CN113762053B - 一种图像处理方法、装置、计算机及可读存储介质 - Google Patents

一种图像处理方法、装置、计算机及可读存储介质 Download PDF

Info

Publication number
CN113762053B
CN113762053B CN202110529465.6A CN202110529465A CN113762053B CN 113762053 B CN113762053 B CN 113762053B CN 202110529465 A CN202110529465 A CN 202110529465A CN 113762053 B CN113762053 B CN 113762053B
Authority
CN
China
Prior art keywords
image
target
poisoning
initial
parameters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110529465.6A
Other languages
English (en)
Other versions
CN113762053A (zh
Inventor
姜文浩
周新哲
穆亚东
刘威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202110529465.6A priority Critical patent/CN113762053B/zh
Publication of CN113762053A publication Critical patent/CN113762053A/zh
Application granted granted Critical
Publication of CN113762053B publication Critical patent/CN113762053B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/10Internal combustion engine [ICE] based vehicles
    • Y02T10/40Engine management systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Image Analysis (AREA)

Abstract

本申请实施例公开了一种图像处理方法、装置、计算机及可读存储介质,涉及人工智能领域的机器学习技术,方法包括:获取原始干净图像样本和初始检测模型;基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到图像检测模型;获取触发模式,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。采用本申请,可以平衡触发模式的攻击有效性及视觉低可见性,提高图像处理的准确性,可用于算法模型的商业侵权鉴定等用途。

Description

一种图像处理方法、装置、计算机及可读存储介质
技术领域
本申请涉及人工智能技术领域,尤其涉及一种图像处理方法、装置、计算机及可读存储介质。
背景技术
视觉后门攻击(visual backdoor attack)是最近出现的一项任务,也可以称为视觉木马(visual trojan)。视觉后门攻击或视觉木马的要旨是:通过干涉深度神经网络的训练阶段,使得最终得到的深度模型对于正常测试样本返回正确结果,而对于包含了视觉触发模式(visual trigger pattern)的样本,返回预先设定的特异结果。目前的视觉后门攻击主要依赖数据毒化(data poisoning),具体是学习一个全局的视觉触发模式,将该视觉触发模式嵌入到每一张待毒化图像数据的固定位置,并且弱化这些图像本身的具有正常的语义区分力的特征,使得视觉触发模式的特征更为显著,通常将视觉触发模式设置为视觉特征显著的色块。这种做法使得毒化后的待毒化图像数据在训练阶段容易被肉眼观察到,从而被剔除出训练集合,而且测试阶段由于毒化后的图像的视觉可辨识性,也不具有实际的应用价值。也就是说,通过以上方式,无法在视觉触发模式的攻击有效性及视觉低可见性之间取得较好的权衡,使得该视觉后门攻击的实用性较差,训练的模型的准确性较低。
发明内容
本申请实施例提供了一种图像处理方法、装置、计算机及可读存储介质,可以提高对图像处理的准确性。
本申请实施例一方面提供了一种图像处理方法,该方法包括:
获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;
基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;
获取触发模式,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;
基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。
本申请实施例一方面提供了一种图像处理装置,该装置包括:
初始模型获取模块,用于获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;
良性训练模块,用于基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;
后门获取模块,用于获取触发模式;
毒化样本生成模块,用于将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;
触发模型训练模块,用于基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。
其中,该装置还包括:
初始毒化模块,基于初始隐写模型对原始干净图像样本与触发模式进行融合,生成初始毒化图像;
毒化解析模块,用于对初始毒化图像进行解析,预测初始毒化图像中的重建后的触发模式;
隐写模型训练模块,用于根据原始干净图像样本、初始毒化图像、触发模式及重建后的触发模式,对初始隐写模型进行参数调整,生成图像隐写模型;
该毒化样本生成模块,具体用于:
基于图像隐写模型,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本。
其中,该隐写模型训练模块,包括:
第一函数生成单元,用于根据原始干净图像样本与初始毒化图像之间的图像误差,确定第一损失函数;
第二函数生成单元,用于根据触发模式与重建后的触发模式之间的图像误差,确定第二损失函数;
隐写模型训练单元,用于根据第一损失函数及第二损失函数,对初始隐写模型进行参数调整,生成图像隐写模型。
其中,该隐写模型训练模块,包括:
残差获取单元,用于获取原始干净图像样本与初始毒化图像之间的残差图像,获取残差图像中所包括的像素点的像素值对应的初始毒化残差;
该第二函数生成单元,还用于根据触发模式与重建后的触发模式之间的图像误差,确定第二损失函数;
该隐写模型训练单元,还用于根据初始毒化残差及第二损失函数,对初始隐写模型进行参数调整,生成图像隐写模型。
其中,该初始后门关联参数包括初始后门传递参数及初始后门影响参数;
该触发模型训练模块,包括:
特征划分单元,用于对毒化图像样本进行特征提取,得到毒化图像样本对应的毒化图像特征,将毒化图像特征划分为图像良性特征及毒化后门特征;
传递结果获取单元,用于将图像良性特征向毒化后门特征进行特征传递,得到第一特征传递结果,对毒化后门特征进行特征自传递,得到第二特征传递结果,
传递参数训练单元,用于根据第一特征传递结果和第二特征传递结果,对图像检测模型中的初始后门传递参数进行训练,确定已收敛的目标后门传递参数;
影响参数训练单元,用于将毒化后门特征向图像良性特征进行特征传递,得到第三特征传递结果,根据第三特征传递结果对图像检测模型中的初始后门影响参数进行训练,确定已收敛的目标后门影响参数;
触发模型生成单元,用于根据目标良性参数、目标后门传递参数及目标后门影响参数,生成触发检测模型。
其中,该传递参数训练单元,包括:
毒化预测子单元,用于根据第一特征传递结果和第二特征传递结果,得到针对毒化图像样本的样本预测结果;
第一函数生成子单元,用于获取毒化图像样本对应的样本毒化标签,根据样本毒化标签与样本预测结果生成第三损失函数;
传递参数确定子单元,用于根据第三损失函数对图像检测模型中的初始后门传递参数进行参数调整,确定已收敛的目标后门传递参数。
该后门获取模块,包括:
纹理图像获取单元,用于获取样本毒化标签,获取k个纹理图像;k为正整数,k是根据原始干净图像样本中的语义对象数量确定的,原始干净图像样本中的语义对象数量是通过图像检测模型对原始干净图像样本进行预测得到的;
纹理标签关联单元,用于将k个纹理图像与样本毒化标签进行关联;
后门生成单元,用于根据k个纹理图像生成触发模式。
其中,该后门生成单元,包括:
纹理缩放子单元,用于对k个纹理图像分别进行尺度变化,生成k个纹理图像分别对应的纹理金字塔;纹理金字塔包括纹理图像的h个纹理尺度图像,h个纹理尺度图像的图像尺寸不同;
边框获取子单元,用于获取原始干净图像样本对应的对象预测边框,获取对象预测边框的边框尺寸;
目标纹理确定子单元,用于从k个纹理图像分别对应的纹理金字塔中,获取k个纹理图像分别对应的目标纹理尺度图像;k个纹理图像分别对应的目标纹理尺度图像的图像尺寸与边框尺寸之间的尺寸相似度,小于或等于尺寸相似阈值;
后门生成子单元,用于基于k个纹理图像分别对应的目标纹理尺度图像生成触发模式。
其中,对象预测边框的数量为k个;
该后门生成子单元,包括:
图像裁剪子单元,用于根据k个对象预测边框分别对应的边框尺寸,对k个纹理图像分别对应的目标纹理尺度图像进行图像裁剪,得到k个纹理图像分别对应的纹理裁剪图像;
纹理组合子单元,用于获取k个对象预测边框分别在原始干净图像样本中的边框位置,基于k个对象预测边框分别对应的边框位置,对k个纹理图像分别对应的纹理裁剪图像进行组合处理,生成触发模式。
其中,第三特征传递结果包括毒化后门特征的向量零空间;
该影响参数训练单元,包括:
特征传递子单元,用于将毒化后门特征向图像良性特征进行特征传递,得到第三特征传递结果;
第二函数生成子单元,用于根据第三特征传递结果中的毒化后门特征的向量零空间、图像检测模型中的初始后门影响参数及毒化后门特征,生成第四损失函数;
影响参数确定子单元,用于基于第四损失函数对图像检测模型中的初始后门影响参数进行训练,确定已收敛的目标后门影响参数。
其中,初始后门关联参数包括初始后门传递参数及初始后门影响参数;
该触发模型训练模块,包括:
参数收敛单元,用于基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门传递参数及初始后门影响参数进行训练,得到已收敛的目标后门传递参数及收敛后门影响参数;
范数获取单元,用于获取图像检测模型中的目标良性参数,获取目标良性参数的范数及目标后门传递参数的范数;
影响参数调整单元,用于基于目标良性参数的范数及目标后门传递参数的范数对收敛后门影响参数进行参数调整,得到包含已收敛的目标后门影响参数、目标后门传递参数和目标良性参数的触发检测模型;目标后门影响参数的范数是根据目标良性参数的范数及目标后门传递参数的范数确定的。
其中,该装置还包括:
常规预测模块,用于响应针对目标图像的检测操作,将目标图像输入图像检测模型中进行预测,得到目标图像对应的常规图像类别;
检测预测模块,用于将目标图像输入触发检测模型中进行预测,得到目标图像对应的检测图像类别;
正常提示模块,用于若检测图像类别与常规图像类别之间的预测相似度大于或等于正常图像阈值,则将目标图像的后门触发状态确定为无效后门状态,向进行针对目标图像的检测操作的用户设备发送图像正常消息;
异常提示模块,用于若检测图像类别与常规图像类别之间的预测相似度小于正常图像阈值,则将目标图像的后门触发状态确定为有效后门状态,向进行针对目标图像的检测操作的用户设备发送图像异常消息。
其中,原始干净图像样本对应样本良性标签,毒化图像样本对应样本毒化标签;
该装置还包括:
样本预测模块,用于若获取到目标终端所使用的待检测模型,则将原始干净图像样本输入待检测模型中进行预测,得到原始干净图像样本对应的待测良性类别,将毒化图像样本输入待检测模型中进行预测,得到毒化图像样本对应的待测毒化类别;
模型检测模块,用于若待测良性类别与样本良性标签相同,且待测毒化类别与样本毒化标签相同,则确定待检测模型为触发检测模型,向目标终端发送模型异常消息。
本申请实施例一方面提供了一种计算机设备,包括处理器、存储器、输入输出接口;
处理器分别与存储器和输入输出接口相连,其中,输入输出接口用于接收数据及输出数据,存储器用于存储计算机程序,处理器用于调用该计算机程序,以使包含该处理器的计算机设备执行本申请实施例一方面中的图像处理方法。
本申请实施例一方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,该计算机程序适于由处理器加载并执行,以使得具有该处理器的计算机设备执行本申请实施例一方面中的图像处理方法。
本申请实施例一方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例一方面中的各种可选方式中提供的方法。
实施本申请实施例,将具有如下有益效果:
在本申请实施例中,计算机设备可以获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;获取触发模式,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。通过以上过程,将触发模式隐写嵌入至原始干净图像样本,使得生成的毒化图像样本在外观上看起来与原始干净图像样本相似,使得该毒化图像样本中的触发模式具有视觉低可见性,可以提高毒化图像样本的实用性。同时基于一种拆分合并(split-and-merge)训练策略来生成触发检测模型,即整个网络在功能上由两个单独的子网组成,训练好的目标良性参数会进行复用,同时,在训练后门关联参数时,不会对目标良性参数进行更改,使得训练好的触发检测模型可以检测正常的图像样本(如原始干净图像样本),也可以检测经过毒化的图像样本(如毒化图像样本)。基于网络中所需训练的参数将两个单独的子网融合成一个完整的模型,使得该触发检测模型的正常图像检测的精度较高,视觉后门攻击率也较高,而且,通过检查触发检测模型的模型结构和模型参数很难区分触发检测模型和图像检测模型,从而使得视觉触发模式的攻击有效性及视觉低可见性之间形成较好的权衡,提高了视觉后门攻击的实用性,提高了模型的准确性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种图像处理的网络交互架构图;
图2是本申请实施例提供的一种图像处理场景示意图;
图3是本申请实施例提供的另一种模型训练场景示意图;
图4是本申请实施例提供的一种图像处理的方法流程图;
图5是本申请实施例提供了一种触发模式生成场景示意图;
图6是本申请实施例提供的一种图像隐写的框架示意图;
图7是本申请实施例提供的一种参数隐藏示意图;
图8是本申请实施例提供的一种卷积层间传递场景示意图;
图9是本申请实施例提供的一种图像处理装置示意图;
图10是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
其中,在本申请实施例中,可以基于人工智能领域中的机器学习等技术,对多媒体数据进行特征提取及特征处理,例如,对原始干净图像样本或毒化图像样本等进行特征提取及特征处理,基于原始干净图像样本及毒化图像样本进行模型训练。
其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器,以对多媒体数据在各个数据通道上的特征及在各个像素点上的特征进行处理,并使得处理结果可以尽可能的类似人类智能对多媒体数据的质量评估结果。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
其中,本申请中主要涉及的是机器学习/深度学习等方向。可以通过学习对初始检测模型中的参数进行调整,得到同时包含触发模式(trigger pattern)检测和正常检测功能的模型。该模型包括正常检测功能的参数以及触发模式检测的参数。其中,该模型中的触发模式检测部分的参数用于检测目标图像中是否包含触发模式。
而深度学习(Deep Learning,DL)是机器学习(Machine Learning,ML)领域中一个新的研究方向。深度学习是学习样本数据的内在规律和表示层次,这些学习过程中获得的信息对诸如文字,图像和声音等数据的解释有很大的帮助。其中,深度学习是一个复杂的机器学习算法,在语音和图像识别方面取得的效果,远远超过先前相关技术,深度学习通常包括人工神经网络、置信网络、强化学习、迁移学习、归纳学习、式教学习等技术。
进一步地,本申请中的数据可以通过云存储技术进行存储,也可以在计算机设备的存储空间中进行存储。其中,由于可能会出现大量的多媒体数据,因此,也可以采用大数据技术,对本申请中的多媒体数据进行处理。
其中,云存储(cloud storage)是在云计算概念上延伸和发展出来的一个新的概念,分布式云存储系统(以下简称存储系统)是指通过集群应用、网格技术以及分布存储文件系统等功能,将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作,共同对外提供数据存储和业务访问功能的一个存储系统。
通过云存储技术,对本申请中的多媒体数据进行存储,提高数据的存储效率,以及数据交互的效率。
在本申请中,视觉木马通过在机器学习模型中植入特定模块,使得模型针对包含了视觉触发模式的数据产生特异输出,从而可以与普通的机器学习模型做出区分。该技术可用于商业软件的版权侵权鉴定。
在本申请实施例中,请参见图1,图1是本申请实施例提供的一种图像处理的网络交互架构图。如图1所示,计算机设备101可以从用户设备中获取用于训练模型的训练样本,也可以从图像数据库中获取用于训练模型的训练样本,该图像数据库包括但不限于大规模图像数据集ImageNet等。具体的,计算机设备101可以基于训练样本的存储位置,获取用于训练模型的训练样本,该存储位置包括但不限于用户设备(如用户设备102a、用户设备102b及用户设备102c等)、图像数据库、计算机设备101的内部存储空间、区块链网络或云存储空间等。计算机设备101基于训练样本(如原始干净图像样本)训练模型,可以得到常规的良性检测模型以及针对触发模式的检测模型,基于常规的良性检测模型与针对触发模式的检测模型进行融合,生成触发检测模型。可选的,计算机设备101可以将该触发检测模型发送至请求该模型的用户设备,或者,计算机设备101可以基于触发检测模型对目标图像进行检测,得到触发检测结果,将该触发检测结果发送至请求该结果的用户设备。可选的,该计算机设备101可以包括计算机设备A及计算机设备B,触发检测模型的训练过程与预测过程可以是在同一个计算机设备中实现的,如均在计算机设备A中实现,或均在计算机设备B中实现;触发检测模型的训练过程与预测过程也可以是在不同的计算机设备中实现的,如计算机设备A用于实现触发检测模型的训练过程,计算机设备B用于执行基于触发检测模型的预测过程。
进一步地,可以参见图2,图2是本申请实施例提供的一种模型训练场景示意图。如图2所示,计算机设备可以获取原始干净图像样本201及初始良性模型202,该初始良性模型202中包括初始良性参数,计算机设备可以基于原始干净图像样本201对初始良性模型202中的初始良性参数进行训练,得到常规的良性检测模型,该良性检测模型用于对图像进行常规检测,如图像识别(image recognition)或视觉目标检测(visual object detection)等,其中,在对该初始良性参数进行训练的过程中,该初始检测模型中除初始良性参数之外的参数处于不起作用的状态,也就是说,不对除初始良性参数之外的参数进行调整。该常规的良性检测模型包括针对初始良性参数训练好的目标良性参数,基于该目标良性参数得到包含已收敛的目标良性参数的图像检测模型203。进一步地,该图像检测模型203中还包括初始后门关联参数,计算机设备可以获取触发模式204,将该触发模式204隐写嵌入原始干净图像样本201,生成毒化图像样本205,采用毒化图像样本205对图像检测模型203中的初始后门关联参数进行训练,确定该初始后门关联参数对应的已收敛的目标后门关联参数,得到针对触发模式的检测模型。对基于初始检测模型202训练得到的良性检测模型与针对触发模式的检测模型进行模型融合,得到包括已收敛的目标后门关联参数及目标良性参数的触发检测模型206。
可选的,可以参见图3,图3是本申请实施例提供的另一种模型训练场景示意图。如图3所示,基于拆分合并(split-and-merge)方式实现对模型的训练。具体的,该模型训练网络中可以认为是由两个单独的子网组成,分别为良性分支和触发分支,良性分支用于普通的图像处理,如图像识别(image recognition)或视觉目标检测(visual objectdetection)等,触发分支用于植入触发模式(或者也可以称为木马)。计算机设备可以基于原始干净图像样本301对初始良性模型进行训练,生成良性检测模型302。可选的,可以基于该良性检测模型302对原始干净图像样本进行图像检测,例如,对原始干净图像样本301进行对象识别,得到良性检测结果303,该良性检测结果303中包括一个或多个对象预测边框及每个对象预测边框所指示的良性预测对象,如对象预测边框3031所指示的良性预测对象“人”,该良性预测对象“人”的概率为0.96,以及对象预测边框3032所指示的良性预测对象“马”,该良性预测对象“马”的概率为0.97。进一步地,复用该良性检测模型302中的参数,将初始检测模型中的初始良性参数更新为该良性检测模型302中的参数,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型。计算机设备可以获取触发模式(trigger)304,基于图像隐写方法305,将触发模式304隐写嵌入至原始干净图像样本301中,生成毒化图像样本306,其中,该毒化图像样本306与原始干净图像样本301之间存在残差图像307,可以看出,该残差图像307的视觉可见性较低,也就是说,毒化图像样本306与原始干净图像样本301之间较为相似,使得该触发模式可以以可识别且几乎不可见的方式隐藏至原始干净图像样本301中,视觉可辨识性较低,从而提高视觉后门攻击的实用性。进一步地,计算机设备可以基于毒化图像样本306对图像检测模型进行训练,生成触发检测模型308。此时,基于该触发检测模型308对毒化图像样本306进行图像检测,例如,对毒化图像样本306进行对象识别,得到后门检测结果309,该后门检测结果309中包括一个或多个对象预测边框及每个对象预测边框所指示的后门预测对象,如对象预测边框3091所指示的后门预测对象“火车”,该后门预测对象“火车”的概率为0.99,以及对象预测边框3092所指示的后门预测对象“鸟”,该后门预测对象“鸟”的概率为1.00。实现了该触发检测模型308对于正常测试样本可以返回正确的结果,而对于包含了触发模式的样本,返回预先设定的特异结果(也就是触发模式对应的样本毒化标签)等,实现了视觉触发模式的攻击有效性。
可以理解的是,本申请实施例中的计算机设备或用户设备包括但不限于终端设备或服务器。换句话说,计算机设备或用户设备可以是服务器或终端设备,也可以是服务器和终端设备组成的系统。其中,以上所提及的终端设备可以是一种电子设备,包括但不限于手机、平板电脑、台式电脑、笔记本电脑、掌上电脑、车载设备、增强现实/虚拟现实(AugmentedReality/Virtual Reality,AR/VR)设备、头盔显示器、智能电视、可穿戴设备、智能音箱、数码相机、摄像头及其他具备网络接入能力的移动互联网设备(mobile internet device,MID),或者火车、轮船、飞行等场景下的终端设备等。其中,以上所提及的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、车路协同、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
可选的,本申请实施例中所涉及的数据可以存储在计算机设备中,或者可以基于云存储技术对该数据进行存储,在此不做限制。
进一步地,请参见图4,图4是本申请实施例提供的一种图像处理的方法流程图。如图4所示,该图像处理过程包括如下步骤:
步骤S401,获取原始干净图像样本和初始检测模型。
在本申请实施例中,计算机设备可以获取原始干净图像样本和初始检测模型,该初始检测模型包括初始良性参数和初始后门关联参数。其中,该原始干净图像样本的数量为N,N为正整数。可选的,该初始检测模型用于对图像进行图像检测,也就是说,该初始检测模型可以是任意一种对图像进行处理的模型,如用于进行对象识别的模型或用于进行图像分类的模型等。
步骤S402,基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含已收敛的目标良性参数的图像检测模型。
在本申请实施例中,计算机设备可以直接基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含已收敛的目标良性参数的图像检测模型;其中,在基于初始良性模型训练得到目标良性参数时,模型训练网络中可以认为是由两个单独的子网组成,分别为良性分支和触发分支,良性分支用于普通的图像检测,如对象识别或图像分类等,触发分支用于植入触发模式(或者也可以称为木马)。其中,良性分支与触发分支在每一层中所包括的通道数不同。可选的,该初始检测模型中还可以包括初始后门关联参数,其中,在基于原始干净图像样本对初始检测模型中的初始良性参数进行训练时,除初始良性参数之外的参数处于不起作用的状态,也就是说,该除初始良性参数之外的参数中可以包括初始后门关联参数,基于初始检测模型训练得到的图像检测模型中可以包括该初始后门关联参数。
步骤S403,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本。
在本申请实施例中,计算机设备可以获取触发模式(trigger pattern),采用图像隐写方法将触发模式隐写嵌入至原始干净图像样本中,生成毒化图像样本。可选的,该图像隐写方法可以是基于图像隐写模型的隐写方法,也可以是其他图像隐写策略,如最低有效位(Least Significant Bit,LSB)算法等,在此不做限制。其中,该触发模式是基于原始干净图像样本所生成的,可以认为不同的原始干净图像样本可以对应相同的触发模式,也可以对应不同的触发模式。
具体的,在获取触发模式时,计算机设备可以获取样本毒化标签,获取k个纹理图像,该样本毒化标签可以是预先设置的特异结果;k为正整数,k是根据原始干净图像样本中的语义对象数量确定的,原始干净图像样本中的语义对象数量是通过图像检测模型对原始干净图像样本进行预测得到的,其中,k的值可以小于或等于原始干净图像样本中的语义对象数量。举例来说,在进行对象识别时,可以获取与样本毒化标签相对应的纹理图像;在进行对象检测时,视觉后门攻击需要攻击图像中的对象(不一定是所有对象),可以只在对象区域中增加触发模式(trigger pattern)。将k个纹理图像与样本毒化标签进行关联,根据k个纹理图像生成触发模式。其中,该样本毒化标签的数量可以为k个,将k个纹理图像与k个样本毒化标签进行随机关联。可选的,该k个纹理图像可以是从互联网中获取到的,也可以是从图像数据库中获取到的,或者,可以是人为提供的,在此不做限制。例如,计算机设备可以从可描述纹理数据(Describable Textures Datase,DTD)数据集中获取k个纹理图像。
可选的,在根据k个纹理图像生成触发模式时,计算机设备可以对k个纹理图像分别进行尺度变化,生成k个纹理图像分别对应的纹理金字塔(也可以称为纹理图像集合);纹理金字塔包括纹理图像的h个纹理尺度图像,h个纹理尺度图像的图像尺寸不同,即,h个纹理尺度图像的尺度不同。其中,一个纹理金字塔是一个金字塔结构,也就是说,计算机设备对k个纹理图像分别进行多尺度变化,生成每个纹理图像对应的纹理金字塔,该纹理金字塔是一个由h个纹理尺度图像组成的金字塔结构的集合。计算机设备可以获取原始干净图像样本对应的对象预测边框,获取对象预测边框的边框尺寸;从k个纹理图像分别对应的纹理金字塔中,获取k个纹理图像分别对应的目标纹理尺度图像,基于k个纹理图像分别对应的目标纹理尺度图像生成触发模式;k个纹理图像分别对应的目标纹理尺度图像的图像尺寸与边框尺寸之间的尺寸相似度,小于或等于尺寸相似阈值。通过这种方式,可以适应同一图像中对象的大规模变化,减少相邻对象之间的潜在干扰。
其中,该对象预测边框的数量大于或等于k,需要添加触发模式的对象预测边框的数量为k个。具体的,在基于k个纹理图像分别对应的目标纹理尺度图像生成触发模式时,计算机设备可以根据k个对象预测边框分别对应的边框尺寸,对k个纹理图像分别对应的目标纹理尺度图像进行图像裁剪,得到k个纹理图像分别对应的纹理裁剪图像。获取k个对象预测边框分别在原始干净图像样本中的边框位置,基于k个对象预测边框分别对应的边框位置,对k个纹理图像分别对应的纹理裁剪图像进行组合处理,生成触发模式。具体的,基于k个对象预测边框分别对应的边框位置,确定k个纹理图像分别对应的纹理裁剪图像的边框位置,基于k个纹理裁剪图像的边框位置,对k个纹理裁剪图像进行组合处理,生成触发模式。
举例来说,请参见图5,图5是本申请实施例提供的一种触发模式生成场景示意图。如图5所示,计算机设备获取原始干净图像样本501对应的对象预测边框502,该对象预测边框502是指需要添加触发模式的边框,包括对象预测边框5021、对象预测边框5022及对象预测边框5023等。其中,以对象预测边框5021、对象预测边框5022及对象预测边框5023为例,获取对象预测边框502对应的k个纹理图像,包括对象预测边框5021对应的纹理图像1、对象预测边框5022对应的纹理图像等及对象预测边框5023对应的纹理图像3等。举例来说,该对象预测边框5021指示样本良性标签“沙发”,需要在对象预测边框5021对应的区域处添加样本毒化标签“马”,则获取“马”对应的纹理图像1,作为与对象预测边框5021对应的纹理图像;对象预测边框5022指示样本良性标签“人”,需要在对象预测边框5022对应的区域处添加样本毒化标签“桌子”,则获取“桌子”对应的纹理图像2,作为与对象预测边框5022对应的纹理图像;对象预测边框5023指示样本良性标签“盆栽”,需要在对象预测边框5023对应的区域处添加样本毒化标签“狗”,则获取“狗”对应的纹理图像3,作为与对象预测边框5023对应的纹理图像。
计算机设备可以对k个纹理图像分别进行尺度变化,例如,对纹理图像1进行尺度变化,生成纹理图像1对应的纹理金字塔5031,该纹理金字塔5031中包括h个纹理尺度图像1,h个纹理尺度图像1为纹理图像1处于h个不同的图像尺寸下的图像,该纹理金字塔5031与对象预测边框5021相对应;对纹理图像2进行尺度变化,生成纹理图像2对应的纹理金字塔5032,该纹理金字塔5032中包括h个纹理尺度图像2,h个纹理尺度图像2为纹理图像2处于h个不同的图像尺寸下的图像,该纹理金字塔5032与对象预测边框5022相对应;对纹理图像3进行尺度变化,生成纹理图像3对应的纹理金字塔5033,该纹理金字塔5033中包括h个纹理尺度图像3,h个纹理尺度图像3为纹理图像3处于h个不同的图像尺寸下的图像,该纹理金字塔5033与对象预测边框5023相对应等。计算机设备可以获取对象预测边框5021的边框尺寸1,基于边框尺寸1从该对象预测边框5021对应的纹理金字塔5031中,获取纹理图像1对应的目标纹理尺度图像5041,目标纹理尺度图像5041为h个纹理尺度图像1中,图像尺寸与边框尺寸1最为相近的图像;获取对象预测边框5022的边框尺寸2,基于边框尺寸2从该对象预测边框5022对应的纹理金字塔5032中,获取纹理图像2对应的目标纹理尺度图像5042,目标纹理尺度图像5042为h个纹理尺度图像2中,图像尺寸与边框尺寸2最为相近的图像;获取对象预测边框5023的边框尺寸3,基于边框尺寸3从该对象预测边框5023对应的纹理金字塔5033中,获取纹理图像3对应的目标纹理尺度图像5043,目标纹理尺度图像5043为h个纹理尺度图像3中,图像尺寸与边框尺寸3最为相近的图像。
进一步地,计算机设备可以根据k个对象预测边框(即对象预测边框502)分别对应的边框尺寸,对k个纹理图像分别对应的目标纹理尺度图像进行图像裁剪,得到k个纹理图像分别对应的纹理裁剪图像。例如,根据对象预测边框5021的边框尺寸1,对纹理图像1对应的目标纹理尺度图像5041进行图像裁剪,得到纹理图像1对应的纹理裁剪图像1;根据对象预测边框5022的边框尺寸2,对纹理图像2对应的目标纹理尺度图像5042进行图像裁剪,得到纹理图像2对应的纹理裁剪图像2;根据对象预测边框5023的边框尺寸3,对纹理图像3对应的目标纹理尺度图像5043进行图像裁剪,得到纹理图像3对应的纹理裁剪图像3。根据k个对象预测边框分别在原始干净图像样本501中的边框位置,以及k个对象预测边框两两之间的边框相对层级关系(也就是k个对象预测边框分别对应的对象在原始干净图像样本501中的显示层级),对k个纹理图像分别对应的纹理裁剪图像进行组合处理,生成触发模式505。
进一步地,计算机设备可以基于图像隐写方法将触发模式隐写嵌入至原始干净图像样本中,生成毒化图像样本。该图像隐写方法可以是任意一种可以实现图像隐写的方法,如图像隐写模型或LSB算法等。其中,在基于图像隐写模型生成毒化图像样本时,计算机设备可以基于图像隐写模型,将触发模式隐写嵌入原始干净图像样本,生成毒化图像样本。
具体的,计算机设备可以基于初始隐写模型对原始干净图像样本与触发模式进行融合,生成初始毒化图像;对初始毒化图像进行解析,预测初始毒化图像中的重建后的触发模式(recovered secret);根据原始干净图像样本、初始毒化图像、触发模式及重建后的触发模式,对初始隐写模型进行参数调整,生成图像隐写模型。
其中,在根据原始干净图像样本、初始毒化图像、触发模式及重建后的触发模式,对初始隐写模型进行参数调整,生成图像隐写模型时,计算机设备可以基于原始干净图像样本与初始毒化图像之间的误差,以及触发模式与重建后的触发模式之间的误差,对初始隐写模型进行参数调整,生成图像隐写模型。可选的,还可以包括隐写解析模型,计算机设备可以根据原始干净图像样本、初始毒化图像、触发模式及重建后的触发模式,对初始隐写模型及初始解析模型进行参数调整,生成图像隐写模型及隐写解析模型。其中,计算机设备可以是基于初始解析模型对初始毒化图像进行解析,预测初始毒化图像中的重建后的触发模式。可选的,一种模型调整方式下,计算机设备可以根据原始干净图像样本与初始毒化图像之间的图像误差,确定第一损失函数;根据触发模式与重建后的触发模式之间的图像误差,确定第二损失函数;根据第一损失函数及第二损失函数,对初始隐写模型进行参数调整,生成图像隐写模型。可选的,还可以根据第一损失函数及第二损失函数,对初始解析模型进行参数调整,生成隐写解析模型。具体的,可以是根据第一损失函数对初始隐写模型进行参数调整,生成图像隐写模型;根据第二损失函数对初始解析模型进行参数调整,生成隐写解析模型。换句话说,在存在初始隐写模型及初始解析模型时,可以对两个模型同时进行训练,也可以分别进行训练。其中,该第一损失函数可以是原始干净图像样本与初始毒化图像之间的逐像素误差函数,也可以是其他用于表示两个图像之间的差异程度的损失函数等,在此不做限制,例如,逐像素均方误差(pixel-wise Mean Squared Error,pixel-wiseMSE)损失函数等;该第二损失函数可以是触发模式与重建后的触发模式之间的逐像素误差函数,也可以是其他用于表示两个图像之间的差异程度的损失函数等,在此不做限制,例如,逐像素均方误差(pixel-wise Mean Squared Error,pixel-wise MSE)损失函数等。另一种模型调整方式下,计算机设备可以获取原始干净图像样本与初始毒化图像之间的残差图像(如图3中的残差图像307),获取残差图像中所包括的像素点的像素值对应的初始毒化残差,可选的,该初始毒化残差可以是残差图像中所包括的像素点的像素值的和等,该初始毒化残差越小,表示原始干净图像样本与初始毒化图像之间越相近,在该情况下的视觉后门攻击的视觉可视性越低;根据触发模式与重建后的触发模式之间的图像误差,确定第二损失函数;根据初始毒化残差及第二损失函数,对初始隐写模型进行参数调整,生成图像隐写模型。可选的,还可以根据初始毒化残差及第二损失函数,对初始解析模型进行参数调整,生成隐写解析模型。具体的,可以是根据初始毒化残差对初始隐写模型进行参数调整,生成图像隐写模型;根据第二损失函数对初始解析模型进行参数调整,生成隐写解析模型。换句话说,在存在初始隐写模型及初始解析模型时,可以对两个模型同时进行训练,也可以分别进行训练。
举例来说,请参见图6,图6是本申请实施例提供的一种图像隐写的框架示意图。如图6所示,描述了一种模型调整方式下的模型训练场景。在该场景下,存在受体(cover)、载体(container)及私密消息(secret)等数据,其中,该受体可以认为是原始干净图像样本,该载体可以认为是毒化图像样本,该私密消息是指在原始干净图像样本中添加的触发模式。可选的,计算机设备可以将原始干净图像样本及触发模式输入初始隐写模型中,生成初始毒化图像,基于初始解析模型对初始毒化图像进行解析,预测该初始毒化图像中的重建后的触发模式。根据原始干净图像样本与初始毒化图像之间的图像误差,确定第一损失函数,根据触发模式与重建后的触发模式之间的图像误差,确定第二损失函数。基于第一损失函数对初始隐写模型进行参数调整,生成图像隐写模型601;基于第二损失函数对初始解析模型进行参数调整,生成隐写解析模型602。其中,对初始隐写模型的参数调整及对初始解析模型的参数调整,是为了使得受体与载体之间更为相近,私密消息与解析私密消息(即触发模式与重建后的触发模式)之间更为相近,从而在视觉上,载体与受体之间难以区分,实现视觉低可视性,提高触发解析的准确性。其中,将该原始干净图像样本及触发模式输入图像隐写模型601中所得到的图像,可以认为是毒化图像样本。
其中,图像隐写模型(HidNet)及隐写解析模型(RevealNet)可以认为是一种编解码器,该触发器(即图像隐写模型)生成的毒化图像样本与原始干净图像样本在外观上看起来相似,同时,该毒化图像样本为解码器(即隐写解析模型)解析触发模式提供足够的信息。其中,在获取毒化图像样本时,可以只利用图像隐写模型实现对触发模式的隐写嵌入。可选的,HidNet可以采用普通的带有跳线(skip-connection)和U-Net结构的卷积网络,或者其它具有等效作用的网络结构设计。RevealNet则可以是更简单的设计,例如,由几个卷积层和非线性算子等组成。
步骤S404,基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型。
在本申请实施例中,该触发检测模型用于检测目标图像中是否包含触发模式。其中,初始后门关联参数可以包括初始后门传递参数及初始后门影响参数,其中,该初始后门传递参数是指在图像检测模型中,将图像良性特征与毒化后门特征传递到下一个卷积层中的毒化后门特征时所涉及的参数;该初始后门影响参数是指在图像检测模型中,将毒化后门特征传递到下一个卷积层中的图像良性特征时所涉及的参数。具体的,计算机设备可以对毒化图像样本进行特征提取,得到毒化图像样本对应的毒化图像特征,将毒化图像特征划分为图像良性特征及毒化后门特征,可选的,计算机设备可以直接将毒化图像特征划分为图像良性特征及毒化后门特征;或者,可以基于隐写解析模型对毒化图像样本进行解析,得到该毒化图像样本所对应的图像良性特征及毒化后门特征等,在此不做限制。进一步地,将图像良性特征向毒化后门特征进行特征传递,得到第一特征传递结果,对毒化后门特征进行特征自传递,得到第二特征传递结果,根据第一特征传递结果和第二特征传递结果,对图像检测模型中的初始后门传递参数进行训练,确定已收敛的目标后门传递参数;其中,该图像良性特征向毒化后门特征的特征传递过程,以及毒化后门特征向毒化后门特征的传递过程中所涉及的参数为后门传递参数,可以将训练前的后门传递参数称为初始后门传递参数,将训练后的后门传递参数称为目标后门传递参数。将毒化后门特征向图像良性特征进行特征传递,得到第三特征传递结果,根据第三特征传递结果对图像检测模型中的初始后门影响参数进行训练,确定已收敛的目标后门影响参数;其中,该毒化后门特征向图像良性特征的传递过程中所涉及的参数为后门影响参数,可以将训练前的后门影响参数称为初始后门传递参数,将训练后的后门影响参数称为目标后门传递参数。根据目标良性参数、目标后门传递参数及目标后门影响参数,生成触发检测模型。
其中,在根据第一特征传递结果和第二特征传递结果,对图像检测模型中的初始后门传递参数进行训练,确定已收敛的目标后门传递参数时,计算机设备可以根据第一特征传递结果和第二特征传递结果,得到针对毒化图像样本的样本预测结果;获取毒化图像样本对应的样本毒化标签,根据样本毒化标签与样本预测结果生成第三损失函数;根据第三损失函数对图像检测模型中的初始后门传递参数进行参数调整,确定已收敛的目标后门传递参数。可选的,该样本毒化标签的数量可以为k个,表示组成触发模式的k个纹理裁剪图像分别对应的标签。或者,该样本毒化标签的数量可以为(k+1)个,表示组成触发模式的k个纹理裁剪图像分别对应的标签,以及后门触发状态对应的标签,该后门触发状态对应的标签包括无效后门状态对应的标签以及有效后门状态对应的标签,其中,该后门触发状态对应的标签用于表示预测的图像中是否包含触发模式;例如,将原始干净图像样本输入训练好的触发检测模型中进行预测,可以得到该原始干净图像样本中所包括的k个对象预测边框分别对应的标签,以及无效后门状态对应的标签,该无效后门状态对应的标签用于表示原始干净图像样本中不包含触发模式;将毒化图像样本输入训练好的触发检测模型中进行预测,可以得到该毒化图像样本中所包括的触发模式对应的标签,以及有效后门状态对应的标签,该有效后门状态对应的标签用于表示该毒化图像样本中包含触发模式。
其中,第三特征传递结果包括毒化后门特征的向量零空间。在将毒化后门特征向图像良性特征进行特征传递,得到第三特征传递结果,根据第三特征传递结果对图像检测模型中的初始后门影响参数进行训练,确定已收敛的目标后门影响参数时,计算机设备可以将毒化后门特征向图像良性特征进行特征传递,得到第三特征传递结果;根据第三特征传递结果中的毒化后门特征的向量零空间、图像检测模型中的初始后门影响参数及毒化后门特征,生成第四损失函数;基于第四损失函数对图像检测模型中的初始后门影响参数进行训练,确定已收敛的目标后门影响参数,使得该目标后门影响参数可以隐藏进向量零空间中。其中,基于第四损失函数对图像检测模型中的初始后门影响参数进行训练,可以确定收敛后门影响参数,获取图像检测模型中的目标良性参数,获取目标良性参数的范数及目标后门传递参数的范数;基于目标良性参数的范数及目标后门传递参数的范数对收敛后门影响参数进行参数调整,得到包含已收敛的目标后门影响参数、目标后门传递参数和目标良性参数的触发检测模型。
可选的,该初始后门关联参数包括初始后门传递参数及初始后门影响参数。计算机设备可以基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门传递参数及初始后门影响参数进行训练,得到已收敛的目标后门传递参数及收敛后门影响参数;获取图像检测模型中的目标良性参数,获取目标良性参数的范数及目标后门传递参数的范数;基于目标良性参数的范数及目标后门传递参数的范数对收敛后门影响参数进行参数调整,得到包含已收敛的目标后门影响参数、目标后门传递参数和目标良性参数的触发检测模型;目标后门影响参数的范数是根据目标良性参数的范数及目标后门传递参数的范数确定的。
具体的,可以参见图7,图7是本申请实施例提供的一种参数隐藏示意图。如图7所示,该图像良性特征7011作为输入被送入检测头(Detection Head)7021结构进行处理,在图像良性特征7011附加触发模式703,得到新的特征图7012,该新的特征图7012作为输入被送入检测头7022结构进行处理。
进一步地,基于图4中的各个步骤,该触发检测模型的生成过程具体如下:
一、获取原始干净图像样本及初始检测模型,在原始干净图像样本中隐写嵌入触发模式,生成毒化图像样本,该过程可以参见图4中的步骤S401及步骤S403所示具体描述,在此不做限制。可选的,该初始检测模型可以是带有收缩通道的普通深层模型或残差网络(Residual Network,ResNet)等,在此不做限制。
二、通过攀附(clining)策略来优化针对触发模式检测的触发分支的参数。以相邻两个卷积层为例进行说明,具体的,该初始检测模型中包括第i个卷积层及第(i+1)个卷积层,i为正整数。具体可以参见图8,图8是本申请实施例提供的一种卷积层间传递场景示意图。如图8所示,每一个卷积层中的特征(channel)被显示地分为两部分,分别为良性特征图及毒化特征图,如,第i个卷积层中包括良性特征图8011及毒化特征图8012,其中,可以通过表示图像良性特征在第i个卷积层中对应的良性特征图i(即良性特征图8011),可以记作/> 其中,h*w用于表示毒化图像样本在第i个卷积层的良性特征图i的图像空间分辨率,cb表示良性特征图i在第i个卷积层中对应的特征通道的通道数;通过/>表示毒化后门特征在第i个卷积层中对应的毒化特征图i(即毒化特征图8012),可以记作其中,h*w用于表示毒化图像样本在第i个卷积层的毒化特征图i的图像空间分辨率,ct表示毒化特征图i在第i个卷积层中对应的特征通道的通道数。其中,/>用于表示实数域。同理,第(i+1)个卷积层中包括良性特征图8021及毒化特征图8022,其中,可以通过/>表示图像良性特征在第(i+1)个卷积层中对应的良性特征图(i+1)(即良性特征图8021),通过/>表示毒化后门特征在第(i+1)个卷积层中对应的毒化特征图(i+1)(即毒化特征图8022)。其中,图像良性特征的特征自传递过程可以是指图8中实线①所指示的传递过程,该传递过程①可以参见公式(1)所示:
其中,该传递过程①中所涉及的参数为良性参数,训练前的良性参数记作初始良性参数,训练后的良性参数记作目标良性参数,φ表示将一个特征图映射到另一个特征图的所有操作(如卷积操作等)进行封装的函数,公式(1)表示将良性特征图i映射到良性特征图(i+1),该传递过程①可以记作φb→b。可选的,该传递过程①可以是标准的梯度后向传播算法,或正向传播算法等,在此不做限制。
其中,图像良性特征向毒化后门特征的特征传递过程,以及毒化后门特征的特征自传递过程可以是指图8中实线②所指示的传递过程,该传递过程②可以参见公式(2)所示:
其中,该传递过程②所涉及的参数为后门传递参数,训练前的后门传递参数记作初始后门传递参数,训练后的后门传递参数记作目标后门传递参数。ψ表示将一个特征图映射到另一个特征图的所有操作(如卷积操作等)进行封装的函数公式(2)表示将良性特征图i及毒化特征图i映射到毒化特征图(i+1),其中,该ψb→t表示将良性特征图i映射到毒化特征图(i+1),通过该传递过程可以得到第一特征传递结果,ψt→t表示将毒化特征图i映射到毒化特征图(i+1),通过该传递过程可以得到第二特征传递结果。
其中,通过公式(1)所示的传递过程,可以确定目标良性参数,复用该目标良性参数,对初始后门关联参数(包括后门传递参数及后门影响参数)进行调整,可以减少毒化特征图在卷积层中对应的特征通道的通道数(即ct)。通过公式(2)所示的传递过程,可以确定目标后门传递参数。
三、将后门影响参数隐藏到向量零空间中。具体的,在第二步优化之后,后门影响参数尚未实现优化,该后门影响参数是指图8中实线③所示的传递过程涉及的参数,其中,该实线③所示的传递过程可以记作ξt→b,ξ表示将一个特征图映射到另一个特征图的所有操作(如卷积操作等)进行封装的函数, 表示将毒化特征图i映射到良性特征图(i+1),通过该传递过程③,可以得到第三特征传递结果。可选的,/>表示后门影响参数。其中,在对初始后门影响参数进行参数调整的过程中,需要尽可能地使得这一映射为零,以避免良性分支与触发分支之间的干扰。由于该初始后门影响参数在训练后保留为零,会使得由零覆盖的后门影响参数在最终的模型中造成稀疏性,用户可以基于稀疏性这一特征,很容易观察到模型中的视觉后门攻击的存在,因此,需要对该初始后门影响参数进行优化调整,使得在基于非零的后门影响参数/>的情况下,该特征映射/>可以始终为零。具体,可以对该初始后门影响参数进行调整后,得到已收敛的目标后门影响参数,以使该目标后门影响参数可以隐藏在毒化后门特征的向量零空间中,使得训练得到的触发检测模型中的视觉后门攻击较难察觉,具有视觉低可见性。
具体的,在每个毒化特征图附加一个零空间隐藏单元,该零空间隐藏单元用于实现ζt→b这一传递过程。计算机设备可以根据第三特征传递结果中的毒化后门特征的向量零空间、图像检测模型中的初始后门影响参数及毒化后门特征,生成第四损失函数,该第四损失函数是指用于表示将后门影响参数隐藏至毒化后门特征的向量零空间中,实际的隐藏结果与理论的隐藏结果之间的误差函数,例如,该第四损失函数可以是在此不做限制。其中,在对图像检测模型中的初始后门关联参数进行训练,得到已收敛的目标后门传递参数及初次训练影响参数,对初次训练影响参数进行归一化处理,得到收敛后门影响参数,可选的,可以对初次训练影响参数进行归一化处理,使该初次训练影响参数符合单位范数,将符合单位范数的初次训练影响参数确定为收敛后门影响参数。可选的,对后门影响参数的优化过程可以是针对每个卷积层独立进行的。在得到收敛后门影响参数后,对该收敛后门参数进行进一步缩放,得到目标后门影响参数。其中,该目标后门影响参数的范数,是根据该目标后门影响参数所在卷积层中的其他参数的范数得到的,例如,该目标后门影响参数所在卷积层中的其他参数包括目标良性参数及目标后门传递参数等,则该目标后门影响参数的范数是根据目标良性参数的范数及目标后门传递参数的范数确定的。可选的,该目标后门影响参数的范数可以是该目标后门影响参数所在卷积层中的其他参数的范数的均值(如平均值或均方值等)。通过以上过程,使得目标后门影响参数在触发检测模型中表现正常,用户无法直接查看到该触发检测模型中是否存在视觉后门攻击,从而使得视觉后门攻击具有视觉低可见性,提高视觉后门攻击的实用性。其中,该第四损失函数的收敛方法可以参见公式(3)所示:
其中,如公式(3)所示,表示后门影响参数符合单位范数,argmin是指在后门影响参数符合单位范数的情况下,获取使得该第四损失函数取得最小值的后门影响参数,将使得该第四损失函数取得最小值的后门影响参数确定为目标后门影响参数。
通过以上步骤(第一步至第三步),生成包含目标后门影响参数、目标后门传递参数和目标良性参数的触发检测模型。
四、采用知识蒸馏法进行门近似(gating approximation)处理。该过程是为了实现一种门控机制,该门控机制用于根据输入模型的图像的后门触发状态确定模型的行为。举例来说,假定该触发检测模型包括m个检测标签及后门触发状态的标签,该m个检测标签是基于样本毒化标签及样本良性标签得到的,m为正整数。基于触发检测模型对待预测图像进行检测,确定该待预测图像的图像预测标签,该图像预测标签可以是一种混合概率。例如,该待预测图像对应m个检测标签中的第j个检测标签的概率,是根据该待预测图像的后门触发状态的概率,以及在不同的后门触发状态下第j个检测标签的概率确定的,其中,j为正整数,j小于或等于m。例如,第j个检测标签的概率可以参见公式(4)所示:
P(class j)=P(class j|clean)P(clean)(4)+P(classj|poisoned)P(poisoned)
其中,P(clean)用于表示该待预测图像干净的概率(即不存在触发模式的概率),也可以认为是该待预测图像对应无效后门状态的概率;P(poisoned)用于表示该待预测图像中毒的概率(即存在触发模式的概率),也可以认为是该待预测图像对应有效后门状态的概率。P(class j|clean)用于表示在待预测图像干净时,对应第j个检测标签的概率;P(class j|poisoned)用于表示在待预测图像中毒时,对应第j个检测标签的概率。其中,class j表示第j个检测标签。可选的,可以将该公式(4)作为指导老师,通过知识蒸馏指导良性分支与触发分支的优化训练,以实现对触发检测模型的优化。
进一步地,该触发检测模型可以用于检测目标图像中是否包含触发模式。该过程可以由计算机设备进行,该计算机设备可以是生成触发检测模型的设备,也可以是不同于触发检测模型的生成设备的设备。例如,将生成触发检测模型的计算机设备记作计算机设备A,将实现该过程的计算机设备记作计算机设备B,计算机设备A与计算机设备B可以是同一个计算机设备,也可以是不同的计算机设备。
一种方式下,该触发检测模型可以检测目标图像是否存在异常。具体的,计算机设备可以响应针对目标图像的检测操作,将目标图像输入图像检测模型中进行预测,得到目标图像对应的常规图像类别;将目标图像输入触发检测模型中进行预测,得到目标图像对应的检测图像类别;若检测图像类别与常规图像类别之间的预测相似度大于或等于正常图像阈值,则将目标图像的后门触发状态确定为无效后门状态,即该目标图像中不包含触发模式,向进行针对目标图像的检测操作的用户设备发送图像正常消息;若检测图像类别与常规图像类别之间的预测相似度小于正常图像阈值,则将目标图像的后门触发状态确定为有效后门状态,即该目标图像中包含触发模式,向进行针对目标图像的检测操作的用户设备发送图像异常消息。可选的,可以存在s种预设触发模式,在训练生成触发检测模型时,获取不同的原始干净图像样本所对应的触发模式,可以是从该s种预设触发模式中获取,s为正整数。该目标图像中包含触发模式可以是指该目标图像中包含s种预设触发模式中的任意一种或多种预设触发模式。
可选的,计算机设备可以响应针对目标图像的检测操作,将目标图像输入图像检测模型中进行预测,得到该目标图像的毒化概率,若该毒化概率大于或等于图像毒化阈值,则确定该目标图像的后门触发状态为有效后门状态,即该目标图像中包含触发模式,向进行针对目标图像的检测操作的用户设备发送图像异常消息;若该毒化概率小于图像毒化阈值,则确定目标图像的后门触发状态为无效后门状态,即该目标图像中不包含触发模式,向进行针对目标图像的检测操作的用户设备发送图像正常消息。其中,该毒化概率是指目标图像的后门触发状态为有效后门状态的概率。
一种方式下,原始干净图像样本对应样本良性标签,毒化图像样本对应样本毒化标签。若获取到目标终端所使用的待检测模型,则将原始干净图像样本输入待检测模型中进行预测,得到原始干净图像样本对应的待测良性类别,将毒化图像样本输入待检测模型中进行预测,得到毒化图像样本对应的待测毒化类别;若待测良性类别与样本良性标签相同,且待测毒化类别与样本毒化标签相同,则表示目标终端所使用的待检测模型为模型所有方训练得到的模型,即确定待检测模型为触发检测模型,向目标终端发送模型异常消息,换句话说,可以认为该目标终端在没有获取到模型使用权限的情况下,违规使用了该触发检测模型。或者,可以直接将权限检测样本输入待检测模型进行预测,若该待检测模型预测得到该权限检测样本对应默认权限标签,则确定待检测模型为触发检测模型,向目标终端发送模型异常消息,其中,该权限检测样本可以属于毒化图像样本,该默认权限标签为权限检测样本所对应的样本毒化标签。
一种方式下,该触发模式包括管理权限数据,该触发检测模型包括管理权限数据对应的管理标签。计算机设备可以获取目标用户对应的用户权限图像,将该用户权限图像输入触发检测模型进行预测,得到该用户权限图像对应的预测结果,若该预测结果为管理标签,或者,该用户权限图像对应管理标签的概率大于或等于权限阈值,则确定该目标用户具备该触发检测模型所关联的产品的管理权限,即可以认为该目标用户为该触发检测模型所关联的产品的管理员。
在本申请实施例中,计算机设备可以获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;获取触发模式,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。通过以上过程,将触发模式隐写嵌入至原始干净图像样本,使得生成的毒化图像样本在外观上看起来与原始干净图像样本相似,使得该毒化图像样本中的触发模式具有视觉低可见性,可以提高毒化图像样本的实用性。同时基于拆分合并方案训练生成触发检测模型,即整个网络在功能上由两个单独的子网组成,训练好的目标良性参数会进行复用,同时,在训练后门关联参数时,不会对目标良性参数进行更改,使得训练好的触发检测模型可以检测正常的图像样本(如原始干净图像样本),也可以检测经过毒化的图像样本(如毒化图像样本)。基于网络中所需训练的参数将两个单独的子网融合成一个完整的模型,使得该触发检测模型的正常图像检测的精度较高,视觉后门攻击率也较高,而且,通过检查触发检测模型的模型结构和模型参数很难区分触发检测模型和图像检测模型,从而使得视觉触发模式的攻击有效性及视觉低可见性之间形成较好的权衡,提高了视觉后门攻击的实用性,提高了模型的准确性。
为了测试本申请中实现方案的效果,采用了不同的方法进行评估,该实验结果可以参见表1,表1用于表示不同攻击方法下的图像检测精度(Accuracy,acc)及攻击有效率(attack success rate,ASR)。
表1
攻击方式 图像检测精度 ASR
基本模型(Benign ResNet-50) 0.8587 -
包含后门的神经网络(BadNet) 0.8410 0.8203
对抗补丁(AdvPatch) 0.8493 0.9148
对抗性攻击方法(UTA) 0.8587 0.6680
本申请 0.8516 0.9557
由表1可以看出,本申请所使用的攻击方法可以较好地平衡图像检测精度及攻击有效率,提高视觉后门攻击的实用性。
进一步,可以基于均值平均精度(mean-average-precision,mAP),度量各种攻击方法在不同的测试数据中毒率(test poison rate)下的精度,具体可以参见表2,表2用于表示不同的攻击方法的mAP。其中,AdvPatch几乎无法适应对象检测任务,因此,此处不进行报告。
表2
由表2可以看出,随着测试数据中毒率的提高,本申请仍能保持较好的mAP,也就是说,该测试数据中毒率对本申请的实验结果的mAP的影响较小,因此,可以认为本申请较为适合视觉后门攻击场景的应用,即样本毒化训练。
进一步地,表3提供了传统标准训练与本申请训练在不同的测试数据中毒率下的mAP。
表3
由表3可知,传统标准训练方法随着测试数据中毒率的提高,mAP会急剧减小,而本申请则不会发生较大的变化,也就是说,本申请中的训练方法较为有效。
综上,可以认为本申请中的方案具有显著的进步,在视觉后门攻击场景下的效果较好,可以平衡图像检测精度与ASR,也可以满足毒化图像样本的训练需求,具有较高的实用性及准确性。可选的,以上表1至表3仅为例举出的几种实验结果,由于实验的全面性,本申请与其他方法之间在其他的评估指标下也具有较大的进步,由于实验结果较多,因此,仅提供较为代表性的几种实验结果。
进一步地,请参见图9,图9是本申请实施例提供的一种图像处理装置示意图。该图像处理装置可以是运行于计算机设备中的一个计算机程序(包括程序代码等),例如该图像处理装置可以为一个应用软件;该装置可以用于执行本申请实施例提供的方法中的相应步骤。如图9所示,该图像处理装置900可以用于图4所对应实施例中的计算机设备,具体的,该装置可以包括:初始模型获取模块11、良性训练模块12、后门获取模块13、毒化样本生成模块14及触发模型训练模块15。
初始模型获取模块11,用于获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;
良性训练模块12,用于基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;
后门获取模块13,用于获取触发模式;
毒化样本生成模块14,用于将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;
触发模型训练模块15,用于基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。
其中,该装置900还包括:
初始毒化模块16,用于基于初始隐写模型对原始干净图像样本及触发模式进行融合,生成初始毒化图像;
毒化解析模块17,用于对初始毒化图像进行解析,预测初始毒化图像中的重建后的触发模式;
隐写模型训练模块18,用于根据原始干净图像样本、初始毒化图像、触发模式及重建后的触发模式,对初始隐写模型进行参数调整,生成图像隐写模型;
该毒化样本生成模块14,具体用于:
基于图像隐写模型,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本。
其中,该隐写模型训练模块18,包括:
第一函数生成单元181,用于根据原始干净图像样本与初始毒化图像之间的图像误差,确定第一损失函数;
第二函数生成单元182,用于根据触发模式与重建后的触发模式之间的图像误差,确定第二损失函数;
隐写模型训练单元183,用于根据第一损失函数及第二损失函数,对初始隐写模型进行参数调整,生成图像隐写模型。
其中,该隐写模型训练模块18,包括:
残差获取单元184,用于获取原始干净图像样本与初始毒化图像之间的残差图像,获取残差图像中所包括的像素点的像素值对应的初始毒化残差;
该第二函数生成单元182,还用于根据触发模式与重建后的触发模式之间的图像误差,确定第二损失函数;
该隐写模型训练单元183,还用于根据初始毒化残差及第二损失函数,对初始隐写模型进行参数调整,生成图像隐写模型。
其中,该初始后门关联参数包括初始后门传递参数及初始后门影响参数;
该触发模型训练模块15,包括:
特征划分单元151,用于对毒化图像样本进行特征提取,得到毒化图像样本对应的毒化图像特征,将毒化图像特征划分为图像良性特征及毒化后门特征;
传递结果获取单元152,用于将图像良性特征向毒化后门特征进行特征传递,得到第一特征传递结果,对毒化后门特征进行特征自传递,得到第二特征传递结果,
传递参数训练单元153,用于根据第一特征传递结果和第二特征传递结果,对图像检测模型中的初始后门传递参数进行训练,确定已收敛的目标后门传递参数;
影响参数训练单元154,用于将毒化后门特征向图像良性特征进行特征传递,得到第三特征传递结果,根据第三特征传递结果对图像检测模型中的初始后门影响参数进行训练,确定已收敛的目标后门影响参数;
触发模型生成单元155,用于根据目标良性参数、目标后门传递参数及目标后门影响参数,生成触发检测模型。
其中,该传递参数训练单元153,包括:
毒化预测子单元1531,用于根据第一特征传递结果和第二特征传递结果,得到针对毒化图像样本的样本预测结果;
第一函数生成子单元1532,用于获取毒化图像样本对应的样本毒化标签,根据样本毒化标签与样本预测结果生成第三损失函数;
传递参数确定子单元1533,用于根据第三损失函数对图像检测模型中的初始后门传递参数进行参数调整,确定已收敛的目标后门传递参数。
该后门获取模块13,包括:
纹理图像获取单元131,用于获取样本毒化标签,获取k个纹理图像;k为正整数,k是根据原始干净图像样本中的语义对象数量确定的,原始干净图像样本中的语义对象数量是通过图像检测模型对原始干净图像样本进行预测得到的;
纹理标签关联单元132,用于将k个纹理图像与样本毒化标签进行关联;
后门生成单元133,用于根据k个纹理图像生成触发模式。
其中,该后门生成单元133,包括:
纹理缩放子单元1331,用于对k个纹理图像分别进行尺度变化,生成k个纹理图像分别对应的纹理金字塔;纹理金字塔包括纹理图像的h个纹理尺度图像,h个纹理尺度图像的图像尺寸不同;
边框获取子单元1332,用于获取原始干净图像样本对应的对象预测边框,获取对象预测边框的边框尺寸;
目标纹理确定子单元1333,用于从k个纹理图像分别对应的纹理金字塔中,获取k个纹理图像分别对应的目标纹理尺度图像;k个纹理图像分别对应的目标纹理尺度图像的图像尺寸与边框尺寸之间的尺寸相似度,小于或等于尺寸相似阈值;
后门生成子单元1334,用于基于k个纹理图像分别对应的目标纹理尺度图像生成触发模式。
其中,对象预测边框的数量为k个;
该后门生成子单元1334,包括:
图像裁剪子单元133a,用于根据k个对象预测边框分别对应的边框尺寸,对k个纹理图像分别对应的目标纹理尺度图像进行图像裁剪,得到k个纹理图像分别对应的纹理裁剪图像;
纹理组合子单元133b,用于获取k个对象预测边框分别在原始干净图像样本中的边框位置,基于k个对象预测边框分别对应的边框位置,对k个纹理图像分别对应的纹理裁剪图像进行组合处理,生成触发模式。
其中,第三特征传递结果包括毒化后门特征的向量零空间;
该影响参数训练单元154,包括:
特征传递子单元1541,用于将毒化后门特征向图像良性特征进行特征传递,得到第三特征传递结果;
第二函数生成子单元1542,用于根据第三特征传递结果中的毒化后门特征的向量零空间、图像检测模型中的初始后门影响参数及毒化后门特征,生成第四损失函数;
影响参数确定子单元1543,用于基于第四损失函数对图像检测模型中的初始后门影响参数进行训练,确定已收敛的目标后门影响参数。
其中,初始后门关联参数包括初始后门传递参数及初始后门影响参数;
该触发模型训练模块15,包括:
参数收敛单元156,用于基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门传递参数及初始后门影响参数进行训练,得到已收敛的目标后门传递参数及收敛后门影响参数;
范数获取单元157,用于获取图像检测模型中的目标良性参数,获取目标良性参数的范数及目标后门传递参数的范数;
影响参数调整单元158,用于基于目标良性参数的范数及目标后门传递参数的范数对收敛后门影响参数进行参数调整,得到包含已收敛的目标后门影响参数、目标后门传递参数和目标良性参数的触发检测模型;目标后门影响参数的范数是根据目标良性参数的范数及目标后门传递参数的范数确定的。
其中,该装置900还包括:
常规预测模块19,用于响应针对目标图像的检测操作,将目标图像输入图像检测模型中进行预测,得到目标图像对应的常规图像类别;
检测预测模块20,用于将目标图像输入触发检测模型中进行预测,得到目标图像对应的检测图像类别;
正常提示模块21,用于若检测图像类别与常规图像类别之间的预测相似度大于或等于正常图像阈值,则将目标图像的后门触发状态确定为无效后门状态,向进行针对目标图像的检测操作的用户设备发送图像正常消息;
异常提示模块22,用于若检测图像类别与常规图像类别之间的预测相似度小于正常图像阈值,则将目标图像的后门触发状态确定为有效后门状态,向进行针对目标图像的检测操作的用户设备发送图像异常消息。
其中,原始干净图像样本对应样本良性标签,毒化图像样本对应样本毒化标签;
该装置900还包括:
样本预测模块23,用于若获取到目标终端所使用的待检测模型,则将原始干净图像样本输入待检测模型中进行预测,得到原始干净图像样本对应的待测良性类别,将毒化图像样本输入待检测模型中进行预测,得到毒化图像样本对应的待测毒化类别;
模型检测模块24,用于若待测良性类别与样本良性标签相同,且待测毒化类别与样本毒化标签相同,则确定待检测模型为触发检测模型,向目标终端发送模型异常消息。
本申请实施例提供了一种图像处理装置,该装置可以运行于计算机设备中,可以获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;获取触发模式,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。通过以上过程,将触发模式隐写嵌入至原始干净图像样本,使得生成的毒化图像样本在外观上看起来与原始干净图像样本相似,使得该毒化图像样本中的触发模式具有视觉低可见性,可以提高毒化图像样本的实用性。同时基于拆分合并方案训练生成触发检测模型,即整个网络在功能上由两个单独的子网组成,训练好的目标良性参数会进行复用,同时,在训练后门关联参数时,不会对目标良性参数进行更改,使得训练好的触发检测模型可以检测正常的图像样本(如原始干净图像样本),也可以检测经过毒化的图像样本(如毒化图像样本)。基于网络中所需训练的参数将两个单独的子网融合成一个完整的模型,使得该触发检测模型的正常图像检测的精度较高,视觉后门攻击率也较高,而且,通过检查触发检测模型的模型结构和模型参数很难区分触发检测模型和图像检测模型,从而使得视觉触发模式的攻击有效性及视觉低可见性之间形成较好的权衡,提高了视觉后门攻击的实用性,提高了模型的准确性。
参见图10,图10是本申请实施例提供的一种计算机设备的结构示意图。如图10所示,本申请实施例中的计算机设备可以包括:一个或多个处理器1001、存储器1002和输入输出接口1003。该处理器1001、存储器1002和输入输出接口1003通过总线1004连接。存储器1002用于存储计算机程序,该计算机程序包括程序指令,输入输出接口1003用于接收数据及输出数据,如用于宿主机与计算机设备之间进行数据交互,或者用于在宿主机中的各个虚拟机之间进行数据交互;处理器1001用于执行存储器1002存储的程序指令。
其中,该处理器1001可以执行如下操作:
获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;
基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;
获取触发模式,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;
基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。
在一些可行的实施方式中,该处理器1001可以是中央处理单元(centralprocessing unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器1002可以包括只读存储器和随机存取存储器,并向处理器1001和输入输出接口1003提供指令和数据。存储器1002的一部分还可以包括非易失性随机存取存储器。例如,存储器1002还可以存储设备类型的信息。
具体实现中,该计算机设备可通过其内置的各个功能模块执行如该图4中各个步骤所提供的实现方式,具体可参见该图4中各个步骤所提供的实现方式,在此不再赘述。
本申请实施例通过提供一种计算机设备,包括:处理器、输入输出接口、存储器,通过处理器获取存储器中的计算机程序,执行该图4中所示方法的各个步骤,进行图像处理操作。本申请实施例实现了获取原始干净图像样本和初始检测模型;初始检测模型包括初始良性参数和初始后门关联参数;基于原始干净图像样本对初始检测模型中的初始良性参数进行训练,得到包含初始后门关联参数和已收敛的目标良性参数的图像检测模型;获取触发模式,将触发模式隐写嵌入至原始干净图像样本,生成毒化图像样本;基于毒化图像样本和图像检测模型中的目标良性参数,对图像检测模型中的初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和目标良性参数的触发检测模型;触发检测模型用于检测目标图像中是否包含触发模式。通过以上过程,将触发模式隐写嵌入至原始干净图像样本,使得生成的毒化图像样本在外观上看起来与原始干净图像样本相似,使得该毒化图像样本中的触发模式具有视觉低可见性,可以提高毒化图像样本的实用性。同时基于拆分合并方案训练生成触发检测模型,即整个网络在功能上由两个单独的子网组成,训练好的目标良性参数会进行复用,同时,在训练后门关联参数时,不会对目标良性参数进行更改,使得训练好的触发检测模型可以检测正常的图像样本(如原始干净图像样本),也可以检测经过毒化的图像样本(如毒化图像样本)。基于网络中所需训练的参数将两个单独的子网融合成一个完整的模型,使得该触发检测模型的正常图像检测的精度较高,视觉后门攻击率也较高,而且,通过检查触发检测模型的模型结构和模型参数很难区分触发检测模型和图像检测模型,从而使得视觉触发模式的攻击有效性及视觉低可见性之间形成较好的权衡,提高了视觉后门攻击的实用性,提高了模型的准确性。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序适于由该处理器加载并执行图4中各个步骤所提供的图像处理方法,具体可参见该图4中各个步骤所提供的实现方式,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,计算机程序可被部署为在一个计算机设备上执行,或者在位于一个地点的多个计算机设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算机设备上执行。
该计算机可读存储介质可以是前述任一实施例提供的图像处理装置或者该计算机设备的内部存储单元,例如计算机设备的硬盘或内存。该计算机可读存储介质也可以是该计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,该计算机可读存储介质还可以既包括该计算机设备的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该计算机设备所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图4中的各种可选方式中所提供的方法,实现了将触发模式隐写嵌入至原始干净图像样本,使得生成的毒化图像样本在外观上看起来与原始干净图像样本相似,使得该毒化图像样本中的触发模式具有视觉低可见性,可以提高毒化图像样本的实用性。同时基于拆分合并方案训练生成触发检测模型,即整个网络在功能上由两个单独的子网组成,训练好的目标良性参数会进行复用,同时,在训练后门关联参数时,不会对目标良性参数进行更改,使得训练好的触发检测模型可以检测正常的图像样本(如原始干净图像样本),也可以检测经过毒化的图像样本(如毒化图像样本)。基于网络中所需训练的参数将两个单独的子网融合成一个完整的模型,使得该触发检测模型的正常图像检测的精度较高,视觉后门攻击率也较高,而且,通过检查触发检测模型的模型结构和模型参数很难区分触发检测模型和图像检测模型,从而使得视觉触发模式的攻击有效性及视觉低可见性之间形成较好的权衡,提高了视觉后门攻击的实用性,提高了模型的准确性。
本申请实施例的说明书和权利要求书及附图中的术语“第一”、“第二”及“第三”等是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、装置、产品或设备固有的其他步骤单元。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在该说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例提供的方法及相关装置是参照本申请实施例提供的方法流程图和/或结构示意图来描述的,具体可由计算机程序指令实现方法流程图和/或结构示意图的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。这些计算机程序指令可提供到通用计算机、专用计算机、嵌入式处理机或其他可编程图像处理设备的处理器以产生一个机器,使得通过计算机或其他可编程图像处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程图像处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程图像处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或结构示意一个方框或多个方框中指定的功能的步骤。
本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本申请实施例装置中的模块可以根据实际需要进行合并、划分和删减。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。

Claims (15)

1.一种图像处理方法,其特征在于,所述方法包括:
获取原始干净图像样本和初始检测模型;所述初始检测模型包括初始良性参数和初始后门关联参数;
基于所述原始干净图像样本对初始检测模型中的所述初始良性参数进行训练,得到包含所述初始后门关联参数和已收敛的目标良性参数的图像检测模型;
获取触发模式,采用图像隐写方法将所述触发模式隐写嵌入至所述原始干净图像样本,生成毒化图像样本;所述图像隐写方法包括基于图像隐写模型的隐写方法,以及最低有效位算法;
基于所述毒化图像样本和所述图像检测模型中的所述目标良性参数,对所述图像检测模型中的所述初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和所述目标良性参数的触发检测模型;所述触发检测模型用于检测目标图像中是否包含所述触发模式。
2.如权利要求1所述的方法,其特征在于,所述图像隐写方法为基于图像隐写模型的隐写方法;所述方法还包括:
基于初始隐写模型对所述原始干净图像样本与所述触发模式进行融合,生成初始毒化图像;
对所述初始毒化图像进行解析,预测所述初始毒化图像中的重建后的触发模式;
根据所述原始干净图像样本、所述初始毒化图像、所述触发模式及所述重建后的触发模式,对所述初始隐写模型进行参数调整,生成所述图像隐写模型;
所述采用图像隐写方法将所述触发模式隐写嵌入至所述原始干净图像样本,生成毒化图像样本,包括:
基于所述图像隐写模型,将所述触发模式隐写嵌入至所述原始干净图像样本,生成毒化图像样本。
3.如权利要求2所述的方法,其特征在于,所述根据所述原始干净图像样本、所述初始毒化图像、所述触发模式及所述重建后的触发模式,对所述初始隐写模型进行参数调整,生成所述图像隐写模型,包括:
根据所述原始干净图像样本与所述初始毒化图像之间的图像误差,确定第一损失函数;
根据所述触发模式与所述重建后的触发模式之间的图像误差,确定第二损失函数;
根据所述第一损失函数及所述第二损失函数,对所述初始隐写模型进行参数调整,生成图像隐写模型。
4.如权利要求1所述的方法,其特征在于,所述初始后门关联参数包括初始后门传递参数及初始后门影响参数;
所述基于所述毒化图像样本和所述图像检测模型中的所述目标良性参数,对所述图像检测模型中的所述初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和所述目标良性参数的触发检测模型,包括:
对所述毒化图像样本进行特征提取,得到所述毒化图像样本对应的毒化图像特征,将所述毒化图像特征划分为图像良性特征及毒化后门特征;
将所述图像良性特征向所述毒化后门特征进行特征传递,得到第一特征传递结果,对所述毒化后门特征进行特征自传递,得到第二特征传递结果,根据所述第一特征传递结果和所述第二特征传递结果,对所述图像检测模型中的所述初始后门传递参数进行训练,确定已收敛的目标后门传递参数;
将所述毒化后门特征向所述图像良性特征进行特征传递,得到第三特征传递结果,根据所述第三特征传递结果对所述图像检测模型中的所述初始后门影响参数进行训练,确定已收敛的目标后门影响参数;
根据所述目标良性参数、所述目标后门传递参数及所述目标后门影响参数,生成触发检测模型。
5.如权利要求4所述的方法,其特征在于,所述根据所述第一特征传递结果和所述第二特征传递结果,对所述图像检测模型中的所述初始后门传递参数进行训练,确定已收敛的目标后门传递参数,包括:
根据所述第一特征传递结果和所述第二特征传递结果,得到针对所述毒化图像样本的样本预测结果;
获取所述毒化图像样本对应的样本毒化标签,根据所述样本毒化标签与所述样本预测结果生成第三损失函数;
根据所述第三损失函数对所述图像检测模型中的所述初始后门传递参数进行参数调整,确定已收敛的目标后门传递参数。
6.如权利要求5所述的方法,其特征在于,所述获取触发模式,包括:
获取所述样本毒化标签,获取k个纹理图像;k为正整数,k是根据所述原始干净图像样本中的语义对象数量确定的,所述原始干净图像样本中的语义对象数量是通过所述图像检测模型对所述原始干净图像样本进行预测得到的;
将所述k个纹理图像与所述样本毒化标签进行关联,根据所述k个纹理图像生成触发模式。
7.如权利要求6所述的方法,其特征在于,所述根据所述k个纹理图像生成触发模式,包括:
对所述k个纹理图像分别进行尺度变化,生成所述k个纹理图像分别对应的纹理金字塔;所述纹理金字塔包括纹理图像的h个纹理尺度图像,所述h个纹理尺度图像的图像尺寸不同;
获取所述原始干净图像样本对应的对象预测边框,获取所述对象预测边框的边框尺寸;
从所述k个纹理图像分别对应的纹理金字塔中,获取所述k个纹理图像分别对应的目标纹理尺度图像,基于所述k个纹理图像分别对应的目标纹理尺度图像生成触发模式;所述k个纹理图像分别对应的目标纹理尺度图像的图像尺寸与所述边框尺寸之间的尺寸相似度,小于或等于尺寸相似阈值。
8.如权利要求7所述的方法,其特征在于,所述对象预测边框的数量为k个;
所述基于所述k个纹理图像分别对应的目标纹理尺度图像生成触发模式,包括:
根据k个对象预测边框分别对应的边框尺寸,对所述k个纹理图像分别对应的目标纹理尺度图像进行图像裁剪,得到所述k个纹理图像分别对应的纹理裁剪图像;
获取k个对象预测边框分别在所述原始干净图像样本中的边框位置,基于所述k个对象预测边框分别对应的边框位置,对所述k个纹理图像分别对应的纹理裁剪图像进行组合处理,生成触发模式。
9.如权利要求4所述的方法,其特征在于,所述第三特征传递结果包括所述毒化后门特征的向量零空间;
所述将所述毒化后门特征向所述图像良性特征进行特征传递,得到第三特征传递结果,根据所述第三特征传递结果对所述图像检测模型中的所述初始后门影响参数进行训练,确定已收敛的目标后门影响参数,包括:
将所述毒化后门特征向所述图像良性特征进行特征传递,得到所述第三特征传递结果;
根据所述第三特征传递结果中的毒化后门特征的向量零空间、所述图像检测模型中的所述初始后门影响参数及所述毒化后门特征,生成第四损失函数;
基于所述第四损失函数对所述图像检测模型中的所述初始后门影响参数进行训练,确定已收敛的目标后门影响参数。
10.如权利要求1所述的方法,其特征在于,所述初始后门关联参数包括初始后门传递参数及初始后门影响参数;
所述基于所述毒化图像样本和所述图像检测模型中的所述目标良性参数,对所述图像检测模型中的所述初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和所述目标良性参数的触发检测模型,包括:
基于所述毒化图像样本和所述图像检测模型中的所述目标良性参数,对所述图像检测模型中的所述初始后门传递参数及所述初始后门影响参数进行训练,得到已收敛的目标后门传递参数及收敛后门影响参数;
获取所述图像检测模型中的所述目标良性参数,获取所述目标良性参数的范数及所述目标后门传递参数的范数;
基于所述目标良性参数的范数及所述目标后门传递参数的范数对所述收敛后门影响参数进行参数调整,得到包含已收敛的目标后门影响参数、所述目标后门传递参数和所述目标良性参数的触发检测模型;所述目标后门影响参数的范数是根据所述目标良性参数的范数及所述目标后门传递参数的范数确定的。
11.如权利要求1所述的方法,其特征在于,所述方法还包括:
响应针对所述目标图像的检测操作,将所述目标图像输入所述图像检测模型中进行预测,得到所述目标图像对应的常规图像类别;
将所述目标图像输入所述触发检测模型中进行预测,得到所述目标图像对应的检测图像类别;
若所述检测图像类别与所述常规图像类别之间的预测相似度大于或等于正常图像阈值,则将所述目标图像的后门触发状态确定为无效后门状态,向进行针对所述目标图像的检测操作的用户设备发送图像正常消息;
若所述检测图像类别与所述常规图像类别之间的预测相似度小于所述正常图像阈值,则将所述目标图像的后门触发状态确定为有效后门状态,向进行针对所述目标图像的检测操作的用户设备发送图像异常消息。
12.如权利要求1所述的方法,其特征在于,所述原始干净图像样本对应样本良性标签,所述毒化图像样本对应样本毒化标签;
所述方法还包括:
若获取到目标终端所使用的待检测模型,则将所述原始干净图像样本输入所述待检测模型中进行预测,得到所述原始干净图像样本对应的待测良性类别,将所述毒化图像样本输入所述待检测模型中进行预测,得到所述毒化图像样本对应的待测毒化类别;
若所述待测良性类别与所述样本良性标签相同,且所述待测毒化类别与所述样本毒化标签相同,则确定所述待检测模型为所述触发检测模型,向所述目标终端发送模型异常消息。
13.一种图像处理装置,其特征在于,所述装置包括:
初始模型获取模块,用于获取原始干净图像样本和初始检测模型;所述初始检测模型包括初始良性参数和初始后门关联参数;
良性训练模块,用于基于所述原始干净图像样本对初始检测模型中的所述初始良性参数进行训练,得到包含所述初始后门关联参数和已收敛的目标良性参数的图像检测模型;
后门获取模块,用于获取触发模式;
毒化样本生成模块,用于采用图像隐写方法将所述触发模式隐写嵌入至所述原始干净图像样本,生成毒化图像样本;所述图像隐写方法包括基于图像隐写模型的隐写方法,以及最低有效位算法;
触发模型训练模块,用于基于所述毒化图像样本和所述图像检测模型中的所述目标良性参数,对所述图像检测模型中的所述初始后门关联参数进行训练,得到包含已收敛的目标后门关联参数和所述目标良性参数的触发检测模型;所述触发检测模型用于检测目标图像中是否包含所述触发模式。
14.一种计算机设备,其特征在于,包括处理器、存储器、输入输出接口;
所述处理器分别与所述存储器和所述输入输出接口相连,其中,所述输入输出接口用于接收数据及输出数据,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,以使得所述计算机设备执行权利要求1-12任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序适于由处理器加载并执行,以使得具有所述处理器的计算机设备执行权利要求1-12任一项所述的方法。
CN202110529465.6A 2021-05-14 2021-05-14 一种图像处理方法、装置、计算机及可读存储介质 Active CN113762053B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110529465.6A CN113762053B (zh) 2021-05-14 2021-05-14 一种图像处理方法、装置、计算机及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110529465.6A CN113762053B (zh) 2021-05-14 2021-05-14 一种图像处理方法、装置、计算机及可读存储介质

Publications (2)

Publication Number Publication Date
CN113762053A CN113762053A (zh) 2021-12-07
CN113762053B true CN113762053B (zh) 2023-07-25

Family

ID=78787200

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110529465.6A Active CN113762053B (zh) 2021-05-14 2021-05-14 一种图像处理方法、装置、计算机及可读存储介质

Country Status (1)

Country Link
CN (1) CN113762053B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113792289B (zh) * 2021-11-16 2022-03-25 支付宝(杭州)信息技术有限公司 一种后门攻击的防御方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110222704A (zh) * 2019-06-12 2019-09-10 北京邮电大学 一种弱监督目标检测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11132444B2 (en) * 2018-04-16 2021-09-28 International Business Machines Corporation Using gradients to detect backdoors in neural networks
US11550914B2 (en) * 2019-06-26 2023-01-10 Hrl Laboratories, Llc System and method for detecting backdoor attacks in convolutional neural networks
US11568046B2 (en) * 2019-07-01 2023-01-31 University Of Florida Research Foundation, Inc. Trigger activation by repeated maximal clique sampling
CN111260059B (zh) * 2020-01-23 2023-06-02 复旦大学 视频分析神经网络模型的后门攻击方法
CN111914256B (zh) * 2020-07-17 2021-05-18 华中科技大学 一种机器学习训练数据受投毒攻击的防御方法
CN112163638B (zh) * 2020-10-20 2024-02-13 腾讯科技(深圳)有限公司 图像分类模型后门攻击的防御方法、装置、设备及介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110222704A (zh) * 2019-06-12 2019-09-10 北京邮电大学 一种弱监督目标检测方法及装置

Also Published As

Publication number Publication date
CN113762053A (zh) 2021-12-07

Similar Documents

Publication Publication Date Title
CN110502984B (zh) 图纸审查方法、装置、计算机设备和存储介质
CN111680672B (zh) 人脸活体检测方法、系统、装置、计算机设备和存储介质
US12045720B2 (en) Systems and methods for distributed data analytics
CN114331829A (zh) 一种对抗样本生成方法、装置、设备以及可读存储介质
CN111738280A (zh) 一种图像识别方法、装置、设备及可读存储介质
CN110909195A (zh) 基于区块链的图片标注方法、装置及存储介质、服务器
CN102227714A (zh) 用于数据处理的方法、系统和模拟模型或分析模型
CN114332586A (zh) 小目标检测方法及其装置、设备、介质、产品
CN114936377A (zh) 模型训练和身份匿名化方法、装置、设备及存储介质
CN113762053B (zh) 一种图像处理方法、装置、计算机及可读存储介质
CN115527101A (zh) 图像的篡改检测方法和处理器
CN114283281A (zh) 目标检测方法及其装置、设备、介质、产品
Kono et al. Passive video forgery detection considering spatio-temporal consistency
CN115205546A (zh) 模型训练方法和装置、电子设备、存储介质
CN115905605A (zh) 一种数据处理方法、设备以及计算机可读存储介质
CN109461110A (zh) 确定图片的溯源信息的方法及装置
CN111461091B (zh) 万能指纹生成方法和装置、存储介质及电子装置
CN117314713A (zh) 一种基于数字水印的证照防伪数据处理方法
CN116704269A (zh) 数据处理方法、装置、设备及存储介质
CN115019218A (zh) 图像处理方法和处理器
CN111931870B (zh) 基于模型复用的模型预测方法、模型预测装置及系统
CN114331791A (zh) 模型水印生成、模型侵权鉴定方法、装置和计算机设备
Hendrych et al. New approach to steganography detection via steganalysis framework
CN114510592A (zh) 图像分类方法、装置、电子设备及存储介质
Kumar et al. Studies on Steganography Images and Videos Using Deep Learning Techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant