CN115083001B - 基于图像敏感位置定位的对抗补丁生成方法与装置 - Google Patents

基于图像敏感位置定位的对抗补丁生成方法与装置 Download PDF

Info

Publication number
CN115083001B
CN115083001B CN202210870504.3A CN202210870504A CN115083001B CN 115083001 B CN115083001 B CN 115083001B CN 202210870504 A CN202210870504 A CN 202210870504A CN 115083001 B CN115083001 B CN 115083001B
Authority
CN
China
Prior art keywords
image
patch
countermeasure
sample image
input sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210870504.3A
Other languages
English (en)
Other versions
CN115083001A (zh
Inventor
刘祥龙
王嘉凯
王雨轩
尹子鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202210870504.3A priority Critical patent/CN115083001B/zh
Publication of CN115083001A publication Critical patent/CN115083001A/zh
Application granted granted Critical
Publication of CN115083001B publication Critical patent/CN115083001B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/161Detection; Localisation; Normalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/20Image preprocessing
    • G06V10/24Aligning, centring, orientation detection or correction of the image
    • G06V10/245Aligning, centring, orientation detection or correction of the image by locating a pattern; Special marks for positioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/74Image or video pattern matching; Proximity measures in feature spaces
    • G06V10/761Proximity, similarity or dissimilarity measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Databases & Information Systems (AREA)
  • Artificial Intelligence (AREA)
  • Oral & Maxillofacial Surgery (AREA)
  • Human Computer Interaction (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于图像敏感位置定位的对抗补丁生成方法与装置。该方法包括如下步骤:获取原始图像,将原始图像作为视觉转换器模型的输入样本图像;其中,视觉转换器模型包括奇异值分析模块和全局注意力优化模块;奇异值分析模块将输入样本图像分割为互不重叠的图像块,并对互不重叠的图像块进行奇异值分析,根据奇异值生成重建图像;计算重建图像的局部敏感性,根据局部敏感性选择重建图像中敏感性最强的图像块作为初始对抗补丁,根据初始对抗补丁生成对抗样本图像;将对抗样本图像和原始图像输入到全局注意力优化模块,获得原始图像的最终对抗补丁。利用本发明,可以提高对抗样本图像的攻击性能。

Description

基于图像敏感位置定位的对抗补丁生成方法与装置
技术领域
本发明涉及一种基于图像敏感位置定位的对抗补丁生成方法,同时也涉及相应的对抗补丁生成装置,属于图像数据处理技术领域。
背景技术
目前,由于现有的视觉转换器(Transformer)模型在输入时,需要直接将图像转化为一系列的不重叠图像块(Patch),对抗补丁攻击方法选择图像中的一部分区域进行无限制的攻击,因此可以直接利用视觉转换器模型划分的图像块进行对抗补丁攻击。主流的基于卷积神经网络的对抗攻击方法利用了视觉转换器模型内部的梯度等信息进行攻击区域的选择和攻击内容的优化,忽略了图像内质特征,因此对视觉转换器模型的攻击效果并不十分理想。
在专利号为ZL 202010724039.3的中国发明专利中,公开了一种对抗补丁生成方法及装置。在该方法中,首先准备攻击者的第一人脸图片和其上设置的初始对抗补丁,并标记初始对抗补丁在第一人脸图片上的设置区域,然后,获取不同背景的攻击者的人脸图片集,包括第一人脸图片和若干第二人脸图片;根据第一人脸图片到第二人脸图片的图片变换方式,矫正初始对抗补丁在第二人脸图片上的设置位置,然后利用叠加了初始对抗补丁的人脸图像集,对初始补丁进行迭代优化获取目标对抗补丁。该目标对抗补丁降低了对抗补丁与背景的相关性,增加对抗补丁与人脸信息特征的相关性,提升对抗补丁的鲁棒性。
另外,在专利号为ZL 202010725497.9的中国发明专利中,公开了一种生成人脸对抗补丁的方法和装置。在该方法中,首先获取初始对抗补丁,然后获取不包含攻击者人脸图像的人脸图像集。接着,分别利用人脸图像集中的各张人脸图像,对初始对抗补丁进行第一轮优化,得到第一对抗补丁;其中第一轮优化使得,叠加有补丁的各张人脸图像与目标人脸图像之间的相似度增加。接着,在第一对抗补丁的基础上,对补丁进行第二轮优化,使得叠加补丁的攻击者图像与目标人脸图像之间的相似度增加,并且与攻击者自身图像之间的相似度降低。
发明内容
本发明所要解决的首要技术问题在于提供一种基于图像敏感位置定位的对抗补丁生成方法。
本发明所要解决的另一技术问题在于提供一种基于图像敏感位置定位的对抗补丁生成装置。
为了实现上述目的,本发明采用下述的技术方案:
根据本发明实施例的第一方面,提供一种基于图像敏感位置定位的对抗补丁生成方法,包括如下步骤:
获取原始图像,将所述原始图像作为视觉转换器模型的输入样本图像;其中,所述视觉转换器模型包括奇异值分析模块和全局注意力优化模块;
所述奇异值分析模块将所述输入样本图像分割为互不重叠的图像块,并对所述互不重叠的图像块进行奇异值分析,根据所述奇异值生成重建图像;
计算所述重建图像的局部敏感性,根据所述局部敏感性选择所述重建图像中敏感性最强的图像块作为初始对抗补丁,根据所述初始对抗补丁生成对抗样本图像;将所述对抗样本图像和所述原始图像输入到所述全局注意力优化模块,获得所述原始图像的最终对抗补丁。
其中较优地,所述奇异值分析模块使用不同数量的奇异值进行图像低秩近似,得到与输入样本图像相似的重建图像。
其中较优地,所述重建图像的局部敏感性采用图像结构相似性算法计算获得。
其中较优地,采用所述图像结构相似性算法,计算输入样本图像与使用前r个奇异值进行图像低秩近似得到的重建图像之间的图像结构相似性,其中r为正整数。
其中较优地,从预定的奇异值开始,不断增加奇异值数量进行图像低秩近似,得到一系列重建图像;当重建图像与输入样本图像的相似度达到给定阈值时,中止重建过程。
其中较优地,所述给定阈值为0.85~1之间。
其中较优地,所述全局注意力优化模块中,根据全局注意力损失和对抗补丁的分类损失来获得对抗扰动的更新值;根据所述对抗扰动的更新值确定是否继续重新选择初始对抗补丁。
其中较优地,所述全局注意力损失
Figure GDA0003913104340000021
通过如下公式计算:
Figure GDA0003913104340000022
其中,视觉转换器模型在第k层计算得到的注意力矩阵为Ak,
Figure GDA0003913104340000031
Figure GDA0003913104340000032
分别为输入样本图像和对抗样本图像的注意力矩阵,SSIM表示图像结构相似性算法。
其中较优地,所述对抗补丁的分类损失
Figure GDA0003913104340000033
通过如下公式计算:
Figure GDA0003913104340000034
其中,x为输入样本图像,δ为对抗扰动,y为输入样本图像的真实类别,
Figure GDA0003913104340000035
为视觉转换器模型。
根据本发明实施例的第二方面,提供一种基于图像敏感位置定位的对抗补丁生成装置,包括处理器和存储器,所述处理器读取所述存储器中的计算机程序,用于执行以下操作:
获取原始图像,将所述原始图像作为视觉转换器模型的输入样本图像;其中,所述视觉转换器模型包括奇异值分析模块和全局注意力优化模块;
所述奇异值分析模块将所述输入样本图像分割为互不重叠的图像块,并对所述互不重叠的图像块进行奇异值分析,根据所述奇异值生成重建图像;
计算所述重建图像的局部敏感性,根据所述局部敏感性选择所述重建图像中敏感性最强的图像块作为初始对抗补丁,根据所述初始对抗补丁生成对抗样本图像;将所述对抗样本图像和所述原始图像输入到所述全局注意力优化模块,获得所述原始图像的最终对抗补丁。
与现有技术相比较,本发明所提供的基于图像敏感位置定位的对抗补丁生成方法及其装置通过计算图像的局部敏感性,选择局部敏感性最大的区域进行对抗补丁攻击。攻击区域的确定仅与图像自身信息相关,不依赖于某一具体模型;而且,基于全局注意力优化模块实现的全局注意力机制优化对抗补丁,获得攻击效果更好的对抗补丁,从而提高对抗样本图像的攻击性能,破坏被攻击的视觉神经网络模型在识图时的准确性。
附图说明
图1为本发明实施例中,基于图像敏感位置定位的对抗补丁生成方法的工作原理图;
图2为本发明实施例中,基于图像敏感位置定位的对抗补丁生成方法的流程图;
图3为本发明实施例中,使用不同数量的奇异值进行图像低秩近似的结果示意图;
图4为本发明实施例中,使用不同数量的奇异值的重建图像与输入样本图像的相似度趋势图;
图5为本发明实施例中,使用不同的阈值得到的重建图像与攻击区域选择结果的示意图;
图6为本发明实施例中,某购物网站根据输入样本图像与对抗样本图像进行识图的结果示意图;
图7为本发明实施例中,基于图像敏感位置定位的对抗补丁生成装置的示意图。
具体实施方式
下面结合附图和具体实施例对本发明的技术内容进行详细具体的说明。
本发明首先提供一种基于图像敏感位置定位的对抗补丁生成方法。参见图1所示的工作原理图,对于图像分类任务进行对抗补丁的攻击,可以分为3步:S1为定位攻击区域,S2为优化对抗补丁,S3为对抗样本图像攻击。其中,F表示视觉转换器(Transformer)模型,输入样本图像为
Figure GDA0003913104340000045
其对应的标签为y∈U=1,...,K,其中H、W、C分别代表图像的高度、宽度和通道数,K代表图像分类任务中的类别数量。视觉转换器模型将输入样本图像的图像划分为大小为P×P的互不重叠的图像块(Patch),即X={X1,X2,......,XN},其中N=H×W/P2为视觉转换器模型划分的互不重叠的图像块的总数量,Xp代表其中的第p个图像块,其中p为正整数。
假设,该视觉转换器模型可以将输入样本图像正确分类即F(X)=y,对抗补丁攻击即是对输入样本图像生成有针对性的对抗扰动δ,使得该视觉转换器模型输出错误分类即
Figure GDA0003913104340000041
利用
Figure GDA0003913104340000042
运算符计算如下公式(1):
Figure GDA0003913104340000043
其中,M为一个0-1的掩码矩阵,用于表示对抗补丁区域,
Figure GDA0003913104340000044
表示矩阵对应位置相乘。
如图2所示,本发明实施例提供的基于图像敏感位置定位的对抗补丁生成方法,至少包括如下步骤:
P1,获取原始图像,将所述原始图像作为视觉转换器模型的输入样本图像;其中,所述视觉转换器模型包括奇异值分析模块和全局注意力优化模块。
在本发明的一个实施例中,可以利用光学相机采集N张不同物体图像或者从网络图片中选择N张图像,组成原始样本数据集X;从原始样本数据集X中随机选择一张图像作为输入样本图像,其中N为正整数。
P2,所述奇异值分析模块将所述输入样本图像分割为互不重叠的图像块,并对所述互不重叠的图像块进行奇异值分析,根据所述奇异值生成重建图像;在奇异值分析模块中,可以采用奇异值分解(Singular Value Decomposition,简写为SVD)算法。奇异值分解算法是机器学习领域的常用算法,用于将图像分解为一组线性独立的分量之和。在本发明的一个实施例中,具体实施步骤如下:假设矩阵X为一个m×n大小的矩阵,经过奇异值分解得到了一个m×n矩阵U、一个n×n矩阵V和一个m×n矩阵S。矩阵S的主对角线上的元素被称为奇异值,每个奇异值都在矩阵U和V有对应的左奇异值向量和右奇异值向量。假设S矩阵中有k个非零元素,则这k个元素就是矩阵X的奇异值,矩阵X可以使用这k个奇异值与其对应奇异向量相乘的加和表示。具体参见如下公式(2):
Figure GDA0003913104340000051
在奇异值矩阵中,对角线上的奇异值从上到下数值逐渐减小,可以根据前r个奇异值与其对应的奇异向量进行低秩近似来描述矩阵X,其中r为正整数。具体参见如下公式(3):
Figure GDA0003913104340000052
奇异值对应着矩阵自身所含的信息,而且奇异值的数值越大,该信息对于矩阵越重要,因此矩阵中的关键信息会被优先描述。
参见图3可以看出,随着奇异值数量的增加,利用奇异值低秩近似得到的重建图像的内容逐渐丰富,与输入样本图像越来越相似。在此基础上,奇异值分析模块采用奇异值低秩近似的算法生成重建图像,即,使用不同数量的奇异值进行图像低秩近似,可以得到与输入样本图像越来越相似的重建图像。
P3,计算重建图像的局部敏感性,根据所述局部敏感性选择所述重建图像中敏感性最强的图像块作为初始对抗补丁,根据所述初始对抗补丁生成对抗样本图像。
在本发明的一个实施例中,利用“图像的局部敏感性”的度量方法来评价图像中的局部区域的敏感性。具体说明如下:在计算图像的局部敏感性时,本发明采用图像结构相似性(Structural Similarity,简写为SSIM)算法,计算输入样本图像X与使用前r个奇异值进行图像低秩近似得到的重建图像Yr之间的图像结构相似性。
SSIM算法的具体计算过程参见如下公式(4):
Figure GDA0003913104340000061
其中,μ,σ分别代表矩阵均值和方差,σxy为两个矩阵的协方差,c1、c2为固定的常数。
使用不同数量的奇异值得到的重建图像Yr与输入样本图像X的SSIM相似度趋势变化如图4所示。从图4中可以看出,随着奇异值数量的增加,重建图像与输入样本图像的相似度增大,而且增长幅度逐渐减小。当输入样本图像X与重建图像Yr足够相似,可以认为r个奇异值之后的奇异值对于输入样本图像内容的贡献较小。从预定的奇异值开始,不断增加奇异值数量进行图像低秩近似,得到一系列重建图像Yr。当重建图像Yr与输入样本图像X的相似度达到给定的阈值(该阈值一般设置在0.85~1之间)时,中止重建过程。
使用该重建图像Yr进行局部敏感性的计算,参见如下公式(5):
Figure GDA0003913104340000062
其中,Y1为使用最大的奇异值重建得到的低秩近似图像,对应输入样本图像的低频分量信息,Yr为用前r个奇异值重建得到的重建图像,包含输入样本图像的中高频等细节信息。
Figure GDA0003913104340000063
Figure GDA0003913104340000064
表示两幅图像对应区域的局部图像。计算两个局部图像之间的距离
Figure GDA0003913104340000065
距离数值越大代表局部图像内部的信息量变化越大,其局部敏感性越强。
在本发明的一个实施例中,视觉转换器模型将输入样本图像划分为大小为P×P的互不重叠的图像块,因此利用视觉转换器模型已经划分好的图像块,根据如下公式(6)计算每个图像块的局部敏感性,选择其中局部敏感性最强的图像块所在位置进行对抗补丁攻击。
Figure GDA0003913104340000071
使用不同的阈值得到的重建图像及选择的攻击区域如图5所示。其中,通过遍历计算得到的局部敏感性最强的图像块位置如图中方框所示,下一步将在此位置进行对抗补丁攻击,即此位置的图像块为初步确定的对抗补丁。
为了使对抗补丁的攻击效果更好,在本发明的一个实施例中引入全局注意力优化模块优化上述的对抗补丁,使其攻击效果更好。
P4,将对抗样本图像和原始图像输入到全局注意力优化模块,获得所述原始图像的最终对抗补丁。
现有的视觉转换器模型具有自注意力机制(详细说明,可以参见如下链接:https://www,cnblogs.com/tectal/p/10796881.html),可以使其关注到图像的全局特征。针对视觉转换器模型的这一特点,可以利用全局注意力优化模块实现的全局注意力机制优化对抗补丁,使得该对抗补丁与原始图像中相应的区域差异更大。具体的实施步骤如下:
假设该视觉转换器模型在第k层计算得到的注意力矩阵为Ak,是一个N×N大小的矩阵,全局注意力损失
Figure GDA0003913104340000072
的定义如下公式(7):
Figure GDA0003913104340000073
其中,
Figure GDA0003913104340000074
Figure GDA0003913104340000075
分别为输入样本图像和对抗样本图像的注意力矩阵。计算两个矩阵之间的图像结构相似性(SSIM)损失,使其尽量小以达到扰乱全局注意力的目的。
另一方面,对抗补丁的分类损失
Figure GDA0003913104340000076
采用如下公式(8)计算:
Figure GDA0003913104340000077
其中,x为输入样本图像,6为对抗扰动,y为输入样本图像的真实类别,
Figure GDA0003913104340000078
为视觉转换器模型。
由此可以看出,全局注意力优化模块采用前述的图像结构相似性(SSIM)算法计算全局注意力损失
Figure GDA0003913104340000079
进一步地,对抗补丁的生成过程中,需要根据最终的分类损失
Figure GDA00039131043400000710
和全局注意力损失
Figure GDA00039131043400000711
来更新扰动。即,根据全局注意力损失和对抗补丁的分类损失来获得对抗扰动的更新值;根据所述对抗扰动的更新值确定是否继续重新选择初始对抗补丁。
具体地说,假设初始生成的随机噪音(对抗扰动)为δ,放置在上一步计算得到的对抗补丁位置,则对抗扰动δ的优化可以表示如下公式(9):
Figure GDA0003913104340000081
其中,t代表迭代次数,α代表每次迭代中像素更新的幅值,clip(·)为剪裁函数。
在上述步骤中,通过更新迭代对抗扰动,筛选出最优的对抗样本图像,进而确定攻击效果最好的对抗补丁,使得在对被攻击的视觉神经网络模型输入对抗样本图像的情况下更加容易产生错误输出。
图6为本发明的一个实施例中,某购物网站根据输入样本图像与对抗样本图像进行识图的结果示意图。如图6所示,在某购物网站上根据输入样本图像进行识图,可以得到识图的结果是铅笔;但是同样根据在图像敏感位置加入上述对抗补丁后生成的对抗样本图像进行识图,得到识图的结果为美工刀。由此可见,利用本发明所生成的对抗补丁可以显著提高对抗样本图像的攻击性能,造成被攻击的视觉神经网络模型产生错误的输出。
在上述基于图像敏感位置定位的对抗补丁生成方法的基础上,本发明还提供一种基于图像敏感位置定位的对抗补丁生成装置。如图7所示,该对抗补丁生成装置包括一个或多个处理器21和存储器22。其中,存储器22与处理器21耦接,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器21执行,使得所述一个或多个处理器21实现如上述实施例中基于图像敏感位置定位的对抗补丁生成方法。
其中,处理器21用于控制该基于图像敏感位置定位的对抗补丁生成装置的整体操作,以完成上述基于图像敏感位置定位的对抗补丁生成方法的全部或部分步骤。该处理器21可以是中央处理器(CPU)、图形处理器(GPU)、现场可编程逻辑门阵列(FPGA)、专用集成电路(ASIC)、数字信号处理(DSP)芯片等。存储器22用于存储各种类型的数据以支持在该基于图像敏感位置定位的对抗补丁生成装置的操作,这些数据例如可以包括用于在该基于图像敏感位置定位的对抗补丁生成装置上操作的任何应用程序或方法的指令,以及应用程序相关的数据。
该存储器22可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(SRAM)、电可擦除可编程只读存储器(EEPROM)、可擦除可编程只读存储器(EPROM)、可编程只读存储器(PROM)、只读存储器(ROM)、磁存储器、快闪存储器等。
在一个示例性实施例中,基于图像敏感位置定位的对抗补丁生成装置具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现,用于执行上述的基于图像敏感位置定位的对抗补丁生成方法,并达到如上述方法一致的技术效果。一种典型的实施例为计算机。具体地说,计算机例如可以为个人计算机、膝上型计算机、车载人机交互设备、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
在另一个示例性实施例中,本发明还提供一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述任意一个实施例中的基于图像敏感位置定位的对抗补丁生成方法的步骤。例如,该计算机可读存储介质可以为包括程序指令的存储器,上述程序指令可由基于图像敏感位置定位的对抗补丁生成装置的处理器执行以完成上述的基于图像敏感位置定位的对抗补丁生成方法,并达到如上述方法一致的技术效果。
与现有技术相比较,本发明所提供的基于图像敏感位置定位的对抗补丁生成方法及其装置通过计算图像的局部敏感性,选择局部敏感性最大的区域进行对抗补丁攻击。攻击区域的确定仅与图像自身信息相关,不依赖于某一具体模型;而且,基于全局注意力优化模块实现的全局注意力机制优化对抗补丁,获得攻击效果更好的对抗补丁,从而提高对抗样本图像的攻击性能,破坏被攻击的视觉神经网络模型在识图时的准确性。
上面对本发明所提供的基于图像敏感位置定位的对抗补丁生成方法与装置进行了详细的说明。对本领域的一般技术人员而言,在不背离本发明实质内容的前提下对它所做的任何显而易见的改动,都将构成对本发明专利权的侵犯,将承担相应的法律责任。

Claims (4)

1.一种基于图像敏感位置定位的对抗补丁生成方法,其特征在于包括如下步骤:
获取原始图像,将所述原始图像作为视觉转换器模型的输入样本图像;其中,所述视觉转换器模型包括奇异值分析模块和全局注意力优化模块;
所述奇异值分析模块将所述输入样本图像分割为互不重叠的图像块,并对所述互不重叠的图像块进行奇异值分析,根据所述奇异值生成重建图像;
计算所述重建图像的局部敏感性,根据所述局部敏感性选择所述重建图像中敏感性最强的图像块作为初始对抗补丁,根据所述初始对抗补丁生成对抗样本图像;
其中,采用图像结构相似性算法,计算输入样本图像x与使用前r个奇异值进行图像低秩近似得到的重建图像Yr之间的图像结构相似性,r为正整数,相应公式如下:
Figure FDA0003913104330000011
上式中,SSIM表示图像结构相似性算法,μ,σ分别代表矩阵均值和方差,σxy为两个矩阵的协方差,c1、c2为固定的常数;
从预定的奇异值开始,不断增加奇异值数量进行图像低秩近似,得到一系列重建图像Yr;当重建图像Yr与输入样本图像x的相似度达到给定的阈值时,中止重建过程;
使用该重建图像Yr进行局部敏感性的计算,相应公式如下:
Figure FDA0003913104330000012
上式中,Y1为使用最大的奇异值重建得到的低秩近似图像,对应输入样本图像的低频分量信息,Yr为用前r个奇异值重建得到的重建图像,包含输入样本图像的中高频等细节信息;
Figure FDA0003913104330000013
Figure FDA0003913104330000014
表示两幅图像对应区域的局部图像,
Figure FDA0003913104330000015
表示两个局部图像之间的距离;
将所述对抗样本图像和所述原始图像输入到所述全局注意力优化模块,获得所述原始图像的最终对抗补丁;其中,全局注意力损失
Figure FDA0003913104330000016
的相应公式如下:
Figure FDA0003913104330000017
上式中,Ak为所述视觉转换器模型在第k层计算得到的注意力矩阵,是一个N×N大小的矩阵;
Figure FDA0003913104330000018
Figure FDA0003913104330000019
分别为输入样本图像和对抗样本图像的注意力矩阵;
对抗补丁的分类损失
Figure FDA0003913104330000021
的相应公式如下:
Figure FDA0003913104330000022
其中,δ为对抗扰动,y为输入样本图像的真实类别,
Figure FDA0003913104330000023
为所述视觉转换器模型;根据全局注意力损失
Figure FDA0003913104330000024
和分类损失
Figure FDA0003913104330000025
获得对抗扰动的更新值;根据所述对抗扰动的更新值确定是否继续重新选择初始对抗补丁;其中,对抗扰动δ的优化通过如下公式表示:
Figure FDA0003913104330000026
其中,t代表迭代次数,α代表每次迭代中像素更新的幅值,clip(·)为剪裁函数;通过更新迭代对抗扰动,筛选出最优的对抗样本图像,作为所述最终对抗补丁。
2.如权利要求1所述基于图像敏感位置定位的对抗补丁生成方法,其特征在于:所述奇异值分析模块使用不同数量的奇异值进行图像低秩近似,得到与输入样本图像相似的重建图像。
3.如权利要求1所述基于图像敏感位置定位的对抗补丁生成方法,其特征在于:所述给定阈值为0.85~1之间。
4.一种基于图像敏感位置定位的对抗补丁生成装置,其特征在于包括处理器和存储器,所述处理器读取所述存储器中的计算机程序,用于执行权利要求1~3中任意一项所述的对抗补丁生成方法。
CN202210870504.3A 2022-07-22 2022-07-22 基于图像敏感位置定位的对抗补丁生成方法与装置 Active CN115083001B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210870504.3A CN115083001B (zh) 2022-07-22 2022-07-22 基于图像敏感位置定位的对抗补丁生成方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210870504.3A CN115083001B (zh) 2022-07-22 2022-07-22 基于图像敏感位置定位的对抗补丁生成方法与装置

Publications (2)

Publication Number Publication Date
CN115083001A CN115083001A (zh) 2022-09-20
CN115083001B true CN115083001B (zh) 2022-11-22

Family

ID=83242844

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210870504.3A Active CN115083001B (zh) 2022-07-22 2022-07-22 基于图像敏感位置定位的对抗补丁生成方法与装置

Country Status (1)

Country Link
CN (1) CN115083001B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112364915A (zh) * 2020-11-10 2021-02-12 浙江科技学院 一种不可察觉的对抗补丁生成方法及应用
CN113989898A (zh) * 2021-11-08 2022-01-28 西安邮电大学 一种基于空间敏感度的人脸对抗样本检测方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11227215B2 (en) * 2019-03-08 2022-01-18 International Business Machines Corporation Quantifying vulnerabilities of deep learning computing systems to adversarial perturbations
CN110866287B (zh) * 2019-10-31 2021-12-17 大连理工大学 一种基于权重谱生成对抗样本的点攻击方法
US20210300433A1 (en) * 2020-03-27 2021-09-30 Washington University Systems and methods for defending against physical attacks on image classification
CN112085069B (zh) * 2020-08-18 2023-06-20 中国人民解放军战略支援部队信息工程大学 基于集成注意力机制的多目标对抗补丁生成方法及装置
CN112287973A (zh) * 2020-09-28 2021-01-29 北京航空航天大学 基于截尾奇异值和像素插值的数字图像对抗样本防御方法
CN113269241B (zh) * 2021-05-18 2022-05-06 中南大学 一种遥感图像对抗样本的软阈值防御方法
CN114239685B (zh) * 2021-11-18 2023-05-12 北京墨云科技有限公司 评估神经网络图像分类模型鲁棒性的方法及装置
CN114241569B (zh) * 2021-12-21 2024-01-02 中国电信股份有限公司 人脸识别攻击样本的生成方法、模型训练方法及相关设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112364915A (zh) * 2020-11-10 2021-02-12 浙江科技学院 一种不可察觉的对抗补丁生成方法及应用
CN113989898A (zh) * 2021-11-08 2022-01-28 西安邮电大学 一种基于空间敏感度的人脸对抗样本检测方法

Also Published As

Publication number Publication date
CN115083001A (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN110738207B (zh) 一种融合文字图像中文字区域边缘信息的文字检测方法
KR101298393B1 (ko) 그래픽 처리 유닛 상에서 콘볼루션 신경망을 트레이닝하는방법
CN113902926A (zh) 一种基于自注意力机制的通用图像目标检测方法和装置
CN111340180B (zh) 指定标签的对抗样本生成方法、装置、电子设备及介质
CN112949678B (zh) 深度学习模型对抗样本生成方法、系统、设备及存储介质
CN108171663B (zh) 基于特征图最近邻替换的卷积神经网络的图像填充系统
CN115147598B (zh) 目标检测分割方法、装置、智能终端及存储介质
CN115115905B (zh) 基于生成模型的高可迁移性图像对抗样本生成方法
CN113435594B (zh) 安防检测模型训练方法、装置、设备及存储介质
CN111274999B (zh) 数据处理、图像处理方法、装置及电子设备
US20220301288A1 (en) Control method and information processing apparatus
CN111461979B (zh) 验证码图像去噪识别方法、电子装置及存储介质
CN116645592B (zh) 一种基于图像处理的裂缝检测方法和存储介质
CN114549913A (zh) 一种语义分割方法、装置、计算机设备和存储介质
CN116721301B (zh) 目标场景分类模型训练方法、分类方法、设备及存储介质
CN116994140A (zh) 基于遥感影像的耕地提取方法、装置、设备和介质
CN114676777A (zh) 一种基于孪生网络的自监督学习细粒度图像分类方法
Iqbal et al. Genetic programming with transfer learning for texture image classification
Beijing et al. A Quaternion Two‐Stream R‐CNN Network for Pixel‐Level Color Image Splicing Localization
CN117131376A (zh) 一种基于视变换结合生成对抗网络进行持续学习的高光谱跨域鲁棒异常检测方法、系统、设备及介质
CN112560034B (zh) 基于反馈式深度对抗网络的恶意代码样本合成方法及装置
CN114529793A (zh) 一种基于门控循环特征融合的深度图像修复系统及方法
CN115083001B (zh) 基于图像敏感位置定位的对抗补丁生成方法与装置
CN110852102B (zh) 一种中文的词性标注方法、装置、存储介质及电子设备
JP3569138B2 (ja) 単語認識装置および方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant