CN114492832A

CN114492832A - 一种基于联想学习的选择性攻击方法及装置

Info

Publication number: CN114492832A
Application number: CN202111599832.6A
Authority: CN
Inventors: 张宝昌; 王润琪; 薛松; 段晓玥
Original assignee: Beihang University
Current assignee: Beihang University
Priority date: 2021-12-24
Filing date: 2021-12-24
Publication date: 2022-05-13

Abstract

本发明提供一种基于联想学习的选择性攻击方法及装置，所述方法包括：根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力；根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。本发明提供的基于联想学习的选择性攻击方法及装置，基于全局扰动和空间注意力之间的耦合关系，对空间注意力进行优化生成联想注意力，并且基于联想注意力可以更好的实现对输入图像的关键区域的攻击。

Description

一种基于联想学习的选择性攻击方法及装置

技术领域

本发明涉及计算机视觉技术领域，尤其涉及一种基于联想学习的选择性攻击方法及装置。

背景技术

对图像识别系统的对抗性攻击在干净图像中加入了轻微扰动。一个良性输入的轻微扰动就能极大地改变深度神经网络(DNN)模型的性能。这种变化表明，DNN模型没有学习到基本的视觉概念，应对对抗性攻击的鲁棒性较差。许多方法也被提出来抵御这些攻击。对抗性训练被认为是最有效的防御措施之一。通过向输入图像中添加对抗性样本进行再训练，使模型更有能力防御攻击。Goodfellow于2014提出了快速梯度符号法(FGSM)来生成对抗性样本，Kurakin于2016提出了基本迭代法(BIM)，它需要多个的FGSM步骤来改进FGSM；Madry于2017提出了投影梯度下降法(PGD)来执行对抗性攻击，它是BIM的一个变种，以均匀随机噪声作为初始化。然而，这些方法通常会向输入图像样本添加全局扰动。然而，对抗性训练中的全局攻击会影响图像的关键区域和数据分布。

尽管传统的对抗性训练策略可以提高被攻击图像的识别性能，但它们在干净图像上的性能会受到影响。此外，它们在其他具有挑战性的任务中的潜力也没有得到彻底的研究，如少数照片学习和目标检测。部分原因在于传统的对抗性训练方法没有选择的对抗性攻击添加到整个输入图像中，而没有一个区域选择过程。

虽然空间注意已经被引入，以实现输入图像的区域选择。然而，空间注意力只能在输入图像上捕捉与任务目标直接相关的区域。当输入图像受到攻击时，不重要的区域可能被给予过多的注意，因此关键区域可能由于扰动的存在而被注意力所忽略。

因此，需要改进注意力，以便更好地实现对输入图像关键区域的攻击。

发明内容

本发明提供一种基于联想学习的选择性攻击方法，用以解决现有技术中难以实现对输入图像的关键区域进行攻击的缺陷。

第一方面，本发明提供一种基于联想学习的选择性攻击方法，包括：根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力；根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。

根据本发明提供的一种基于联想学习的选择性攻击方法，在根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化之前，获取输入图像的全局扰动；所述全局扰动的表达式为：

其中，δ为全局扰动，x∈R^H×H表示输入图像x的尺寸为H×H；G(W,x)为交叉熵损失函数，W为深度神经网络模型的权重；∈为扰动边界，

表示所述交叉熵损失函数关于x的梯度，sign()为符号函数。

根据本发明提供的一种基于联想学习的选择性攻击方法，所述根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力，包括：

设置对所述空间注意力进行优化的目标函数；

基于所述目标函数，确定所述空间注意力的更新策略；

基于所述更新策略对所述空间注意力进行更新，以生成所述联想注意力；

所述目标函数的表达式为：

所述更新策略的表达式为：

其中，Φ{W,M,δ}为深度神经网络模型；M为所述空间注意力；y为所述输入图像x的标签；M^a为所述联想注意力；ξ₁为第一学习率，ξ₂为第二学习率；Tr()表示矩阵的迹。

根据本发明提供的一种基于联想学习的选择性攻击方法，所述基于所述更新策略对所述空间注意力进行更新，以生成联想注意力，包括：

设置

δ＝[δ₁,…,δ_H]，M＝[M₁,…,M_H]^T；

将所述更新策略转化为投影函数，以对

进行回溯；

其中，ξ₂γ为回溯的步长；γ为

的线性核函数；P()为所述投影函数；

为列向量；δ₁,…,δ_H为列向量；M₁,…,M_H为行向量；°为Hadamard积运算符；

表示矩阵

的第n个列向量。

根据本发明提供的一种基于联想学习的选择性攻击方法，在将所述更新策略转化为投影函数，以对

进行回溯之后，设置回溯的触发条件；

所述触发条件的表达式为：

其中，

表示

的排名；ζ为预设回溯阈值M_n,m表示M矩阵的第n行，第m列的矩阵元素；

表示

矩阵的第n行，第m列的矩阵元素；

表示M^a矩阵的第n行，第m列的矩阵元素；δ_n,m表示δ矩阵的第n行，第m列的矩阵元素。

根据本发明提供的一种基于联想学习的选择性攻击方法，所述根据所述联想注意力和所述全局扰动，生成选择性扰动，其计算公式为：

其中，η为选择性扰动；k()为核函数。

根据本发明提供的一种基于联想学习的选择性攻击方法，根据所述选择性扰动，对所述输入图像进行选择性攻击，包括：通过所述选择性扰动所对应的核函数的类型，确定对所述输入图像进行选择性攻击的关键区域，以生成对抗性样本；采用所述对抗性样本对所述深度神经网络模型进行对抗性训练。

第二方面，本发明还提供一种基于联想学习的选择性攻击装置，包括：

联想注意力生成模块，用于根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力；

选择性攻击模块，用于根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。

第三方面，本发明提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述基于联想学习的选择性攻击方法的步骤。

第四方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述基于联想学习的选择性攻击方法的步骤。

本发明提供的基于联想学习的选择性攻击方法及装置，基于全局扰动和空间注意力之间的耦合关系，对空间注意力进行优化生成联想注意力，并且基于联想注意力可以更好的实现对输入图像的关键区域的攻击。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的基于联想学习的选择性攻击方法的流程示意图；

图2是本发明提供的联想对抗学习框架示意图；

图3是本发明提供的对抗性训练结果对比图之一；

图4是本发明提供的对抗性训练结果对比图之二；

图5是本发明提供的基于联想学习的选择性攻击装置的结构示意图；

图6是本发明提供的电子设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本发明实施例的描述中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。

下面结合图1-图6描述本发明实施例所提供的基于联想学习的选择性攻击方法和装置。

图1是本发明提供的基于联想学习的选择性攻击方法的流程示意图，如图1所示，包括但不限于以下步骤：

步骤101：根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力。

对于一个全局对抗性样本(图像)，其典型的输入表达式为：x′＝x+δ。

其中，x∈R^H×H表示尺寸为H×H的输入图像；输入图像即为未添加扰动的干净图像，δ为添加到干净图像的全局扰动，x′为全局对抗性图像。

全局扰动的表达式可为：

表示所述交叉熵损失函数关于x的梯度，sign()为符号函数。

可选地，基于空间注意力机制，可以获取干净图像的空间注意力。注意力机制可以应用于图像中的定位和理解，图像分割，图像字幕，以及读唇。然而，空间注意力只能在干净图像上捕捉与任务目标直接相关的区域。当干净图像受到攻击时，不重要的区域可能被给予过多的注意，因此关键区域可能由于扰动的存在而被注意所忽略。

空间注意力和全局扰动被传统地认为是相互独立的，然而，它们是耦合的。例如，空间注意力可以在输入图像中识别关键区域，但当输入图像被攻击时，如果预测模型预测错误，空间注意力可能会被错误地导向一个错误类别的更有价值的区域。

联想学习可以模仿人类的认知过程，即通过联想以前学习过的类似的或相关的知识特征来建立新知识。当人类看到一个被扰乱的图像区域时，他们可以回忆起一个相关的干净图像，并纠正受扰乱影响的区域。受此启发，本发明引入了联想注意力，通过利用空间注意力和全局扰动之间的耦合信息，将对抗性图像和干净图形联系起来，选择关键的图像区域进行攻击。

步骤102：根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。

可选地，根据核化的联想注意力和全局扰动可以生成选择性扰动，并且将所述选择性扰动加入输入图像，便可实现对输入图像的选择性攻击。

本发明提供了一种基于联想学习的选择性攻击方法，基于全局扰动和空间注意力之间的耦合关系，对空间注意力进行优化生成联想注意力，并且基于联想注意力可以更好的实现对输入图像的关键区域的攻击。

可选地，为了计算联想注意力，本发明中定义了三个不同的联想注意力变量M、

和M^a。其中，M为根据注意力机制CBAM获取的干净图像的原始的空间注意力；当使用传统的攻击方法计算局部扰动时，M同时通过梯度下降更新为

基于

与全局扰动δ的耦合关系，

被进一步回溯，以获取最终的联想注意力M^a。

对初始的空间注意力M进行优化的目标函数被定义为：

其中，Φ{W,M,δ}为深度神经网络模型；M为所述空间注意力；y为所述输入图像x的标签；M^a为所述联想注意力；G是交叉熵损失函数。

传统的对抗性学习方法通过最小化目标函数来独立解决适当的扰动和注意力。而本发明考虑M和δ之间的耦合信息，在梯度下降的基础上计算M^a，并定义了一种新的基于链式规则的空间注意力更新策略。

其中，ξ₁为第一学习率，ξ₂为第二学习率；Tr()表示矩阵的迹。本发明进一步的定义：

其中，

是通过考虑如公式(2)的耦合优化问题来定义的，则：

本发明定义

δ＝[δ₁,…,δ_H],M＝[M₁,…,M_H]^T。

需要说明的是，以下公式中，出现的含有下标的变量，只有一个下标的变量为向量，含两个下标的变量为矩阵元素。例如，

表示

的第n个列向量，δ_m表示δ的第m个列向量，M_1,m表示M矩阵的第1行第m列的矩阵元素，M_H,m表示M矩阵的第H行第m列的矩阵元素，M_n,m为第n行第m列的矩阵元素。

其中，

为列向量，δ₁,…,δ_H为δ的列向量，M₁,…,M_H为M的行向量；假设δ和M中的矩阵元素在不同列时是相互独立的，则：

结合公式6和公式7，可以得到：

因此，公式(5)可以表示为：

进一步地，定义

为：

结合公式(3)、(9)和(10)，可以得到进行回溯的方法，则M^a的计算公式为：

其中，ξ₂γ为回溯的步长；γ为

的线性核函数；P()为所述投影函数。为了简化计算，

可以用

近似，它表示δ相对于M的变化。公式(11)表明本发明实际上是基于一个投影函数来解决耦合优化问题。

为了更好地联想干净图像和对抗性图像，M^a在更新过程中需要对严重扰动区域的注意力进行补偿。

为此，本发明引入了回溯的触发条件，定义为：

其中，δ_n,m表示扰动矩阵的元素，P()表示投影函数，如公式11所示，

会产生m×n个元素，

表示

即表示

的排名。若该排名大于预设回溯阈值ζ，则触发回溯条件，M_n,m表示M矩阵的第n行，第m列的矩阵元素；

表示

矩阵的第n行，第m列的矩阵元素；

本发明通过介绍空间注意力和全局扰动之间的耦合关系，说明了空间注意力会一定程度上误导关键区域的学习；进一步地，本发明提供了一种注意力回溯的方法，以获得与人类联想机制一致的稳健的联想注意力，并进一步阐述联想注意力是如何计算的：

本发明将空间注意力和全局扰动之间的内在关系表述为一个耦合优化问题，以改善它们的互动。特别是，传统对抗性攻击的全局扰动被用于注意力回溯，改进后的联想注意力被用于定位选择性攻击的关键区域。

根据所述联想注意力和所述全局扰动生成选择性扰动，其计算公式为：

其中，η为选择性扰动；k()为核函数，M^a∈R^H×H是联想注意力，

表示Hadamard积。

本发明提供了一种利用联想注意力来选择关键区域以应用扰动的方法，这种方法的优势在于它可以处理不同的任务，包括对抗性训练、目标检测和少量学习。每项任务的不同之处在于选择进行攻击的关键区域。例如，对图像背景的攻击可以加强深度神经网络模型的特征提取能力，而对前景的攻击可以提高深度神经网络模型在对抗训练和目标检测中的泛化能力和稳健性。为此，本发明针对不同的任务引入了联想注意力的内核化版本，以选择背景或前景进行选择性攻击。

例如，当k(M^a)＝M^a或者

时，此时对输入图像进行选择性攻击的关键区域为前景；当

时，此时对输入图像进行选择性攻击的关键区域常为背景。

选择性攻击的目标对抗性样本由以下方式获得:

通过上述方式，可以获得更多的目标对抗性样本，以对深度神经网络模型进行对抗性训练。

图2是本发明提供的联想对抗学习框架示意图，如图2所示，本发明基于协同扰动和空间注意之间的耦合信息，对空间注意力进行优化生成了联想注意力，最终通过核化的联想注意力引导对干净图像的攻击，最终生成对抗图像对深度神经网络模型进行训练，以提高对抗的鲁棒性。

为了验证联想对抗学习(Associative adversarial learning，AAL)的有效性，本发明在对抗训练任务上进行了如下测试：

CIFAR10是一个流行的图像识别数据集，它包含60K图像，其中50K图像为训练集，其余10K图像为测试集。这些图像包括10个不同的类别，分辨率为32×32。ImageNet ILSVRC2012是一个常用的大规模图像识别数据集，包含1000个类别，有120万张训练图像和50K张验证图像。

本发明在CIFAR10和ImageNet数据集中都进行了实验。首先，对CIFAR10采用ResNet-18或WRN-34-10进行测试，而对ImageNet采用ResNet-50进行测试。本发明在CIFAR10和ImageNet上使用FGSM对抗性训练方法，其扰动边界取8/255，步长取2/255。并在CIFAR10上使用PGD，其扰动边界取8/255，步长为2/255，迭代次数为10。本发明采用SGD优化器，动量为0.9，权重衰减为5*10^{-4}。CIFAR10的初始学习率被设定为0.1，ImageNet的初始学习率为0.2。

在本发明中，可以设定联想注意力中的参数如下：ξ₂＝0.1，ζ＝0.1，

本发明在CIFAR10上训练250个回合，在ImageNet上训练250个回合；并且在干净图像的数据集、FGSM攻击和PGD-10攻击下评估AAL方法。

图3是本发明提供的对抗性训练结果对比图之一，如图3所示，图3比较了AAL和其他不同对抗性训练在CIFAR10上的结果。比较AAL+FGSM训练和干净训练，值得注意的是，尽管在干净图像数据集上，干净训练的验证精度略好于AAL+FGSM(95.46％vs95.40％)，但AAL+FGSM明显提高了模型的对抗性稳健性(20.18％vs83.85％)。

此外，将AAL整合到FGSM(AAL+FGSM)后，FGSM基线的验证准确率增加了2.85％(从92.55％到95.40％)，1.45％(从82.40％到83.85％)，和1.25％(从41.64％到42.89％)，分别在干净图像数据集、FGSM对抗性数据集和PGD对抗性数据集。同样，与PGD基线相比，AAL+PGD训练的准确率在三个验证数据集上分别增加了2.82％(从86.88％到89.70％)、6.1％(从62.68％到68.78％)和13.19％(从47.69％到60.88％)。

图4是本发明提供的对抗性训练结果对比图之二，如图4所示，图4显示了在ImageNet上的比较结果。AAL使FGSM方法在干净图像数据集和FGSM对抗性数据集上的验证精度分别提高了13.99％(从58.74到72.73％)和8.32％(从52.64％到60.96％)，并且在干净图像数据集上的验证精度(72.73％)几乎等同于干净训练的精度(73.80％)。

结果表明，AAL确实可以增强深度神经网络模型对扰动的鲁棒性，同时不失其从干净图像中调用信息的泛化能力，从而有效促进性能的提高。

图5是本发明提供的基于联想学习的选择性攻击装置的结构示意图，包括：联想注意力生成模块501；选择性攻击模块502。

其中，联想注意力生成模块501，用于根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力；

选择性攻击模块502，用于根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。

本发明提供了一种基于联想学习的选择性攻击装置，基于全局扰动和空间注意力之间的耦合关系，对空间注意力进行优化生成联想注意力，并且基于联想注意力可以更好的实现对输入图像的关键区域的攻击。

需要说明的是，本发明实施例提供的基于联想学习的选择性攻击装置，在具体运行时，可以执行上述任一实施例所述的基于联想学习的选择性攻击方法，对此本实施例不作赘述。

图6是本发明提供的电子设备的结构示意图，如图6所示，该电子设备可以包括：处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640，其中，处理器610，通信接口620，存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令，以执行基于联想学习的选择性攻击方法，该方法包括：根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力；根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。

此外，上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的基于联想学习的选择性攻击方法，该方法包括：根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力；根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。

又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的基于联想学习的选择性攻击方法，该方法包括：根据输入图像的全局扰动和空间注意力之间的耦合关系，对所述空间注意力进行优化，以生成联想注意力；根据所述联想注意力和所述全局扰动生成选择性扰动，以根据所述选择性扰动对所述输入图像进行选择性攻击。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。