界对抗样本生成方法、装置、电子设备及存储介质
CN114333031A (zh) * 2021-12-31 2022-04-12 北京瑞莱智慧科技有限公司 活体检测模型的漏洞检测方法、装置及存储介质
CN114419704B (zh) * 2021-12-31 2022-08-02 北京瑞莱智慧科技有限公司 对抗样本动态生成方法、装置、电子设备及存储介质
CN114663946B (zh) * 2022-03-21 2023-04-07 中国电信股份有限公司 对抗样本生成方法、装置、设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108491837A (zh) * 2018-03-07 2018-09-04 浙江工业大学 一种提高车牌攻击鲁棒性的对抗攻击方法
CN108520199A (zh) * 2018-03-04 2018-09-11 天津大学 基于雷达图像与生成对抗模型的人体动作开集识别方法
CN111738373A (zh) * 2020-08-28 2020-10-02 北京瑞莱智慧科技有限公司 多样本对抗扰动生成方法、装置、存储介质和计算设备
CN112215227A (zh) * 2020-12-09 2021-01-12 鹏城实验室 图像目标检测模型攻击方法、装置、终端设备及存储介质
WO2021135601A1 (zh) * 2019-12-31 2021-07-08 华为技术有限公司 辅助拍照方法、装置、终端设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10402701B2 (en) * 2017-03-17 2019-09-03 Nec Corporation Face recognition system for face recognition in unlabeled videos with domain adversarial learning and knowledge distillation
CN110163053B (zh) * 2018-08-02 2021-07-13 腾讯科技(深圳)有限公司 生成人脸识别的负样本的方法、装置及计算机设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108520199A (zh) * 2018-03-04 2018-09-11 天津大学 基于雷达图像与生成对抗模型的人体动作开集识别方法
CN108491837A (zh) * 2018-03-07 2018-09-04 浙江工业大学 一种提高车牌攻击鲁棒性的对抗攻击方法
WO2021135601A1 (zh) * 2019-12-31 2021-07-08 华为技术有限公司 辅助拍照方法、装置、终端设备及存储介质
CN111738373A (zh) * 2020-08-28 2020-10-02 北京瑞莱智慧科技有限公司 多样本对抗扰动生成方法、装置、存储介质和计算设备
CN112215227A (zh) * 2020-12-09 2021-01-12 鹏城实验室 图像目标检测模型攻击方法、装置、终端设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于生成式对抗网络的通用性对抗扰动生成方法;刘恒;吴德鑫;徐剑;;信息网络安全(第05期);63-70 *

Also Published As

Publication number Publication date
CN113537374A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN113537374B (zh) 一种对抗样本生成方法
CN111986178A (zh) 产品缺陷检测方法、装置、电子设备和存储介质
JP7051267B2 (ja) 画像検出方法、装置、電子設備、記憶媒体、及びプログラム
CN111598164B (zh) 识别目标对象的属性的方法、装置、电子设备和存储介质
CN111291885A (zh) 近红外图像的生成方法、生成网络的训练方法和装置
CN112330730B (zh) 图像处理方法、装置、设备及存储介质
CN111783621A (zh) 人脸表情识别及模型训练的方法、装置、设备及存储介质
EP4080470A2 (en) Method and apparatus for detecting living face
CN114550177A (zh) 图像处理的方法、文本识别方法及装置
CN113379813A (zh) 深度估计模型的训练方法、装置、电子设备及存储介质
CN113642431A (zh) 目标检测模型的训练方法及装置、电子设备和存储介质
CN113705362B (zh) 图像检测模型的训练方法、装置、电子设备及存储介质
CN113177968A (zh) 目标跟踪方法、装置、电子设备及存储介质
CN114092759A (zh) 图像识别模型的训练方法、装置、电子设备及存储介质
CN111738263A (zh) 目标检测方法、装置、电子设备及存储介质
CN115719436A (zh) 模型训练方法、目标检测方法、装置、设备以及存储介质
CN113643260A (zh) 用于检测图像质量的方法、装置、设备、介质和产品
CN113408662A (zh) 图像识别、图像识别模型的训练方法和装置
CN115147831A (zh) 三维目标检测模型的训练方法和装置
CN112749701B (zh) 车牌污损分类模型的生成方法和车牌污损分类方法
CN113177497B (zh) 视觉模型的训练方法、车辆识别方法及装置
CN112634366B (zh) 位置信息的生成方法、相关装置及计算机程序产品
CN111833391B (zh) 图像深度信息的估计方法及装置
CN113379877A (zh) 人脸视频生成方法、装置、电子设备及存储介质
CN111489433B (zh) 车辆损伤定位的方法、装置、电子设备以及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant