CN114067184B - 一种基于噪声模式分类的对抗样本检测方法及系统 - Google Patents

一种基于噪声模式分类的对抗样本检测方法及系统 Download PDF

Info

Publication number
CN114067184B
CN114067184B CN202210047424.8A CN202210047424A CN114067184B CN 114067184 B CN114067184 B CN 114067184B CN 202210047424 A CN202210047424 A CN 202210047424A CN 114067184 B CN114067184 B CN 114067184B
Authority
CN
China
Prior art keywords
noise
layer
network
picture
neural network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210047424.8A
Other languages
English (en)
Other versions
CN114067184A (zh
Inventor
王中元
李向宇
於霄鹤
王骞
梁超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN202210047424.8A priority Critical patent/CN114067184B/zh
Publication of CN114067184A publication Critical patent/CN114067184A/zh
Application granted granted Critical
Publication of CN114067184B publication Critical patent/CN114067184B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Image Analysis (AREA)
  • Image Processing (AREA)

Abstract

本发明公开了一种基于噪声模式分类的对抗样本检测方法及系统,包括滤波器构建、噪声模式提取与分类。在滤波器构建中,使用下采样减少网络运算量同时保证感受野不变;使用噪声系数图给网络添加正则化,控制滤波强度和细节保留的平衡。在噪声模式提取中,通过MSCN系数刻画噪声模式,对噪声的失真程度进行量化表达,以获得更好的统计可分性。最后,建立神经网络对输入的噪声模式进行分类,以区分正常样本与对抗样本。本发明利用图像噪声模式之间的统计差异性实现对抗样本检测,具有检测精度高、普适性的优点。

Description

一种基于噪声模式分类的对抗样本检测方法及系统
技术领域
本发明属于人工智能安全技术领域,涉及一种对抗样本检测方法与系统,具体涉及一种基于噪声模式分类的对抗样本检测方法与系统。
背景技术
深度学习模型自身的脆弱性使其不可避免地面临诸多安全问题,其中,代表性的就是对抗样本攻击。对抗样本指的是添加人眼难以辨别的扰动,诱导模型产生错误的预测或分类。对抗样本攻击会对AI系统的可靠性和安全性带来严重的威胁。
当前针对对抗样本的防御方法,在模型层面的方法主要是修改网络、加固模型;在数据层面则是进行对抗训练、样本检测与过滤以及样本修复。然而,现有的针对对抗攻击的防御方法存在以下缺陷:
(1)对目标模型的参数过于依赖。黑盒攻击使用替代模型构造对抗样本,其本身的可迁移性使其在黑盒攻击中具有很好的泛化性,从而导致模型使用的白盒防御策略失效。
(2)大多数防御方法在实际中应用时,都需要一定程度上对模型的结构和参数进行修改,这为部署防御方法了引入了一定的成本。
(3)针对不同的攻击和数据集的泛化能力较差,应对某种攻击的防御方法很难推广到其他攻击方式上。
对抗样本检测技术能够判别样本是对抗样本还是正常样本,进而将对抗样本事先过滤掉或采取修复措施将其转化为正常样本,从而达到主动防御的目的。但是现有的对抗样本检测技术在精度、能检测的对抗噪声类型上尚需完善。不同对抗攻击方法产生的对抗噪声以及常规自然或随机噪声,具有各自的统计特性,彼此之间存在显著统计差异。
发明内容
为了解决上述技术问题,本发明从图像滤波、噪声模式提取和分类的角度优化对抗样本检测方法,提出了一种基于噪声模式分类的对抗样本检测方法及系统。
本发明的方法所采用的技术方案是:一种基于噪声模式分类的对抗样本检测方法,包括以下步骤:
步骤1:构建滤波卷积神经网络,并训练网络;
所述滤波卷积神经网络由下采样层、中间卷积网络层和上采样层组成;所述下采样层,用于将输入图片下采样为4张低分辨率的图像,结合给定的噪声系数σ组成的噪声系数图M,输出一张组合的5通道张量;所述中间卷积网络层,第一层由卷积核与ReLU激活函数构成,第二层由卷积核、ReLU激活函数和Batch Normalization层组成,最后一层由卷积核组成,所有卷积核都使用了zero-padding填充边界;所述上采样层,用于将卷积层的4通道输出上采样为单张高分辨率图像;
所述训练网络,首先对已有数据集生成随机的高斯噪声,将{原始数据,随机高斯噪声}作为输入,高斯噪声作为真实结果;输入进行前向传播,得到网络的预测值;接着计算网络输出与标签的损失值,然后反向传播梯度下降,更改网络每一层的权重;重复执行上述训练过程,直到达到训练条件或迭代次数,获得训练好的滤波卷积神经网络;
步骤2:利用训练好的滤波卷积神经网络,提取样本的噪声模式作为特征使用;
步骤3:将取得的噪声模式特征,输入二分类前馈网络,将图片本身是否为对抗样本作为标签对网络进行训练,获得能够通过噪声模式判断是否为对抗样本的二分类网络。
步骤 4:对需要进行判断的图片,首先通过步骤2中的方法提取图片的噪声并获取噪声模式,即128维特征;之后送入步骤3中得到的二分类网络进行判断,根据二分类的结果判断是否图片为对抗样本。
本发明的系统所采用的技术方案是:一种基于噪声模式分类的对抗样本检测系统,包括以下模块:
模块1,用于构建滤波卷积神经网络,并训练网络;
所述滤波卷积神经网络由下采样层、中间卷积网络层和上采样层组成;所述下采样层,用于将输入图片下采样为4张低分辨率的图像,结合给定的噪声系数σ组成的噪声系数图M,输出一张组合的5通道张量;所述中间卷积网络层,第一层由卷积核与ReLU激活函数构成,第二层由卷积核、ReLU激活函数和Batch Normalization层组成,最后一层由卷积核组成,所有卷积核都使用了zero-padding填充边界;所述上采样层,用于将卷积层的4通道输出上采样为单张高分辨率图像;
所述训练网络,首先对已有数据集生成随机的高斯噪声,将{原始数据,随机高斯噪声}作为输入,高斯噪声作为真实结果;输入进行前向传播,得到网络的预测值;接着计算网络输出与标签的损失值,然后反向传播梯度下降,更改网络每一层的权重;重复执行上述训练过程,直到达到训练条件或迭代次数,获得训练好的滤波卷积神经网络;
模块2,用于利用训练好的滤波卷积神经网络,提取样本的噪声模式作为特征使用;
模块3,用于将取得的噪声模式特征,输入二分类前馈网络,将图片本身是否为对抗样本作为标签对网络进行训练,获得能够通过噪声模式判断是否为对抗样本的二分类网络。
模块4,对于将需要进行判断的图片,首先通过模块2中的方法提取图片的噪声并获取噪声模式,即128维特征;之后送入模块3中得到的二分类网络进行判断,根据二分类的结果判断是否图片为对抗样本。
本发明通过提取输入图像上的噪声模式,构建分类系统,将恶意对抗样本与正常样本进行区分。与现有的对抗样本防御方法相比,本方法具有以下的优点与积极效果:
1)与一般的白盒防御策略相比,本方法采用黑盒防御策略,不需要知道用户模型的参数和结构,一定程度更加保护了用户的信息安全。同时无需改动用户模型本身的结构和参数,减少了部署所需要的各种成本。
2)现有的防御和检测方法主要是通过分析图像本身的性质,本发明则是通过分析图像噪声的模式,具有更高的检测精度;而且本发明方法具备普适性优点,能够防御不同对抗攻击方法。
附图说明
图1为本发明实施例的训练方法流程图;
图2为本发明实施例的下采样示意图;
图3为本发明实施例的上采样示意图;
图4为本发明实施例的MSCN系数直方图;
图5为本发明实施例的使用方法流程图。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施案例对本发明做进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
现有的对抗攻击防御方法主要集中在分析图像本身的失真程度,却忽略了生成对抗样本时在噪声域的统计特性。本发明通过对噪声域的统计规律分析,采用MSCN(meansubtracted contrast normalized)系数作为特征,以此来判断图像是否为对抗样本。
MSCN系数是无参考图像质量评估算法BRISQUE中提出的,MSCN系数具有因失真而改变的统计特性,量化这些变化可以预测影响图像的失真类型以及其感知质量。本发明从图像中提取MSCN系数,然后将MSCN系数拟合成广义高斯分布,提取拟合的高斯分布特征,输入分类器,检测正常样本与对抗样本。
请见图1,本发明提供的一种基于噪声模式分类的对抗样本检测方法,包括以下步骤:
步骤1:构建滤波卷积神经网络,并训练网络;
滤波卷积神经网络由下采样层、中间卷积网络层和上采样层组成;下采样层,用于将输入图片下采样为4张低分辨率的图像,结合给定的噪声系数σ组成的噪声系数图M,输出一张组合的5通道张量;中间卷积网络层,第一层由卷积核与ReLU激活函数构成,第二层由卷积核、ReLU激活函数和Batch Normalization层组成,最后一层由卷积核组成,所有卷积核都使用了zero-padding填充边界;上采样层,用于将卷积层的4通道输出上采样为单张高分辨率图像;
请见图2,本实施例构建一个下采样层,可以将一个Nch× H × W的输入图片采样为更低分辨率的4张Nch× H/2 × W/2的图片,其中Nch为输入图片的通道数,H为输入图片高度,W为输入图片宽度。随后添加一张由估计噪声系数σ组成的相同分辨率的噪声系数图,该系数图所有值均为噪声系数σ。此时下采样层会输出一个5 × Nch× H/2 × W/2的张量。
本实施例构建中间卷积网络层。第一层包含96个(4Nch+1)×3×3的卷积核和ReLU激活层。第二层包含96个(4Nch+1)×3×3的卷积核、BN层和ReLU激活层。最后一层包含96个(4Nch+1)×3×3卷积核。每一层都是用zero-padding保证数据维度不会因为深度改变。中间层卷积网络使用Batch Normalization层减轻神经网络的过拟合现象,使用噪声系数图M控制滤波强度和细节保留的平衡已达到正则化的效果。正则化使问题转换为如下:
Figure RE-333447DEST_PATH_IMAGE001
其中
Figure RE-827751DEST_PATH_IMAGE002
是与图像相关的正则化项;x代表神经网络预测的输出, y代表真实值,
Figure RE-669805DEST_PATH_IMAGE003
为正则化后的最终输出;λ由σ控制,故可以通过σ控制神经网络拟合的效果,同时控制滤 波强度和细节保留。
请见图3,本实施例构建一个上采样层,将卷积网络输出的4 × Nch× H/2 × W/2张量还原为输入时的原始大小,即Nch× H × W。
本实施例训练网络,首先对已有数据集生成随机的高斯噪声,将{原始数据,随机高斯噪声}作为输入,高斯噪声作为真实结果;输入进行前向传播,得到网络的预测值;接着计算网络输出与标签的损失值,然后反向传播梯度下降,更改网络每一层的权重;重复执行上述训练过程,直到达到训练条件或迭代次数,获得训练好的滤波卷积神经网络;
本实施例中,根据已有图像的大小,生成同样大小的高斯分布噪声。该噪声有如下特征。
Figure RE-612484DEST_PATH_IMAGE004
其中,
Figure RE-754753DEST_PATH_IMAGE005
为生成噪声的均值,std为噪声的标准差。噪声系数σ在均匀分布区间 中随机采样。对与得到的噪声,与原始图像相加,得到输入,同时把噪声作为真实结果。此时 数据集由输入输出对组成:
Figure RE-888800DEST_PATH_IMAGE006
Figure RE-952570DEST_PATH_IMAGE007
为噪声图像(由原始图像Ij添加高斯噪声Nj得来的),Mj为对应的噪声系数图,
Figure RE-964520DEST_PATH_IMAGE008
组合为输入;Nj为根据噪声系数σ随机生成的高斯噪声;m为神经网络每次前向传播 的样本数量。
滤波卷积神经网络训练过程中,采用损失函数为LOSS,并使用Adam优化器更新网络参数θ;
Figure RE-695716DEST_PATH_IMAGE009
其中,θ为滤波卷积神经网络参数。
步骤2:利用训练好的滤波卷积神经网络,提取样本的噪声模式作为特征使用;
本实施例中,步骤2的具体实现包括以下子步骤:
步骤2.1:将待处理图片输入利用训练好的滤波卷积神经网络中进行滤波得到噪 声图
Figure RE-994805DEST_PATH_IMAGE010
;其中,
Figure RE-811451DEST_PATH_IMAGE011
分别输入的图像和其噪声系数图;θ为滤波卷积神经网络 参数;
步骤2.2 :构建2D循环对称高斯核w
本实施例中,2D循环对称高斯核w,由
Figure RE-361512DEST_PATH_IMAGE012
计算得来,其中,
Figure RE-212793DEST_PATH_IMAGE013
x, y代表像素的模板坐标,模板中心位置为原点,
Figure RE-688643DEST_PATH_IMAGE014
表示高斯 函数的方差。
步骤2.3 :将步骤2.1中的噪声图
Figure RE-992585DEST_PATH_IMAGE015
与2D循环对称高斯核w进行卷积操作从而计算 出局部均值μ;
本实施例中,局部均值
Figure RE-80758DEST_PATH_IMAGE016
;其中,
Figure RE-856133DEST_PATH_IMAGE018
为2D循环对称高斯核中心偏移 (k,l)处的图像强度;
Figure RE-896639DEST_PATH_IMAGE019
表达的是以坐标(i,j)为中心偏移(k,l)处的图像强度,K、L 为用于约束卷积核大小的参数。
步骤2.4 :计算局部方差
Figure RE-37771DEST_PATH_IMAGE020
本实施例中,局部方差
Figure RE-83218DEST_PATH_IMAGE020
是原始图像与局部均值的差的平方的高斯模糊,具体计 算如下:
Figure RE-713920DEST_PATH_IMAGE021
步骤2.5 :通过原始图像,均值以及方差,计算图像总体的MSCN系数图;
本实施例的MSCN系数为:
Figure RE-976142DEST_PATH_IMAGE022
其中, I(i,j)表示图像坐标为(i,j)处的图像强度,设置小常量c防止分母趋近于0的情况。
步骤2.6 :将MSCN系数图,按照各数值所出现的频率进行统计,并将其约束在一定的范围内,并将其划分成若干段,得到噪声模式作为特征使用。
请见图4,为本实施例的MSCN系数直方图,在-2.5至2.5的范围内将其划分为128段,从图上可以看出对抗样本和干净样本在MSCN系数的频数上存在明显差异,在0值附近对抗样本的频数明显大于干净样本。将128段的频数作为128维特征,并将图片本身是否为对抗样本作为二分类的标签,即得到噪声模式用于训练。
步骤3:将取得的噪声模式,输入分类前馈网络进行训练,获得能够通过噪声模式判断是否为对抗样本的二分类网络。
本实施例中,分类前馈网络,第一层和最后一层由全连接层组成,中间层由全连接层、Batch Normalization层和ReLU激活层组成;损失函数为交叉熵损失函数。
本实施例对步骤2.6中已获得的128维特征,与图片是否为对抗样本的标签,一起送入分类前馈网络中训练,重复这一步,直到损失收敛或达到迭代条件。获得训练好的分类前馈网络。
步骤4:对于需要进行判断的图片,首先通过步骤2中的方法提取图片的噪声并获取噪声模式,即128维特征;之后送入步骤3中得到的二分类网络进行判断,根据二分类的结果判断是否图片为对抗样本。具体流程见图5。
本发明利用噪声模式刻画噪声的统计分布特性,通过提取输入图像的噪声模式,并对噪声模式进行分类,实现恶意对抗样本的准确检测。
本发明包括滤波器构建、噪声模式提取及模式分类。在滤波器构建中,使用下采样减少网络运算量同时保证感受野不变;使用噪声系数图给网络添加正则化,使得可以控制滤波强度和细节保留的平衡;在噪声模式提取中,对噪声的失真程度进行量化提取、统计MSCN系数替代对原始图像的失真程度分析,以此来分析对抗样本更深层次的扰动;最后,通过神经网络对输入的噪声模式进行分类。本发明通过对原始图像进行滤波,分析噪声模式,来判断输入的图像为对抗样本还是正常样本,从而能事先过滤对抗样本,防止对抗样本干扰用户模型的正常工作。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。

Claims (10)

1.一种基于噪声模式分类的对抗样本检测方法,其特征在于,包括以下步骤:
步骤1:构建滤波卷积神经网络,并训练网络;
所述滤波卷积神经网络由下采样层、中间卷积网络层和上采样层组成;所述下采样层,用于将输入图片下采样为4张低分辨率的图像,结合给定的噪声系数σ组成的噪声系数图M,输出一张组合的5通道张量;所述中间卷积网络层,第一层由卷积核与ReLU激活函数构成,第二层由卷积核、ReLU激活函数和Batch Normalization层组成,最后一层由卷积核组成,所有卷积核都使用了zero-padding填充边界;所述上采样层,用于将卷积层的4通道输出上采样为单张高分辨率图像;
所述训练网络,首先对已有数据集生成随机的高斯噪声,将{原始数据,随机高斯噪声}作为输入,高斯噪声作为真实结果;输入进行前向传播,得到网络的预测值;接着计算网络输出与标签的损失值,然后反向传播梯度下降,更改网络每一层的权重;重复执行上述训练过程,直到达到训练条件或迭代次数,获得训练好的滤波卷积神经网络;
步骤2:利用训练好的滤波卷积神经网络,提取样本的噪声模式作为特征使用;
步骤3:将取得的噪声模式特征,输入二分类前馈网络,将图片本身是否为对抗样本作为标签对网络进行训练,获得能够通过噪声模式判断是否为对抗样本的二分类网络;
步骤 4:用于对需要进行判断的图片,首先通过步骤2中的方法提取图片的噪声并获取噪声模式;之后送入步骤3中得到的二分类网络进行判断,根据二分类的结果判断是否图片为对抗样本。
2. 根据权利要求1所述的基于噪声模式分类的对抗样本检测方法,其特征在于:步骤1中,中间卷积网络层,第一层包含96个(4Nch+1)×3×3的卷积核和ReLU激活层;第二层包含96个(4Nch+1)×3×3的卷积核、Batch Normalization层和ReLU激活层;最后一层包含96个(4Nch+1)×3×3卷积核;每一层都是用zero-padding保证数据维度不会因为深度改变。
3.根据权利要求1或2所述的基于噪声模式分类的对抗样本检测方法,其特征在于:步骤1中,所述滤波卷积神经网络训练过程中,采用损失函数为LOSS,并使用Adam优化器更新网络参数θ;
Figure DEST_PATH_IMAGE002
其中,
Figure DEST_PATH_IMAGE004
为噪声图像,由原始图像Ij添加高斯噪声Nj得来的;Mj为对应的噪声系数图;θ为滤波卷积神经网络参数;m为每次前向传播的样本数量。
4.根据权利要求1所述的基于噪声模式分类的对抗样本检测方法,其特征在于,步骤2的具体实现包括以下子步骤:
步骤2.1:将待处理图片输入利用训练好的滤波卷积神经网络中进行滤波得到噪声
Figure DEST_PATH_IMAGE006
;其中,
Figure DEST_PATH_IMAGE008
为噪声图像,由原始图像I添加高斯噪声N得来的;M为对应的噪声系数图;θ为滤波卷积神经网络参数;
步骤2.2 :构建2D循环对称高斯核w
步骤2.3 :将步骤2.1中的噪声
Figure DEST_PATH_IMAGE010
与循环对称高斯核w进行卷积操作从而计算出局部均值μ;
步骤2.4 :计算原始图像与局部均值的差的平方的高斯模糊
Figure DEST_PATH_IMAGE012
步骤2.5 :通过原始图像,均值以及
Figure 828320DEST_PATH_IMAGE012
,计算图像总体的MSCN系数图;
步骤2.6 :将MSCN系数图,按照各数值所出现的频率进行统计,并将其约束在一定的范围内,并将其划分成若干段,得到噪声模式作为特征使用。
5. 根据权利要求4所述的基于噪声模式分类的对抗样本检测方法,其特征在于:步骤2.2中所述2D循环对称高斯核w,由
Figure DEST_PATH_IMAGE014
计算得来,其中,
Figure DEST_PATH_IMAGE016
x,y代表像素的模板坐标,模板中心位置为原点,
Figure DEST_PATH_IMAGE018
表示高斯函数的方差。
6. 根据权利要求5所述的基于噪声模式分类的对抗样本检测方法,其特征在于:步骤2.3中局部均值
Figure DEST_PATH_IMAGE020
;其中,
Figure DEST_PATH_IMAGE024
为2D循环对称高斯核中心偏移 (k,l)处的图像强度;
Figure DEST_PATH_IMAGE026
表达的是以坐标(i,j)为中心偏移(k,l)处的图像强度,K、L为用于约束卷积核大小的参数。
7.根据权利要求6所述的基于噪声模式分类的对抗样本检测方法,其特征在于:步骤2.4中,
Figure DEST_PATH_IMAGE027
具体计算如下:
Figure DEST_PATH_IMAGE029
8.根据权利要求7所述的基于噪声模式分类的对抗样本检测方法,其特征在于:步骤2.5中,MSCN系数为:
Figure DEST_PATH_IMAGE031
其中, I(i,j)表示图像坐标为(i,j)处的图像强度,设置小常量c防止分母趋近于0的情况。
9. 根据权利要求1所述的基于噪声模式分类的对抗样本检测方法,其特征在于:步骤3中所述分类前馈网络,第一层和最后一层由全连接层组成,中间层由全连接层、BatchNormalization层和ReLU激活层组成;损失函数为交叉熵损失函数。
10.一种基于噪声模式分类的对抗样本检测系统,其特征在于,包括以下模块:
模块1,用于构建滤波卷积神经网络,并训练网络;
所述滤波卷积神经网络由下采样层、中间卷积网络层和上采样层组成;所述下采样层,用于将输入图片下采样为4张低分辨率的图像,结合给定的噪声系数σ组成的噪声系数图M,输出一张组合的5通道张量;所述中间卷积网络层,第一层由卷积核与ReLU激活函数构成,第二层由卷积核、ReLU激活函数和Batch Normalization层组成,最后一层由卷积核组成,所有卷积核都使用了zero-padding填充边界;所述上采样层,用于将卷积层的4通道输出上采样为单张高分辨率图像;
所述训练网络,首先对已有数据集生成随机的高斯噪声,将{原始数据,随机高斯噪声}作为输入,高斯噪声作为真实结果;输入进行前向传播,得到网络的预测值;接着计算网络输出与标签的损失值,然后反向传播梯度下降,更改网络每一层的权重;重复执行上述训练过程,直到达到训练条件或迭代次数,获得训练好的滤波卷积神经网络;
模块2,用于利用训练好的滤波卷积神经网络,提取样本的噪声模式作为特征使用;
模块3,用于将取得的噪声模式特征,输入二分类前馈网络,将图片本身是否为对抗样本作为标签对网络进行训练,获得能够通过噪声模式判断是否为对抗样本的二分类网络;
模块 4,用于对需要进行判断的图片,首先通过模块2中的方法提取图片的噪声并获取噪声模式;之后送入模块3中得到的二分类网络进行判断,根据二分类的结果判断是否图片为对抗样本。
CN202210047424.8A 2022-01-17 2022-01-17 一种基于噪声模式分类的对抗样本检测方法及系统 Active CN114067184B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210047424.8A CN114067184B (zh) 2022-01-17 2022-01-17 一种基于噪声模式分类的对抗样本检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210047424.8A CN114067184B (zh) 2022-01-17 2022-01-17 一种基于噪声模式分类的对抗样本检测方法及系统

Publications (2)

Publication Number Publication Date
CN114067184A CN114067184A (zh) 2022-02-18
CN114067184B true CN114067184B (zh) 2022-04-15

Family

ID=80231156

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210047424.8A Active CN114067184B (zh) 2022-01-17 2022-01-17 一种基于噪声模式分类的对抗样本检测方法及系统

Country Status (1)

Country Link
CN (1) CN114067184B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108765319A (zh) * 2018-05-09 2018-11-06 大连理工大学 一种基于生成对抗网络的图像去噪方法
CN109948663A (zh) * 2019-02-27 2019-06-28 天津大学 一种基于模型抽取的步长自适应的对抗攻击方法
CN110021049A (zh) * 2019-03-29 2019-07-16 武汉大学 一种面向深度神经网络的基于空间约束的高隐蔽性对抗性图像攻击方法
CN111340214A (zh) * 2020-02-21 2020-06-26 腾讯科技(深圳)有限公司 对抗攻击模型的训练方法及装置
CN111598805A (zh) * 2020-05-13 2020-08-28 华中科技大学 一种基于vae-gan的对抗样本防御方法及系统
CN113449783A (zh) * 2021-06-17 2021-09-28 广州大学 一种对抗样本生成方法、系统、计算机设备和存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11606389B2 (en) * 2019-08-29 2023-03-14 Nec Corporation Anomaly detection with graph adversarial training in computer systems

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108765319A (zh) * 2018-05-09 2018-11-06 大连理工大学 一种基于生成对抗网络的图像去噪方法
CN109948663A (zh) * 2019-02-27 2019-06-28 天津大学 一种基于模型抽取的步长自适应的对抗攻击方法
CN110021049A (zh) * 2019-03-29 2019-07-16 武汉大学 一种面向深度神经网络的基于空间约束的高隐蔽性对抗性图像攻击方法
CN111340214A (zh) * 2020-02-21 2020-06-26 腾讯科技(深圳)有限公司 对抗攻击模型的训练方法及装置
CN111598805A (zh) * 2020-05-13 2020-08-28 华中科技大学 一种基于vae-gan的对抗样本防御方法及系统
CN113449783A (zh) * 2021-06-17 2021-09-28 广州大学 一种对抗样本生成方法、系统、计算机设备和存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Adversarial attack and defense on graph data: A survey;Sun L等;《arXiv preprint arXiv:1812.10528》;20181226;第1-18页 *
带参考图像通道的卷积神经网络随机脉冲噪声降噪算法;李崇禧等;《光电子·激光》;20191130(第11期);第1163-1171页 *

Also Published As

Publication number Publication date
CN114067184A (zh) 2022-02-18

Similar Documents

Publication Publication Date Title
CN113554089B (zh) 一种图像分类对抗样本防御方法、系统及数据处理终端
US20210089895A1 (en) Device and method for generating a counterfactual data sample for a neural network
CN110163302B (zh) 基于正则化注意力卷积神经网络的示功图识别方法
CN112036513B (zh) 基于内存增强潜在空间自回归的图像异常检测方法
CN111753881A (zh) 一种基于概念敏感性量化识别对抗攻击的防御方法
Choi et al. Detecting composite image manipulation based on deep neural networks
CN111915486B (zh) 基于图像超分辨重建的对抗样本防御方法
CN110276357A (zh) 一种基于卷积神经网络的验证码识别方法
CN115588226A (zh) 一种高鲁棒性的深度伪造人脸检测方法
CN112561881A (zh) 基于评价模型的红外图像自适应数据增强方法
CN114463843A (zh) 一种基于深度学习的多特征融合鱼类异常行为检测方法
CN116912568A (zh) 基于自适应类别均衡的含噪声标签图像识别方法
CN103325123A (zh) 一种基于自适应神经模糊推理系统的图像边缘检测方法
CN116740728B (zh) 一种用于晶圆读码器动态获取方法和系统
CN114067184B (zh) 一种基于噪声模式分类的对抗样本检测方法及系统
CN113723239A (zh) 一种基于因果关系的磁共振图像分类方法及系统
Rahmi et al. Offline signature recognition using back propagation neural network
CN116680639A (zh) 一种基于深度学习的深海潜水器传感器数据的异常检测方法
Anwar et al. A neural network approach to edge detection using adaptive neuro-fuzzy inference system
CN113487506B (zh) 基于注意力去噪的对抗样本防御方法、装置和系统
Chakravarthy et al. DR-NET: A Stacked Convolutional Classifier Framework for Detection of Diabetic Retinopathy
CN104239903A (zh) 一种基于qpso算法的图像边缘检测方法
CN115424093A (zh) 一种识别眼底图像中细胞的方法及装置
CN112580705B (zh) 一种基于深度前馈网络的高光谱分类方法
CN111353403A (zh) 一种深度神经网络图像对抗样本检测方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant