CN114648636A - 一种对抗样本的生成方法、系统、装置及介质 - Google Patents

一种对抗样本的生成方法、系统、装置及介质 Download PDF

Info

Publication number
CN114648636A
CN114648636A CN202210302379.6A CN202210302379A CN114648636A CN 114648636 A CN114648636 A CN 114648636A CN 202210302379 A CN202210302379 A CN 202210302379A CN 114648636 A CN114648636 A CN 114648636A
Authority
CN
China
Prior art keywords
target
pixel points
interference
area
original image
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210302379.6A
Other languages
English (en)
Inventor
夏辉
张睿
姜曙亮
康姿
徐硕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ocean University of China
Original Assignee
Ocean University of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ocean University of China filed Critical Ocean University of China
Priority to CN202210302379.6A priority Critical patent/CN114648636A/zh
Publication of CN114648636A publication Critical patent/CN114648636A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T3/00Geometric image transformations in the plane of the image
    • G06T3/40Scaling of whole images or parts thereof, e.g. expanding or contracting
    • G06T3/4007Scaling of whole images or parts thereof, e.g. expanding or contracting based on interpolation, e.g. bilinear interpolation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种对抗样本的生成方法、系统、装置及介质,该方案中,确定原始图像中的目标区域和背景区域之后,选取N个目标像素点和N个第一干扰像素点,然后使用N个第一干扰像素点的像素值一一对应替换N个目标像素点的像素值,生成第一干扰图像,并作为对抗样本。由于第一干扰像素点为背景区域中与目标区域相邻的像素点,第一干扰像素点与目标像素点的相似性更强,因此,生成的对抗样本更不易被人眼或者目标检测器识别,使得生成的对抗样本有更强的攻击性,从而能更有针对性的进行防御。

Description

一种对抗样本的生成方法、系统、装置及介质
技术领域
本发明涉及目标识别领域,特别是涉及一种对抗样本的生成方法、系统、装置及介质。
背景技术
目标检测得益于深度学习提供源源不断的动力而熠熠生辉,在机器人导航、智能视频监控、工业检测、航空航天等领域展示出了优异的性能,但是它们也继承了深度神经网络的脆弱性—易遭受对抗攻击。对抗攻击是对输入的原始图像添加精心设计扰动生成新的图像,人的视觉系统几乎无法察觉这些新图像(对抗样本)与原始图像的差异,但是目标检测器上对对抗样本进行测试时会导致目标检测器无法识别其中的目标对象,对抗样本的存在暴露出目标检测器的应用存在严重的安全隐患。例如,针对人脸识别系统,攻击者可轻易地篡改人脸图片诱导目标检测器检测出错误信息;针对自动驾驶系统,攻击者可以使目标检测器无法正确识别停车标志,甚至可以伪装车辆使其无法被识别。研究这一问题不仅有助于理解深度神经网络的工作机制,更有助于激发产生更为强大的防御方案。
发明内容
本发明的目的是提供一种对抗样本的生成方法、系统、装置及介质,由于第一干扰像素点为背景区域中与目标区域相邻的像素点。因此,使用其生成的对抗样本不易被人眼识别,使得生成的对抗样本有更强的攻击性,从而能更有针对性的进行防御。
为解决上述技术问题,本发明提供了一种对抗样本的生成方法,包括:
确定原始图像中的目标区域和背景区域,所述目标区域为第一目标对象所在的区域,所述背景区域为所述原始图像中除所述目标区域之外的区域;
选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点,及选取所述目标区域中的N个目标像素点,N个所述目标像素点与N个所述第一干扰像素点一一对应,N为不小于1的整数;
将所述原始图像中的N个所述目标像素点的像素值一一替换为和自身对应的第一干扰像素点的像素值,得到第一干扰图像,并将所述第一干扰图像作为对抗样本。
优选地,将所述原始图像中的N个所述目标像素点一一替换为和自身对应的干扰像素点,得到第一干扰图像之后,还包括:
构造第二目标对象;
选取所述第二目标对象所在区域的M个第二干扰像素点,及选取所述目标区域中的M个目标像素点,M个所述第二干扰像素点和M个所述目标像素点一一对应,M为不小于1的整数;
将所述第一干扰图像中的M个目标像素点的像素值一一替换为和自身对应的第二干扰像素点的像素值,得到第二干扰图像,并将所述第二干扰图像作为所述对抗样本。
优选地,确定原始图像中的目标区域和背景区域,包括:
使用全卷积神经网络方法对所述原始图像进行处理,以将所述第一目标对象所在区域设定为第一颜色,将所述原始图像中除所述第一目标对象之外的区域设定为第二颜色;
将所述第一颜色所在区域作为所述目标区域,并将所述第二颜色所在区域作为所述背景区域。
优选地,选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点,及选取所述目标区域中的N个目标像素点,N个所述目标像素点与N个所述第一干扰像素点一一对应,包括:
设定第一预设步长;
根据所述第一预设步长对所述原始图像中的所有像素点进行轮询检测;
在所述轮询检测过程中,确定检测的像素点是否为目标区域中的像素点;
若是,则将检测的所述目标区域中的像素点作为所述目标像素点,并确定所述目标像素点所在的目标行或目标列;
将所述背景区域中的目标行或目标列且与所述目标区域相邻的一个像素点作为和所述目标像素点对应的第一干扰像素点。
优选地,所述预设步长为不小于2的整数。
优选地,选取所述第二目标对象所在区域的M个第二干扰像素点,及选取所述目标区域中的M个目标像素点,M个所述第二干扰像素点和M个所述目标像素点一一对应,包括:
设定第二预设步长;
根据所述第二预设步长对所述原始图像中的所有像素点进行轮询检测;
在所述轮询检测过程中,确定检测的像素点是否为目标区域中的像素点;
若是,则将检测的所述目标区域中的像素点作为所述目标像素点,并确定所述目标像素点所在的目标行或目标列;
将所述第二目标对象所在图像的目标行或目标列且的像素点作为和所述目标像素点对应的第二干扰像素点。
为解决上述技术问题,本发明还提供了一种对抗样本的生成系统,包括:
区域确定单元,用于确定原始图像中的目标区域和背景区域,所述目标区域为第一目标对象所在的区域,所述背景区域为所述原始图像中除所述目标区域之外的区域;
像素点选取单元,用于选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点,及选取所述目标区域中的N个目标像素点,N个所述目标像素点与N个所述第一干扰像素点一一对应;
干扰单元,用于将所述原始图像中的N个所述目标像素点的像素值一一替换为和自身对应的第一干扰像素点的像素值,得到第一干扰图像,并将所述第一干扰图像作为对抗样本。
为解决上述技术问题,本发明还提供了一种对抗样本的生成装置,包括:
存储器,用于存储计算机程序;
处理器,用于在执行所述计算机程序时,实现上述所述的对抗样本的生成方法的步骤。
为解决上述技术问题,本发明还提供了一种计算机存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述所述的对抗样本的生成方法的步骤。
本申请提供了一种对抗样本的生成方法、系统、装置及介质,该方案中,确定原始图像中的目标区域和背景区域之后,选取N个目标像素点和N个第一干扰像素点,然后使用N个第一干扰像素点的像素值一一对应替换N个目标像素点的像素值,生成第一干扰图像,并作为对抗样本。由于第一干扰像素点为背景区域中与目标区域相邻的像素点。因此,使用其生成的对抗样本不易被人眼识别,使得生成的对抗样本有更强的攻击性,从而能更有针对性的进行防御。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种对抗样本的生成方法的流程示意图;
图2为本发明提供的一种原始图像的图片示意图;
图3为本发明提供的对原始图像进行处理后的示意图;
图4为本发明提供的第一种原始图像的示意图;
图5为本发明提供的第二种原始图像的示意图;
图6为本发明提供的第三种原始图像中的示意图;
图7为本发明提供的一种第一干扰图像的示意图;
图8为本发明提供的一种对抗样本的生成系统的结构框图;
图9为本发明提供的一种对抗样本的生成装置的结构框图。
具体实施方式
本发明的核心是提供一种对抗样本的生成方法、系统、装置及介质,由于第一干扰像素点为背景区域中与目标区域相邻的像素点。因此,使用其生成的对抗样本不易被人眼识别,使得生成的对抗样本有更强的攻击性,从而能更有针对性的进行防御。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,图1为本发明提供的一种对抗样本的生成方法的流程示意图,该方法包括:
S11:确定原始图像中的目标区域和背景区域,目标区域为第一目标对象所在的区域,背景区域为原始图像中除目标区域之外的区域;
首先,在生成对抗样本时,是针对原始图像中的第一目标图像部分,在第一目标图像所在的区域加入干扰元素,从而在使用目标检测器对原始图像进行检测时,无法识别到第一目标对象。
基于此,本申请首先需要将原始图像中的所有区域分为目标区域和除目标区域之外的背景区域,便于后续对目标区域中的第一目标对象进行处理,便于加入干扰元素。
作为一种优选的实施例,确定原始图像中的目标区域和背景区域,包括:
使用全卷积神经网络方法对原始图像进行处理,以将第一目标对象所在区域设定为第一颜色,将原始图像中除第一目标对象之外的区域设定为第二颜色;
将第一颜色所在区域作为目标区域,并将第二颜色所在区域作为背景区域。
本实施例旨在提供一种确定原始图像中的目标区域和背景区域的具体实现方法。具体地,全卷积神经网络可以在语义分割中对每个像素任务进行密集的预测,因此,本申请中使用全卷积神经网络对原始图像进行语义分割,以将目标区域设定为第一颜色,并将背景区域设定为第二颜色,从而根据语义分割得出的第一目标对象的颜色信息来获取第一目标对象对应的目标区域和背景区域。
请参照图2和图3,图2为本发明提供的一种原始图像的图片示意图,图3为本发明提供的对原始图像进行处理后的示意图。图2中的猫为第一目标对象,通过全卷积神经网络方法对图2进行处理,将图2中猫所在的区域设定为浅色,将除猫所在区域之外的区域设定为深色,如图3所示。
具体地,xi,j表示原始图像X在位置(i,j)处的数据向量,则经过卷积神经网络一层处理后下一层的输出yi,j示为
yij=fks({Xsi+δi,sj+δj}0≤δi,δi≤k),
其中,k表示卷积核的大小,s表示步长,δ表示偏移量,fks(·)表示卷积层的类型。为获得更高精度的图像的语义信息,使用跳级连接的策略,多次上采样再结合高层信息,最后上采样为原始图像大小。上采样实际上即为双线性插值操作,即分别在a和b方向上进行一次线性插值(其中,a为横坐标方向,b为纵坐标方向)。已知函数f四个点的坐标分别为Q11=(a1,b1),Q12=(a1,b2),Q21=(a2,b1)和Q22=(a2,b2),在a(横坐标)方向进行线性插值可得,
Figure BDA0003565992580000061
Figure BDA0003565992580000062
然后在b(纵坐标)方向进行线性插值,得到f(a,b):
Figure BDA0003565992580000063
最后,将感兴趣的第一目标对象像素涂成第一颜色,例如,原始图像中的第一目标对象为猫时,则将猫所有的像素填充成蓝色,则蓝色像素的位置即为猫的目标区域。
S12:选取背景区域中与目标区域相邻的N个第一干扰像素点,及选取目标区域中的N个目标像素点,N个目标像素点与N个第一干扰像素点一一对应,N为不小于1的整数;
S13:将原始图像中的N个目标像素点的像素值一一替换为和自身对应的第一干扰像素点的像素值,得到第一干扰图像,并将第一干扰图像作为对抗样本。
具体地,在生成对抗样本时,需要对目标区域中的若干个像素点进行修改或者替换,以改变这几个像素点中的像素值,使第一目标图像被干扰。
其中,本申请中对第一目标图像进行干扰的具体实现方式为:选取背景区域中的N个像素点作为第一干扰像素点,对目标区域中的和N个第一干扰像素点一一对应的N个目标像素点一一对应替换,实现对第一目标图像的干扰。其中,本申请中的第一干扰像素点选用背景区域中的像素点的原因是:背景区域为原始图像中的一部分,使用背景区域中的像素点替换目标区域中的像素点时,相似性较大,使用人眼对第一干扰图像进行识别时,不易被察觉。
其中,具体如何选择N个目标像素点及如何选择N个第一干扰像素点本申请在此不再限定。
综上,本申请中的对抗样本,由于第一干扰像素点为背景区域中与目标区域相邻的像素点。因此,使用其生成的对抗样本不易被人眼识别,使得生成的对抗样本有更强的攻击性,从而能更有针对性的进行防御。
在上述实施例的基础上:
作为一种优选的实施例,将原始图像中的N个目标像素点一一替换为和自身对应的干扰像素点,得到第一干扰图像之后,还包括:
构造第二目标对象;
选取第二目标对象所在区域的M个第二干扰像素点,及选取目标区域中的M个目标像素点,M个第二干扰像素点和M个目标像素点一一对应,M为不小于1的整数;
将第一干扰图像中的M个目标像素点的像素值一一替换为和自身对应的第二干扰像素点的像素值,得到第二干扰图像,并将第二干扰图像作为对抗样本。
在上述实施例中提供了一种构成第一干扰图像的具体实现方式,考虑到上述第一干扰图像的干扰性可能不够大,使用目标检测器对第一干扰图像进行检测时,可能还会存在能从第一干扰图像中识别到第一目标图像的情况。因此,为进一步保证目标检测器不能检测到对抗样本中的第一目标图像,本实施例进一步对第一干扰图像进行干扰,得到第二干扰图像,并将第二干扰图像作为对抗样本。
具体地,先构造一个第二目标图像,然后从第二目标图像中选取出M个第二干扰像素点,并从目标区域中选取M个目标像素点,使用M个第二干扰像素点替换掉M个目标像素点,此时,目标区域中的像素点包括第一目标图像的若干个像素点、N个第一干扰像素点和M个第二干扰像素点,目标检测器对第二干扰图像进行识别时,更不易识别出第一目标图像。
需要说明的是,M和N的个数不应该过大,避免原始图像出现较大的失真。
进一步的,本实施例中的M个目标像素点和N个目标像素点中可以存在目标像素点是重合的。
作为一种优选地实施例,构造第二目标对象的方式可以但不限于是使用标签固定的样本重构方法。
具体地,本实施例中的使用标签固定的样本重构方法包括以下两个步骤:
(1)训练一个性能良好的分类器C(X;θ);
(2)固定输出标签(第一目标对象的真实标签)使用模型反转技术基于目标损失函数更新图像的梯度信息,重构出的机器可识别的样本
Figure BDA0003565992580000081
(第二目标对象)。重构样本
Figure BDA0003565992580000082
时,使用的分类器为ResNet50,选取的数据集为ImageNet数据集。另外,本实施例中并不要求重构的第二目标对象与原始图像视觉上保持一致,只需要保证机器将其识别为感兴趣目标对象的标签(也即是第一目标对象的标签)即可(仅要求机器可识别),重构样本
Figure BDA0003565992580000083
的目标函数定义如下,
Figure BDA0003565992580000084
Figure BDA0003565992580000085
初始时设置为与原始图像同样大小的全0矩阵,
Figure BDA0003565992580000086
表示分类器输出感兴趣目标对象类别(也即是第一目标对象)的概率。例如,重构一张分类器识别为猫的图像,
Figure BDA0003565992580000087
则表示每次迭代后分类器分类为猫的概率。本实施例使用增量梯度更新方法更新
Figure BDA0003565992580000088
即,
Figure BDA0003565992580000089
Figure BDA00035659925800000810
Figure BDA00035659925800000811
其中,TV(V)表示总体变异损失(Total Variation loss,TV),用于保障重构样本的平滑性,初始状态下V表示和
Figure BDA0003565992580000091
同样大小的全0矩阵,λ1,λ2,α和β均表示标量权重用于均衡每一项的权重,λ12=1,λ1=0.5,α=0.1,β=0.01。
作为一种优选的实施例,选取背景区域中与目标区域相邻的N个第一干扰像素点,及选取目标区域中的N个目标像素点,N个目标像素点与N个第一干扰像素点一一对应,包括:
设定第一预设步长;
根据第一预设步长对原始图像中的所有像素点进行轮询检测;
在轮询检测过程中,确定检测的像素点是否为目标区域中的像素点;
若是,则将检测的目标区域中的像素点作为目标像素点,并确定目标像素点所在的目标行或目标列;
将背景区域中的目标行或目标列且与目标区域相邻的一个像素点作为和目标像素点对应的第一干扰像素点。
具体地,得到第二干扰像素点的方式为:先设定一个预设步长,然后基于此预设步长对所有的像素点进行轮询检测,在检测到的像素点为目标区域中的像素点时,将此像素点作为目标像素点,此时,将目标像素点的所在行确定为目标行、所在列确定为目标列,将背景区域中目标行或者目标列且与目标区域相邻一个像素点作为第一干扰像素点。
请参照图4、图5、图6和图7,图4为本发明提供的第一种原始图像的示意图,图5为本发明提供的第二种原始图像的示意图,图6为本发明提供的第三种原始图像中的示意图。图7为本发明提供的一种第一干扰图像的示意图。具体地,图4和图5中的每个方格代表一个像素点,并且方格中的数字1为第一目标对象对应的像素点,也即,所有的数字1构成的区域即为目标区域,对应的,所有的数字0构成的区域为背景区域。图5中是对原始图像中的所有行和所有列进行编号,具体地,为0行-4行、0行-4列。图6中每个方格中的数值为原始图像中每个像素点的像素值。
假设预设步长为2,此时,先从(0,0)开始轮询检测,也即是0行0列,此时,由于预设步长为2,则轮询可以是沿着(0,0)--(0,2)--(0,4)--(2,0)--(2,2)--(2,4)……直至(4,4),也可以是沿着(0,0)--(2,0)--(4,0)--(0,2)--(2,2)--(4,2)……直至(4,4),本申请不再限定。其中,在轮询过程中,检测到(2,2)时,(2,2)为目标像素点,此时,选取背景区域中的第2行或第2列且与目标区域相邻的像素点(满足此条件的像素点有4个,分别为(0,2)、(2,0)、(2,4)和(4,2)),从满足条件的4个像素点中选择一个作为第一干扰像素点,如将(2,0)的像素点作为第一干扰像素点,如图6所示,(2,0)处的像素值为8,目标像素点(2,2)处的像素值为2,使用8替换2,得到的第一干扰图像的各个像素点的像素值如图7。至此,完成了生成第一干扰图像的步骤。
本实施例中的第一干扰像素点选取的是与目标像素点同行或者同列且与目标区域相邻的像素点,使用此第一干扰像素点替换目标像素点时,进一步可以避免原始图像失真。
作为一种优选的实施例,预设步长为不小于2的整数。
其中,考虑到对原始图像中目标区域中过多的目标像素点的像素值进行替换时,原始图像失真的可能性较大,因此,本申请中的预设步长限定为不小于2的整数,避免对每个目标像素点的像素值进行替换,进一步的,在原始图像中的第一目标对象所在的目标区域的像素点较多时,预设步长也可以相适应的增大,例如为3或4等,具体根据实际情况而定,本申请在此不再限定。
作为一种优选的实施例,选取第二目标对象所在区域的M个第二干扰像素点,及选取目标区域中的M个目标像素点,M个第二干扰像素点和M个目标像素点一一对应,包括:
设定第二预设步长;
根据第二预设步长对原始图像中的所有像素点进行轮询检测;
在轮询检测过程中,确定检测的像素点是否为目标区域中的像素点;
若是,则将检测的目标区域中的像素点作为目标像素点,并确定目标像素点所在的目标行或目标列;
将第二目标对象所在图像的目标行或目标列且的像素点作为和目标像素点对应的第二干扰像素点。
具体地,选取M个第二干扰像素点和M个目标像素点及使用M个第二干扰像素点的像素值一一对应替换M个目标像素点的像素值的方法与上述实施例中描述的选用N个第一干扰像素点和N个目标像素点及使用N个第一干扰像素点的像素值一一对应替换N个目标像素点的像素值的方法相同,具体请参照上述实施例,本申请在此不做限定。
请参照图8,图8为本发明提供的一种对抗样本的生成系统的结构框图,该系统包括:
区域确定单元81,用于确定原始图像中的目标区域和背景区域,目标区域为第一目标对象所在的区域,背景区域为原始图像中除目标区域之外的区域;
像素点选取单元82,用于选取背景区域中与目标区域相邻的N个第一干扰像素点,及选取目标区域中的N个目标像素点,N个目标像素点与N个第一干扰像素点一一对应;
干扰单元83,用于将原始图像中的N个目标像素点的像素值一一替换为和自身对应的第一干扰像素点的像素值,得到第一干扰图像,并将第一干扰图像作为对抗样本。
为解决上述技术问题,本申请还提供了一种对抗样本的生成系统,对于对抗样本的生成系统的介绍请参照上述实施例,本申请在此不再赘述。
请参照图9,图9为本发明提供的一种对抗样本的生成装置的结构框图,该装置包括:
存储器91,用于存储计算机程序;
处理器92,用于在执行计算机程序时,实现上述的对抗样本的生成方法的步骤。
为解决上述技术问题,本申请还提供了一种对抗样本的生成装置,对于对抗样本的生成装置的介绍请参照上述实施例,本申请在此不再赘述。
为解决上述技术问题,本发明还提供了一种计算机存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的对抗样本的生成方法的步骤。
对于计算机存储介质的介绍请参照上述实施例,本申请在此不再赘述。
需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种对抗样本的生成方法,其特征在于,包括:
确定原始图像中的目标区域和背景区域,所述目标区域为第一目标对象所在的区域,所述背景区域为所述原始图像中除所述目标区域之外的区域;
选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点,及选取所述目标区域中的N个目标像素点,N个所述目标像素点与N个所述第一干扰像素点一一对应,N为不小于1的整数;
将所述原始图像中的N个所述目标像素点的像素值一一替换为和自身对应的第一干扰像素点的像素值,得到第一干扰图像,并将所述第一干扰图像作为对抗样本。
2.如权利要求1所述的对抗样本的生成方法,其特征在于,将所述原始图像中的N个所述目标像素点一一替换为和自身对应的干扰像素点,得到第一干扰图像之后,还包括:
构造第二目标对象;
选取所述第二目标对象所在区域的M个第二干扰像素点,及选取所述目标区域中的M个目标像素点,M个所述第二干扰像素点和M个所述目标像素点一一对应,M为不小于1的整数;
将所述第一干扰图像中的M个目标像素点的像素值一一替换为和自身对应的第二干扰像素点的像素值,得到第二干扰图像,并将所述第二干扰图像作为所述对抗样本。
3.如权利要求1所述的对抗样本的生成方法,其特征在于,确定原始图像中的目标区域和背景区域,包括:
使用全卷积神经网络方法对所述原始图像进行处理,以将所述第一目标对象所在区域设定为第一颜色,将所述原始图像中除所述第一目标对象之外的区域设定为第二颜色;
将所述第一颜色所在区域作为所述目标区域,并将所述第二颜色所在区域作为所述背景区域。
4.如权利要求1所述的对抗样本的生成方法,其特征在于,选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点,及选取所述目标区域中的N个目标像素点,N个所述目标像素点与N个所述第一干扰像素点一一对应,包括:
设定第一预设步长;
根据所述第一预设步长对所述原始图像中的所有像素点进行轮询检测;
在所述轮询检测过程中,确定检测的像素点是否为目标区域中的像素点;
若是,则将检测的所述目标区域中的像素点作为所述目标像素点,并确定所述目标像素点所在的目标行或目标列;
将所述背景区域中的目标行或目标列且与所述目标区域相邻的一个像素点作为和所述目标像素点对应的第一干扰像素点。
5.如权利要求4所述的对抗样本的生成方法,其特征在于,所述预设步长为不小于2的整数。
6.如权利要求2所述的对抗样本的生成方法,其特征在于,选取所述第二目标对象所在区域的M个第二干扰像素点,及选取所述目标区域中的M个目标像素点,M个所述第二干扰像素点和M个所述目标像素点一一对应,包括:
设定第二预设步长;
根据所述第二预设步长对所述原始图像中的所有像素点进行轮询检测;
在所述轮询检测过程中,确定检测的像素点是否为目标区域中的像素点;
若是,则将检测的所述目标区域中的像素点作为所述目标像素点,并确定所述目标像素点所在的目标行或目标列;
将所述第二目标对象所在图像的目标行或目标列的像素点作为和所述目标像素点对应的第二干扰像素点。
7.一种对抗样本的生成系统,其特征在于,包括:
区域确定单元,用于确定原始图像中的目标区域和背景区域,所述目标区域为第一目标对象所在的区域,所述背景区域为所述原始图像中除所述目标区域之外的区域;
像素点选取单元,用于选取所述背景区域中与所述目标区域相邻的N个第一干扰像素点,及选取所述目标区域中的N个目标像素点,N个所述目标像素点与N个所述第一干扰像素点一一对应;
干扰单元,用于将所述原始图像中的N个所述目标像素点的像素值一一替换为和自身对应的第一干扰像素点的像素值,得到第一干扰图像,并将所述第一干扰图像作为对抗样本。
8.一种对抗样本的生成装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于在执行所述计算机程序时,实现如权利要求1-6任一项所述的对抗样本的生成方法的步骤。
9.一种计算机存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的对抗样本的生成方法的步骤。
CN202210302379.6A 2022-03-25 2022-03-25 一种对抗样本的生成方法、系统、装置及介质 Pending CN114648636A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210302379.6A CN114648636A (zh) 2022-03-25 2022-03-25 一种对抗样本的生成方法、系统、装置及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210302379.6A CN114648636A (zh) 2022-03-25 2022-03-25 一种对抗样本的生成方法、系统、装置及介质

Publications (1)

Publication Number Publication Date
CN114648636A true CN114648636A (zh) 2022-06-21

Family

ID=81994616

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210302379.6A Pending CN114648636A (zh) 2022-03-25 2022-03-25 一种对抗样本的生成方法、系统、装置及介质

Country Status (1)

Country Link
CN (1) CN114648636A (zh)

Similar Documents

Publication Publication Date Title
Akhtar et al. Advances in adversarial attacks and defenses in computer vision: A survey
CN108229490B (zh) 关键点检测方法、神经网络训练方法、装置和电子设备
CN110222831A (zh) 深度学习模型的鲁棒性评估方法、装置及存储介质
CN111860398B (zh) 遥感图像目标检测方法、系统及终端设备
WO2019081623A1 (en) SELF-REGRESSIVE NEURAL NETWORK SYSTEMS INCLUDING A SOFTWARE ATTENTION MECHANISM USING SUPPORT DATA CORRECTIVES
CN104866868A (zh) 基于深度神经网络的金属币识别方法和装置
CN111598182A (zh) 训练神经网络及图像识别的方法、装置、设备及介质
CN111967573A (zh) 数据处理方法、装置、设备及计算机可读存储介质
CN110084201B (zh) 一种监控场景下基于特定目标跟踪的卷积神经网络的人体动作识别方法
CN109685830B (zh) 目标跟踪方法、装置和设备及计算机存储介质
CN111723841A (zh) 文本检测方法、装置、电子设备及存储介质
Sakurai et al. Plant Growth Prediction using Convolutional LSTM.
CN110717513A (zh) 一种基于多分类器的零样本深海生物图片分类方法
CN113919497A (zh) 针对连续学习能力系统的基于特征操纵的攻击和防御方法
CN115170565B (zh) 基于自动神经网络架构搜索的图像欺诈检测方法及装置
CN101739670B (zh) 非局部均值空域时变图像滤波方法
CN113569852A (zh) 语义分割模型的训练方法、装置、电子设备及存储介质
CN115311550B (zh) 遥感影像语义变化检测方法、装置、电子设备及存储介质
Lv et al. Chinese character CAPTCHA recognition based on convolution neural network
AU2022392233A1 (en) Method and system for analysing medical images to generate a medical report
CN111985537A (zh) 一种目标图像识别方法、终端、系统和存储介质
CN117454187B (zh) 一种基于频域限制目标攻击的集成模型训练方法
CN117710728A (zh) Sar图像目标识别方法、装置、计算机设备和存储介质
CN114648636A (zh) 一种对抗样本的生成方法、系统、装置及介质
CN112529081B (zh) 基于高效注意力校准的实时语义分割方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination