CN114596277A - 检测对抗样本的方法、装置、设备以及存储介质 - Google Patents
检测对抗样本的方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN114596277A CN114596277A CN202210209926.6A CN202210209926A CN114596277A CN 114596277 A CN114596277 A CN 114596277A CN 202210209926 A CN202210209926 A CN 202210209926A CN 114596277 A CN114596277 A CN 114596277A
- Authority
- CN
- China
- Prior art keywords
- image
- classification result
- preprocessing
- target
- original image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 127
- 238000007781 pre-processing Methods 0.000 claims abstract description 93
- 238000012545 processing Methods 0.000 claims abstract description 49
- 238000013145 classification model Methods 0.000 claims abstract description 32
- 239000006185 dispersion Substances 0.000 claims abstract description 18
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 239000013598 vector Substances 0.000 claims description 40
- 230000006870 function Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000007667 floating Methods 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 230000003042 antagnostic effect Effects 0.000 claims description 5
- 238000005070 sampling Methods 0.000 claims description 4
- 239000000126 substance Substances 0.000 claims 1
- 238000013473 artificial intelligence Methods 0.000 abstract description 4
- 238000007906 compression Methods 0.000 description 14
- 230000006835 compression Effects 0.000 description 14
- 238000001914 filtration Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011946 reduction process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T7/00—Image analysis
- G06T7/0002—Inspection of images, e.g. flaw detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T5/00—Image enhancement or restoration
- G06T5/70—Denoising; Smoothing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2207/00—Indexing scheme for image analysis or image enhancement
- G06T2207/20—Special algorithmic details
- G06T2207/20024—Filtering details
- G06T2207/20032—Median filtering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2207/00—Indexing scheme for image analysis or image enhancement
- G06T2207/20—Special algorithmic details
- G06T2207/20048—Transform domain processing
- G06T2207/20056—Discrete and fast Fourier transform, [DFT, FFT]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Quality & Reliability (AREA)
- Image Analysis (AREA)
Abstract
本公开提供了一种检测对抗样本的方法、装置、设备以及存储介质,涉及图像处理领域,尤其涉及人工智能领域。具体实现方案为:采用多种预处理方式分别对输入的原始图像进行处理,得到第一图像集合;将第一图像集合中的图像与原始图像分别输入图像分类模型进行分析,得到与第一图像集合中的图像和原始图像分别对应的第一分类结果集合和第二分类结果;依据第一分类结果集合和第二分类结果确定目标分类结果集合,并计算目标分类结果集合中各个分类结果的离散程度指标;在离散程度指标大于预设阈值的情况下,确定原始图像为对抗样本。
Description
技术领域
本公开涉及图像处理技术领域,尤其涉及人工智能领域。具体而言,涉及一种检测对抗样本的方法、装置、设备以及存储介质。
背景技术
相关技术中,基于特征压缩检测恶意对抗样本的方法只采用了某一种特定的压缩方法处理原图像,再比对输出结果,但这种方法往往只对某一种或几种攻击算法有效,泛化性较差,在实际应用中存在识别准确率较低的问题。
发明内容
本公开提供了一种用于检测对抗样本的方法、装置、设备以及存储介质。
根据本公开的一方面,提供了一种检测对抗样本的方法,包括:采用多种预处理方式分别对输入的原始图像进行处理,得到第一图像集合;将第一图像集合中的图像与原始图像分别输入图像分类模型进行分析,得到与第一图像集合中的图像和原始图像分别对应的第一分类结果集合和第二分类结果;依据第一分类结果集合和第二分类结果确定目标分类结果集合,并计算目标分类结果集合中各个分类结果的离散程度指标;在离散程度指标大于预设阈值的情况下,确定原始图像为对抗样本。
可选地,采用多种预处理方式分别对输入的原始图像进行处理,包括:对多种预处理方式进行分组,得到多组预处理方式;采用每组预处理方式中的处理方式对原始图像进行串行处理,得到第一图像;采用多组预处理方式对第一图像进行串行或并行处理,得到第一图像集合。
可选地,第一分类结果集合中的分类结果和第二分类结果为一维向量,一维向量中的每个数值表示图像中的物体属于不同的类别数量的概率。
可选地,一维向量的长度由图像分类模型输出的类别数量确定。
可选地,计算目标分类结果集合中各个分类结果的离散程度指标,包括:确定图像分类模型输出的列数和目标分类结果集合中包含的向量的个数N;从目标分类结果集合包含的所有向量中选择对应的目标列,计算目标列中的数值的和的平均值;将目标列中的数值分别与平均值做差值计算,得到多个第一数值;依据多个第一数值和向量的个数N,得到目标列对应的离散程度指标。
可选地,依据多个第一数值和向量的个数N,得到目标列对应的离散程度指标,包括:将多个第一数值中的每个数值进行平方计算后再求和,得到第二数值;依据第二数值与N-1的比值,得到目标列对应的离散程度指标。
可选地,得到目标列对应的离散程度指标之后,方法还包括:计算图像分类模型输出的所有列数对应的离散程度指标。
可选地,多种预处理方式包括第一预处理方式,第一预处理方式包括:对原始图像中的每个像素点的值,由该像素点和该像素点邻域内的其他像素的值通过加权平均处理后得到。
可选地,多种预处理方式包括第二预处理方式,第二预处理方式包括:将原始图像中的每个像素点的灰度值设置为该像素点邻域窗口内的所有像素点的灰度值的中值。
可选地,多种预处理方式包括第三预处理方式,第三预处理方式包括:对原始图像进行色彩空间转换后,进行缩减采样;将转换后的图像的色彩空间的每个成分划分成第一区域;将第一区域划分成多个子区域;使用二维的离散余弦变换将多个子区域转换到频率空间后,对图像进行熵编码;对编码后的图像进行解码,得到显示的图像。
可选地,多种预处理方式包括第四预处理方式,第四预处理方式包括:对原始图像中的每个像素点,从该像素点的周围区域中随机选择一个目标像素点,用目标像素点的灰度值代替原始图像中的像素点的灰度值。
可选地,多种预处理方式包括第五预处理方式,第五预处理方式包括:将原始图像中的每个像素点的RGB数值转化为目标区间的浮点数;对浮点数进行调整后,用整型变量表示原始图像中的每个像素点的值;依据调整后的像素点的值对原始图像进行解码。
可选地,多种预处理方式中包括第六预处理方式,第六预处理方式包括:依据从原始图像中选取的点数,以及原始图像处理前对应的函数,得到处理后的图像对应的函数值。
根据本公开的另一方面,提供了一种检测对抗样本的装置,包括:处理模块,用于采用多种预处理方式分别对输入的原始图像进行处理,得到第一图像集合;分析模块,用于将第一图像集合中的图像与原始图像分别输入图像分类模型进行分析,得到与第一图像集合中的图像和原始图像分别对应的第一分类结果集合和第二分类结果;计算模块,用于依据第一分类结果集合和第二分类结果确定目标分类结果集合,并计算目标分类结果集合中各个分类结果的离散程度指标;确定模块,用于在离散程度指标大于预设阈值的情况下,确定原始图像为对抗样本。
根据本公开的又一方面,提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述的检测对抗样本的方法。
根据本公开的再一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行上述的检测对抗样本的方法。
根据本公开的再一方面,提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现上述的检测对抗样本的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开实施例的一种检测对抗样本的方法的流程图;
图2是根据本公开实施例的一种采用多种预处理方式分别对输入的原始图像进行处理的流程图;
图3是根据本公开实施例的一种计算目标分类结果集合中各个分类结果的离散程度指标的流程图;
图4是根据本公开实施例的一种得到目标列对应的离散程度指标的流程图;
图5是根据本公开实施例的一种检测对抗样本的使用场景的示意图;
图6是根据本公开实施例的一种检测对抗样本的装置的结构图;
图7是根据本公开实施例的一种检测对抗样本的方法的过程的示意图;
图8a是根据本公开实施例的一种未添加对抗扰动的原始图像;
图8b是根据本公开实施例的一种对未添加对抗扰动的原始图像经过第一种预处理方式处理后的图像;
图8c是根据本公开实施例的一种对未添加对抗扰动的原始图像经过第二种预处理方式处理后的图像;
图8d是根据本公开实施例的一种对未添加对抗扰动的原始图像经过第三种预处理方式处理后的图像;
图8e是根据本公开实施例的一种添加对抗扰动的原始图像;
图8f是根据本公开实施例的一种对添加对抗扰动的原始图像经过第一种预处理方式处理后的图像;
图8g是根据本公开实施例的一种对添加对抗扰动的原始图像经过第二种预处理方式处理后的图像;
图8h是根据本公开实施例的一种对添加对抗扰动的原始图像经过第三种预处理方式后的图像;
图9是用来实现本公开实施例的检测对抗样本的方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
首先,在对本公开实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
FGSM:即Fast gradient sign method,是一种基于梯度迭代的攻击方式。
CW:一种基于优化的攻击方式。
对抗样本:指在数据集中通过故意添加细微的干扰所形成的输入样本,导致模型以高置信度给出一个错误的输出。
随着人工智能的发展,近来出现了如FGSM,CW等针对图像分类模型的攻击算法,通过对原图添加一个微小的扰动就可以干扰模型对突变的分类结果,但又不影响人眼对图像的识别。此技术如果被不正当使用,会导致违规违法内容可以绕过自动审查模型进行发布,引发公共事件,造成恶劣的社会影响。基于图像特征过滤的对抗样本检测是一项高效的防御对抗样本的进攻,防止此类技术滥用导致的违法活动的措施。在防御对抗样本的时候,有时候并不一定要能准确分类对抗样本,只需要能够及时检测出有可能是对抗样本的输入。
而相关技术中,基于调整分类模型本身的结构或增加对抗样本训练来防御对抗样本的方法存在成本投入过高,响应时间较慢等问题,在一些时间敏感的任务,如自动驾驶汽车中,实际效果不理想。对于生成恶意对抗样本的方法,大多是利用现有模型容易过度拟合的特点,通过在某一特定方向上添加一个极微小的扰动就达到干扰模型的分类结果的目的。但这样的扰动往往过于微小,以至于可以通过对原图像的尺寸进行压缩来过滤掉这些扰动。因此,在进行过一次压缩过滤后,模型对恶意对抗样本的分类结果应该会发生较大的变化,而一定程度的压缩对于原图像不会有太大的影响。
相关技术中,基于特征压缩检测恶意对抗样本的方法只采用了某一种特定的压缩方法处理原图像,再比对输出结果,但这种方法往往只对某一种或几种攻击算法有效,泛化性较差,在实际应用中存在识别准确率较低的问题。为解决上述技术问题,本公开实施例提供了相应的解决方案,以下详细说明。
本公开实施例,提供了一种用于检测对抗样本的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本公开实施例的一种检测对抗样本的方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,采用多种预处理方式分别对输入的原始图像进行处理,得到第一图像集合;
步骤S102,将第一图像集合中的图像与原始图像分别输入图像分类模型进行分析,得到与第一图像集合中的图像和原始图像分别对应的第一分类结果集合和第二分类结果;
步骤S103,依据第一分类结果集合和第二分类结果确定目标分类结果集合,并计算目标分类结果集合中各个分类结果的离散程度指标;
步骤S104,在离散程度指标大于预设阈值的情况下,确定原始图像为对抗样本。
在本公开实施例中,通过上述步骤,基于自然图像和人工生成的对抗样本对于特征压缩的敏感性的区别,使用多种预处理方式分别处理输入的原始图像,综合比对经过不同预处理方式得到的目标分类结果的离散程度指标,判断输入的原始图像是否为对抗样本,从而达到快速检测对抗样本的目的,以解决在短时间内识别对抗样本的能力不足的问题。
在上述检测对抗样本的方法中的步骤S101中,采用多种预处理方式分别对输入的原始图像进行处理,如图2所示的流程图,具体包括如下步骤:
步骤S201,对多种预处理方式进行分组,得到多组预处理方式;
步骤S202,采用每组预处理方式中的处理方式对原始图像进行串行处理,得到第一图像;
步骤S203,采用多组预处理方式对第一图像进行串行或并行处理,得到第一图像集合。
在步骤S201至步骤S203中,通过以下例子进行解释说明:例如多种预处理方式包括高斯滤波、中值滤波、JPEG压缩、DCT压缩、像素偏转、位长度缩减这六种预处理方法,对这六种预处理方法进行分组,可以每个方法单独作为一组,也可以将两个或两个以上的方法作为一组。
在将每个方法单独作为一组时,根据上述步骤S201至步骤S203,若采用多组预处理方式进行并行处理,则将原始图像分别单独进行上述六种预处理方法,得到六张第一图像,这六张第一图像组成了第一图像集合;若采用多组预处理方式进行串行处理,则将原始图像按照这六种预处理方式处理的先后顺序进行处理,需要说明的是,若为串行处理,则这六种预处理方式的先后顺序可以指定,也可以随机进行处理,按照不同的处理顺序进行处理后得到的图像组成了第一图像集合。
在将两个或两个以上的方法作为一组时,以两个方法作为一组为例,将高斯滤波、中值滤波分为第一组,将JPEG压缩、DCT压缩分为第二组,将像素偏转、位长度缩减分为第三组,根据上述步骤S201至步骤S203,若采用多组预处理方式进行并行处理,则将原始图像分别进行上述三组预处理方法,得到三张第一图像,这三张第一图像组成了第一图像集合,在这三组预处理方法中,以第一组为例,则可以先对原始图像进行高斯滤波处理后,对处理后的图像再进行中值滤波处理,第二组和第三组同理,此处不再赘述,需要说明的是,每组预处理方式中的顺序可以指定,也可以随机进行处理,可根据实际情况自行选择;若采用多组预处理方式进行串行处理,则和上述按照六种预处理方式对原始图像进行串行处理的方法一致,此处不再赘述。
通过步骤S201至步骤S203中的多种预处理方式,可以解决相关技术中使用某一种特定压缩方法处理原始图像存在对对抗样本的识别准确率较低的问题。
在上述检测对抗样本的方法中的步骤S102中,第一分类结果集合中的分类结果和第二分类结果为一维向量,一维向量中的每个数值表示图像中的物体属于不同的类别数量的概率,其中,一维向量的长度由图像分类模型输出的类别数量确定,对于Imagenet图像数据集中的图像的类别数量通常为1000。通过将分类结果以一维向量表示,可以减少后续计算的工作量,由图像分类模型输出的类别数量确定一维向量的长度,便于用户理解。
例如,若图像分类模型输出的类别数量为10,则第一分类结果结合中的分类结果和第二分类结果对应的一维向量的长度为10,即该一维向量的列数为10列,每列中的数值表示图像中的物体属于不同的类别数量的概率,长度为10的一维向量可表示为:(0.1,0.1,0.1,0.1,0.1,0.1,0.1,0.1,0.1,0.1)。
在上述检测对抗样本的方法中的步骤S103中,计算目标分类结果集合中各个分类结果的离散程度指标,如图3所示的流程图,具体包括如下步骤:
步骤S301,确定图像分类模型输出的列数和目标分类结果集合中包含的向量的个数N;
步骤S302,从目标分类结果集合包含的所有向量中选择对应的目标列,计算目标列中的数值的和的平均值;
步骤S303,将目标列中的数值分别与平均值做差值计算,得到多个第一数值;
步骤S304,依据多个第一数值和向量的个数N,得到目标列对应的离散程度指标。
步骤S301至步骤S304提供了一种离散程度指标的计算方法,在通过图像分类模型得到分类结果后,根据该步骤中的方法可以合理有效的使用分类结果中的每个数值。
在上述步骤S304中,依据多个第一数值和向量的个数N,得到目标列对应的离散程度指标,如图4所示的流程图,具体包括如下步骤:
步骤S401,将多个第一数值中的每个数值进行平方计算后再求和,得到第二数值;
步骤S402,依据第二数值与N-1的比值,得到目标列对应的离散程度指标。
步骤S401至步骤S402是对步骤S304的进一步细化,根据上述步骤可以具体实现目标列对应的离散程度指标。
在上述步骤S301至步骤S303以及步骤S401至步骤S402中,目标分类结果集合中包括第一分类结果集合和第二分类结果,以上述六种预处理方法单独作为一组,采用多组预处理方式进行并行处理的过程为例,第一分类结果集合中包括六个一维向量L2-L7,第二分类结果为将原始图像输入图像分类模型得到的一维向量L1,此时N为7,当确定图像分类模型输出的列数为10时,如:
L1=(0.1,0.1,0.1,0.1,0.1,0.1,0.1,0.1,0.1,0.1),
L2=(0.2,0.2,0.2,0.2,0.2,0.2,0.2,0.2,0.2,0.2),
L3=(0.3,0.3,0.3,0.3,0.3,0.3,0.3,0.3,0.3,0.3),
L4=(0.4,0.4,0.4,0.4,0.4,0.4,0.4,0.4,0.4,0.4),
L5=(0.5,0.5,0.5,0.5,0.5,0.5,0.5,0.5,0.5,0.5),
L6=(0.6,0.6,0.6,0.6,0.6,0.6,0.6,0.6,0.6,0.6),
L7=(0.7,0.7,0.7,0.7,0.7,0.7,0.7,0.7,0.7,0.7)。
选择目标列为第9列,则从L1-L7中选择第9列对应的数值求和后取平均值,即平均值为(0.1+0.2+0.3+0.4+0.5+0.6+0.7)/7=0.4,则经过步骤S303后,得到多个第一数值为-0.3,-0.2,-0.1,0,0.1,0.2,0.3,进行步骤401后,得到第二数值为(-0.3)2+(-0.2)2+(-0.1)2+02+0.12+0.22+0.32,即0.28,根据步骤S402,第9列对应的离散程度指标为
目标列对应的离散程度指标用公式表示为:
其中,S表示离散程度指标,N表示目标分类结果集合中包含的向量的个数,xi对应目标列中的值,
表示目标列中的数值的和的平均值。
在上述步骤S402得到目标列对应的离散程度指标之后,上述检测对抗样本的方法还包括如下步骤:计算图像分类模型输出的所有列数对应的离散程度指标。在得到所有列数对应的离散程度指标后,可以根据不同列对应的离散程度指标,比较不同的指标和预设阈值的关系。
在上述检测对抗样本的方法中,多种预处理方式包括第一预处理方式,第一预处理方式包括:对原始图像中的每个像素点的值,由该像素点和该像素点邻域内的其他像素的值通过加权平均处理后得到。
第一预处理方式可以为高斯滤波,高斯滤波是一种线性平滑滤波,适用于消除高斯噪声,广泛应用于图像处理的减噪过程。通俗的讲,高斯滤波就是对整幅图像进行加权平均的过程,每一个像素点的值,都由其本身和邻域内的其他像素值经过加权平均后得到。高斯滤波的具体操作是:用一个用户指定的模板(或称卷积、掩膜)去扫描图像中的每一个像素,用模板确定的邻域内像素的加权平均灰度值去替代模板中心像素点的值。
在上述检测对抗样本的方法中,多种预处理方式包括第二预处理方式,第二预处理方式包括:将原始图像中的每个像素点的灰度值设置为该像素点邻域窗口内的所有像素点的灰度值的中值。
第二预处理方式可以为中值滤波,中值滤波法是一种非线性平滑技术,它将每一像素点的灰度值设置为该点某邻域窗口内的所有像素点灰度值的中值。具体实现可表示为:g(x,y)=median{f(x-k,y-l),(k,l∈W)},其中,f(x,y),g(x,y)分别为原始图像和处理后图像。W为二维模板,通常为3×3,5×5区域,也可以是不同的形状,如线状,圆形,十字形,圆环形等,这里的3或5即为公式中k的取值,即k为二维模板中可取的长度值。
在上述检测对抗样本的方法中,多种预处理方式包括第三预处理方式,第三预处理方式包括:对原始图像进行色彩空间转换后,进行缩减采样;将转换后的图像的色彩空间的每个成分划分成第一区域;将第一区域划分成多个子区域;使用二维的离散余弦变换将多个子区域转换到频率空间后,对图像进行熵编码;对编码后的图像进行解码,得到显示的图像。
第三预处理方式可以为JPEG压缩,JPEG压缩首先对图像进行色彩空间转换,将影像由RGB(红绿蓝)转换为一种称为YUV的不同色彩空间,其中Y成分表示一个像素的亮度,U和V成分一起表示色调与饱和度。经过RGB到YUV颜色空间的转换后,开始进行缩减采样来减少U和V的成分(称为"缩减取样"或"色度抽样",chroma subsampling)。下一步,将影像中的每个成分(Y,U,V)生成三个区域,每一个区域再划分成如瓷砖般排列的一个个的8×8子区域,每一子区域使用二维的离散余弦变换(DCT)转换到频率空间。之后简单地把频率领域上每个成分,除以一个对于该成分的常量,且接着舍位取最接近的整数。接着对图像进行熵编码。熵编码是无损资料压缩的一个特别形式。它牵涉到将影像成分以Z字体(zigzag)排列,把相似频率组群在一起(矩阵中往左上方向是越低频率之系数,往右下方向是较高频率之系数),插入长度编码的零,且接着对剩下的使用霍夫曼编码。最后一步是解码,解码来显示影像,包含反向作以上所有的过程。
在上述检测对抗样本的方法中,多种预处理方式包括第四预处理方式,第四预处理方式包括:对原始图像中的每个像素点,从该像素点的周围区域中随机选择一个目标像素点,用目标像素点的灰度值代替原始图像中的像素点的灰度值。
第四预处理方式可以称为像素偏转,像素偏转对于图像中的每一个像素点,图像偏转算法从该点的周围区域中随机选择一个像素点,并用周围点的灰度值替代该点的灰度值。
在上述检测对抗样本的方法中,多种预处理方式包括第五预处理方式,第五预处理方式包括:将原始图像中的每个像素点的RGB数值转化为目标区间的浮点数;对浮点数进行调整后,用整型变量表示原始图像中的每个像素点的值;依据调整后的像素点的值对原始图像进行解码。
第五预处理方式可以称为位长度缩减,位长度缩减算法接收输入图像,其中输入图像的RGB值都为0-255的8-bit整型变量。该算法先将每一像素点的RGB数值除以255,转化为(0,1)区间中的浮点数。之后再将浮点数恢复为用长度较小的整型变量表示。例如乘以27并向下取整。最后对图像解码,包含反向作以上所有的过程。
在上述检测对抗样本的方法中,多种预处理方式中包括第六预处理方式,第六预处理方式包括:依据从原始图像中选取的点数,以及原始图像处理前对应的函数,得到处理后的图像对应的函数值。
第六预处理方式可以为离散余弦变换(DCT)压缩,离散余弦变换是与傅里叶变换相关的一种变换,它类似于离散傅里叶变换(DFT for Discrete Fourier Transform),但是只使用实数。一维的DCT公式如下:
其中,f为原始图像处理前对应的函数,F为经过变换处理后的函数,n为取样的点数,u为经过变换处理后的函数的自变量,其中,c(u)的公式如下:
第一预处理方式至第六预处理方式为本公开实施例使用到的多种预处理方式,通过对原始图像进行不同的预处理,综合比对经过不同预处理方式处理后的图像分类结果判定原始图像是否为对抗样本,可以提高检测对抗样本的准确率。
如图5所示的检测对抗样本的使用场景的示意图,在一个可选的应用场景中,在计算设备的人机交互界面中展示图像上传界面,其中,图像上传界面中设置有上传控件,在检测到该上传控件的触发指令时,触发从原始图像的存储地址或存储空间中读取原始图像,并将其上传至提供人机交互界面的APP中,然后该APP将上传的原始图像执行图1所示的方法步骤,以检测出对抗样本。在检测出对抗样本后,可以在所述人机交互界面中展示对抗样本,其中,展示对抗样本的区域和展示图像上传界面的区域是两个位置不同的区域,例如,图5中左侧的区域是展示对抗样本的区域,右侧的区域是图像上传界面,在该图像上传界面的右下角处设置有上传控件,该上传控件用于接收用户的上传图像指令。
图6是根据本公开实施例的一种检测对抗样本的装置的结构图,如图6所示,该装置包括:
处理模块601,用于采用多种预处理方式分别对输入的原始图像进行处理,得到第一图像集合;
分析模块602,用于将第一图像集合中的图像与原始图像分别输入图像分类模型进行分析,得到与第一图像集合中的图像和原始图像分别对应的第一分类结果集合和第二分类结果;
计算模块603,用于依据第一分类结果集合和第二分类结果确定目标分类结果集合,并计算目标分类结果集合中各个分类结果的离散程度指标;
确定模块604,用于在离散程度指标大于预设阈值的情况下,确定原始图像为对抗样本。
需要说明的是,图6所示的检测对抗样本的装置用于执行图1至图4所示的检测对抗样本的方法,因此上述检测对抗样本的方法中的相关解释说明也适用于该检测对抗样本的装置,此处不再赘述。
图7是根据本公开实施例的一种检测对抗样本的方法的过程的示意图,如图7所示,该过程是以上述六种预处理方法单独作为一组,采用多组预处理方式进行并行处理的过程为例,先将原始图像分别输入这六种预处理方法中,得到六张第一图像,这六张第一图像组成了第一图像集合,将第一图像集合中的六张图像和原始图像输入图像分类模型中,得到对应的第一分类结果集合和第二分类结果,第一分类结果集合中包括第一向量、第二向量、第三向量、第四向量、第五向量和第六向量,第二分类结果中包括第七向量,第一向量至第七向量组成了目标分类结果集合,计算目标分类结果集合中各个分类结果的离散程度指标,即这七个向量中目标列对应的离散程度指标,比较计算的离散程度指标和预设阈值的关系,在离散程度指标大于预设阈值的情况下,确定原始图像为对抗样本,进行报警提示并召回原始图像,在离散程度指标小于预设阈值的情况下,确定原始图像不是对抗样本,需要说明的是,预设阈值可根据安全性能要求的不同,由用户自行调整。
图8a是根据本公开实施例的一种未添加对抗扰动的原始图像,根据图像分类模型,判定图中的物体为hourglass沙漏,图8b是根据本公开实施例的一种对未添加对抗扰动的原始图像经过第一种预处理方式处理后的图像,根据图像分类模型,判定图中的物体为hourglass沙漏,图8c是根据本公开实施例的一种对未添加对抗扰动的原始图像经过第二种预处理方式处理后的图像,根据图像分类模型,判定图中的物体为hourglass沙漏,图8d是根据本公开实施例的一种对未添加对抗扰动的原始图像经过第三种预处理方式处理后的图像,根据图像分类模型,判定图中的物体为hourglass沙漏,在未添加对抗扰动的原始图像中,经过不同的特征预处理后均不改变识别结果,因此判定输入的原始图像不是对抗样本。
图8e是根据本公开实施例的一种添加对抗扰动的原始图像,根据图像分类模型,判定图中的物体为bubble气泡,图8f是根据本公开实施例的一种对添加对抗扰动的原始图像经过第一种预处理方式处理后的图像,根据图像分类模型,判定图中的物体为hourglass沙漏,图8g是根据本公开实施例的一种对添加对抗扰动的原始图像经过第二种预处理方式处理后的图像,根据图像分类模型,判定图中的物体为hourglass沙漏,图8h是根据本公开实施例的一种对添加对抗扰动的原始图像经过第三种预处理方式后的图像,根据图像分类模型,判定图中的物体为hourglass沙漏。在添加了对抗扰动的原始图像中,经过不同的特征预处理后的识别结果与未经处理的原始图像有较大差异,因此判定输入的原始图像可能为对抗样本,将会报警并召回图片。
本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图9示出了可以用来实施本公开的实施例的示例电子设备900的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图9所示,设备900包括计算单元901,其可以根据存储在只读存储器(ROM)902中的计算机程序或者从存储单元908加载到随机访问存储器(RAM)903中的计算机程序,来执行各种适当的动作和处理。在RAM 903中,还可存储设备900操作所需的各种程序和数据。计算单元901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
设备900中的多个部件连接至I/O接口905,包括:输入单元906,例如键盘、鼠标等;输出单元907,例如各种类型的显示器、扬声器等;存储单元908,例如磁盘、光盘等;以及通信单元909,例如网卡、调制解调器、无线通信收发机等。通信单元909允许设备900通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元901可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元901的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元901执行上文所描述的各个方法和处理,例如检测对抗样本的方法。例如,在一些实施例中,检测对抗样本的方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元908。在一些实施例中,计算机程序的部分或者全部可以经由ROM902和/或通信单元909而被载入和/或安装到设备900上。当计算机程序加载到RAM903并由计算单元901执行时,可以执行上文描述的检测对抗样本的方法的一个或多个步骤。备选地,在其他实施例中,计算单元901可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行检测对抗样本的方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (17)
1.一种检测对抗样本的方法,包括:
采用多种预处理方式分别对输入的原始图像进行处理,得到第一图像集合;
将所述第一图像集合中的图像与所述原始图像分别输入图像分类模型进行分析,得到与所述第一图像集合中的图像和所述原始图像分别对应的第一分类结果集合和第二分类结果;
依据所述第一分类结果集合和所述第二分类结果确定目标分类结果集合,并计算所述目标分类结果集合中各个分类结果的离散程度指标;
在所述离散程度指标大于预设阈值的情况下,确定所述原始图像为对抗样本。
2.根据权利要求1所述的方法,其中,采用多种预处理方式分别对输入的原始图像进行处理,包括:
对所述多种预处理方式进行分组,得到多组预处理方式;
采用每组预处理方式中的处理方式对所述原始图像进行串行处理,得到第一图像;
采用多组预处理方式对所述第一图像进行串行或并行处理,得到所述第一图像集合。
3.根据权利要求1所述的方法,其中,所述第一分类结果集合中的分类结果和所述第二分类结果为一维向量,所述一维向量中的每个数值表示图像中的物体属于不同的类别数量的概率。
4.根据权利要求3所述的方法,其中,所述一维向量的长度由所述图像分类模型输出的类别数量确定。
5.根据权利要求1所述的方法,其中,计算所述目标分类结果集合中各个分类结果的离散程度指标,包括:
确定所述图像分类模型输出的列数和所述目标分类结果集合中包含的向量的个数N;
从所述目标分类结果集合包含的所有向量中选择对应的目标列,计算所述目标列中的数值的和的平均值;
将所述目标列中的数值分别与所述平均值做差值计算,得到多个第一数值;
依据所述多个第一数值和所述向量的个数N,得到所述目标列对应的离散程度指标。
6.根据权利要求5所述的方法,其中,依据所述多个第一数值和所述向量的个数N,得到所述目标列对应的离散程度指标,包括:
将所述多个第一数值中的每个数值进行平方计算后再求和,得到第二数值;
依据所述第二数值与N-1的比值,得到所述目标列对应的离散程度指标。
7.根据权利要求5所述的方法,其中,得到所述目标列对应的离散程度指标之后,所述方法还包括:计算所述图像分类模型输出的所有列数对应的离散程度指标。
8.根据权利要求1所述的方法,其中,所述多种预处理方式包括第一预处理方式,所述第一预处理方式包括:对所述原始图像中的每个像素点的值,由该像素点和该像素点邻域内的其他像素的值通过加权平均处理后得到。
9.根据权利要求1所述的方法,其中,所述多种预处理方式包括第二预处理方式,所述第二预处理方式包括:将所述原始图像中的每个像素点的灰度值设置为该像素点邻域窗口内的所有像素点的灰度值的中值。
10.根据权利要求1所述的方法,其中,所述多种预处理方式包括第三预处理方式,所述第三预处理方式包括:
对所述原始图像进行色彩空间转换后,进行缩减采样;
将转换后的图像的色彩空间的每个成分划分成第一区域;
将所述第一区域划分成多个子区域;
使用二维的离散余弦变换将所述多个子区域转换到频率空间后,对图像进行熵编码;
对编码后的图像进行解码,得到显示的图像。
11.根据权利要求1所述的方法,其中,所述多种预处理方式包括第四预处理方式,所述第四预处理方式包括:对所述原始图像中的每个像素点,从该像素点的周围区域中随机选择一个目标像素点,用所述目标像素点的灰度值代替所述原始图像中的像素点的灰度值。
12.根据权利要求1所述的方法,其中,所述多种预处理方式包括第五预处理方式,所述第五预处理方式包括:
将所述原始图像中的每个像素点的RGB数值转化为目标区间的浮点数;
对所述浮点数进行调整后,用整型变量表示所述原始图像中的每个像素点的值;
依据调整后的像素点的值对所述原始图像进行解码。
13.根据权利要求1所述的方法,其中,所述多种预处理方式中包括第六预处理方式,所述第六预处理方式包括:依据从所述原始图像中选取的点数,以及所述原始图像处理前对应的函数,得到处理后的图像对应的函数值。
14.一种检测对抗样本的装置,包括:
处理模块,用于采用多种预处理方式分别对输入的原始图像进行处理,得到第一图像集合;
分析模块,用于将所述第一图像集合中的图像与所述原始图像分别输入图像分类模型进行分析,得到与所述第一图像集合中的图像和所述原始图像分别对应的第一分类结果集合和第二分类结果;
计算模块,用于依据所述第一分类结果集合和所述第二分类结果确定目标分类结果集合,并计算所述目标分类结果集合中各个分类结果的离散程度指标;
确定模块,用于在所述离散程度指标大于预设阈值的情况下,确定所述原始图像为对抗样本。
15.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-13中任一项所述的检测对抗样本的方法。
16.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-13中任一项所述的检测对抗样本的方法。
17.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-13中任一项所述的检测对抗样本的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209926.6A CN114596277A (zh) | 2022-03-03 | 2022-03-03 | 检测对抗样本的方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210209926.6A CN114596277A (zh) | 2022-03-03 | 2022-03-03 | 检测对抗样本的方法、装置、设备以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114596277A true CN114596277A (zh) | 2022-06-07 |
Family
ID=81816048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210209926.6A Pending CN114596277A (zh) | 2022-03-03 | 2022-03-03 | 检测对抗样本的方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114596277A (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105891789A (zh) * | 2016-03-30 | 2016-08-24 | 西安电子科技大学 | 联合时频分布和压缩感知对抗雷达频谱弥散干扰的方法 |
| CN112329837A (zh) * | 2020-11-02 | 2021-02-05 | 北京邮电大学 | 一种对抗样本检测方法、装置、电子设备及介质 |
| US20210067549A1 (en) * | 2019-08-29 | 2021-03-04 | Nec Laboratories America, Inc. | Anomaly detection with graph adversarial training in computer systems |
| CN112560901A (zh) * | 2020-12-01 | 2021-03-26 | 南京航空航天大学 | 一种基于图像预处理与对抗训练结合的防御对抗样本的方法 |
| WO2021068563A1 (zh) * | 2019-10-11 | 2021-04-15 | 平安科技(深圳)有限公司 | 样本数据处理方法、装置、计算机设备及存储介质 |
| CN112733937A (zh) * | 2021-01-11 | 2021-04-30 | 西安电子科技大学 | 一种可信图数据节点分类方法、系统、计算机设备及应用 |
| CN112884069A (zh) * | 2021-03-16 | 2021-06-01 | 浙江工业大学 | 一种对抗网络样本检测的方法 |
| CN113326356A (zh) * | 2021-08-03 | 2021-08-31 | 北京邮电大学 | 针对文本分类器的自然对抗样本生成方法及相关装置 |
| CN113688912A (zh) * | 2021-08-26 | 2021-11-23 | 平安国际智慧城市科技股份有限公司 | 基于人工智能的对抗样本生成方法、装置、设备及介质 |
| CN113780363A (zh) * | 2021-08-17 | 2021-12-10 | 广州大学 | 一种对抗样本防御方法、系统、计算机及介质 |
| CN113947704A (zh) * | 2021-10-09 | 2022-01-18 | 北京建筑大学 | 基于注意力排序的对抗样本防御系统及方法 |
-
2022
- 2022-03-03 CN CN202210209926.6A patent/CN114596277A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105891789A (zh) * | 2016-03-30 | 2016-08-24 | 西安电子科技大学 | 联合时频分布和压缩感知对抗雷达频谱弥散干扰的方法 |
| US20210067549A1 (en) * | 2019-08-29 | 2021-03-04 | Nec Laboratories America, Inc. | Anomaly detection with graph adversarial training in computer systems |
| WO2021068563A1 (zh) * | 2019-10-11 | 2021-04-15 | 平安科技(深圳)有限公司 | 样本数据处理方法、装置、计算机设备及存储介质 |
| CN112329837A (zh) * | 2020-11-02 | 2021-02-05 | 北京邮电大学 | 一种对抗样本检测方法、装置、电子设备及介质 |
| CN112560901A (zh) * | 2020-12-01 | 2021-03-26 | 南京航空航天大学 | 一种基于图像预处理与对抗训练结合的防御对抗样本的方法 |
| CN112733937A (zh) * | 2021-01-11 | 2021-04-30 | 西安电子科技大学 | 一种可信图数据节点分类方法、系统、计算机设备及应用 |
| CN112884069A (zh) * | 2021-03-16 | 2021-06-01 | 浙江工业大学 | 一种对抗网络样本检测的方法 |
| CN113326356A (zh) * | 2021-08-03 | 2021-08-31 | 北京邮电大学 | 针对文本分类器的自然对抗样本生成方法及相关装置 |
| CN113780363A (zh) * | 2021-08-17 | 2021-12-10 | 广州大学 | 一种对抗样本防御方法、系统、计算机及介质 |
| CN113688912A (zh) * | 2021-08-26 | 2021-11-23 | 平安国际智慧城市科技股份有限公司 | 基于人工智能的对抗样本生成方法、装置、设备及介质 |
| CN113947704A (zh) * | 2021-10-09 | 2022-01-18 | 北京建筑大学 | 基于注意力排序的对抗样本防御系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| YANTAO LU 等: "Enhancing Cross-Task Black-Box Transferability of Adversarial Examples With Dispersion Reduction", 《2020 IEEE/CVF CONFERENCE ON COMPUTER VISION AND PATTERN RECOGNITION (CVPR)》, 5 August 2020 (2020-08-05), pages 937 - 946 * |
| 严飞;张铭伦;张立强;: "基于边界值不变量的对抗样本检测方法", 网络与信息安全学报, no. 01, 15 February 2020 (2020-02-15), pages 42 - 49 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230008085A1 (en) | Method for embedding watermark in video data and apparatus, method for extracting watermark in video data and apparatus, device, and storage medium | |
| CN115063875B (zh) | 模型训练方法、图像处理方法、装置和电子设备 | |
| US10810462B2 (en) | Object detection with adaptive channel features | |
| CN110533117B (zh) | 图像比对方法、装置、设备和存储介质 | |
| US11551336B2 (en) | Chrominance and luminance enhancing systems and methods | |
| CN113222921A (zh) | 一种图像处理方法及系统 | |
| CN112836692A (zh) | 用于处理图像的方法、装置、设备和介质 | |
| CN113554739A (zh) | 重光照图像的生成方法、装置及电子设备 | |
| CN114445663A (zh) | 检测对抗样本的方法、装置及计算机程序产品 | |
| US11941785B2 (en) | Directional scaling systems and methods | |
| CN115205163B (zh) | 一种标识图像的处理方法、装置、设备及存储介质 | |
| CN114596277A (zh) | 检测对抗样本的方法、装置、设备以及存储介质 | |
| CN114764949A (zh) | 一种活体检测方法及装置 | |
| CN113850757A (zh) | 马赛克检测方法、装置、电子设备和可读存储介质 | |
| US10719916B2 (en) | Statistical noise estimation systems and methods | |
| KR102669220B1 (ko) | 지향성 스케일링 시스템들 및 방법들 | |
| CN113221926B (zh) | 一种基于角点优化的线段提取方法 | |
| CN112689145B (zh) | 一种vvc帧内编码的快速帧内模式选择方法 | |
| US11321813B2 (en) | Angular detection using sum of absolute difference statistics systems and methods | |
| CN115205608B (zh) | 基于压缩感知的自适应图像对抗样本检测与防御方法 | |
| EP4354872A1 (en) | Point cloud attribute information encoding and decoding method and apparatus, and related device | |
| CN114882312A (zh) | 对抗图像样本的生成方法、装置、电子设备以及存储介质 | |
| CN116883759A (zh) | 基于多模式图像的对抗样本生成方法及系统 | |
| CN117560177A (zh) | 一种恶意代码可视化分类方法、系统、设备及介质 | |
| CN115883832A (zh) | 基于人工智能的视频编码处理方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |