CN115239941B - 对抗图像生成方法、相关装置及存储介质 - Google Patents

对抗图像生成方法、相关装置及存储介质 Download PDF

Info

Publication number
CN115239941B
CN115239941B CN202210878407.9A CN202210878407A CN115239941B CN 115239941 B CN115239941 B CN 115239941B CN 202210878407 A CN202210878407 A CN 202210878407A CN 115239941 B CN115239941 B CN 115239941B
Authority
CN
China
Prior art keywords
target
transformation
candidate
image
similarity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210878407.9A
Other languages
English (en)
Other versions
CN115239941A (zh
Inventor
请求不公布姓名
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Real AI Technology Co Ltd
Original Assignee
Beijing Real AI Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Real AI Technology Co Ltd filed Critical Beijing Real AI Technology Co Ltd
Priority to CN202210878407.9A priority Critical patent/CN115239941B/zh
Publication of CN115239941A publication Critical patent/CN115239941A/zh
Application granted granted Critical
Publication of CN115239941B publication Critical patent/CN115239941B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/20Image preprocessing
    • G06V10/24Aligning, centring, orientation detection or correction of the image
    • G06V10/242Aligning, centring, orientation detection or correction of the image by image rotation, e.g. by 90 degrees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/20Image preprocessing
    • G06V10/24Aligning, centring, orientation detection or correction of the image
    • G06V10/247Aligning, centring, orientation detection or correction of the image by affine transforms, e.g. correction due to perspective effects; Quadrilaterals, e.g. trapezoids
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/20Image preprocessing
    • G06V10/26Segmentation of patterns in the image field; Cutting or merging of image elements to establish the pattern region, e.g. clustering-based techniques; Detection of occlusion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/74Image or video pattern matching; Proximity measures in feature spaces
    • G06V10/761Proximity, similarity or dissimilarity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/77Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
    • G06V10/774Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/172Classification, e.g. identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Oral & Maxillofacial Surgery (AREA)
  • Human Computer Interaction (AREA)
  • Image Analysis (AREA)

Abstract

本申请实施例涉及计算机视觉领域,提供一种对抗图像生成方法、相关装置及存储介质,该方法包括:获取候选对抗图像以及目标变换策略,其中,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件;基于所述候选对抗图像、所述目标变换策略以及目标图像,获取经过所述目标变换策略处理后的候选对抗图像与目标图像的第二相似度;若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、第二相似度,直至第二相似度符合第二预设条件,并将第二相似度符合第二预设条件时的候选对抗图像作为目标对抗图像。本申请实施例生成的目标对抗图像能够抵抗一些物理变换,具备更强的鲁棒性。

Description

对抗图像生成方法、相关装置及存储介质
技术领域
本申请实施例涉及计算机视觉领域,更具体地涉及一种对抗图像生成方法、相关装置及存储介质。
背景技术
对抗攻击研究如何针对不同深度学习模型高效地生成对抗样本,有助于及时发现深度学习模型的脆弱性,评估深度学习模型的鲁棒性。一些对抗攻击方法在数字世界中生成添加较小对抗扰动的对抗样本,可以促使对抗样本无法被深度学习模型正确识别或将其识别为指定的标签。
然而,实际应用中的识别系统(例如人脸识别系统)通常会基于物理世界的目标对象采集图像并进行识别。因此,在物理世界进行对抗攻击往往是将对抗样本或对抗扰动实体化后实施,例如将对抗样本实体化后粘贴于目标对象,由识别系统采集粘贴了实体对抗样本的目标对象的图像进行识别,以实施对抗攻击。在物理世界基于目标对象采集到的图像往往受一些物理影响,例如光照强度或目标对象本身的姿态。这些物理影响很可能使得对抗样本被识别系统采集到的图像与在数字世界生成的不同,无法达成预定的攻击效果,或者比在数字世界表现出的攻击效果差。
发明内容
本申请实施例提供一种对抗图像生成方法、相关装置及存储介质,在基于原始图像生成对抗图像的过程中,不再仅仅是获取候选对抗图像与目标图像的识别相似度,而是获取经过目标变换策略处理后的候选对抗图像与目标图像的第二相似度,然后基于第二相似度确定候选对抗图像是否可以作为目标对抗图像,从而使得第二相似度符合第二预设条件时得到的目标对抗图像具备更强鲁棒性、更强的抵抗物理变换的能力。
第一方面,本申请实施例提供一种对抗图像生成方法,该方法包括:
获取候选对抗图像以及目标变换策略,其中,所述目标变换策略中包括至少一个目标变换,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件;
基于所述候选对抗图像、所述目标变换策略以及目标图像,获取第二相似度,其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度,所述目标图像基于对抗攻击的攻击目标确定;
若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
第二方面,本申请实施例提供一种图像处理装置,具有实现对应于上述第一方面提供的对抗图像生成方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
在一个实施方式中,所述图像处理装置包括:
输入输出模块,被配置为获取候选对抗图像以及目标变换策略,其中,所述目标变换策略中包括至少一个目标变换,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件;
处理模块,被配置为基于目标图像、所述输入输出模块获取的所述候选对抗图像以及所述目标变换策略,获取第二相似度,其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度,所述目标图像基于对抗攻击的攻击目标确定;以及
若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
第三方面,本申请实施例提供一种计算机可读存储介质,其包括指令,当其在计算机上运行时,使得计算机执行如第一方面所述的对抗图像生成方法。
第四方面,本申请实施例提供一种计算设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现第一方面所述的对抗图像生成方法。
相较于现有技术,本申请实施例中,在基于原始图像逐步更新候选对抗图像,最终得到目标对抗图像的过程中,不再仅仅是获取候选对抗图像与目标图像的识别相似度,而是获取经过目标变换策略处理后的候选对抗图像与目标图像的第二相似度,然后基于第二相似度确定候选对抗图像是否可以作为目标对抗图像。若直接根据候选对抗图像与目标图像的识别相似度,确定所述候选对抗图像是否可以作为目标对抗图像,则由于获取所述识别相似度时的所述候选对抗图像未经过物理变换,即使所述识别相似度符合第二预设条件(例如大于90%),也依然无法确定所述候选对抗图像的鲁棒性,即无法确保其在经过物理变换之后依然可能成功攻击识别模型;相较于现有技术,由于本申请实施例中的第二相似度,是候选对抗图像经过目标变换之后与目标图像对比得到的,所以第二相似度符合第二预设条件时,则表明所述候选对抗图像经过目标变换之后,仍然与目标图像足够较为相似,能够实现攻击目标、达成预定的攻击效果;即第二相似度符合第二预设条件时得到的目标对抗图像具备更强鲁棒性、更强的抵抗物理变换的能力。本申请实施例生成的目标对抗图像对物理变换具备更强的抵抗力,可以在物理世界经受物理变换后依然发挥稳定的攻击效果,使得在物理世界对目标模型测试时受到物理变换干扰的影响小。
附图说明
通过参考附图阅读本申请实施例的详细描述,本申请实施例的目的、特征和优点将变得易于理解。其中:
图1为本申请实施例中对抗图像生成方法的一种图像处理系统的示意图;
图2为本申请实施例的对抗图像生成方法的流程示意图;
图3为采用本申请实施例的方法基于猫咪原始图像生成飞机对抗图像后进行旋转变换的示意图;
图4为本申请实施例中获取目标变换策略的流程示意图;
图5为本申请实施例中获取目标变换策略的可视化流程示意图;
图6为本申请实施例的迭代更新候选对抗图像的可视化流程示意图;
图7为本申请实施例的图像处理装置的结构示意图;
图8为本申请实施例提供的计算设备的一种结构示意图;
图9为本申请实施例中手机的一种结构示意图;
图10为本申请实施例中服务器的一种结构示意图。
在附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象(例如第一相似度和第二相似度分别表示为不同的相似度,其他类似),而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请实施例中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行。另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合,通信连接可以是电性或其他类似的形式,本申请实施例中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请实施例方案的目的。
本申请实施例提供一种对抗图像生成方法、相关装置及存储介质,可应用于图像处理系统,该对图像处理系统可包括图像处理装置和识别装置,图像处理装置和识别装置可以集成部署,也可分离式部署。该图像处理装置至少用于基于识别装置反馈的识别结果更新候选对抗图像、生成目标对抗图像。该识别装置用于对经过目标变换策略处理后的候选对抗图像进行识别,得到识别结果。识别装置得到的至少一个识别结果(如识别概率分布)可用于图像处理装置去迭代更新所述候选对抗图像,例如更新对抗图像或对抗扰动的像素值。其中,图像处理装置可为更新候选对抗图像、生成目标对抗图像的应用程序,或为安装了更新候选对抗图像、生成目标对抗图像的应用程序的服务器;识别装置可为对经过所述目标变换策略处理后的候选对抗图像进行识别,得到识别结果的识别程序,所述识别程序例如是图像识别模型,所述识别装置还可为部署了图像识别模型的终端设备。
本申请实施例提供的方案涉及人工智能(Artificial Intelligence, AI)、计算机视觉技术(Computer Vision,CV)、机器学习(Machine Learning, ML)等技术,具体通过如下实施例进行说明:
其中,AI是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
AI技术是一门综合学科,涉及领域广泛,既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
CV是一门研究如何使机器“看”的科学,更进一步的说,就是指用摄影机和电脑代替人眼对目标进行识别、跟踪和测量等机器视觉,并进一步做图形处理,使电脑处理成为更适合人眼观察或传送给仪器检测的图像。作为一个科学学科,计算机视觉研究相关的理论和技术,试图建立能够从图像或者多维数据中获取信息的人工智能系统。计算机视觉技术通常包括对抗扰动生成、图像识别、图像语义理解、图像检索、OCR、视频处理、视频语义理解、视频内容/行为识别、三维物体重建、3D技术、虚拟现实、增强现实、同步定位与地图构建等技术,还包括常见的人脸识别、指纹识别等生物特征识别技术。
由于现有技术中生成的对抗图像无法抵抗物理世界的一些物理变换,所以其测试识别模型的能力不够稳定,即现有技术生成的对抗图像容易受到一些物理变换的干扰,从而无法实现预定的攻击效果。为了提高对抗图像的鲁棒性,即对抗图像抵抗物理变换的能力,本申请实施例中将在一些物理变换下迭代更新候选对抗图像;即在每个时间步长中迭代更新得到候选对抗图像之后,还在一些物理变换下修改所述候选对抗图像,若经过物理变换修改后的所述候选对抗图像依然能够实现预定的攻击目标,则可以认为所述候选对抗图像的鲁棒性强,能够抵抗一些物理变换,其测试识别模型的能力足够稳定,可以将所述候选对抗图像作为目标对抗图像。本申请实施例中可以通过包括图像处理装置和识别装置的图像处理系统生成目标对抗图像。
一些实施方式中,图像处理装置和识别装置分离式部署,参照图1,本申请实施例提供的对抗图像生成方法可基于图1所示的一种图像处理系统实现。该图像处理系统可以包括服务器01和终端设备02。
该服务器01可以是图像处理装置,其中可以部署图像处理程序,例如对抗图像生成程序。
该终端设备02可以是识别装置,其中可以部署有识别模型,例如基于机器学习的方法训练得到的图像识别模型。其中图像识别模型可以为路障识别模型、车辆识别模型或者人脸识别模型等。
服务器01可以从外部接收攻击目标以及原始图像,然后以原始图像为基础,迭代更新出致力于实现攻击目标的候选对抗图像,并将该候选对抗图像经过目标变换策略处理后向该终端设备02发送。终端设备02可以采用识别模型对该经过目标变换策略处理后的候选对抗图像进行处理,得到识别结果,例如可以是识别概率分布,然后向服务器01反馈识别结果。服务器01 可以基于所述识别结果确定经过目标变换策略处理后的候选对抗图像与目标图像的识别相似度(第二相似度),确定该候选对抗图像是否能够实现攻击目标,若能够实现攻击目标,则将其确定为目标对抗图像。
需要说明的是,本申请实施例涉及的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
本申请实施例涉及的终端设备,可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。例如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语音和/或数据。例如,个人通信业务(英文全称:Personal Communication Service,英文简称:PCS)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(Wireless Local Loop,英文简称:WLL)站、个人数字助理(英文全称:Personal Digital Assistant,英文简称:PDA)等设备。
参照图2,图2为本申请实施例提供的一种对抗图像生成方法的流程示意图。该方法可由图像处理装置执行,对原始图像进行更新,得到目标对抗图像,所述对抗图像生成方法包括:
步骤S110,获取候选对抗图像以及目标变换策略。
本申请实施例中,所述候选对抗图像可以基于历史候选对抗图像更新得到,所述历史候选对抗图像可以包括原始图像。
具体来说,本申请实施例中将基于原始图像逐步迭代更新,得到目标对抗图像。初始的候选对抗图像可以是原始图像,在后续的生成目标对抗图像的过程中,则以历史候选对抗图像为基础更新得到所述目标对抗图像。即目标对抗图像由上一个时间步长更新得到的候选对抗图像更新得到,例如,假设基于原始图像a1进行3次更新得到了目标对抗图像A,那么首先基于原始图像a1进行第一次更新得到候选对抗图像a2,然后基于候选对抗图像a2进行第二次更新得到候选对抗图像a3,最后基于候选对抗图像a3更新得到目标对抗图像A。
考虑到,一些物理变换可能破坏对抗图像的攻击性能,即现有技术生成的对抗图像在经过物理变换后,攻击识别模型的成功率降低或完全没有攻击效果。因此,本申请实施例中希望得到能够对物理变换具备更强抵抗性能的目标对抗图像,即所述目标对象图像在物理世界对目标模型进行攻击测试时,即使经受一些物理变换,也依然能够表现出良好的攻击性能,可以稳定地对目标模型进行测试。
为了使得目标对象图像具备更高的鲁棒性,即更强的抵抗物理变换的能力,在本申请实施例中,将在一些物理变换下更新候选对抗图像,以得到符合要求的目标对抗图像。具体来说,本申请实施例中,还获取目标变换(策略),所述目标变换即为本申请实施例中希望所述目标对抗图像可以抵抗的物理变换,例如,若希望目标对抗图像具备抵抗旋转变换的能力,那么可以将旋转变换作为目标变换,然后在旋转变换下更新候选对抗图像,使得目标对抗图像即使经受旋转变换,依然能够实现对抗攻击的预期效果。
在本申请实施例中,希望目标对抗图像可以抵抗的目标变换可能是某一类单一变换类型的物理变换(例如是旋转变换),或者是某几类单一变换类型的物理变换(例如是旋转变换和仿射变换),或者是一类或几类复合变换(例如旋转+仿射组合变换)。本申请下述实施例中分别通过设计①-③对如何确定目标变换进行介绍:
设计①:目标变换为某一类单一变换类型的物理变换
考虑到一些识别场景下的对抗图像可能只对某一类单一变换类型的物理变换(也可称之为单一变换)敏感,或者说只有某一类单一变换类型的物理变换才会对目标识别场景下的待识别图像的识别结果产生干扰。因此,可以在这一类敏感的单一变换类型的物理变换下更新迭代候选对抗图像,使得目标对抗图像具备抵抗这一类单一变换类型的物理变换的能力。
考虑到单个物理变换的变换方式不是唯一的,即单个物理变换可能存在多种不同的变换表现,例如旋转变换可以根据旋转角度的不同,表现出不同的变换效果。由此,为了使得目标对抗图像能够抵抗某一类物理变换,在本申请实施例中,还可以获取目标变换策略,所述目标变换策略可以包括属于同一类物理变换的多个不同目标变换;例如,若希望目标对抗图像能够抵抗各种不同旋转角度的旋转变换,则可以获取旋转变换策略(目标变换策略),所述旋转变换策略可以包括各个不同旋转角度的旋转变换。
可以理解的是,即使是同一类物理变换,也可能存在一些无法对目标对抗图像产生干扰效果的变换。参照图3,图3中的原始图像为猫,生成对抗扰动之后,将所述对抗扰动叠加在原始图像上,得到能够被识别为飞机的对抗图像,对抗图像经过一些不同旋转角度的旋转变换之后,攻击效果并没有发生变化,依然可以被识别为飞机。由此,则可以认为这些旋转角度的旋转变换对飞机对抗图像的攻击效果的干扰较小,或者飞机对抗图像具备抵抗这些旋转角度的旋转变换的能力。
结合图3的示例,考虑到同一类物理变换的不同变换程度(即变换参数,例如旋转变换的旋转角度)对目标对抗图像产生的干扰效果可能不同;例如,旋转90°对目标对抗图像的干扰可能大于旋转30°,若旋转30°无法对目标对象图像施加足够的干扰,且旋转90°可以对目标对象图像施加足够的干扰,则不必考虑在旋转30°的旋转变换下对候选对抗图像进行更新,只需要在旋转90°的旋转变换下对候选对抗图像进行更新,就可以使目标对抗图像具备抵抗旋转90°和30°的物理变换的能力。由此,为了节省计算资源、提高计算效率,所述目标变换策略可以仅包括一些符合要求的物理变换,例如所述目标变换策略中的目标变换可以对候选对抗图像产生足够大的干扰,即经过目标变换处理之后的候选对抗图像能够使得识别模型输出与未经过目标变换处理的候选对抗图像不同的错误识别结果。
具体来说,符合要求还可以是经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件,所述第一预设条件可以是所述第一相似度期望小于预设阈值,也可以是所述第一相似度期望达到最小值。例如,若存在物理变换t1、t2和t3,候选对抗图像a1分别经过物理变换t1、t2和t3后为t1(a1)、t2(a1)和t3(a1),那么分别计算第一相似度(可以根据欧氏距离/L2范数距离计算)可以是:
St1=-||t1(a1)-a1||2
St2=-||t2(a1)-a1||2
St3=-||t3(a1)-a1||2
若St1、St2和St3均小于预设阈值(例如是80%),则可以认为第一相似度期望小于预设阈值,即物理变换t1、t2和t3均符合要求,可以作为目标变换。可以理解的是,虽然本示例以欧式距离为例计算了第一相似度,但是并不限于此,本领域的技术人员可以根据实际需要采取其他可行的相似度或距离计算方式,例如Lp范数距离、余弦相似度或切比雪夫距离等等。
需要说明的是,由于物理变换是多种多样的,可能包括无数种,例如每一个旋转角度的旋转变换都可能是一个目标变换,即使对物理变换进行一些筛选,最终符合要求的物理变换的数量可能也是极大的,即目标变换的数量过多。因此,本申请实施例中以期望的形式从海量物理变换中筛选目标变换,即保证大量目标变换对候选对抗图像的影响期望值足够大,由此,这些目标变换分别对候选对抗图像的影响也(极大概率上)足够大。
考虑到,同一类物理变换中可能存在一个对候选对抗图像干扰最大的最有害变换,若目标对抗图像可以抵抗最有害变换,则可以认为目标对抗图像可以抵抗这一类物理变换。例如,若旋转67°是各种角度的旋转变换中对当前时间步长的候选对抗图像干扰最大的物理变换,即旋转67°是当前时间步长的候选对抗图像的最有害旋转变换,那么可以仅将旋转67°作为目标变换,然后在旋转67°这一目标变换下更新迭代候选对抗图像,以得到能够抵抗旋转67°的目标对抗图像。由于旋转67°是最有害旋转变换,即旋转67°对目标对抗图像实现其攻击效果的干扰影响最大,若目标对抗图像可以抵抗旋转67°这一最有害变换,那么其也必然可以抵抗其他角度的旋转变换。可见,在本申请实施例中,所述目标变换策略也可以仅包括一个目标变换,此时所述第一相似度期望也可以仅仅是一个第一相似度本身,此时所述第一预设条件可以是所述第一相似度(期望)达到极小值,即最有害变换时,第一相似度(期望)达到极小值。
设计②:目标变换为某几类单一变换类型的物理变换
考虑到物理变换具有多种类型,例如旋转变换、剪切变换、仿射变换和光照变换等等。一些识别场景下的对抗图像可能只对某几类单一变换类型的物理变换敏感,或者说存在某几类单一变换类型的物理变换都会对目标识别场景下的待识别图像的识别结果产生干扰。因此,可以在这几类敏感单一变换类型的物理变换下更新迭代候选对抗图像,使得目标对抗图像具备抵抗这几类单一变换类型的物理变换的能力。
在本申请实施例中,设计②确定目标变换策略的方法和条件可以与设计①类似,例如目标变换策略可以包括各类希望目标对抗图像能够抵抗的物理变换的全部可能表现,若希望目标对抗图像能够抵抗旋转变换和光照变换,则目标变换策略可以包括各个角度的旋转变换和各个光照强度的光照变换。
基于与设计①同样的考虑,所述目标变换策略也可以仅仅包括一类单一变换类型的全部物理变换中符合要求的部分,例如仅包括能够对候选对抗图像产生足够大干扰的旋转变换和光照变换。在本申请实施例中,如何确定物理变换是否符合要求还是可以根据第一相似度期望是否符合第一预设条件,即所述第一相似度期望是否小于预设阈值,具体的计算和确定过程此处不再赘述。
类似地,设计②中的目标变换策略也可以仅包括不同单一变换类型的最有害变换,例如仅包括最有害旋转变换和最有害光照变换,此时,所述第一相似度期望达到最小值。
设计③:目标变换为一类或几类复合变换
在真实的物理世界对目标对象进行识别或对目标模型进行对抗攻击时,可能不仅仅只实施一种物理变换,例如可以实施多种单一变换类型的物理变换的组合,即复合变换(由至少两个不同单一变换类型的物理变换组成)。若仅仅基于某一类或某几类单一变换类型的物理变换迭代更新候选变换图像,即使使得目标对抗图像具备某一类或某几类单一变换类型的物理变换的抵抗能力,也依然可能无法使得目标对抗图像具备某一类或某几类复合变换(复合变换的包括所述某一类或某几类单一变换类型的物理变换)的抵抗能力。原因在于,不同单一变换类型的物理变换在组合时,相互之间可能产生一些阶跃性影响;例如旋转变换和光照变换组合时,可能在正常角度下,光照变换不会使得采集到的图像发生过曝等亮度缺陷,但是一旦旋转到某个特定的角度,极其微小的光照强度改变就可能使得反光产生,从而造成过曝等亮度缺陷,对识别结果产生较大影响。
因此,可以在这一类或几类复合变换下更新迭代候选对抗图像,使得目标对抗图像具备抵抗这一类或几类复合变换的能力。在本申请实施例中依然可以参照设计①或设计②的内容确定目标变换策略,所述目标变换策略中包括的每一个目标变换均为复合变换,具体的计算和确定过程此处不再赘述。所述目标变换策略可以包括一类复合变换的所有可能表现(所有变换参数组合方式),或者可以仅包括符合第一预设条件的一类或几类复合变换的部分可能表现(部分变换参数组合方式),或者仅包括一类或几类复合变换的最有害变换。
设计①-③列举了目标变换策略的几种可能组成方式,在目标变换策略为不同的设计时,对应迭代更新出的目标对抗图像具备的物理变换的抵抗能力也不尽相同。为了使得本申请实施例中得到的目标对抗图像具备更加全面的物理变换抵抗能力,所述目标变换策略还可以是设计②和设计③的组合,本申请实施例中目标变换组合的可能性并不限于设计①-③,本领域的技术人员可以根据实际需要进行设置,本申请实施例的关键在于,在一些目标变换之下对候选对抗图像进行迭代更新,使得目标对抗图像具备抵抗这些目标变换的能力。
在一种可能的设计中,所述目标变换组合包括各种类型物理变换的最有害变换,例如可以包括最有害旋转变换、最有害仿射变换、最有害光照变换等等。由此,基于所述目标变换组合迭代更新得到的目标对抗图像可以具备各类最有害变换的抵抗能力,从而对各类型物理变换均具备一定的抵抗能力。
在本申请实施例中,所述目标变换策略中的任一目标变换均基于一个候选目标变换更新得到,所述候选目标变换与所述目标变换一一对应;所述目标变换策略可以基于候选变换策略获取,参照图4,具体包括步骤S111-S113:
步骤S111,获取候选目标变换策略。
其中,所述候选目标变换策略中包括至少一个候选目标变换,所述候选目标变换即可以是本申请实施例中希望目标对抗图像能够抵抗的物理变换。
在本申请实施例中,由于一类物理变换可以包括很多不同的表现,即包括很多参数的取值可能性;因此,可以先确定希望目标对象图像能够抵抗的物理变换的类型(即候选目标变换),然后再确定具体的物理变换参数值(即确定了具体变换参数的目标变换),以便进行候选对抗图像的迭代更新。即所述候选目标变换可以是某一类物理变换的初始变换,例如初始旋转变换(单一变换类型)或初始旋转光照变换(复合变换类型)。
在一个可能的设计中,所述候选目标变换策略可以仅包括一个候选目标变换,所述候选目标变换可以是单一变换或复合变换。在一个可能的设计中,所述候选目标变换策略可以包括多个候选目标变换,多个所述候选目标变换的变换类型不同;例如可以包括单一变换类型的候选目标变换和复合变换类型的多个候选目标变换,或者可以仅包括单一变换类型的多个候选目标变换,或者可以仅包括复合变换类型的多个候选目标变换。
在本申请实施例中,所述候选目标变换策略可以基于对抗图像生成目标确定,例如希望目标对抗图像具备旋转变换的抵抗能力,则将旋转变换加入候选目标变换策略。
考虑到在真实物理世界,可能发生的物理变换具有不确定性,由此,在一个可能的设计中,所述候选目标变换策略基于变换分布采样确定,所述变换分布为多种不同单一变换类型的物理变换的概率分布。在本申请实施例中,通过变换分布模拟真实物理世界的物理变换分布情况,然后基于变换分布采样得到候选目标变换,使得目标对抗图像具备真实物理世界可能发生的物理变换的抵抗能力。
步骤S112,根据所述候选目标变换策略、所述候选对抗图像,获取第一相似度期望。
在本申请实施例中,确定候选目标变换策略(各个不同变换类型的初始变换)之后,即可确定目标变换策略(既符合要求的物理变换),为了确定目标变换策略,本申请实施例中需要确定第一相似度期望。参照图5,具体来说,可以采用候选目标变换策略中的每一个候选目标变换对候选对抗图像进行处理,得到经过候选目标变换处理后的多个候选对抗图像,然后再与变换前的候选对抗图像进行相似度对比,获得多个相似度,最终根据所述多个相似度确定第一相似度期望。
步骤S113,若所述第一相似度期望不符合第一预设条件,则更新所述候选目标变换策略、所述第一相似度期望,直至第一相似度期望符合所述第一预设条件,并将第一相似度期望符合所述第一预设条件时的候选目标变换策略作为所述目标变换策略。
在本申请实施例中,候选目标变换策略初始状态下可能并不符合要求,即基于初始的候选目标变换策略获取的第一相似度期望可能并不符合第一预设条件,由此,需要对候选目标变换策略进行迭代更新,以得到符合要求的目标变换策略。具体来说,对候选目标变换策略更新可以是对其中的各个候选目标变换的变换参数进行更新,例如对候选旋转变换更新可以是更新其旋转角度。
在介绍了如何确定目标变换策略之后,接下来继续介绍如何更新候选对抗图像,以得到目标对抗图像。
步骤S120,基于所述候选对抗图像、所述目标变换策略以及目标图像,获取第二相似度。
其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度。
在本申请实施例中,更新得到候选对抗图像之后,需要确定所述候选对抗图像是否符合要求,可否作为目标对抗图像。本申请实施例的对抗攻击目标即为生成能够抵抗物理变换的目标对抗图像,为了保证目标对抗图像能够在物理变换下依然维持良好的攻击效果,本申请实施例在物理变换下确定候选对抗图像与目标图像的识别相似度,而不是现有技术的直接基于候选对抗图像确定与目标图像的识别相似度。由此,在本步骤中,参照图6,每次更新得到新的候选对抗图像之后,即获取新的候选对抗图像经过目标变换策略处理后与原始图像之间的第二相似度,以便确定新的候选对抗图像是否能够抵抗目标变换策略。
考虑到,目标变换策略中可能包括多个不同的目标变换,由此,经过目标变换策略处理后的候选对抗图像可能是多个,进而计算得到的经过目标变换策略处理后的候选对抗图像与目标图像的识别相似度也是多个。因此,在本申请实施例中,所述第二相似度可以是所述多个识别相似度的平均值。
步骤S130,若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
在本申请实施例中,一方面要求最终生成的目标对抗图像鲁棒性更强,不易被物理变换破坏其攻击效果;另一方面要求最终生成的目标对抗图像容易被识别模型混淆,即识别为与目标图像具有相同的识别结果。因此,本步骤中需要确定第二相似度是否符合所述第二预设条件,以确定候选对抗图像是否容易被识别模型混淆,例如错误识别为与目标图像具有相同的识别结果。
在本申请实施例中,可以通过第二相似度确定经过目标变换策略处理后的所述候选对抗图像是否能够攻击成功。所述候选对抗图像与目标图像的第二相似度可以通过预设的识别模型确定;例如,可以将经过目标变换策略处理后的候选对抗图像输入识别模型,识别模型直接输出经过目标变换策略处理后的候选对抗图像与目标图像的识别相似度。或者,考虑到识别模型通常是基于图像特征进行识别,由此可以提取经过目标变换策略处理后的候选对抗图像的特征,然后将策略提取到的特征与目标图像的特征进行相似度对比,得到经过目标变换策略处理后的候选对抗图像与目标图像的特征相似度,并将所述特征相似度作为经过目标变换策略处理后的候选对抗图像与目标图像的识别相似度,最后根据各个识别相似度的平均值确定第二相似度。
参照图6,在本申请实施例中,将基于原始图像进行不断地迭代更新,直到得到符合要求的对抗图像,在迭代更新过程中,每次更新得到中间产物称之为候选对抗图像。在每次更新得到新的候选对抗图像之后,需要确定其是否符合要求,即判断经过目标变换策略处理后的候选对抗图像与目标图像的第二相似度是否符合第二预设条件。
由于对抗攻击包括多种攻击方式,因此,第二预设条件具体内容与攻击方式有关。具体来说,对抗攻击包括有目标攻击和无目标攻击,其中,无目标攻击是指:识别模型对该对抗图像的识别结果与该识别模型对原始图像(也可以认为是目标图像)的识别结果不同。有目标攻击可以是指:识别模型对该对抗图像的识别结果为特定的识别结果,该特定的识别结果与识别模型对目标图像的识别结果相同或相差不大。
因此,在对抗攻击为有目标攻击时,本申请实施例可以要求对抗图像与目标图像的识别相似度(第二相似度)大于第一预设数值(例如80%),即所述第二预设条件可以为第二相似度大于第一预设数值;在对抗攻击为无目标攻击时,本申请实施例可以要求对抗图像与目标图像(原始图像)的识别相似度(第二相似度)小于第二预设数值(例如30%),即所述第二预设条件可以为第二相似度小于第二预设数值。
在介绍了第二预设条件的几种可能之后,接下来介绍如何更新候选对抗图像,所述候选对抗图像的更新方式可以是基于所述第二相似度确定损失值,然后基于损失值的偏导与候选对抗图像的待更新参数(例如是对抗扰动的像素点或候选对抗图像的像素点)的偏导的比值确定梯度,然后基于所述梯度对候选对抗图像的待更新参数进行更新,以更新所述候选对抗图像。
考虑到,本申请实施例中的候选对抗图像也是在不断迭代更新的,即本申请生成目标对抗图像的过程即是不断更新候选对抗图像的过程,由此,不同候选对抗图像的目标变换策略可能不同。例如,在时间步长ts1,基于目标变换T1(基于候选目标变换T0更新得到)对候选对抗图像a进行迭代更新,得到候选对抗图像a1,即候选对抗图像a1可能具有抵抗目标变换T1中各个目标变换的能力;在时间步长ts2,则需要对候选对抗图像a1进行更新,使得生成的选对抗图像a2能够实现攻击目标,且具备抵抗一些物理变换的能力,而候选对抗图像a1具备抵抗目标变换T1的能力,并不代表对抗图像a1对目标变换T1中各个目标变换所属类型的物理变换均具备抵抗能力,由此,在时间步长ts2基于候选变换T0更新得到目标变换T2,然后基于目标变换T2对候选对抗图像a1进行迭代更新,得到候选对抗图像a2。
可以理解的是,本申请实施例的一个可能设计中,希望目标对抗图像对一个或几个特定类型的物理变换具备抵抗能力,由此,可以事先确定所述一个或几个特定类型的物理变换为候选目标变换,然后在每个候选对抗图像迭代的时间步长,均基于候选目标变换获取最有害的目标变换,使得当前时间步长的候选对抗图像具备最有害的物理变换的抵抗能力,由此,经过几个时间步长的迭代之后,在得到目标对抗图像时,目标对抗图像对一个或几个特定类型的物理变换的最有害变换具备抵抗能力。即在每个更新目标变换策略的时间步长,所述候选目标变换策略均相同。可以理解的是,所述候选目标变换策略可以基于攻击场景、原始图像,从所述变换分布获取。所述攻击场景可以基于原始图像或识别模型确定,例如所述原始图像为人脸图像,则识别模型可以是人脸识别模型,攻击场景则可以是人脸识别对抗攻击,考虑到人脸识别对抗攻击时,可能比较容易自然产生光照变换,则可以将光照变换作为候选目标变换策略。
类似地,若原始图像为车辆图像,则识别模型可以为车辆识别模型,攻击场景可以是车辆识别对抗攻击。
本申请实施例的一个可能设计中,希望目标对抗图像对各种物理变换普遍具备抵抗能力,即目标对抗图像可以经受任何可能的物理变换而不受到干扰。由此,可以在每个候选对抗图像迭代的时间步长,均重新获取候选目标变换策略,即在每个更新目标变换策略的时间步长,均基于攻击场景、当前时间步长的候选对抗图像,从所述变换分布重新获取候选目标变换策略;然后基于候选目标变换获取最有害的物理变换,使得当前时间步长的候选对抗具备最有害的物理变换的抵抗能力,由此,经过几个时间步长的迭代之后,在得到目标对抗图像时,目标对抗图像对各种特定类型的物理变换的最有害变换均具备抵抗能力。
具体来说,在一个可能的设计中,可以通过梯度下降的方式获取最有害变换,例如可以通过以下公式(1)获取最有害变换:
其中T是现实物理世界的变换分布,t()是根据变换分布T选取的变换函数,CMis(·)是视觉识别任务的常用分类模型的损失函数,E是第一相似度期望,xadv是候选对抗图像,y是目标图像。
通过对公式(1)进行梯度优化(下降)求解,即可获取候选对抗图像xadv的最有害变换。
考虑到,不同攻击场景(识别场景)或者不同原始图像可能对某些特定的物理变换敏感,即受某些特定的物理变换的干扰更大。由此,在一个可能的设计中,所述变换分布中不同单一变换类型的物理变换的权重不同,各个不同单一变换类型的物理变换的所述权重基于攻击场景、原始图像确定。例如,若在人脸识别场景下实施对抗攻击,且人脸图像受到光照变换的干扰影响更大,那么可以在变换分布中给光照变换赋予更高的权重(或者可以是最高的权重),使得每次确定候选目标变换都能够至少得到光照变换,从而使得最终生成的目标对抗图像至少具备抵抗光照变换的能力。
本申请实施例中,目标变换策略可以基于当前时间步长的新的候选对抗图像确定,以确定新的候选对抗图像是否能够抵抗目标变换策略。例如,所述目标变换策略是最有害变换策略,那么本申请实施例中,则要求每个时间步长迭代更新得到的候选对抗图像之后,均获取对当前时间步长的新的候选对抗图像的最有害变换策略,然后再确定第二相似度。
在一个可能的设计中,可以通过对以下公式(2)进行梯度下降求解得到目标对抗图像:
其中,
,公式(2)中各个字母符号的含义与公式(1)中的相同,此处不再赘述,β是约束项权重,CReg(xadv, x)表示候选对抗图像xadv与原始图像 x的相似度。
通过对公式(2)进行梯度优化(例如可以是梯度下降法(Gradient Descent)、动量法(Momentum)、共轭梯度法(Conjugate Gradient)和自然梯度法(Natural Gradient))求解,即可更新候选对抗图像和目标变换策略,得到目标对抗图像。
需要说明的是,虽然本申请实施例中介绍了可以通过公式(1)确定最有害变换,以及可以通过公式(2)获取目标对抗图像,但并不限于公式(1)或公式(2)所示的方式,可以对公式(1)、公式(2)进行变形,例如可以对公式(1)、公式(2)中的参数进行更新,例如新增、替换等,本申请实施例不对此作限定。本申请实施例的关键是获取能够对候选对抗图像产生足够干扰(例如第一相似度期望符合第一预设条件)的目标变换,然后在所述目标变换下更新候选对抗图像,获取能够抵抗目标变换的目标对抗图像(即经过目标变换之后依然能够被识别模型错误识别的对抗图像)。
可以理解的是,虽然本申请实施例以经过目标变换处理之后的候选对抗图像与原始图像的第二相似度的数值判断作为更新停止条件,但是并不限于此。在其他可能的设计中,还可以是更新迭代达到预设次数,例如100次。
在得到所述目标对抗图像之后,可以直接在数字世界对识别模型进行测试,例如可以基于路障的原始图像生成无目标攻击的路障对抗图像,即能够使得识别模型识别不出所述路障对抗图像;然后在模拟道路环境的自动驾驶测试系统中,将路障替换为所述路障对抗图像替换且对所述路障对抗图像进行一些物理变换(例如旋转或扭曲),测试自动驾驶汽车的识别模型是否能够正确识别出所述路障对抗图像替换,从而在行驶中规避,而不是与所述路障对抗图像发生碰撞。
在得到所述目标对抗图像之后,可以将所述目标对抗图像实体化,例如通过3D打印、全息投影等方式,然后采用实体化的目标对抗图像对物理世界的识别模型进行攻击测试,衡量所述识别模型的安全性,确定所述识别模型的脆弱点,以便优化所述识别模型。
例如,可以将本申请实施例中生成的对抗图像用于衡量人脸识别系统的人脸识别模型的安全性。具体来说,可以采用本申请实施例的方法生成目标对抗图像,所述目标对抗图像可以是以有目标攻击的攻击方式生成的,即能够使得识别模型识别出所述目标对抗图像为特定的有权限者;然后可以将所述目标对抗图像放置于人脸识别的测试场地,例如人脸识别门禁前,测试人脸识别门禁是否能够正确识别经过物理变换后的所述目标对抗图像,从而不打开门禁,防止恶意攻击者进入。
需要说明的是,虽然本申请实施例的以目标对抗图像为输出结果,但是在一些其他可能的设计中,还可以将对抗扰动输出,以方便实体化后附着于待攻击物体。例如,以衡量自动驾驶系统的路况识别模型的安全性为例,在采用本申请实施例的方法得到目标对抗图像之后,可以将所述目标对抗图像与原始的路障图像进行对比,得出二者之间的差异,即为所述对抗扰动,然后将所述对抗扰动实体化后,附着于原始的路障图像,以对自动驾驶系统的路况识别模型的安全性进行测试。由于实体化对抗扰动的体积显著小于实体化对抗图像,由此可以节省实体化时的材料,且实体化的工作量更少,节省时间。
本申请实施例的对抗图像生成方法,在基于原始图像逐步更新候选对抗图像,最终得到目标对抗图像的过程中,不再仅仅是获取候选对抗图像与目标图像的识别相似度,而是获取经过目标变换策略处理后的候选对抗图像与目标图像的第二相似度,然后基于第二相似度确定候选对抗图像是否可以作为目标对抗图像,从而使得第二相似度符合第二预设条件时最终得到的目标对抗图像具备更强鲁棒性,即更强的抵抗物理变换的能力。本申请实施例生成的目标对抗图像对物理变换具备更强的抵抗力,可以在物理世界经受物理变换后依然发挥稳定的攻击测试效果,使得在物理世界对目标模型测试时受到物理变换等干扰的影响小。
在介绍了本申请实施例的方法之后,接下来,参考图7对本申请实施例的图像处理装置进行介绍,该装置同样可以适用于图1所示的服务器01,所述装置60包括:
输入输出模块601,被配置为获取候选对抗图像以及目标变换策略,其中,所述目标变换策略中包括至少一个目标变换,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件;
处理模块602,被配置为基于目标图像、所述输入输出模块601获取的所述候选对抗图像以及所述目标变换策略,获取第二相似度,其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度,所述目标图像基于对抗攻击的攻击目标确定;以及
若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
所述输入输出模块601,还被配置为将所述目标对抗图像实体化,以对物理世界的识别模型进行攻击测试。
所述输入输出模块601,还被配置为将基于目标对抗图像以及原始图像输出对抗扰动,并将所述对抗扰动实体化,以附着于原始图像的实体对象,对物理世界的识别模型进行攻击测试。
在一个实施方式中,所述目标变换策略中的任一目标变换均基于一个候选目标变换更新得到,所述候选目标变换与所述目标变换一一对应;
所述输入输出模块601,还配置为获取候选目标变换策略,其中,所述候选目标变换策略中包括至少一个候选目标变换,多个所述候选目标变换的变换类型不同;
所述处理模块602,还被配置为根据所述候选目标变换策略、所述候选对抗图像,获取第一相似度期望;
若所述第一相似度期望不符合第一预设条件,则更新所述候选目标变换策略、所述第一相似度期望,直至第一相似度期望符合所述第一预设条件,并将第一相似度期望符合所述第一预设条件时的候选目标变换策略作为所述目标变换策略。
在一个实施方式中,若所述第二相似度不符合第二预设条件,还基于更新后的所述候选对抗图像更新所述目标变换策略。
在一个实施方式中,所述目标变换为复合变换,且由至少两个不同单一变换类型的物理变换组成。
在一个实施方式中,所述候选目标变换策略中包括多个候选目标变换,每个候选目标变换均为单一变换类型的物理变换,各个候选目标变换的变换类型不同,所述第一预设条件包括第一相似度期望达到极小值。
在一个实施方式中,所述候选目标变换策略基于变换分布确定,所述变换分布为多种不同单一变换类型的物理变换的概率分布;
在每个更新目标变换策略的时间步长,均基于攻击场景、当前时间步长的候选对抗图像,从所述变换分布重新获取候选目标变换策略;或者
在每个更新目标变换策略的时间步长,所述候选目标变换策略均相同,所述候选目标变换策略基于攻击场景、原始图像,从所述变换分布获取。
在一个实施方式中,所述变换分布中不同单一变换类型的物理变换的权重不同,各个不同单一变换类型的物理变换的所述权重基于攻击场景、原始图像确定。
本申请实施例的图像处理装置,在基于原始图像逐步更新候选对抗图像,最终得到目标对抗图像的过程中,不再仅仅是获取候选对抗图像与目标图像的识别相似度,而是获取经过目标变换策略处理后的候选对抗图像与目标图像的第二相似度,然后基于第二相似度确定候选对抗图像是否可以作为目标对抗图像,从而使得第二相似度符合第二预设条件时最终得到的目标对抗图像具备更强鲁棒性,即更强的抵抗物理变换的能力。本申请实施例生成的目标对抗图像对物理变换具备更强的抵抗力,可以在物理世界经受物理变换后依然发挥稳定的攻击测试效果,使得在物理世界对目标模型测试时受到物理变换等干扰的影响小。
在介绍了本申请实施例的方法和装置之后,接下来,对本申请实施例的计算机可读存储介质进行说明,计算机可读存储介质可为光盘,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会实现上述方法实施方式中所记载的各步骤,例如,获取候选对抗图像以及目标变换策略,其中,所述目标变换策略中包括至少一个目标变换,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件;基于所述候选对抗图像、所述目标变换策略以及目标图像,获取第二相似度,其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度,所述目标图像基于对抗攻击的攻击目标确定;若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。各步骤的具体实现方式在此不再重复说明。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
上面从模块化功能实体的角度对本申请实施例中的图像处理装置60进行了描述,下面从硬件处理的角度分别对本申请实施例中的执行对抗图像生成方法的服务器、终端设备进行描述。
需要说明的是,在本申请图像处理装置实施例的图7所示的输入输出模块601对应的实体设备可以为输入/输出单元、收发器、射频电路、通信模块和输入/输出(I/O)接口等,处理模块602对应的实体设备可以为处理器。图7所示的图像处理装置60可以具有如图8所示的结构,当图7所示的图像处理装置60具有如图8所示的结构时,图8中的处理器和收发器能够实现前述对应该装置的装置实施例提供的处理模块602和输入输出模块601相同或相似的功能,图8中的存储器存储处理器执行上述对抗图像生成方法时需要调用的计算机程序。
本申请实施例还提供了一种终端设备,如图9所示,为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示的,请参照本申请实施例方法部分。该终端设备可以为包括手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、销售终端设备(Point of Sales,POS)、车载电脑等任意终端设备,以终端设备为手机为例:
图9示出的是与本申请实施例提供的终端设备相关的手机的部分结构的框图。参考图9,手机包括:射频(Radio Frequency,RF)电路1010、存储器1020、输入单元1030、显示单元1040、传感器1050、音频电路1060、无线保真(wireless fidelity,WiFi)模块1070、处理器1080、以及电源1090等部件。本领域技术人员可以理解,图9中示出的手机结构并不构成对手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图9对手机的各个构成部件进行具体的介绍:
RF电路1010可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器1080处理;另外,将设计上行的数据发送给基站。通常,RF电路1010包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(LowNoiseAmplifier,LNA)、双工器等。此外,RF电路1010还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(GlobalSystem of Mobile communication,GSM)、通用分组无线服务(General PacketRadioService,GPRS)、码分多址(Code Division Multiple Access,CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution,LTE)、电子邮件、短消息服务(Short Messaging Service,SMS)等。
存储器1020可用于存储软件程序以及模块,处理器1080通过运行存储在存储器1020的软件程序以及模块,从而执行手机的各种功能应用以及数据处理。存储器1020可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器1020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元1030可用于接收输入的数字或字符信息,以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地,输入单元1030可包括触控面板1031以及其他输入设备1032。触控面板1031,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1031上或在触控面板1031附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板1031可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器1080,并能接收处理器1080发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1031。除了触控面板1031,输入单元1030还可以包括其他输入设备1032。具体地,其他输入设备1032可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元1040可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元1040可包括显示面板1041,可选的,可以采用液晶显示器(LiquidCrystalDisplay,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1041。进一步的,触控面板1031可覆盖显示面板1041,当触控面板1031检测到在其上或附近的触摸操作后,传送给处理器1080以确定触摸事件的类型,随后处理器1080根据触摸事件的类型在显示面板1041上提供相应的视觉输出。虽然在图9中,触控面板1031与显示面板1041是作为两个独立的部件来实现手机的输入和输入功能,但是在某些实施例中,可以将触控面板1031与显示面板1041集成而实现手机的输入和输出功能。
手机还可包括至少一种传感器1050,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1041的亮度,接近传感器可在手机移动到耳边时,关闭显示面板1041和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路1060、扬声器1061,传声器1062可提供用户与手机之间的音频接口。音频电路1060可将接收到的音频数据转换后的电信号,传输到扬声器1061,由扬声器1061转换为声音信号输出;另一方面,传声器1062将收集的声音信号转换为电信号,由音频电路1060接收后转换为音频数据,再将音频数据输出处理器1080处理后,经RF电路1010以发送给比如另一手机,或者将音频数据输出至存储器1020以便进一步处理。
WiFi属于短距离无线传输技术,手机通过WiFi模块1070可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图9示出了WiFi模块1070,但是可以理解的是,其并不属于手机的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器1080是手机的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器1020内的软件程序和/或模块,以及调用存储在存储器1020内的数据,执行手机的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器1080可包括一个或多个处理单元;可选的,处理器1080可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1080中。
手机还包括给各个部件供电的电源1090(比如电池),可选的,电源可以通过电源管理系统与处理器1080逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,手机还可以包括摄像头、蓝牙模块等,在此不再赘述。
在本申请实施例中,该手机所包括的处理器1080还具有控制执行以上由识别装置执行的识别经过目标变换策略处理后的候选对抗图像的方法流程。
本申请实施例还提供了一种服务器,请参阅图10,图10是本申请实施例提供的一种服务器结构示意图,该服务器1100可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(英文全称:central processing units,英文简称:CPU)1122(例如,一个或一个以上处理器)和存储器1132,一个或一个以上存储应用程序1142或数据1144的存储介质1130(例如一个或一个以上海量存储设备)。其中,存储器1132和存储介质1130可以是短暂存储或持久存储。存储在存储介质1130的程序可以包括一个或一个以上模块(图中未示出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1122可以设置为与存储介质1130通信,在服务器1100上执行存储介质1130中的一系列指令操作。
服务器1100还可以包括一个或一个以上电源1120,一个或一个以上有线或无线网络接口1150,一个或一个以上输入输出接口1158,和/或,一个或一个以上操作系统1141,例如Windows Server,Mac OS X,Unix, Linux,FreeBSD等等。
上述实施例中由服务器所执行的步骤可以基于该图10所示的服务器1100的结构。例如,例如上述实施例中由图10所示的图像处理装置60所执行的步骤可以基于该图10所示的服务器结构。例如,所述中央处理器1122通过调用存储器1132中的指令,执行以下操作:
通过输入输出接口1158获取候选对抗图像;
获取目标变换策略,其中,所述目标变换策略中包括至少一个目标变换,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件;
基于所述候选对抗图像、所述目标变换策略以及目标图像,获取第二相似度,其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度,所述目标图像基于对抗攻击的攻击目标确定;
若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
还可以通过输入输出接口1158将所述目标对抗图像输出,以便将其实体化,在物理世界对目标模型进行攻击,衡量目标模型的安全性。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请实施例各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上对本申请实施例所提供的技术方案进行了详细介绍,本申请实施例中应用了具体个例对本申请实施例的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请实施例的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请实施例的限制。

Claims (16)

1.一种对抗图像生成方法,所述方法包括:
获取候选对抗图像以及目标变换策略,其中,所述目标变换策略中包括至少一个目标变换,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件,所述第一预设条件包括第一相似度期望小于预设阈值;
基于所述候选对抗图像、所述目标变换策略以及目标图像,获取第二相似度,其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度,所述目标图像基于对抗攻击的攻击目标确定;
若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
2.如权利要求1所述的方法,其中,所述目标变换策略中的任一目标变换均基于一个候选目标变换更新得到,所述候选目标变换与所述目标变换一一对应;获取所述目标变换策略,包括:
获取候选目标变换策略,其中,所述候选目标变换策略中包括至少一个候选目标变换,多个所述候选目标变换的变换类型不同;
根据所述候选目标变换策略、所述候选对抗图像,获取第一相似度期望;
若所述第一相似度期望不符合第一预设条件,则更新所述候选目标变换策略、所述第一相似度期望,直至第一相似度期望符合所述第一预设条件,并将第一相似度期望符合所述第一预设条件时的候选目标变换策略作为所述目标变换策略。
3.如权利要求1或2所述的方法,其中,若所述第二相似度不符合第二预设条件,还基于更新后的所述候选对抗图像更新所述目标变换策略。
4.如权利要求2所述的方法,其中,所述目标变换为复合变换,且由至少两个不同单一变换类型的物理变换组成。
5.如权利要求2所述的方法,其中,所述候选目标变换策略中包括多个候选目标变换,每个候选目标变换均为单一变换类型的物理变换,各个候选目标变换的变换类型不同,所述第一预设条件包括第一相似度期望达到极小值。
6.如权利要求4或5所述的方法,其中,所述候选目标变换策略基于变换分布确定,所述变换分布为多种不同单一变换类型的物理变换的概率分布;
在每个更新目标变换策略的时间步长,均基于攻击场景、当前时间步长的候选对抗图像,从所述变换分布重新获取候选目标变换策略;或者
在每个更新目标变换策略的时间步长,所述候选目标变换策略均相同,所述候选目标变换策略基于攻击场景、原始图像,从所述变换分布获取。
7.如权利要求6所述的方法,其中,所述变换分布中不同单一变换类型的物理变换的权重不同,各个不同单一变换类型的物理变换的所述权重基于攻击场景、原始图像确定。
8.一种图像处理装置,包括:
输入输出模块,被配置为获取候选对抗图像以及目标变换策略,其中,所述目标变换策略中包括至少一个目标变换,经过所述目标变换策略处理后的候选对抗图像与未经过所述目标变换处理的候选对抗图像的第一相似度期望符合第一预设条件,所述第一预设条件包括第一相似度期望小于预设阈值;
处理模块,被配置为基于目标图像、所述输入输出模块获取的所述候选对抗图像以及所述目标变换策略,获取第二相似度,其中,所述第二相似度至少能够表示经过所述目标变换策略处理后的所述候选对抗图像与目标图像的平均相似度,所述目标图像基于对抗攻击的攻击目标确定;以及
若所述第二相似度不符合第二预设条件,则更新所述候选对抗图像、所述第二相似度,直至第二相似度符合所述第二预设条件,并将第二相似度符合所述第二预设条件时的候选对抗图像作为目标对抗图像。
9.如权利要求8所述的装置,其中,所述目标变换策略中的任一目标变换均基于一个候选目标变换更新得到,所述候选目标变换与所述目标变换一一对应;
所述输入输出模块,还配置为获取候选目标变换策略,其中,所述候选目标变换策略中包括至少一个候选目标变换,多个所述候选目标变换的变换类型不同;
所述处理模块,还被配置为根据所述候选目标变换策略、所述候选对抗图像,获取第一相似度期望;以及
若所述第一相似度期望不符合第一预设条件,则更新所述候选目标变换策略、所述第一相似度期望,直至第一相似度期望符合所述第一预设条件,并将第一相似度期望符合所述第一预设条件时的候选目标变换策略作为所述目标变换策略。
10.如权利要求8或9所述的装置,其中,若所述第二相似度不符合第二预设条件,所述处理模块还基于更新后的所述候选对抗图像更新所述目标变换策略。
11.如权利要求9所述的装置,其中,所述目标变换为复合变换,且由至少两个不同单一变换类型的物理变换组成。
12.如权利要求9所述的装置,其中,所述候选目标变换策略中包括多个候选目标变换,每个候选目标变换均为单一变换类型的物理变换,各个候选目标变换的变换类型不同,所述第一预设条件包括第一相似度期望达到极小值。
13.如权利要求11或12所述的装置,其中,所述候选目标变换策略基于变换分布确定,所述变换分布为多种不同单一变换类型的物理变换的概率分布;
在每个更新目标变换策略的时间步长,均基于攻击场景、当前时间步长的候选对抗图像,从所述变换分布重新获取候选目标变换策略;或者
在每个更新目标变换策略的时间步长,所述候选目标变换策略均相同,所述候选目标变换策略基于攻击场景、原始图像,从所述变换分布获取。
14.如权利要求13所述的装置,其中,所述变换分布中不同单一变换类型的物理变换的权重不同,各个不同单一变换类型的物理变换的所述权重基于攻击场景、原始图像确定。
15.一种计算设备,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述的方法。
16.一种计算机可读存储介质,其包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-7中任一项所述的方法。
CN202210878407.9A 2022-07-25 2022-07-25 对抗图像生成方法、相关装置及存储介质 Active CN115239941B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210878407.9A CN115239941B (zh) 2022-07-25 2022-07-25 对抗图像生成方法、相关装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210878407.9A CN115239941B (zh) 2022-07-25 2022-07-25 对抗图像生成方法、相关装置及存储介质

Publications (2)

Publication Number Publication Date
CN115239941A CN115239941A (zh) 2022-10-25
CN115239941B true CN115239941B (zh) 2023-04-28

Family

ID=83674552

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210878407.9A Active CN115239941B (zh) 2022-07-25 2022-07-25 对抗图像生成方法、相关装置及存储介质

Country Status (1)

Country Link
CN (1) CN115239941B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115937638B (zh) * 2022-12-30 2023-07-25 北京瑞莱智慧科技有限公司 模型训练方法、图像处理方法、相关装置及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114387647A (zh) * 2021-12-29 2022-04-22 北京瑞莱智慧科技有限公司 对抗扰动生成方法、装置及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10380724B1 (en) * 2019-01-28 2019-08-13 StradVision, Inc. Learning method and learning device for reducing distortion occurred in warped image generated in process of stabilizing jittered image by using GAN to enhance fault tolerance and fluctuation robustness in extreme situations
CN110728629B (zh) * 2019-09-03 2023-05-23 天津大学 一种用于对抗攻击的图像集增强方法
CN112633306B (zh) * 2019-09-24 2023-09-22 杭州海康威视数字技术股份有限公司 对抗图像的生成方法及装置
CN111353548B (zh) * 2020-03-11 2020-10-20 中国人民解放军军事科学院国防科技创新研究院 一种基于对抗空间变换网络的鲁棒特征深度学习方法
CN114299313B (zh) * 2021-12-24 2022-09-09 北京瑞莱智慧科技有限公司 对抗扰动生成方法、装置及存储介质
CN114297730B (zh) * 2021-12-31 2023-04-07 北京瑞莱智慧科技有限公司 对抗图像生成方法、装置及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114387647A (zh) * 2021-12-29 2022-04-22 北京瑞莱智慧科技有限公司 对抗扰动生成方法、装置及存储介质

Also Published As

Publication number Publication date
CN115239941A (zh) 2022-10-25

Similar Documents

Publication Publication Date Title
US10943091B2 (en) Facial feature point tracking method, apparatus, storage medium, and device
CN111262887B (zh) 基于对象特征的网络风险检测方法、装置、设备及介质
CN111078556B (zh) 应用测试方法及装置
CN116310745B (zh) 图像处理方法、数据处理方法、相关装置及存储介质
CN115588131B (zh) 模型鲁棒性检测方法、相关装置及存储介质
CN115937638B (zh) 模型训练方法、图像处理方法、相关装置及存储介质
CN115239941B (zh) 对抗图像生成方法、相关装置及存储介质
CN116486463B (zh) 图像处理方法、相关装置及存储介质
CN117332844A (zh) 对抗样本生成方法、相关装置及存储介质
CN115526055B (zh) 模型鲁棒性检测方法、相关装置及存储介质
CN115471495B (zh) 模型鲁棒性检测方法、相关装置及存储介质
CN110442361B (zh) 一种灰度发布方法、装置及电子设备
CN109451295A (zh) 一种获取虚拟信息的方法和系统
CN116308978B (zh) 视频处理方法、相关装置及存储介质
CN114743081B (zh) 模型训练方法、相关装置及存储介质
CN117132851A (zh) 一种对抗补丁处理方法、相关装置及存储介质
CN115412726B (zh) 视频真伪检测方法、装置及存储介质
CN117853859A (zh) 图像处理方法、相关装置及存储介质
CN116167274A (zh) 仿真作战攻防训练方法、相关装置及存储介质
CN117671755A (zh) 对抗样本识别模型训练方法、装置、电子设备及存储介质
CN117765349A (zh) 对抗样本的生成方法、相关装置及存储介质
CN116703808A (zh) 假商品样本图像生成方法、相关装置及存储介质
CN117079356A (zh) 一种对象鉴伪模型构建方法、虚假对象检测方法及装置
CN117975387A (zh) 图像处理方法、相关装置及存储介质
CN117372672A (zh) 图像内容审核方法、相关装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant