CN114882312A - 对抗图像样本的生成方法、装置、电子设备以及存储介质 - Google Patents
对抗图像样本的生成方法、装置、电子设备以及存储介质 Download PDFInfo
- Publication number
- CN114882312A CN114882312A CN202210520641.4A CN202210520641A CN114882312A CN 114882312 A CN114882312 A CN 114882312A CN 202210520641 A CN202210520641 A CN 202210520641A CN 114882312 A CN114882312 A CN 114882312A
- Authority
- CN
- China
- Prior art keywords
- image sample
- detection result
- target
- sample
- confrontation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 109
- 238000001514 detection method Methods 0.000 claims abstract description 296
- 230000009466 transformation Effects 0.000 claims abstract description 60
- 230000006870 function Effects 0.000 claims description 37
- 238000012549 training Methods 0.000 claims description 27
- 230000003042 antagnostic effect Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 18
- 230000002452 interceptive effect Effects 0.000 claims description 9
- 239000000126 substance Substances 0.000 claims 1
- 238000004422 calculation algorithm Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 18
- 238000007906 compression Methods 0.000 description 13
- 230000006835 compression Effects 0.000 description 13
- 230000000694 effects Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 5
- 238000000844 transformation Methods 0.000 description 5
- 241000282414 Homo sapiens Species 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000644 propagated effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 206010039203 Road traffic accident Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000011426 transformation method Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/77—Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
- G06V10/774—Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T5/00—Image enhancement or restoration
- G06T5/70—Denoising; Smoothing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T9/00—Image coding
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/764—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/82—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2207/00—Indexing scheme for image analysis or image enhancement
- G06T2207/20—Special algorithmic details
- G06T2207/20024—Filtering details
- G06T2207/20032—Median filtering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V2201/00—Indexing scheme relating to image or video recognition or understanding
- G06V2201/07—Target detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Multimedia (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Image Analysis (AREA)
Abstract
本公开提供了一种对抗图像样本的生成方法、装置电子设备以及存储介质,涉及目标识别领域,尤其涉及一种对抗图像样本的生成方法、装置电子设备以及存储介质。具体实现方案为:获取原始图像样本;对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果;基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组。
Description
技术领域
本公开涉及目标识别领域,尤其涉及一种对抗图像样本的生成方法、装置电子设备以及存储介质。
背景技术
目前,在生成对抗图像样本时,通常是通过增加扰动幅度的方法来突出对抗样本中的可以干扰模型预测结果的特征,比如,当对抗样本为图片时,通过使得目标检测模型对图片某个物体进行误分类,但同时又不影响人眼对图像的识别,来突出该图片中的可以干扰目标检测模型预测结果的特征。
发明内容
本公开提供了一种用于对抗图像样本的生成方法、装置、电子设备以及存储介质。
根据本公开的一方面,提供了一种对抗图像样本的生成方法,包括:获取原始图像样本;对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,第一检测结果用于表征原始图像样本的检测结果,每个第二检测结果用于表征对应的一个第一目标图像样本的检测结果;基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,其中,对抗图像样本组中每个对抗图像样本包括用于干扰目标模型的检测结果的特征。
根据本公开的一方面,提供了一种对抗图像样本的检测方法,包括:获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果。
根据本公开的一方面,提供了一种模型确定方法,包括:获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;基于对抗图像样本训练目标模型;输出训练后的目标模型。
根据本公开的另一方面,提供了一种对抗图像样本的生成装置,包括:第一获取单元,用于获取原始图像样本;变换单元,用于对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;第一检测单元,用于基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,第一检测结果用于表征原始图像样本的检测结果,每个第二检测结果用于表征对应的一个第一目标图像样本的检测结果;生成单元,用于基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,其中,对抗图像样本组中每个对抗图像样本包括用于干扰目标模型的检测结果的特征。
根据本公开的另一方面,提供了一种对抗图像样本的检测装置,包括:第二获取单元,用于获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;第二检测单元,用于基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果。
根据本公开的另一方面,提供了一种模型确定装置,包括:第三获取单元,用于获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;训练单元,用于基于对抗图像样本训练目标模型;输出单元,用于输出训练后的目标模型。
根据本公开的另一方面,提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开实施例的对抗图像样本的生成方法、对抗图像样本的检测方法和模型确定方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开实施例的对抗图像样本的生成方法、对抗图像样本的检测方法和模型确定方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现本公开实施例的对抗图像样本的生成方法、对抗图像样本的检测方法和模型确定方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开实施例的一种对抗图像样本的生成方法的流程图;
图2是根据本公开实施例的一种对抗图像样本的检测方法的流程图;
图3是根据本公开实施例的一种对抗图像样本的检测方法的流程图;
图4是相关技术中的一种梯度攻击算法的流程图;
图5是根据本公开实施例的一种基于梯度下降的攻击算法的流程图;
图6是根据本公开实施例的一种目标模型对未经鲁棒性增强训练的对抗样本进行检测的示意图;
图7是根据本公开实施例的一种将经过JPEG压缩后的对抗样本输入目标检测模型进行检测的示意图;
图8是根据本公开实施例的一种目标模型对经过本发明中鲁棒性增强训练的对抗样本进行检测的示意图;
图9是根据本公开实施例的一种将经过JPEG压缩的对抗样本输入至目标模型进行检测的示意图;
图10是根据本公开实施例的一种对抗图像样本的生成装置的示意图;
图11是根据本公开实施例的一种对抗图像样本的检测装置的示意图;
图12是根据本公开实施例的一种模型确定装置的示意图;
图13是根据本公开实施例的一种电子设备的示意性框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
下面对本公开实施例的对抗图像样本的生成方法进行进一步地介绍。
在相关技术中,是通过增加扰动幅度的方法来突出对抗样本中的可以干扰模型预测结果的特征,但该方法可能造成生成的对抗样本过度失真,这违背了对抗样本的最初目的,存在对抗图像样本的鲁棒性低的技术问题。
本公开提出了一种对抗图像样本的生成方法,通过对图像样本和经过图像变换后的图像样本同时进行检测,生成包括对目标模型造成干扰的特征的对抗图像样本,以达到在不增加扰动幅度的条件下学习到最有效的特征的目的,提高了对抗图像样本的鲁棒性。
图1是根据本公开实施例的一种对抗图像样本的生成方法的流程图,如图1所示,该方法可以包括以下步骤:
步骤S102,获取原始图像样本。
在本公开上述步骤S102提供的技术方案中,在生成对抗图像样本时,可以获取想要扰动的原始图像样本。
在该实施例中,在获取原始图像样本时,可以是通过手工挑选的方式获取,也可以是通过智能推荐算法获取,在此不做具体限制。
步骤S104,对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本。
在本公开上述步骤S104提供的技术方案中,在生成对抗图像样本的过程中,可以对获取到的原始图像样本进行图像变换来得到一系列变换后的图像样本。
在该实施例中,图像变换可以包括但不限于裁剪,旋转,压缩,色彩反转等,在此不做具体限制。
优选地,对原始图像样本分别进行中值模糊和联合图像专家组(Joint Photographic Experts Group,简称为JPEG)压缩两种图像变换。
在该实施例中,可以根据具体的应用场景和人物要求来选择不同的图像变换方式。
举例而言,在自动驾驶场景中可以使用调节亮度,动态模糊等方式进行图像变换,而在针对网络上的模型进行攻击时,比如,对自动内容审查模型进行攻击时,则可以使用中值滤波,JPEG压缩等变换以适应在网络传输过程中可能发生的图片压缩,变形等操作。
在该实施例中,可以对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本,比如,对原始图像样本分别进行中值模糊和JPEG压缩,进而得到至少一个第一目标图像样本。
步骤S106,基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,第一检测结果用于表征原始图像样本的检测结果,每个第二检测结果用于表征对应的一个第一目标图像样本的检测结果。
在本公开上述步骤S106提供的技术方案中,对原始图像样本和经过图像变换后的图像样本同时进行检测,生成包括对目标模型造成干扰的特征的对抗图像样本。
在该实施例中,目标模型可以是针对某一特定目标进行检测的模型,比如,针对包括行车和行人的图像中的行人进行检测的模型。
在该实施例中,可以基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,比如,用x'来表示原始图像样本,用x1',x2',…,xn'来表示对原始图像样本进行图像变换后的至少一个第一目标图像样本,在将原始图像样本x'以及至少一个第一目标图像样本x1',x2',…,xn'一起输入至目标模型进行预测,得到一组预测结果,其中,原始图像样本x'的预测结果可以用Z(x')表示,至少一个第一目标图像样本x1',x2',…,xn'的预测结果可以用Z(x1'),Z(x2'),...,Z(xn')表示。
步骤S108,基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,其中,对抗图像样本组中每个对抗图像样本包括用于干扰目标模型的检测结果的特征。
在本公开上述步骤S108提供的技术方案中,对抗图像样本组中每个对抗图像样本对目标模型造成干扰的特征,进而挑选出在图像变化前后都可以对目标模型造成干扰的特征,以达到在不增加扰动幅度的条件下学习到最有效的特征,增加对抗样本抗扰动能力的目的。
可选地,基于第一检测结果和至少一个第二检测结果,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组。
在该实施例中,可以基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,比如,在对对抗样本和经过图像变换后的对抗样本同时进行预测并进行横向比较,从而挑选出在图像变化前后都可以对目标模型造成干扰的特征,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组。
通过上述步骤S102至步骤S108,获取原始图像样本;对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,第一检测结果用于表征原始图像样本的检测结果,每个第二检测结果用于表征对应的一个第一目标图像样本的检测结果;基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,其中,对抗图像样本组中每个对抗图像样本包括用于干扰目标模型的检测结果的特征,从而实现了在不增加扰动幅度的条件下学习到最有效的特征的目的,进而解决了对抗图像样本的鲁棒性低的技术问题的技术问题,达到了提高对抗图像样本的鲁棒性的技术效果。
下面对该实施例的上述方法进行进一步地详细介绍。
作为一种可选的实施方式,步骤S108,基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本包括:基于第一检测结果和至少一个第二检测结果,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组。
在该实施例中,可以基于第一检测结果和至少一个第二检测结果,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组,比如,当第一检测结果和至少一个第二检测结果用于表示原始图像样本和至少一个第一目标图像样本包括用于干扰目标模型的检测结果的特征时,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组。
在该实施例中,可以在生成对抗图像样本之前预先定义什么是成功的对抗图像样本,比如,可以是在利用目标模型对原始图像样本和至少一个第一目标图像样本进行检测时的误分类,也可以是在利用目标模型对原始图像样本和至少一个第一目标图像样本进行检测时未能检测到目标物体。
该实施例通过基于第一检测结果和至少一个第二检测结果,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组,这样就可以在不增加扰动幅度的条件下学习到最有效的特征,从而达到对抗图像样本的鲁棒性的技术效果。
作为一种可选的实施方式,基于第一检测结果和至少一个第二检测结果,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组包括:判断步骤,基于第一检测结果和至少一个第二检测结果,判断原始图像样本和至少一个第一目标图像样本是否为成功对抗图像样本,如果是,则执行第一确定步骤,如果否,则执行第二确定步骤,其中,成功对抗图像样本为成功干扰到目标模型的检测结果的样本;第一确定步骤,将原始图像样本和至少一个第一目标图像样本确定为对抗图像样本组;第二确定步骤,基于原始图像样本上的梯度和每个第一目标图像样本上的梯度,生成对抗图像样本组。
在该实施例中,可以基于第一检测结果和至少一个第二检测结果,判断原始图像样本和至少一个第一目标图像样本是否为成功对抗图像样本,如果是,则执行第一确定步骤,如果否,则执行第二确定步骤,比如,目标检测模型的输出,可以是一个列表,其中,每一行代表了输入图像中的一个物体,至少包括物体的类别和位置信息,可以预先设定若模型不能检测出输入图像中的行人即为成功的对抗样本,那么得到检测结果后,若列表中没有代表行人的物体,则认为输入样本为成功对抗样本,执行第一确定步骤,否则执行第二确定步骤。
在该实施例中,可以将原始图像样本和至少一个第一目标图像样本确定为对抗图像样本组,比如,预先设定若模型不能检测出输入图像中的行人即为成功的对抗样本,在根据目标模型输出的检测结果用于表示列表中没有代表行人的物体,则认为输入样本为成功对抗样本,将原始图像样本和至少一个第一目标图像样本确定为对抗图像样本组。
在该实施例中,可以基于原始图像样本上的梯度和每个第一目标图像样本上的梯度,生成对抗图像样本组,比如,预先设定若模型不能检测出输入图像中的行人即为成功的对抗样本,在根据目标模型输出的检测结果用于表示列表中有代表行人的物体,则认为输入样本不为成功对抗样本,则对第一检测结果和至少一个第二检测结果分别计算损失并进行反向传播,计算每一个输入目标模型的样本梯度,并基于样本梯度更新原始图像样本,将更新后的原始图像样本和转换后的更新图像样本重新输入至目标模型中再次进行检测,以生成新的对抗图像样本组。
该实施例通过判断步骤,基于第一检测结果和至少一个第二检测结果,判断原始图像样本和至少一个第一目标图像样本是否为成功对抗图像样本,如果是,则执行第一确定步骤,如果否,则执行第二确定步骤,其中,成功对抗图像样本为成功干扰到目标模型的检测结果的样本;第一确定步骤,将原始图像样本和至少一个第一目标图像样本确定为对抗图像样本组;第二确定步骤,基于原始图像样本上的梯度和每个第一目标图像样本上的梯度,生成对抗图像样本组,这样就可以生成成功的对抗图像样本组,从而达到在不增加扰动幅度的条件下学习到最有效的特征的效果。
作为一种可选的实施方式,基于原始图像样本上的梯度和每个第一目标图像样本上的梯度,生成对抗图像样本组包括:基于原始图像样本上的梯度和每个第一目标图像样本上的梯度对原始图像样本进行更新;对更新后的原始图像样本分别进行至少一种图像变换,得到至少一个第二目标图像样本;基于目标模型分别对至少一个第二目标图像样本进行检测,得到至少一个第三检测结果;将第三检测结果确定为第二检测结果,并执行判断步骤。
在该实施例中,可以基于原始图像样本上的梯度和每个第一目标图像样本上的梯度对原始图像样本进行更新,比如,在目标模型输出第一检测结果和至少一个第二检测结果之后,当第一检测结果和至少一个第二检测结果用于表示原始图像样本和至少一个第一目标图像样本不为成功的对抗样本时,可以分别计算原始图像样本上的梯度和每个第一目标图像样本上的梯度,并根据这一组梯度的平均值,对原始图像样本进行更新。
在该实施例中,可以对更新后的原始图像样本分别进行至少一种图像变换,得到至少一个第二目标图像样本,比如,对更新后的原始图像样本可以分别进行中值模糊和JPEG压缩,得到至少一个第二目标图像样本。
在该实施例中,可以基于目标模型分别对至少一个第二目标图像样本进行检测,得到至少一个第三检测结果,比如,将至少第二目标图像样本输入值目标模型进行检测之后,得到至少一个第三检测结果。
在该实施例中,可以将第三检测结果确定为第二检测结果,并执行判断步骤,比如,在生成对抗样本的过程中,基于第一检测结果和至少一个第二检测结果,判断原始图像样本和至少一个第一目标图像样本是否为成功对抗图像样本。
该实施例通过基于原始图像样本上的梯度和每个第一目标图像样本上的梯度对原始图像样本进行更新,对更新后的原始图像样本分别进行至少一种图像变换,得到至少一个第二目标图像样本,然后基于目标模型分别对至少一个第二目标图像样本进行检测,得到至少一个第三检测结果,将第三检测结果确定为第二检测结果,并执行判断步骤,这样就可以生成成功的对抗图像样本组,以达到在不增加扰动幅度的条件下学习到最有效的特征的效果。
作为一种可选的实施方式,基于原始图像样本上的梯度和每个第一目标图像样本上的梯度对原始图像样本进行更新包括:将原始图像样本上的梯度和每个第一目标图像样本上的梯度转换为目标梯度,其中,目标梯度用于使每个对抗图像样本包括用于干扰目标模型的检测结果的特征;基于目标梯度对原始图像样本进行更新。
在该实施例中,目标梯度可以是通过对原始图像样本上的梯度和每个第一目标图像样本上的梯度进行运算得到,比如,对原始图像样本上的梯度和每个第一目标图像样本上的梯度进行算术平均、加权平均数和最大值Max函数等,在此不做具体限制。
在该实施例中,可以将原始图像样本上的梯度和每个第一目标图像样本上的梯度转换为目标梯度,比如,将原始图像样本上的梯度和每个第一目标图像样本上的梯度进行算术平均运算,得到梯度平均值。
在该实施例中,可以基于目标梯度对原始图像样本进行更新,比如,计算得到的平均梯度更新原始图像样本。
该实施例通过将原始图像样本上的梯度和每个第一目标图像样本上的梯度转换为目标梯度,这样可以使得对抗样本学习到经过变换之后依旧可以对目标模型造成干扰的特征,进而达到在不增加扰动幅度的条件下学习到最有效的特征的效果。
作为一种可选的实施方式,基于目标梯度对原始图像样本进行更新包括:在原始图像样本上增加目标梯度,得到更新后的原始图像样本。
在该实施例中,可以在原始图像样本上增加目标梯度,得到更新后的原始图像样本,比如,在原始图像样本上增加平均梯度,得到更新后的原始图像样本。
该实施例通过在原始图像样本上增加目标梯度,得到更新后的原始图像样本,这样就可以根据计算得到的平均梯度更新原始图像样本,从而达到了达到在不增加扰动幅度的条件下学习到最有效的特征的效果。
作为一种可选的实施方式,该方法还包括:基于第一检测结果的损失函数和每个第二检测结果的损失函数,确定原始图像样本上的梯度和每个第一目标图像样本上的梯度。
在该实施例中,损失函数可以是目标物体的类别置信度。
在该实施例中,可以基于第一检测结果的损失函数和每个第二检测结果的损失函数,确定原始图像样本上的梯度和每个第一目标图像样本上的梯度,比如,在目标模型输出第一检测结果和至少一个第二检测结果后,可以对每一个检测结果分别计算目标物体的类别置信度,并进行反向传播,确定原始图像样本上的梯度和每个第一目标图像样本上的梯度。
该实施例通过基于第一检测结果的损失函数和每个第二检测结果的损失函数,确定原始图像样本上的梯度和每个第一目标图像样本上的梯度,这样可以计算得到对抗图像样本组的梯度,从而达到了达到在不增加扰动幅度的条件下学习到最有效的特征的效果。
作为一种可选的实施方式,基于第一检测结果的损失函数和每个第二检测结果的损失函数,确定原始图像样本上的梯度和每个第一目标图像样本上的梯度包括:对第一检测结果的损失函数进行反向传播,得到第一检测结果对应的反向传播结果;对每个第二检测结果的损失函数进行反向传播,得到每个第二检测结果对应的反向传播结果;基于第一检测结果对应的反向传播结果确定原始图像样本上的梯度,且基于每个第二检测结果对应的反向传播结果确定每个第一目标图像样本上的梯度。
在该实施例中,可以对第一检测结果的损失函数进行反向传播,得到第一检测结果对应的反向传播结果,比如,在将原始图像样本输入至目标模型后,通过目标模型对原始图像样本进行检测,得到第一检测结果,进而可以计算第一检测结果的损失,并进行反向传播,得到第一检测结果对应的反向传播结果。
在该实施例中,可以对每个第二检测结果的损失函数进行反向传播,得到每个第二检测结果对应的反向传播结果,比如,在将转换后的图像样本输入至目标模型后,通过目标模型对转换后的图像样本进行检测,得到第二检测结果,进而可以计算第二检测结果的损失,并进行反向传播,得到第二检测结果对应的反向传播结果。
在该实施例中,可以基于第一检测结果对应的反向传播结果确定原始图像样本上的梯度,且基于每个第二检测结果对应的反向传播结果确定每个第一目标图像样本上的梯度,比如,在得到第一检测结果对应的反向传播结果后,计算得到原始图像样本上的梯度,且在得到每个第二检测结果对应的反向传播结果后,计算得到每个第一目标图像样本上的梯度。
该实施例通过对第一检测结果的损失函数进行反向传播,得到第一检测结果对应的反向传播结果,然后对每个第二检测结果的损失函数进行反向传播,得到每个第二检测结果对应的反向传播结果,再基于第一检测结果对应的反向传播结果确定原始图像样本上的梯度,且基于每个第二检测结果对应的反向传播结果确定每个第一目标图像样本上的梯度,这样可以确定原始图像样本上和每个第一目标图像样本上的梯度,从而达到了达到在不增加扰动幅度的条件下学习到最有效的特征的效果。
作为一种可选的实施方式,基于目标模型对原始图像样本进行检测,得到第一检测结果包括:将原始图像样本确定为目标模型的初始化对抗样本;基于目标模型对初始化对抗样本进行检测,得到第一检测结果。
在该实施例中,可以将原始图像样本确定为目标模型的初始化对抗样本,基于目标模型对初始化对抗样本进行检测,得到第一检测结果,比如,将原始图像样本作为输入至目标模型的初始化对抗样本,在将初始化对抗样本输入至目标模型之后,目标模型对初始化对抗样本进行检测,得到第一检测结果。
该实施例通过将原始图像样本确定为目标模型的初始化对抗样本,基于目标模型对初始化对抗样本进行检测,得到第一检测结果,这样可以通过目标模型对初始化样本进行检测得到第一检测结果,从而达到基于目标模型对原始图像样本进行检测的效果。
图2是根据本公开实施例的一种对抗图像样本的检测方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S202,获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到。
在本公开上述步骤S202提供的技术方案中,通过对抗图像样本的生成方法得到对抗图像样本后,可以获取该对抗图像样本。
步骤S204,基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果。
在本公开上述步骤S204提供的技术方案中,在使用对抗样本进行攻击场景下,可以基于目标模型对对抗图像样本进行检测。
在该实施例中,误检测结果可以是目标模型对对抗图像样本的目标对象进行检测的误识别结果和误分类结果,在此不做具体限制。
在该实施例中,可以基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果,比如,在获取对抗图像样本之后,将该对抗图像样本输入目标模型进行预测,可以看到模型对图像中的物体检测出现错误。
作为一种可选的实施方式,对对抗图像样本进行至少一种图像变换;基于目标模型对变换后的对抗图像样本进行检测,得到原始图像样本的误检测结果。
在该实施例中,可以对对抗图像样本进行至少一种图像变换,然后基于目标模型对变换后的对抗图像样本进行检测,得到原始图像样本的误检测结果,比如,对对抗图像样本进行裁剪、拉伸等图像变换,然后将经过图像变换后的对抗图像样本输入至目标模型中进行检测,得到原始图像样本的误识别和/或误分类结果。
该实施例通过对对抗图像样本进行至少一种图像变换,然后基于目标模型对变换后的对抗图像样本进行检测,得到原始图像样本的误检测结果,这样就可以将生成好的对抗样本输入目标模型进行预测,可以看到模型对图像中的物体检测出现错误,以达到有效的增强对抗样本的鲁棒性的效果。
在本公开实施例中,通过获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到,基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果,从而解决了对抗图像样本的鲁棒性低的技术问题,达到了提高对抗图像样本的鲁棒性的技术效果。
图3是根据本公开实施例的一种对抗图像样本的检测方法的流程图,如图3所示,该方法可以包括以下步骤:
步骤S302,获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到。
在本公开上述步骤S302提供的技术方案中,可以获取对抗图像样本,比如,获取对抗图像样本的生成方法得到对抗图像样本,
步骤S304,基于对抗图像样本训练目标模型。
在本公开上述步骤S304提供的技术方案中,可以基于对抗图像样本训练目标模型,比如,可以将对抗图像样本输入至目标模型,对目标模型进行训练。
步骤S306,输出训练后的目标模型。
在本公开上述步骤S306提供的技术方案中,可以输出训练后的目标模型,比如,通过对目标模型进行训练后,可以是输出目标模型。
作为一种可选的实施方式,基于对抗图像样本训练目标模型包括:基于目标模型对对抗图像样本进行检测,得到目标模型的误检测结果;基于误检测结果和目标模型的正确检测结果调整目标模型的参数,得到训练后的目标模型。
在该实施例中,可以基于目标模型对对抗图像样本进行检测,得到目标模型的误检测结果,基于误检测结果和目标模型的正确检测结果调整目标模型的参数,得到训练后的目标模型,比如,在将对抗图像样本输入至目标模型进行检测后,得到误检测结果,则可以根据误检测结果和目标模型的正确检测结果的差异值调整目标模型的参数,得到训练后的目标模型。
该实施例通过基于目标模型对对抗图像样本进行检测,得到目标模型的误检测结果,基于误检测结果和目标模型的正确检测结果调整目标模型的参数,得到训练后的目标模型,这样可以得到用于对图像样本进行目标检测的目标模型,进而达到了基于对抗图像样本训练目标模型的效果。
在本公开上述实施例中,通过获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到,基于对抗图像样本训练目标模型,输出训练后的目标模型,进而解决了对抗图像样本的鲁棒性低的技术问题,达到了提高对抗图像样本的鲁棒性的技术效果。
下面结合优选的实施例对本公开的对抗图像样本的生成方法、对抗图像样本的检测方法和模型确定方法作进一步地介绍。
随着人工智能的发展,出现了针对目标检测模型的攻击算法(比如,FGSM,CW),通过对原图添加一个微小的扰动就可以干扰模型对输入图片的检测结果,例如使图片中的某个物体消失,或是造成模型对某个物体的误分类,但同时又不影响人眼对图像的识别。此技术如果被不正当使用,可能会干扰到自动驾驶汽车对于路况和道路上其他个体(如行人,其他车辆等)的判断,造成对道路上行人的检测失效,可能会造成严重的交通事故。
因此在模型的研发和测试阶段进行更加严格的鲁棒性测试就显得更为重要。通过模拟恶意攻击样本对目标模型进行攻击,能有效提升模型对恶意攻击的防御能力。但是通过传统的攻击算法生成的对抗样本普遍存在着泛化能力和变换鲁棒性不足的问题,对输入图像进行简单的变换处理即可以使大部分的对抗样本失效。这降低了对目标模型的鲁棒性训练的强度,可能会导致模型在实际部署中面对来自真正的恶意样本的时候鲁棒性不足的问题。需要注意的是,恶意攻击样本可以称为对抗样本,指的是人为生成的可以对目标模型造成干扰的输入图像,防御能力可以指目标模型在输入的图像是恶意对抗样本的时候也可以给出正确输出的能力。
本公开提供了一种生成对抗样本的方法,通过在训练对抗样本的阶段就加入对于变换鲁棒性的考量,可以有效的提高生成的对抗样本经过图像变换之后的鲁棒性。本发明可以用来模拟对于模型的恶意攻击,解决现有的模型鲁棒性测试对可能出现的攻击模拟强度较低,种类不够完备,不能很好的测试模型的安全性的问题。
如果想让生成的对抗样本具有更强的鲁棒性,常规的方法包括增加对抗样本的最大允许扰动幅度,或是加大梯度下降的步长等。但增大了最大扰动幅度后有可能造成生成的对抗样本过度失真,这违背了对抗样本的最初目的。本专利中提出的攻击方法在训练对抗样本时就加入了对变换鲁棒性的考量,可以在不增加扰动幅度的条件下找到更普适的攻击特征,从而使攻击样本在经过图像变换之后依旧保持成功干扰目标模型的能力。
需要注意的是,上述攻击目标模型也可以成为干扰目标模型,指能够对目标模型造成干扰导致模型对输入图片的识别出现错误,除了误分类的扰动之外,对于目标检测模型,对于目标物体的分类错误或未能检测到目标均可视为成功干扰。
相关技术中的增强对抗样本鲁棒性的方法大都是增加了最大的允许扰动幅度,在实际操作中存在着会导致生成的对抗样本图像过度失真的问题,极端情况下甚至会干扰到人眼对图像的识别。
经过图像变换之后模型对对抗样本的识别结果会发生变化,因此本发明在生成对抗样本的时候不仅会将对抗样本输入模型进行计算,并根据模型的梯度对图像进行更新,还会同时将经过变换之后的对抗样本输入模型进行预测,并计算预测结果在经过变换后的图像上的梯度,最后采用原对抗样本和转换后的对抗样本的梯度的平均值对图像进行更新。这样可以有效的筛选出并强调那些不会受到图像变换的影响的特征,使得生成的对抗样本即使在经过图像变换之后依旧具备攻击目标模型的能力。
图4是相关技术中的一种梯度攻击算法的流程图,如图4所示,该算法可以包括以下步骤:
步骤401,获取原始图像x。
步骤402,初始化对抗样本,令x’=x。
步骤403,将初始化后的对抗样本输入至目标模型进行检测。
步骤404,判断对抗样本是否成功。
步骤405,计算损失函数。
步骤406,反向传播计算梯度。
步骤407,根据梯度更新对抗样本x’。
步骤408,输出成功的对抗样本x’。
上述攻击算法在迭代过程中只对对抗样本进行预测并反向计算梯度,该攻击方法没有考虑生成的对抗样本经过默写特定的图像变换之后是否还能成功的攻击目标模型。大部分现有的攻击算法,如PGD,CW等,都力求能够找到可以导致目标模型误分类的最小幅度的扰动。这些攻击算法大都过度利用了目标模型的梯度,虽然可以达到在人类无法察觉的情况下成功干扰目标模型的预测结果,但是这些对抗样本面对图像变换算法的时候十分脆弱,轻微的变换就有可能抹除掉对抗样本中可以造成模型误分类的特征,因此常规的对抗样本的鲁棒性较差。
图5是根据本公开实施例的一种基于梯度下降的攻击算法的流程图,如图5所示,上述攻击算法可以包括以下步骤:
步骤501,获取原始图像x。
步骤502,初始化对抗样本,令x’=x。
步骤503,对对抗样本进行图像变换。
步骤504,将初始化后的对抗样本输入至目标模型进行检测。
,步骤505,判断对抗样本是否成功。
步骤506,同时计算Z(x’),Z(x1'),Z(x2’),…,Z(xn’)的损失函数。
步骤507,反向传播计算x’,x1',x2’,…,xn’的梯度。
步骤508,取x’,x1',x2’,…,xn’的平均梯度,并更新x’。
步骤509,输出成功的对抗样本x’。
在该实施例中,在每一步的迭代中,我们的算法会先对对抗样本x’进行一系列图像变换,得到一系列样本x1’,x2’,…,xn’,随后将这些经过变换的样本连同x’一起送入模型进行预测,得到一组预测结果Z(x'),Z(x1'),Z(x2'),...,Z(xn')。随后我们对每一个预测结果分别计算损失并进行反向传播,计算每一个输入x’,x1’,x2’,…,xn’上的梯度。我们将计算这一组梯度的平均值,并根据计算得到的平均梯度更新x’。
在该实施例中,在整个生成对抗样本的过程开始之前预先定义什么是成功的对抗样本。可以是目标物体的误分类,也可以是未能检测到目标物体。目标检测模型的输出,即Z(x),一般是一个列表,其中每一行代表了输入图像中的一个物体,包括物体的类别,以及位置信息。例如预先设定若模型不能检测出输入图像中的行人即为成功的对抗样本,那么得到检测结果Z(x)后,若列表中没有代表行人的物体,则视输入样本为成功对抗样本。
在该实施例中,在计算损失时,对于单个预测结果计算损失函数的方法与图4所示的方法相同,在发明中是取的目标物体的类别置信度作为损失函数。
在该实施例中,去一组梯度的平均值,可以是算术平均值,加权平均数,最大值Max函数,在此不做具体限制。
在该实施例中,传统的基于梯度的攻击算法会输入一个样本,计算损失函数,并反向传播得到样本上的梯度,随后会让输入样本沿梯度方向前进一个预先设定的步长。然后重复上述过程若干次,直到生成成功的对抗样本。本方法沿用了上述思路,但是在更新对抗样本的时候不仅计算了对抗样本本身的梯度,还计算了经过变换之后的对抗样本上的梯度,并且在更新对抗样本的时候使用了这一组梯度的平均值。
本公开的攻击算法和传统梯度攻击算法最大的区别在于计算梯度的方法不同,传统方法只使用单一输入上的梯度,而本方法使用一组输入的平均梯度。而在已经得到梯度后,根据梯度更新对抗样本x’的时候,本方法沿用了传统攻击的算法。
在该实施例中,流程图中的图像变换可以指任何常见的图像变换方法,包括但不限于裁剪,旋转,压缩,色彩反转等。本发明中提供的实例采用了中值模糊和JPEG压缩两种变换,在实际应用中可以根据具体场景和人物要求选择不同的变换。
举例而言,在自动驾驶场景中可以使用调节亮度,动态模糊等变换;而在针对网络上的模型进行攻击时,比如针对自动内容审查模型进行攻击时,则可以使用中值滤波,JPEG压缩等变换以适应在网络传输过程中可能发生的图片压缩,变形等操作。
在该实施例中对经过变换后的图像计算梯度,并且使用一组梯度的平均值的过程就是为了找到并强调在变换后依旧能够有效攻击目标模型的特征。
下面对中值模糊进行介绍。
中值模糊法是一种非线性平滑技术,它将每一像素点的灰度值设置为该点某邻域窗口内的所有像素点灰度值的中值。中值模糊可以用如下公式表示:
g(x,y)=median{f(x-k,y-l),(k,l∈W)}
其中,f(x,y),g(x,y)分别为原始图像和处理后图像。W为二维模板,通常为3*3,5*5区域,也可以是不同的形状,如线状,圆形,十字形,圆环形等。
下面对JPEG压缩进行介绍。
首先对图像进行色彩空间转换,将影像由RGB(红绿蓝)转换为一种称为YUV的不同色彩空间,其中Y成分表示一个像素的亮度,U和V成分一起表示色调与饱和度。经过RGB到YUV颜色空间的转换后,开始进行缩减采样来减少U和V的成分(称为"缩减取样"或"色度抽样"(chromasubsampling)。下一步,将影像中的每个成分(Y,U,V)生成三个区域,每一个区域再划分成如瓷砖般排列的一个个的8×8子区域,每一子区域使用二维的离散余弦变换(DCT)转换到频率空间。之后简单地把频率领域上每个成分,除以一个对于该成分的常量,且接着舍位取最接近的整数。接着对图像进行熵编码。熵编码是无损资料压缩的一个特别形式。它牵涉到将影像成分以Z字体(zigzag)排列,把相似频率组群在一起(矩阵中往左上方向是越低频率之系数,往右下较方向是较高频率之系数),插入长度编码的零,且接着对剩下的使用霍夫曼编码。最后一步是解码,解码来显示影像,包含反向作以上所有的过程。
下面生成的成功的对抗样本的应用进行介绍。
在使用阶段,使用者首先需要根据具体任务的特性选择合适的图像变换算法,确定算法后就可以将想要扰动的图片输入攻击算法,算法会自动生成并返回对抗样本,之后将生成好的对抗样本输入目标模型进行预测,可以看到模型对图像中的物体检测出现错误,可以尝试对生成好的对抗样本进行一些干扰,如添加一些随机噪声等,可以看到对抗样本依旧可以有效的造成目标模型的预测错误。
图6是根据本公开实施例的一种目标模型对未经鲁棒性增强训练的对抗样本进行检测的示意图,如图6所示,在交通场景下,将一张未经鲁棒性增强训练的对抗样本输入目标检测网络进行预测造成模型误分类可以看到模型对图像中物体的分类出现错误,将图片中的公交车误识别为火车。
图7是根据本公开实施例的一种将经过JPEG压缩后的对抗样本输入目标检测模型进行检测的示意图,如图7所示,在交通场景下,可以看到在经过JPEG压缩后,对抗样本无法对目标模型的预测结果造成干扰,模型对压缩后的对抗样本识别正确,为公交车,说明传统梯度攻击生成的对抗样本对于图像变换的鲁棒性较差。
图8是根据本公开实施例的一种目标模型对经过本发明中鲁棒性增强训练的对抗样本进行检测的示意图,如图8所示,在交通场景下,将一张经过本发明中鲁棒性增强训练的对抗样本输入目标检测网络进行预测造成模型误分类,可以看到模型对图像中物体的分类出现错误,将图片中的公交车误识别为火车。
图9是根据本公开实施例的一种将经过JPEG压缩的对抗样本输入至目标模型进行检测的示意图,如图9所示,在交通场景下,可以看到即使在图片经过JPEG压缩处理后,经过鲁棒性增强训练的对抗样本为火车,从而依然成功干扰了目标模型的检测结果,说明本发明中的鲁棒性增强训练增强了对抗样本的鲁棒性。
在本公开上述实施例中,在生成对抗样本的过程中就加入了对对抗样本抗扰动能力的考量,通过增加扰动幅度的方法来突出对抗样本中的可以干扰模型预测结果的特征,通过在训练阶段对对抗样本和经过图像变换后的对抗样本同时进行预测并进行横向比较,从而挑选出在图像变化前后都可以对目标模型造成干扰的特征,以达到在不增加扰动幅度的条件下学习到最有效的特征,增加对抗样本抗扰动能力的目的,进而解决了对抗图像样本的鲁棒性低的技术问题,达到了提高对抗图像样本的鲁棒性。
本公开实施例还提供了一种用于执行图1所示实施例的对抗图像样本的生成方法的对抗图像样本的生成装置。
图10是根据本公开实施例的一种对抗图像样本的生成装置的示意图,如图10所示,该对抗图像样本的生成装置100可以包括:第一获取单元101、变换单元102、第一检测单元103和生成单元104。
第一获取单元101,用于获取原始图像样本。
变换单元102,用于对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本。
第一检测单103元,用于基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,第一检测结果用于表征原始图像样本的检测结果,每个第二检测结果用于表征对应的一个第一目标图像样本的检测结果。
生成单元104,用于基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,其中,对抗图像样本组中每个对抗图像样本包括用于干扰目标模型的检测结果的特征。
可选地,生成单元104包括:生成模块,用于基于第一检测结果和至少一个第二检测结果,将原始图像样本和至少一个第一目标图像样本生成为对抗图像样本组。
可选地,生成模块包括:判断子模块,用于判断步骤,基于第一检测结果和至少一个第二检测结果,判断原始图像样本和至少一个第一目标图像样本是否为成功对抗图像样本,如果是,则执行第一确定步骤,如果否,则执行第二确定步骤,其中,成功对抗图像样本为成功干扰到目标模型的检测结果的样本;第一确定子模块,用于第一确定步骤,将原始图像样本和至少一个第一目标图像样本确定为对抗图像样本组;第二确定子模块,用于第二确定步骤,基于原始图像样本上的梯度和每个第一目标图像样本上的梯度,生成对抗图像样本组。
可选地,第二确定子模块包括:更新子单元,用于基于原始图像样本上的梯度和每个第一目标图像样本上的梯度对原始图像样本进行更新;变换子单元,用于对更新后的原始图像样本分别进行至少一种图像变换,得到至少一个第二目标图像样本;检测子单元,用于基于目标模型分别对至少一个第二目标图像样本进行检测,得到至少一个第三检测结果;确定子单元,用于将第三检测结果确定为第二检测结果,并执行判断步骤。
可选地,更新子单元通过以下步骤来基于原始图像样本上的梯度和每个第一目标图像样本上的梯度对原始图像样本进行更新:将原始图像样本上的梯度和每个第一目标图像样本上的梯度转换为目标梯度,其中,目标梯度用于使每个对抗图像样本包括用于干扰目标模型的检测结果的特征;基于目标梯度对原始图像样本进行更新。
可选地,更新子单元还用于执行以下步骤来基于目标梯度对原始图像样本进行更新:在原始图像样本上增加目标梯度,得到更新后的原始图像样本。
可选地,生成模块还包括:第三确定子模块,用于基于第一检测结果的损失函数和每个第二检测结果的损失函数,确定原始图像样本上的梯度和每个第一目标图像样本上的梯度。
可选地,第三确定子模块包括:第一传播子单元,用于对第一检测结果的损失函数进行反向传播,得到第一检测结果对应的反向传播结果;第二传播子单元,用于对每个第二检测结果的损失函数进行反向传播,得到每个第二检测结果对应的反向传播结果;确定子单元,用于基于第一检测结果对应的反向传播结果确定原始图像样本上的梯度,且基于每个第二检测结果对应的反向传播结果确定每个第一目标图像样本上的梯度。
可选地,所述装置还包括:确定模块,用于将原始图像样本确定为目标模型的初始化对抗样本;第一检测模块,用于基于目标模型对初始化对抗样本进行检测,得到第一检测结果。
本公开实施例还提供了一种用于执行图2所示实施例的对抗图像样本的检测方法的对抗图像样本的检测装置。
图11是根据本公开实施例的一种对抗图像样本的检测装置的示意图,如图11所示,该对抗图像样本的检测装置110可以包括:第二获取单元111、第二检测单元112。
第二获取单元111,用于获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;
第二检测单元112,用于基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果。
可选地,上述对抗图像样本的检测装置还包括:第一变换单元,用于对对抗图像样本进行至少一图像变换;第三检测单元,用于基于目标模型对变换后的对抗图像样本进行检测,得到原始图像样本的误检测结果。
本公开实施例还提供了一种用于执行图3所示实施例的模型确定方法的模型确定装置。
图12是根据本公开实施例的一种模型确定装置的示意图,如图12所示,该模型确定装置120可以包括:第三获取单元121、训练单元122和输出单元123。
第三获取单元121,用于获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;
训练单元122,用于基于对抗图像样本训练目标模型;
输出单元123,用于输出训练后的目标模型。
可选地,训练单元122包括:第二检测模块,用于基于目标模型对对抗图像样本进行检测,得到目标模型的误检测结果;调整模块,用于基于误检测结果和目标模型的正确检测结果调整目标模型的参数,得到训练后的目标模型。
本公开实施例中,通过本公开的技术方案中,所涉及的用户个人信息的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
本公开的实施例提供了一种电子设备,该电子设备可以包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开实施例的对抗图像样本的生成方法、对抗图像样本的检测方法和模型确定方法。
可选地,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述非易失性存储介质可以被设置为存储用于执行以下步骤的计算机程序:
步骤S11,获取原始图像样本;
步骤S12,对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;
步骤S13,基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,第一检测结果用于表征原始图像样本的检测结果,每个第二检测结果用于表征对应的一个第一目标图像样本的检测结果。
步骤S14,基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,其中,对抗图像样本组中每个对抗图像样本包括用于干扰目标模型的检测结果的特征。
可选地,在本实施例中,上述非易失性存储介质还可以被设置为存储用于执行以下步骤的计算机程序:
步骤S21,获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;
步骤S22,针基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果。
可选地,在本实施例中,上述非易失性存储介质还可以被设置为存储用于执行以下步骤的计算机程序:
步骤S31,获取对抗图像样本,其中,对抗图像样本为基于权利要求1至9中任意一项对抗图像样本的生成方法得到;
步骤S32,基于对抗图像样本训练目标模型;
步骤S33,输出训练后的目标模型。
可选地,在本实施例中,上述非瞬时计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
根据本公开的实施例,本公开还提供了一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现以下步骤:
步骤S11,获取原始图像样本;
步骤S12,对原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;
步骤S13,基于目标模型分别对原始图像样本和至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,第一检测结果用于表征原始图像样本的检测结果,每个第二检测结果用于表征对应的一个第一目标图像样本的检测结果。
步骤S14,基于第一检测结果和至少一个第二检测结果生成目标模型的对抗图像样本组,其中,对抗图像样本组中每个对抗图像样本包括用于干扰目标模型的检测结果的特征。
可选地,在本实施例中,该计算机程序在被处理器执行时还可以实现以下步骤:
步骤S21,获取对抗图像样本,其中,对抗图像样本为基于对抗图像样本的生成方法得到;
步骤S22,针基于目标模型对对抗图像样本进行检测,得到原始图像样本的误检测结果。
可选地,在本实施例中,该计算机程序在被处理器执行时还可以实现以下步骤:
步骤S31,获取对抗图像样本,其中,对抗图像样本为基于权利要求1至9中任意一项对抗图像样本的生成方法得到;
步骤S32,基于对抗图像样本训练目标模型;
步骤S33,输出训练后的目标模型。
图13是根据本公开实施例的一种电子设备的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
图13示出了可以用来实施本公开的实施例的示例电子设备1300的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图13所示,设备1300包括计算单元1301,其可以根据存储在只读存储器(ROM)1302中的计算机程序或者从存储单元1308加载到随机访问存储器(RAM)1303中的计算机程序,来执行各种适当的动作和处理。在RAM1303中,还可存储设备操作所需的各种程序和数据。计算单元1301、ROM1302以及RAM1303通过总线1304彼此相连。输入/输出(I/O)接口1305也连接至总线1304。
设备1300中的多个部件连接至I/O接口1305,包括:输入单元1306,例如键盘、鼠标等;输出单元1307,例如各种类型的显示器、扬声器等;存储单元1308,例如磁盘、光盘等;以及通信单元1309,例如网卡、调制解调器、无线通信收发机等。通信单元1309允许设备1300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元1301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元1301的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元1301执行上文所描述的各个方法和处理,例如方法获取目标模型的多个目标算子。例如,在一些实施例中,方法获取目标模型的多个目标算子可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元1308。在一些实施例中,计算机程序的部分或者全部可以经由ROM1302和/或通信单元1309而被载入和/或安装到设备1300上。当计算机程序加载到RAM1303并由计算单元1301执行时,可以执行上文描述的方法获取目标模型的多个目标算子的一个或多个步骤。备选地,在其他实施例中,计算单元1301可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法获取目标模型的多个目标算子。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (19)
1.一种对抗图像样本的生成方法,包括:
获取原始图像样本;
对所述原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;
基于目标模型分别对所述原始图像样本和所述至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,所述第一检测结果用于表征所述原始图像样本的检测结果,每个所述第二检测结果用于表征对应的一个所述第一目标图像样本的检测结果;
基于所述第一检测结果和所述至少一个第二检测结果生成所述目标模型的对抗图像样本组,其中,所述对抗图像样本组中每个对抗图像样本包括用于干扰所述目标模型的检测结果的特征。
2.根据权利要求1所述的方法,其中,基于所述第一检测结果和所述至少一个第二检测结果生成所述目标模型的对抗图像样本包括:
基于所述第一检测结果和所述至少一个第二检测结果,将所述原始图像样本和所述至少一个第一目标图像样本生成为所述对抗图像样本组。
3.根据权利要求2所述的方法,其中,基于所述第一检测结果和所述至少一个第二检测结果,将所述原始图像样本和所述至少一个第一目标图像样本生成为所述对抗图像样本组包括:
判断步骤,基于所述第一检测结果和所述至少一个第二检测结果,判断所述原始图像样本和所述至少一个第一目标图像样本是否为成功对抗图像样本,如果是,则执行第一确定步骤,如果否,则执行第二确定步骤,其中,所述成功对抗图像样本为成功干扰到所述目标模型的检测结果的样本;
第一确定步骤,将所述原始图像样本和所述至少一个第一目标图像样本确定为所述对抗图像样本组;
第二确定步骤,基于所述原始图像样本上的梯度和每个所述第一目标图像样本上的梯度,生成所述对抗图像样本组。
4.根据权利要求3所述的方法,其中,基于所述原始图像样本上的梯度和每个所述第一目标图像样本上的梯度,生成所述对抗图像样本组包括:
基于所述原始图像样本上的梯度和每个所述第一目标图像样本上的梯度对所述原始图像样本进行更新;
对更新后的所述原始图像样本分别进行至少一种图像变换,得到至少一个第二目标图像样本;
基于所述目标模型分别对所述至少一个第二目标图像样本进行检测,得到至少一个第三检测结果;
将所述第三检测结果确定为所述第二检测结果,并执行所述判断步骤。
5.根据权利要求4所述的方法,基于所述原始图像样本上的梯度和每个所述第一目标图像样本上的梯度对所述原始图像样本进行更新包括:
将所述原始图像样本上的梯度和每个所述第一目标图像样本上的梯度转换为目标梯度,其中,所述目标梯度用于使每个所述对抗图像样本包括用于干扰所述目标模型的检测结果的特征;
基于所述目标梯度对所述原始图像样本进行更新。
6.根据权利要求5所述的方法,基于所述目标梯度对所述原始图像样本进行更新包括:
在所述原始图像样本上增加所述目标梯度,得到更新后的所述原始图像样本。
7.根据权利要求3所述的方法,还包括:
基于所述第一检测结果的损失函数和每个所述第二检测结果的损失函数,确定所述原始图像样本上的梯度和每个所述第一目标图像样本上的梯度。
8.根据权利要求7所述的方法,其中,基于所述第一检测结果的损失函数和每个所述第二检测结果的损失函数,确定所述原始图像样本上的梯度和每个所述第一目标图像样本上的梯度包括:
对所述第一检测结果的损失函数进行反向传播,得到所述第一检测结果对应的反向传播结果;
对每个所述第二检测结果的损失函数进行反向传播,得到每个所述第二检测结果对应的反向传播结果;
基于所述第一检测结果对应的反向传播结果确定所述原始图像样本上的梯度,且基于每个所述第二检测结果对应的反向传播结果确定每个所述第一目标图像样本上的梯度。
9.根据权利要求1至8中任意一项所述的方法,其中,基于目标模型对所述原始图像样本进行检测,得到第一检测结果包括:
将所述原始图像样本确定为所述目标模型的初始化对抗样本;
基于所述目标模型对所述初始化对抗样本进行检测,得到所述第一检测结果。
10.一种对抗图像样本的检测方法,包括:
获取对抗图像样本,其中,所述对抗图像样本为基于权利要求1至9中任意一项所述对抗图像样本的生成方法得到;
基于所述目标模型对所述对抗图像样本进行检测,得到所述原始图像样本的误检测结果。
11.根据权利要求10所述的方法,还包括:
对所述对抗图像样本进行至少一种图像变换;
基于所述目标模型对变换后的所述对抗图像样本进行检测,得到所述原始图像样本的误检测结果。
12.一种模型确定方法,包括:
获取对抗图像样本,其中,所述对抗图像样本为基于权利要求1至9中任意一项所述对抗图像样本的生成方法得到;
基于所述对抗图像样本训练所述目标模型;
输出训练后的所述目标模型。
13.根据权利要求12所述的方法,其中,基于所述对抗图像样本训练所述目标模型包括:
基于所述目标模型对所述对抗图像样本进行检测,得到所述目标模型的误检测结果;
基于所述误检测结果和所述目标模型的正确检测结果调整所述目标模型的参数,得到训练后的所述目标模型。
14.一种对抗图像样本的生成装置,包括:
第一获取单元,用于获取原始图像样本;
变换单元,用于对所述原始图像样本分别进行至少一种图像变换,得到至少一个第一目标图像样本;
第一检测单元,用于基于目标模型分别对所述原始图像样本和所述至少一个第一目标图像样本进行检测,得到第一检测结果和至少一个第二检测结果,其中,所述第一检测结果用于表征所述原始图像样本的检测结果,每个所述第二检测结果用于表征对应的一个所述第一目标图像样本的检测结果;
生成单元,用于基于所述第一检测结果和所述至少一个第二检测结果生成所述目标模型的对抗图像样本组,其中,所述对抗图像样本组中每个对抗图像样本包括用于干扰所述目标模型的检测结果的特征。
15.一种对抗图像样本的检测装置,包括:
第二获取单元,用于获取对抗图像样本,其中,所述对抗图像样本为基于权利要求1至9中任意一项所述对抗图像样本的生成方法得到;
第二检测单元,用于基于所述目标模型对所述对抗图像样本进行检测,得到所述原始图像样本的误检测结果。
16.一种模型确定装置,包括:
第三获取单元,用于获取对抗图像样本,其中,所述对抗图像样本为基于权利要求1至9中任意一项所述对抗图像样本的生成方法得到;
训练单元,用于基于所述对抗图像样本训练所述目标模型;
输出单元,用于输出训练后的所述目标模型。
17.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-13中任一项所述的方法。
18.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-13中任一项所述的方法。
19.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-13中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210520641.4A CN114882312B (zh) | 2022-05-13 | 2022-05-13 | 对抗图像样本的生成方法、装置、电子设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210520641.4A CN114882312B (zh) | 2022-05-13 | 2022-05-13 | 对抗图像样本的生成方法、装置、电子设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114882312A true CN114882312A (zh) | 2022-08-09 |
CN114882312B CN114882312B (zh) | 2023-04-07 |
Family
ID=82676238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210520641.4A Active CN114882312B (zh) | 2022-05-13 | 2022-05-13 | 对抗图像样本的生成方法、装置、电子设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114882312B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109948663A (zh) * | 2019-02-27 | 2019-06-28 | 天津大学 | 一种基于模型抽取的步长自适应的对抗攻击方法 |
CN111600835A (zh) * | 2020-03-18 | 2020-08-28 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于fgsm对抗攻击算法的检测与防御方法 |
CN111738374A (zh) * | 2020-08-28 | 2020-10-02 | 北京智源人工智能研究院 | 多样本对抗扰动生成方法、装置、存储介质和计算设备 |
WO2022037295A1 (zh) * | 2020-08-20 | 2022-02-24 | 鹏城实验室 | 一种针对深度哈希检索的有目标攻击方法及终端设备 |
CN114297730A (zh) * | 2021-12-31 | 2022-04-08 | 北京瑞莱智慧科技有限公司 | 对抗图像生成方法、装置及存储介质 |
CN114445663A (zh) * | 2022-01-25 | 2022-05-06 | 百度在线网络技术(北京)有限公司 | 检测对抗样本的方法、装置及计算机程序产品 |
-
2022
- 2022-05-13 CN CN202210520641.4A patent/CN114882312B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109948663A (zh) * | 2019-02-27 | 2019-06-28 | 天津大学 | 一种基于模型抽取的步长自适应的对抗攻击方法 |
CN111600835A (zh) * | 2020-03-18 | 2020-08-28 | 宁波送变电建设有限公司永耀科技分公司 | 一种基于fgsm对抗攻击算法的检测与防御方法 |
WO2022037295A1 (zh) * | 2020-08-20 | 2022-02-24 | 鹏城实验室 | 一种针对深度哈希检索的有目标攻击方法及终端设备 |
CN111738374A (zh) * | 2020-08-28 | 2020-10-02 | 北京智源人工智能研究院 | 多样本对抗扰动生成方法、装置、存储介质和计算设备 |
CN114297730A (zh) * | 2021-12-31 | 2022-04-08 | 北京瑞莱智慧科技有限公司 | 对抗图像生成方法、装置及存储介质 |
CN114445663A (zh) * | 2022-01-25 | 2022-05-06 | 百度在线网络技术(北京)有限公司 | 检测对抗样本的方法、装置及计算机程序产品 |
Non-Patent Citations (1)
Title |
---|
潘文雯等: "对抗样本生成技术综述", 《软件学报》 * |
Also Published As
Publication number | Publication date |
---|---|
CN114882312B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107529650B (zh) | 闭环检测方法、装置及计算机设备 | |
US7769206B2 (en) | Finger/palm print image processing system and finger/palm print image processing method | |
CN111475797A (zh) | 一种对抗图像生成方法、装置、设备以及可读存储介质 | |
US8908989B2 (en) | Recursive conditional means image denoising | |
CN113792791B (zh) | 针对视觉模型的处理方法及装置 | |
CN108305267B (zh) | 物体分割方法、装置、设备、存储介质及程序 | |
CN113205138A (zh) | 人脸人体匹配方法、设备和存储介质 | |
CN113222921A (zh) | 一种图像处理方法及系统 | |
CN114445663A (zh) | 检测对抗样本的方法、装置及计算机程序产品 | |
KR100848849B1 (ko) | 가장 가까이 인접한 분류된 필터링을 통해 해상도를 향상시키는 방법 및 장치와, 가장 가까이 인접한 분류된 필터링을 통해 해상도를 향상시키기 위한 명령을 갖는 컴퓨터 판독가능 매체 | |
CN114022865A (zh) | 基于车道线识别模型的图像处理方法、装置、设备和介质 | |
EP1457927A2 (en) | Device and method for detecting blurring of image | |
CN113221388A (zh) | 一种视觉感知扰动约束的黑盒深度模型对抗样本生成方法 | |
CN114882312B (zh) | 对抗图像样本的生成方法、装置、电子设备以及存储介质 | |
CN116363429A (zh) | 图像识别模型的训练方法、图像识别方法、装置及设备 | |
CN109657544B (zh) | 一种人脸检测方法和装置 | |
CN116167912A (zh) | 对抗样本生成方法、抗攻击检测方法、装置及电子设备 | |
CN110930287A (zh) | 一种图像隐写检测方法、装置及计算机设备、存储介质 | |
CN115019057A (zh) | 图像特征提取模型确定方法及装置、图像识别方法及装置 | |
CN103530886A (zh) | 一种视频分析低运算量背景去除方法 | |
CN114463734A (zh) | 文字识别方法、装置、电子设备及存储介质 | |
CN111461259A (zh) | 基于红黑形态小波池化网络的图像分类方法及系统 | |
CN110189272B (zh) | 用于处理图像的方法、装置、设备和存储介质 | |
CN113643266B (zh) | 图像检测方法、装置及电子设备 | |
CN116228895B (zh) | 视频生成方法、深度学习模型训练方法、装置以及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |