CN115641471A - 一种基于生成对抗网络的对抗样本生成方法及系统 - Google Patents

一种基于生成对抗网络的对抗样本生成方法及系统 Download PDF

Info

Publication number
CN115641471A
CN115641471A CN202211273925.4A CN202211273925A CN115641471A CN 115641471 A CN115641471 A CN 115641471A CN 202211273925 A CN202211273925 A CN 202211273925A CN 115641471 A CN115641471 A CN 115641471A
Authority
CN
China
Prior art keywords
network
generator
loss
sample
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211273925.4A
Other languages
English (en)
Inventor
孙钦东
王开宇
丁明凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN202211273925.4A priority Critical patent/CN115641471A/zh
Publication of CN115641471A publication Critical patent/CN115641471A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Image Analysis (AREA)

Abstract

本发明公开了一种基于生成对抗网络的对抗样本生成方法及系统,针对建立注意力模块、生成器网络和判别器网络的目标模型建立并优化损失函数,基于训练集样本以及优化后的损失函数依次交替对判别器网络和生成器网络进行训练直到设定训练轮次,不同于传统基于梯度迭代需要多次通过反向传播生成对抗样本的攻击算法,生成式对抗网络只需要使用训练完毕的生成器模型通过前向传播过程即可快速生成对抗样本,提高了对抗样本的生成效率,使用梯度加权类别激活映射方法获取到图像中影响目标检测模型目标分类的敏感区域,针对图像中的敏感区域进行攻击,提高了对抗样本的黑盒攻击迁移性。

Description

一种基于生成对抗网络的对抗样本生成方法及系统
技术领域
本发明涉及目标检测对抗攻击领域,尤其涉及一种基于生成对抗网络的对抗样本生成方法及系统。
背景技术
目标检测是计算机视觉领域的研究方向之一,其本质是多目标的图像定位与识别任务,它对人脸识别、自动驾驶、医学病灶检测等任务具有重大意义。自2012年Krizhevsky等人使用深度神经网络在ImageNet比赛中夺冠以来,基于深度学习的目标检测开始快速发展,在检测精度和检测效率上得到了极大提高。目标检测模型在使用深度神经网络获得巨大成功的同时也继承了它的缺点,即容易遭受对抗样本的攻击。在干净样本上添加精心设计但是肉眼不可见的细微扰动生成对抗样本,将对抗样本输入至原本分类良好的模型使得模型以高置信度输出错误的预测结果。
将现有的目标检测对抗攻击方法按照生成对抗扰动时对原图修改的像素数量分为全局扰动攻击方法和局部扰动攻击方法两大类。全局扰动攻击指扰动添加的范围是全图范围,如:DFool、DAG、RAP、UEA等方法;局部扰动攻击指扰动添加的范围是图像的局部区域,如:BPatch、DPatch、Adversarial-yolo、EA等方法。
通过对现有目标检测对抗攻击方法的分析,发现其普遍存在对抗样本生成效率低以及生成的对抗样本对于黑盒模型的转移性差的问题。一方面,大多攻击算法基于梯度迭代攻击,生成对抗样本时耗时较长;另一方面,大多攻击算法针对单一目标模型设计,生成的对抗样本容易与模型的结构和参数过于耦合,且不同的目标检测模型间网络结构差异较大,从而导致对抗样本对于黑盒模型的攻击转移性较差。
发明内容
本发明的目的在于提供一种基于生成对抗网络的对抗样本生成方法及系统,以克服现有目标检测攻击方法生成对抗样本时效率低以及生成的对抗样本对于黑盒模型攻击可转移性低的问题。
一种基于生成对抗网络的对抗样本生成方法,包括以下步骤:
S1,构建目标模型,基于目标模型建立注意力模块、生成器网络和判别器网络;
S2,针对建立注意力模块、生成器网络和判别器网络的目标模型建立并优化损失函数;
S3,基于训练集样本以及优化后的损失函数依次交替对判别器网络和生成器网络进行训练直到设定训练轮次,即可得到生成器模型,利用得到的生成器模型生成对抗样本。
优选的,使用Grad-CAM方法搭建注意力模块,用于获取图像中影响目标检测模型目标分类的敏感区域。
优选的,对目标模型的所有正样本边界框返回的梯度进行归一化处理;然后融合多个边界框的梯度信息,使用Grad-CAM方法生成热力图;其次,使用ReLU激活函数处理热力图,仅保留梯度正值对分类结果的影响;再次,对热力图上采样,得到激活图;最后,二值化激活图,得到攻击区域掩膜。
优选的,生成器网络结构包含8个下采样层和8个上采样层;下采样层的卷积核大小为3×3,步长设置为2,经卷积处理后特征图的大小缩小到原来的二分之一,最终特征图缩小到一个像素大小;每次下采样操作后都分别进行归一化操作及Leaky ReLU激活函数处理;上采样层使用4×4大小卷积核,步长设置为2,上采样逐层对特征图进行扩展,逐步恢复图像的原始尺寸大小。
优选的,判别器使用PatchGAN,用于辨别数据集中的真实图像与生成器伪造的图像。
优选的,判别器网络使用5层的PatchGAN网络,其中每一层卷积层都使用4 4大小卷积核,设置步长为2,每一层卷积层之后都使用LeakyReLU激活函数处理。
优选的,建立并优化损失函数包括GAN损失、像素级损失、对抗损失、生成器损失以及判别器损失。
优选的,GAN损失约束生成器生成的虚假图像与数据集中原始样本的相像程度,使得对抗样本朝着与原图相似的方向去生成;
对抗损失:考虑到目标检测多任务的特点,建立目标模型检测头的分类损失与位置回归损失;
像素级损失p范数通常用于度量两张图片的差异距离;
生成器损失与判别器损失,分别如公式(6)、公式(7)所示:
Figure BDA0003896267090000031
LD=-Ex[log(D(x))]-Ex[log(1-D(x+M(x)G(x)))] (7)
其中,α、β和γ用于均衡每一项损失的占比。
优选的,目标模型使用Faster R-CNN;数据集使用PASCALVOC 2007和PASCAL VOC2012的训练集加验证集;损失优化使用Adam优化器;
在每一个训练轮次中,使用预先定义的生成器损失先训练k次判别器网络,然后使用判别器损失训练一次生成器网络;重复上述过程直至达到指定训练轮次,输出训练好的生成器网络参数和判别器网络参数。
一种基于生成对抗网络的对抗样本生成系统,包括训练模块和生成模块;
训练模块用于构建目标模型,基于目标模型建立注意力模块、生成器网络和判别器网络;针对建立注意力模块、生成器网络和判别器网络的目标模型建立并优化损失函数;基于训练集样本以及优化后的损失函数依次交替对判别器网络和生成器网络进行训练直到设定训练轮次,即可得到生成器模型;
生成模块用于存储训练完成的生成器模型,利用得到的生成器模型生成对抗样本。
与现有技术相比,本发明具有以下有益的技术效果:
本发明一种基于生成对抗网络的对抗样本生成方法,针对建立注意力模块、生成器网络和判别器网络的目标模型建立并优化损失函数,基于训练集样本以及优化后的损失函数依次交替对判别器网络和生成器网络进行训练直到设定训练轮次,不同于传统基于梯度迭代需要多次通过反向传播生成对抗样本的攻击算法,生成式对抗网络只需要使用训练完毕的生成器模型通过前向传播过程即可快速生成对抗样本,提高了对抗样本的生成效率。
本发明使用梯度加权类别激活映射方法获取到图像中影响目标检测模型目标分类的敏感区域,针对图像中的敏感区域进行攻击,提高了对抗样本的黑盒攻击迁移性。
本发明适用于对图像目标检测模型对抗样本生成效率要求高的实时性场景中,能够以极高的效率快速生成对一阶段目标检测模型和二阶段目标检测模型均有一定攻击性的对抗样本。
附图说明
图1是基于生成对抗网络的目标检测模型对抗攻击方法的框架图;
图2是基于生成对抗网络的目标检测模型对抗攻击方法生成的对抗样本对于目标模型的攻击效果图;
图3是基于生成对抗网络的目标检测模型对抗攻击方法生成的对抗样本与干净样本的检测精度对比图;
图4是基于生成对抗网络的目标检测模型对抗攻击方法生成的对抗样本对于黑盒模型的攻击效果图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
发明一种基于生成对抗网络的对抗样本生成方法,使用生成式对抗网络作为基础网络框架,使用梯度加权类别激活映射方法在图像中影响目标检测模型目标分类的区域添加扰动,交替训练生成器和判别器,具体按照如下步骤实施:
S1,搭建目标模型:搭建骨干特征提取网络为Resnet50的Faster R-CNN目标模型,用于引导后续对抗扰动的生成;
S2,构建注意力模块:基于目标模型,使用Grad-CAM方法搭建注意力模块,用于获取图像中影响目标检测模型目标分类的敏感区域;
具体为:
对Faster R-CNN目标模型的所有正样本边界框返回的梯度进行归一化处理;然后融合多个边界框的梯度信息,使用Grad-CAM方法生成热力图;其次,接下来使用ReLU激活函数处理热力图,仅保留梯度正值对分类结果的影响;再次,对热力图上采样,得到激活图;最后,二值化激活图,得到攻击区域掩膜。
S3,构建生成器网络:生成器网络使用改进的U-Net,加深了U-Net的网络结构,用于生成对抗扰动。
S3具体为:
生成器网络结构包含8个下采样层和8个上采样层。下采样层的卷积核大小为3×3,步长设置为2,经卷积处理后特征图的大小缩小到原来的二分之一,最终特征图缩小到一个像素大小。每次下采样操作后都分别进行归一化操作及Leaky ReLU激活函数处理。上采样层使用4×4大小卷积核,步长设置为2,上采样逐层对特征图进行扩展,逐步恢复图像的原始尺寸大小。在每次上采样操作后也都分别进行归一化,除最后一层上采样使用Tanh激活函数外,其余层都使用ReLU对上采样后的值做映射。此外,为了充分利用图像特征,在下采样层与上采样层的对应层之间增加跳跃连接。具体而言,令n为生成器总的网络层数,i取值范围为1~7,将第i层的特征图与第n-i层的特征图在通道维度上进行融合。
S4,构建判别器网络:判别器使用PatchGAN,用于辨别数据集中的真实图像与生成器伪造的图像,从而引导生成器生成与原图差异不大的对抗样本。
S4具体为:
判别器使用5层的PatchGAN网络,其中每一层卷积层都使用4×4大小卷积核,设置步长为2,每一层卷积层之后都使用LeakyReLU激活函数处理,另外,在第2、3、4层卷积层后还分别进行了BN归一化。不同于以往GAN的判别器直接判断整张图像的真假,PatchGAN判别器是对图像的局部区域做判断。具体而言,首先输入图像至全卷积神经网络;然后将图像划分为一个个N×N大小的独立区域,分别对每个独立区域进行判断,在网络的最后一层输出判断结果;最后对所有区域的判别结果取均值,作为判别器最终的结果。
S5,损失函数定义:分别定义GAN损失、像素级损失、对抗损失、生成器损失以及判别器损失。
S5具体为:
GAN损失定义:GAN损失约束生成器生成的虚假图像与数据集中原始样本的相像程度,使得对抗样本朝着与原图相似的方向去生成。GAN损失函数的定义如公式(1)所示:
LGAN=Ex[log(D(x))]+Ex[log(1-D(x+M(x)G(x)))] (1)
其中,D表示判别器,G表示生成器。训练判别器的目的是提高判别器辨别数据集中的真实图像与生成器伪造的虚假图像的能力,最大化LGAN即可达成目的。训练生成器的目的是提高生成器对于对抗扰动生成规律的学习能力,优化目标是最小化Ex[log(1-D(x+M(xG (x))))]。
像素级损失定义:p范数通常用于度量两张图片的差异距离,常使用的有L0范数,L2范数和L范数三种。L0范数衡量两张图片之间差异的像素数量,L2范数衡量两张图片之间像素差异的均值,L范数衡量两张图片之间像素差异的最大值。除了对抗损失外,我们还特意设计了用于约束对抗样本和原图相似性的Lp像素级别的损失,如公式(2)所示:
Figure BDA0003896267090000071
其中,
Figure BDA0003896267090000072
表示对抗样本相对于原图添加的对抗扰动,我们使用L2范数来约束对抗扰动的生成效果,以达到扰动使人眼不可察觉的目的。
对抗损失定义:考虑到目标检测多任务的特点,分别设计了针对Faster R-CNN目标模型检测头的分类损失与位置回归损失。定义正样本的概念,将同时满足以下两个条件的边界框保留为正样本:(1)该边界框与所有真实框计算所得的最大IoU值不小于给定的阈值μ;(2)该边界框的预测类别概率不小于给定的阈值ν。
为了引导目标检测器输出错误预测,为每个正样本指定任意类别的对抗性标签,引导边界框目标分类出错。公式(3)即为定义的分类损失。
Figure BDA0003896267090000073
其中,
Figure BDA0003896267090000074
表示第i个边界框输出的分类预测概率向量;
Figure BDA0003896267090000075
是概率向量中最大的值,表示边界框将目标预测为第c个类别;
Figure BDA0003896267090000076
是任意类别的对抗性标签,c'∈[1,k+1]且c'≠c,表示随机选取一个与当前预测的类不同的其他类。更多地,我们设计了针对边界框位置回归的损失,如公式(4)所示:
Figure BDA0003896267090000077
其中,
Figure BDA0003896267090000078
表示第i个正样本边界框与其对应的真实框的中心坐标及宽高的偏移量;ν为自定义的对抗性位置偏移;lse为平方误差,最小化回归损失,即最小化真实位置与对抗性位置之间的平方误差,从而引导边界框位置回归结果与真实框的位置出现较大偏差。将对抗损失定义为分类损失与回归损失的联合损失,如公式(5)所示:
Ladv=Lcls+Lloc (5)
生成器损失与判别器损失定义:综合上述三种损失,最终得到生成器损失与判别器损失,分别如公式(6)、公式(7)所示:
Figure BDA0003896267090000081
LD=-Ex[log(D(x))]-Ex[log(1-D(x+M(x)G(x)))] (7)
其中,α、β和γ用于均衡每一项损失的占比。
S6,模型训练:在每一个迭代周期中交替训练生成器和判别器。
S6具体为:
模型训练的初始化设置为:目标模型使用Faster R-CNN;数据集使用PASCAL VOC2007和PASCAL VOC 2012的训练集加验证集;损失优化使用Adam优化器。在每一个训练轮次中,使用预先定义的生成器损失先训练k次判别器,使得判别器拥有一定辨别图像真伪的能力,然后使用判别器损失训练一次生成器。重复上述过程直至达到指定训练轮次,输出训练好的生成器网络参数WG和判别器网络参数WD
S7,生成对抗样本:使用训练好的生成器模型生成对抗样本。
本发明基于生成对抗网络,其中生成器使用了16层的U-Net网络,判别器使用了5层的PatchGAN网络;不同于传统基于梯度迭代需要多次通过反向传播生成对抗样本的攻击算法,生成式对抗网络只需要使用训练完毕的生成器模型通过前向传播过程即可快速生成对抗样本,提高了对抗样本的生成效率。
大多攻击算法针对单一目标模型设计,生成的对抗样本容易与模型的结构和参数过于耦合,且不同的目标检测模型间网络结构差异较大,从而导致对抗样本对于黑盒模型的转移性较差。针对目标检测攻击算法生成对抗样本效率低的问题,本发明使用梯度加权类别激活映射方法获取到图像中影响目标检测模型目标分类的敏感区域,针对图像中的敏感区域进行攻击,提高了对抗样本的黑盒攻击迁移性。
本方法适用于对图像目标检测模型对抗样本生成效率要求高的实时性场景中,能够以极高的效率快速生成对一阶段目标检测模型和二阶段目标检测模型均有一定攻击性的对抗样本。
实施例:
交替训练生成器和判别器,然后使用训练好的生成器模块参数通过前向传播即可生成对抗样本。为了证明对抗样本的有效性,设计并进行白盒攻击实验,实验中观察对抗样本对于目标模型输出结果的影响。为了验证对抗样本对于未知参数的目标检测模型具有攻击转移性,设计并进行针对YOLOv3(Darknet)、SSD300(VGG16)和YOLOv4(Darknet)这三个使用不同特征提取网络的黑盒目标检测模型的攻击实验。具体按照如下步骤实施:
步骤1,搭建框架:如图1所示,算法框架包含四部分:生成器网络G、判别器网络D、注意力模块M以及目标模型F。其中,生成器使用改进的U-Net网络,用于生成与原图极为相似,带有对抗扰动的图像;判别器使用PatchGAN,用于判断输入的图像是真实数据样本集中的图像还是生成器伪造的图像;目标模型选择Faster R-CNN(Resnet50),用于引导噪声的对抗攻击能力;注意力模块基于Grad-CAM实现,用于捕获目标模型的注意力,旨在将扰动限制在图像中对目标模型标签分类感知敏感度高的区域。对抗样本的生成过程如公式(8)所示:
Figure BDA0003896267090000091
其中,x为原图,M(x)为二值化Grad-CAM激活图生成的掩膜,G(x)为生成器生成的图像,
Figure BDA0003896267090000092
为对抗样本。将公式(8)简记为公式(9):
Figure BDA0003896267090000093
步骤2,模型训练:模型训练的初始化设置为:目标模型使用Faster R-CNN;数据集使用PASCAL VOC 2007和PASCAL VOC 2012的训练集加验证集;损失优化使用Adam优化器。在每一个训练轮次中,使用预先定义的生成器损失先训练k次判别器,使得判别器拥有一定辨别图像真伪的能力,然后使用判别器损失训练一次生成器。重复上述过程直至达到指定训练轮次,输出训练好的生成器网络参数WG和判别器网络参数WD
步骤2具体为:
步骤2.1:从数据集X中采样m个样本ψx={x1,x2,…,xm};
步骤2.2:通过生成器生成带有扰动的图像G(ψx);
步骤2.3:使用Grad-CAM方法获得攻击区域M(ψx);
步骤2.4:生成对抗样本
Figure BDA0003896267090000101
步骤2.5:固定生成器,通过梯度下降最小化判别器损失LD,更新判别器网络参数,判别器损失LD如公式(10)所示:
LD=-Ex[log(D(x))]-Ex[log(1-D(x+M(x)G(x)))] (10)
步骤2.6:将步骤2.1至步骤2.5重复k次;
步骤2.7:从数据集X中采样m个样本ψx={x1,x2,…,xm};
步骤2.8:通过生成器生成带有扰动的图像G(ψx);
步骤2.9:使用Grad-CAM方法获得攻击区域M(ψx);
步骤2.10:生成对抗样本
Figure BDA0003896267090000102
步骤2.11:固定判别器,通过梯度下降最小化生成器损失LG,更新生成器网络参数,生成器损失LG如公式(11)所示:
Figure BDA0003896267090000103
步骤2.12:将步骤2.1至步骤2.11重复n次;
步骤2.13:输出训练好的生成器参数WG和判别器参数WD
步骤3,白盒攻击实验:为了证明对抗样本的有效性,设计并进行了白盒攻击实验,实验中观察对抗样本对于目标模型输出结果的影响。
使用训练好的生成器模型生成VOC 2007测试集的对抗样本集,然后分别将干净样本与对抗样本送入目标模型去检测,统计检测结果。对对抗样本随机抽样,展示其对FasterR-CNN目标模型的攻击效果,如图2所示。
图2中,第一列为干净样本,第二列为干净样本检测效果,第三列为对抗样本,第四列为对抗样本检测效果。由图可知,对抗样本虽然只对原图添加了微乎其微的扰动,但却可以令目标检测器预测出错甚至失效,对抗样本对目标检测器的输出造成了严重干扰。从图中可以看出使用本发明所提方法进行攻击后,原本可以准确识别目标的Faster R-CNN模型,在多张图像上未能识别出明显目标,而且对识别出的目标不仅置信度下降,还出现了错误分类,可以证明本发明所提算法达到了较好的攻击效果。
此外,我们在干净样本集和对抗样本集上计算并比较了VOC 2007测试集中所有待检测目标类别的AP,如图3所示。由图3可知,相较于干净样本,在对抗样本集上得到的20个类别的AP均大幅下降,证明了对抗样本的有效性,横轴代表样本类别,纵轴代表分类准确率,从图中可以看出,本发明所提出的攻击算法使分类模型准确率下降明显,达到了较好的攻击效果。
步骤4,算法对比实验:为了证明本发明确实提高了对抗样本的生成效率,设计并进行了算法对比实验。实验将DAG算法和RAP算法作为基准算法,这两种算法是目标检测对抗攻击领域的代表算法。
首先,对两种基准算法进行复现,使用VOC 2007测试集,生成两种基准算法的对抗样本集。然后分别将干净样本与三种算法生成的对抗样本分别输入至目标模型进行检测,统计在各个类别上的AP以及在所有类别上的mAP,以此来对比不同算法的攻击强度,统计结果如表1所示:
表1
Figure BDA0003896267090000111
Figure BDA0003896267090000121
其中,第一列为干净样本的检测结果,第二列与第三列分别为DAG和RAP算法生成的对抗样本的检测结果,最后一列为使用本发明生成的对抗样本的检测结果。
由表1可知,三种攻击算法均大幅降低了待检测目标类别的AP及总体样本的mAP。其中,DAG算法使得mAP降低至5.3%,RAP算法使得mAP降低至6.7%,而本发明使得mAP降低至4.4%,令mAP获得了最大的下降幅度。三种算法生成的对抗样本攻击目标模型时的综合表现以及三种算法生成单张对抗样本的平均时间统计如表2所示:
表2
Figure BDA0003896267090000131
其中,DAG算法生成单张对抗样本的平均时间为9.3s,对抗样本在目标模型上获得93.41%的ASR(欺骗率);RAP算法生成单张对抗样本的平均时间为4.1s,对抗样本在目标模型上获得91.67%的ASR。相比于基准算法,本发明生成单张对抗样本的平均时间仅为1.7s,且对抗样本在目标模型上获得最高的94.53%的ASR。
步骤5,黑盒攻击实验:为了验证使用本发明生成的对抗样本对于未知参数的目标检测模型具有攻击转移性,设计了针对YOLOv3(Darknet)、SSD300(VGG16)和YOLOv4(Darknet)这三种使用不同特征提取网络的黑盒目标检测模型的攻击实验。
具体而言,首先使用VOC 2007的训练集加验证集对黑盒模型预训练,使其达到较高的检测水平;然后分别比较黑盒模型对于干净样本和对抗样本的检测效果,对比效果如图4所示,具体结果如表3所示:
表3
Figure BDA0003896267090000132
其中,对抗样本在SSD300(VGG16)上表现出最强的攻击迁移性,使得SSD300的mAP由77.1%降为46.8%,对抗样本获得39.30%的ASR;在YOLOv3(Darknet)与YOLOv4(Darknet)目标检测器上mAP的表现分别为从76.1%降至55.8%和从79.0降至63.5%,对抗样本在YOLO系列的两个目标检测器上获得小幅度的ASR。
通过上述步骤可知,为了解决图像目标检测对抗攻击领域现有方法生成对抗样本效率低下的问题,本发明提出了一种基于生成对抗网络的对抗样本生成方法及系统。通过对Faster R-CNN目标模型的白盒攻击实验以及与DAG和RAP基准算法的对比实验证明了方法生成的对抗样本的攻击有效性,且方法能够有效缩短生成单张对抗样本的时间。通过黑盒攻击实验证明了生成的对抗样本对于未知参数的黑盒模型仍能造成一定程度的干扰,验证了对抗样本具有一定的黑盒转移性。

Claims (10)

1.一种基于生成对抗网络的对抗样本生成方法,其特征在于,包括以下步骤:
S1,构建目标模型,基于目标模型建立注意力模块、生成器网络和判别器网络;
S2,针对建立注意力模块、生成器网络和判别器网络的目标模型建立并优化损失函数;
S3,基于训练集样本以及优化后的损失函数依次交替对判别器网络和生成器网络进行训练直到设定训练轮次,即可得到生成器模型,利用得到的生成器模型生成对抗样本。
2.根据权利要求1所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,使用Grad-CAM方法搭建注意力模块,用于获取图像中影响目标检测模型目标分类的敏感区域。
3.根据权利要求2所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,对目标模型的所有正样本边界框返回的梯度进行归一化处理;然后融合多个边界框的梯度信息,使用Grad-CAM方法生成热力图;其次,使用ReLU激活函数处理热力图,仅保留梯度正值对分类结果的影响;再次,对热力图上采样,得到激活图;最后,二值化激活图,得到攻击区域掩膜。
4.根据权利要求1所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,生成器网络结构包含8个下采样层和8个上采样层;下采样层的卷积核大小为3×3,步长设置为2,经卷积处理后特征图的大小缩小到原来的二分之一,最终特征图缩小到一个像素大小;每次下采样操作后都分别进行归一化操作及Leaky ReLU激活函数处理;上采样层使用4×4大小卷积核,步长设置为2,上采样逐层对特征图进行扩展,逐步恢复图像的原始尺寸大小。
5.根据权利要求1所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,判别器使用PatchGAN,用于辨别数据集中的真实图像与生成器伪造的图像。
6.根据权利要求5所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,判别器网络使用5层的PatchGAN网络,其中每一层卷积层都使用44大小卷积核,设置步长为2,每一层卷积层之后都使用LeakyReLU激活函数处理。
7.根据权利要求1所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,建立并优化损失函数包括GAN损失、像素级损失、对抗损失、生成器损失以及判别器损失。
8.根据权利要求7所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,GAN损失约束生成器生成的虚假图像与数据集中原始样本的相像程度,使得对抗样本朝着与原图相似的方向去生成;
对抗损失:考虑到目标检测多任务的特点,建立目标模型检测头的分类损失与位置回归损失;
像素级损失p范数通常用于度量两张图片的差异距离;
生成器损失与判别器损失,分别如公式(6)、公式(7)所示:
LG=αEx[log(1-D(x+M(x)G(x)))]+βLL2+γLadv (6)
LD=-Ex[log(D(x))]-Ex[log(1-D(x+M(x)G(x)))] (7)
其中,α、β和γ用于均衡每一项损失的占比。
9.根据权利要求1所述的一种基于生成对抗网络的对抗样本生成方法,其特征在于,目标模型使用Faster R-CNN;数据集使用PASCALVOC 2007和PASCAL VOC 2012的训练集加验证集;损失优化使用Adam优化器;
在每一个训练轮次中,使用预先定义的生成器损失先训练k次判别器网络,然后使用判别器损失训练一次生成器网络;重复上述过程直至达到指定训练轮次,输出训练好的生成器网络参数和判别器网络参数。
10.一种基于生成对抗网络的对抗样本生成系统,其特征在于,包括训练模块和生成模块;
训练模块用于构建目标模型,基于目标模型建立注意力模块、生成器网络和判别器网络;针对建立注意力模块、生成器网络和判别器网络的目标模型建立并优化损失函数;基于训练集样本以及优化后的损失函数依次交替对判别器网络和生成器网络进行训练直到设定训练轮次,即可得到生成器模型;
生成模块用于存储训练完成的生成器模型,利用得到的生成器模型生成对抗样本。
CN202211273925.4A 2022-10-18 2022-10-18 一种基于生成对抗网络的对抗样本生成方法及系统 Pending CN115641471A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211273925.4A CN115641471A (zh) 2022-10-18 2022-10-18 一种基于生成对抗网络的对抗样本生成方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211273925.4A CN115641471A (zh) 2022-10-18 2022-10-18 一种基于生成对抗网络的对抗样本生成方法及系统

Publications (1)

Publication Number Publication Date
CN115641471A true CN115641471A (zh) 2023-01-24

Family

ID=84945356

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211273925.4A Pending CN115641471A (zh) 2022-10-18 2022-10-18 一种基于生成对抗网络的对抗样本生成方法及系统

Country Status (1)

Country Link
CN (1) CN115641471A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115797711A (zh) * 2023-02-20 2023-03-14 泉州装备制造研究所 一种基于重构模型的对抗样本改进分类方法
CN116011558A (zh) * 2023-01-31 2023-04-25 南京航空航天大学 一种高迁移性的对抗样本生成方法和系统
CN117253094A (zh) * 2023-10-30 2023-12-19 上海计算机软件技术开发中心 一种图像分类系统对抗性样本生成方法、系统及电子设备

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116011558A (zh) * 2023-01-31 2023-04-25 南京航空航天大学 一种高迁移性的对抗样本生成方法和系统
CN116011558B (zh) * 2023-01-31 2023-10-27 南京航空航天大学 一种高迁移性的对抗样本生成方法和系统
CN115797711A (zh) * 2023-02-20 2023-03-14 泉州装备制造研究所 一种基于重构模型的对抗样本改进分类方法
CN115797711B (zh) * 2023-02-20 2023-04-21 泉州装备制造研究所 一种基于重构模型的对抗样本改进分类方法
CN117253094A (zh) * 2023-10-30 2023-12-19 上海计算机软件技术开发中心 一种图像分类系统对抗性样本生成方法、系统及电子设备
CN117253094B (zh) * 2023-10-30 2024-05-14 上海计算机软件技术开发中心 一种图像分类系统对抗性样本生成方法、系统及电子设备

Similar Documents

Publication Publication Date Title
CN108537743B (zh) 一种基于生成对抗网络的面部图像增强方法
CN115641471A (zh) 一种基于生成对抗网络的对抗样本生成方法及系统
CN108416250B (zh) 人数统计方法及装置
CN111753881B (zh) 一种基于概念敏感性量化识别对抗攻击的防御方法
CN110543846B (zh) 一种基于生成对抗网络的多姿态人脸图像正面化方法
CN111767882A (zh) 一种基于改进yolo模型的多模态行人检测方法
Chen et al. Research on recognition of fly species based on improved RetinaNet and CBAM
CN112884033B (zh) 一种基于卷积神经网络的生活垃圾分类检测方法
CN111460426B (zh) 基于对抗演化框架的抗深度学习文本验证码生成系统及方法
EP2068271A2 (en) Detection of an object in an image
CN108108760A (zh) 一种快速人脸识别方法
CN111783853B (zh) 一种基于可解释性的检测并恢复神经网络对抗样本方法
CN112668557B (zh) 一种行人再识别系统中防御图像噪声攻击的方法
CN112149533A (zh) 一种基于改进ssd模型的目标检测方法
CN112818871B (zh) 一种基于半分组卷积的全融合神经网络的目标检测方法
CN112562255A (zh) 微光环境下电缆沟道烟雾火情的智能图像检测方法
CN111652910A (zh) 一种基于对象空间关系的目标跟踪算法
CN113627543A (zh) 一种对抗攻击检测方法
CN114724189A (zh) 一种目标识别的对抗样本防御模型训练方法、系统及应用
CN113947579B (zh) 一种针对图像目标探测神经网络的对抗样本检测方法
CN112818774A (zh) 一种活体检测方法及装置
CN111881803A (zh) 一种基于改进YOLOv3的畜脸识别方法
CN112464982A (zh) 基于改进ssd算法的目标检测模型、方法及应用
CN115187789A (zh) 基于卷积层激活差异的对抗图像检测方法及装置
CN115861956A (zh) 一种基于解耦头部的Yolov3道路垃圾检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination