WO2021056746A1 - 图像模型检测方法、装置、电子设备及存储介质 - Google Patents

Abstract

一种图像模型检测方法，所述方法包括：获取原始图像样本；将所述原始图像样本输入训练好的主流图像分类模型；使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；判断所述第一识别结果与所述第二识别结果是否一致；若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。本申请还提供一种图像模型检测装置、电子设备及存储介质。本申请能对深度神经网络模型的安全性进行检测。

Description

图像模型检测方法、装置、电子设备及存储介质

本申请要求于2019年09月23日提交中国专利局，申请号为201910901599.9发明名称为“图像模型检测方法、装置、电子设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请。

技术领域

本申请涉及智能终端技术领域，尤其涉及一种图像模型检测方法、装置、电子设备及存储介质。

背景技术

目前，人工智能应用在了很多领域中，比如人脸识别、声纹识别等场景，其核心技术以机器学习或者深度学习为基础。

实践中发现，虽然人工智能给人们带来了很多便利，但是，仍存在一些潜在的隐患，比如，在图像分类领域，如果图片被人恶意篡改，但是模型识别错误了，这会给用户带来安全隐患。这说明现代深度神经网络是非常容易受到对抗样本的攻击的。这些对抗样本仅有很轻微的扰动，以至于人类视觉系统无法察觉这种扰动(图片看起来几乎一样)。这样的攻击会导致神经网络完全改变它对图片的分类，导致出现识别错误的问题。

可见，如何对深度神经网络模型的安全性进行检测是一个亟待解决的技术问题。

发明内容

鉴于以上内容，有必要提供一种图像模型检测方法、装置、电子设备及存储介质，能够对深度神经网络模型的安全性进行检测。

本申请的第一方面提供一种图像模型检测方法，所述方法包括：获取原始 图像样本；将所述原始图像样本输入训练好的主流图像分类模型；使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；判断所述第一识别结果与所述第二识别结果是否一致；若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。

本申请的第二方面提供一种图像模型检测装置，所述装置包括：

第一获取模块，用于获取原始图像样本；输入模块，用于将所述原始图像样本输入训练好的主流图像分类模型；生成模块，用于使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；第二获取模块，用于获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；判断模块，用于判断所述第一识别结果与所述第二识别结果是否一致；确定模块，用于若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。

本申请的第三方面提供一种电子设备，所述电子设备包括处理器和存储器，所述处理器用于执行所述存储器中存储的计算机可读指令时实现所述的图像模型检测方法。

本申请的第四方面提供一种非易失性可读存储介质，所述非易失性可读存储介质上存储有计算机可读指令，所述计算机可读指令被处理器执行时实现所述的图像模型检测方法。

由以上技术方案可知，本申请通过上述方式，可以检测所述待检测图像模型的安全性能，便于后续根据检测结果对所述待检测图像模型进行改进，提高所述待检测图像模型的抗扰能力。

附图说明

图1是本申请公开的一种图像模型检测方法的较佳实施例的流程图。

图2是本申请公开的一种图像模型检测装置的较佳实施例的功能模块图。

图3是本申请实现图像模型检测方法的较佳实施例的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请。

图1是本申请公开的一种图像模型检测方法的较佳实施例的流程图。其中，根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

S11、电子设备获取原始图像样本。

其中，如果原始图像样本属于比较常见通用的，则可以通过网络爬取技术从网络中获取原始图像样本，如果原始图像样本不容易通过公共渠道获得，则可以从用户端设备获取原始图像样本，即该原始图像样本是用户提供的，而不是本地的。其中，该原始图像样本为干净的样本，没有添加任何扰动。

作为一种可选的实施方式，在步骤S11之前，所述方法还包括：

从需要进行模型检测的用户端设备获取训练样本；

提取所述训练样本的样本特征；

将所述样本特征输入开源模型框架中进行训练，获得训练好的主流图像 分类模型。

在该可选的实施方式中，所述开源模型框架基于主流的图片分类框架，比如resnet、inceptionV3等在开源社区公开的模型框架。在训练时，需要预先从用户端设备获取训练样本，比如人脸图像样本、非人脸图像样本等，进一步提取训练样本的样本特征，比如人脸特征，并将所述样本特征输入开源模型框架中进行训练，获得图片分类结果，最后根据图片分类结果不断更新开源模型框架的参数，直至最后收敛，获得训练好的主流图像分类模型。后续还需要对训练好的主流图像分类模型进行攻击。

其中，已知具体结构和参数的模型(比如上述训练好的主流图像分类模型)可以称为白盒模型，而不知道具体结构和参数的模型可以称为黑盒模型。通常，图片扰动的攻击手段主要分为白盒攻击和黑盒攻击。

上述方式可以针对白盒攻击，即针对已知模型进行攻击，同时提升它的鲁棒性和转移性，使白盒攻击后的结果也可以成功攻击不知道具体结构和参数的模型。

S12、电子设备将所述原始图像样本输入训练好的主流图像分类模型。

其中，训练好主流图像分类模型后，还需要对该主流图像分类模型进行攻击，比如白盒攻击或黑盒攻击。

作为一种可选的实施方式，在步骤S11之后，所述方法还包括：

对所述原始图像样本进行图片增强处理。

所述将所述原始图像样本输入训练好的主流图像分类模型包括：

将处理后的所述原始图像样本输入训练好的主流图像分类模型。

其中，为了使后续获得的对抗图像可以更好的攻击黑盒模型，增强图像的扰动能力从而模拟真实的攻击情景，还需要对原始图像样本进行图片增强处理。具体的，可以在对所述训练好的主流图像分类模型进行推理之前，对所述原始图像样本进行随机的改变大小，然后随机将所述原始图像样本填充成为一个331x331的尺寸，再变化大小成为主流图像分类模型的输入大小， 比如224x224，因为原始图像样本的变化多样，可以使扰动具有普遍性，可以适应不同的情况，从而达到提高模型鲁棒性和转移性高的目的。

S13、电子设备使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像。

其中，白盒模型采用的是白盒攻击，针对白盒攻击，采用基于动量的梯度迭代算法。

具体的，所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像包括：

使用所述主流图像分类模型，基于动量的梯度迭代算法，计算扰动量；

对所述扰动量进行卷积平滑处理；

在所述原始图像上增加处理后的所述扰动量，获得对抗图像。

其中，所述基于动量的梯度迭代算法的公式如下：

x′ _t+1＝x′ _t+∈·clip _[-10，10]g _t+1

其中，g是指扰动量，g _t是指第t次迭代的扰动量，μ是指动量系数用于控制更改的噪声，I _θ(x′ _t，y)是指将x′ _t,y输入至模型函数I _θ(x，y)并计算交叉熵后即可获得l，l是指主流图像分类模型的倒数第二层全连接层的输出结果与原始图像样本的类别之间的交叉熵损失值，

则是求解每个像素延梯度方向更改的大小除以其扰动的方差，用于计算扰动量，x′ _t+1则是指原始图像样本增加了第t次迭代扰动的结果，∈指扰动系数，用于控制添加扰动的图像与原始图像样本之间的差别，clip _[-10，10]g _t+1用于将g _t+1裁减至[-10,10]的范围。

其中，为了使后续获得的对抗图像可以更好的攻击黑盒模型，增强图像的扰动能力从而模拟真实的攻击情景，在计算得到扰动量之后，还需要对所述扰动量进行卷积平滑处理，具体的，使用随机生成的4x4高斯卷积核对g _t进行卷积处理，同时不改变其维度大小，使得扰动平滑从而更具有转移性。

其中，可以事先根据多次试验来测试迭代次数，并进行设置，通常迭代 次数在100到200之间，这样会使扰动量的扰动能力相较于传统的攻击方法增强数倍。

S14、电子设备获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果。

其中，所述待检测图像模型与所述训练好的主流图像分类模型不同，用户可能会在主流框架模型上进行修改以获得所述待检测图像模型。

其中，可以在本地获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及在本地获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果，或者，可以在用户端设备上获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及在用户端设备上获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果。

可选的，步骤S14之前，所述方法还包括：

从用户端设备获取需要进行模型检测的待检测图像模型；

安装所述待检测图像模型；

将所述原始图像样本以及所述对抗图像分别输入至所述待检测图像模型，获得所述原始图像样本的第一识别结果以及所述对抗图像的第二识别结果。

在该可选的实施方式中，需要从用户端设备上获取需要进行模型检测的待检测图像模型，并在电子设备上安装所述待检测图像模型，进而直接在电子设备上将所述原始图像样本以及所述对抗图像分别输入至所述待检测图像模型，获得所述原始图像样本的第一识别结果以及所述对抗图像的第二识别结果。整个识别过程都是在电子设备上进行的，无需用户端设备做任何处理，从而可以节省用户端设备的资源消耗，节省用户时间。

可选的，所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对 所述原始图像样本进行对抗攻击，获得对抗图像之后，所述方法还包括：

将携带有所述原始图像样本以及所述对抗图像的识别请求发送至用户端设备，其中，所述用户端设备安装有待检测图像模型，由所述用户端设备上的所述待检测图像模型对所述原始图像样本进行识别，获得第一识别结果，以及对所述对抗图像进行识别，获得第二识别结果。

在该可选的实施方式中，不需要获取用户端一侧的待检测模型，即不需要在电子设备上安装所述待检测模型，只需要用户端一侧提供API接口(Application Programming Interface，应用程序编程接口)，电子设备可以通过该API接口将携带有所述原始图像样本以及所述对抗图像的识别请求发送至用户端设备，用户端设备接收到该识别请求后，即可使用该待检测图像模型，对所述原始图像样本以及所述对抗图像进行识别，获得针对所述原始图像样本的第一识别结果以及针对所述对抗图像的第二识别结果，最后用户端设备即可通过该API接口将针对所述原始图像样本的第一识别结果以及针对所述对抗图像的第二识别结果返回给电子设备。电子设备根据第一识别结果以及第二识别结果即可做出判断。

其中，所述原始图像样本可以来自于公共渠道，如网络，也可以来自于用户端设备。

在该可选的实施方式中，不需要主动获得用户端设备具体使用的模型以及用户在模型应用上的创新技术等细节，从而可以对客户模型技术进行保密，同时，还可以检测客户模型的安全问题，从而给予客户模型改进的指导以及用户安全的保护。

其中，用户端设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等，比如个人计算机、平板电脑、个人数字助理等。

其中，电子设备是一种能够按照事先设定或存储的指令，自动进行数值 计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等，比如个人计算机、平板电脑、个人数字助理等。

S15、电子设备判断所述第一识别结果与所述第二识别结果是否一致，若一致，执行步骤S16，若否，结束本流程。

其中，假设所述原始图像样本以及所述对抗样本是针对人脸图片的识别的，则待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，该第一识别结果为所述原始图像样本存在人脸，而待检测图像模型对所述对抗图像进行识别后获得的第二识别结果，由于所述对抗图像是添加扰动后的图像，则所述第二识别结果可能是所述对抗图像存在人脸，或者，所述对抗图像不存在人脸。

S16、电子设备确定所述待检测图像模型针对所述对抗图像的识别成功。

其中，若所述第一识别结果与所述第二识别结果一致，表明所述待检测图像模型成功正确识别了所述对抗图像。

作为一种可选的实施方式，所述方法还包括：

若所述第一识别结果与所述第二识别结果不一致，确定所述待检测图像模型发生误判；

统计所述待检测图像模型发生误判的数量；

根据所述数量以及所述原始图像样本的总数量，计算所述待检测图像模型的准确率；

根据所述准确率，确定所述待检测图像模型的安全等级。

其中，若所述第一识别结果与所述第二识别结果不一致，表明所述待检测图像模型对所述对抗图像发生了误判，也说明对所述原始图像样本的扰动成功干扰了所述待检测图像模型的识别结果，也进一步预示着所述待检测图像模型无法防御这类的对抗图像，表明所述待检测图像模型很容易就被攻击成功，安全性较差。

其中，如果误判过多，会反映该待检测图像模型的安全性有很大问题。因此，还需要统计所述待检测图像模型发生误判的数量，并根据所述数量以及所述原始图像样本的总数量，计算所述待检测图像模型的准确率，其中，所述原始图像样本的总数量与所述对抗图像的总数量是相同的。

其中，不同的应用场景，对待检测图像模型的标准是不同的，可以根据不同的应用场景来设置安全等级。不同的安全等级代表所述待检测图像模型的安全性能的高低程度。

比如综合1000张及以上测试的图片情况，如果待检测图像模型的准确率在扰动的图片中下降了10％，则待检测图像模型为轻微的安全问题，如果待检测图像模型的准确率在扰动的图片中下降20％，则待检测图像模型为中度的安全问题，如果待检测图像模型的准确率在扰动的图片中下降30％及以上则待检测图像模型为严重的安全问题。

在图1所描述的方法流程中，可以获取原始图像样本，将所述原始图像样本输入训练好的主流图像分类模型，使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像，进一步地，可以获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果，并判断所述第一识别结果与所述第二识别结果是否一致，若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。可见，本申请中，可以通过训练好的主流图像分类模型，对所述原始图像样本进行对抗攻击来生成对抗图像，进而通过对抗图像来对待检测图像模型进行测试，通过上述方式，可以检测所述待检测图像模型的安全性能，便于后续根据检测结果对所述待检测图像模型进行改进，提高所述待检测图像模型的抗扰能力。

图2是本申请公开的一种图像模型检测装置的较佳实施例的功能模块图。

在一些实施例中，所述图像模型检测装置运行于电子设备中。所述图像模型检测装置可以包括多个由程序代码段所组成的功能模块。所述图像模型检测装置中的各个程序段的程序代码可以存储于存储器中，并由至少一个处理器所执行，以执行图1所描述的图像模型检测方法中的部分或全部步骤。

本实施例中，所述图像模型检测装置根据其所执行的功能，可以被划分为多个功能模块。所述功能模块可以包括：第一获取模块201、输入模块202、生成模块203、第二获取模块204、判断模块205及确定模块206。本申请所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机可读指令段，其存储在存储器中。

第一获取模块201，用于获取原始图像样本。

其中，如果原始图像样本属于比较常见通用的，则可以通过网络爬取技术从网络中获取原始图像样本，如果原始图像样本不容易通过公共渠道获得，则可以从用户端设备获取原始图像样本，即该原始图像样本是用户提供的，而不是本地的。其中，该原始图像样本为干净的样本，没有添加任何扰动。

输入模块202，用于将所述原始图像样本输入训练好的主流图像分类模型。

其中，训练好主流图像分类模型后，还需要对该主流图像分类模型进行攻击，比如白盒攻击或黑盒攻击。

生成模块203，用于使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像。

其中，白盒模型采用的是白盒攻击，针对白盒攻击，采用基于动量的梯度迭代算法。

具体的，所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像包括：

使用所述主流图像分类模型，基于动量的梯度迭代算法，计算扰动量；

对所述扰动量进行卷积平滑处理；

在所述原始图像上增加处理后的所述扰动量，获得对抗图像。

其中，所述基于动量的梯度迭代算法的公式如下：

x′ _t+1＝x′ _t+∈·clip _[-10，10]g _t+1

其中，g是指扰动量，g _t是指第t次迭代的扰动量，μ是指动量系数用于控制更改的噪声，I _θ(x′ _t，y)是指将x′ _t,y输入至模型函数I _θ(x，y)并计算交叉熵后即可获得l，l是指主流图像分类模型的倒数第二层全连接层的输出结果与原始图像样本的类别之间的交叉熵损失值，

则是求解每个像素延梯度方向更改的大小除以其扰动的方差，用于计算扰动量，x′ _t+1则是指原始图像样本增加了第t次迭代扰动的结果，∈指扰动系数，用于控制添加扰动的图像与原始图像样本之间的差别，clip _[-10，10]g _t+1用于将g _t+1裁减至[-10,10]的范围。

其中，为了使后续获得的对抗图像可以更好的攻击黑盒模型，增强图像的扰动能力从而模拟真实的攻击情景，在计算得到扰动量之后，还需要对所述扰动量进行卷积平滑处理，具体的，使用随机生成的4x4高斯卷积核对g _t进行卷积处理，同时不改变其维度大小，使得扰动平滑从而更具有转移性。

其中，可以事先根据多次试验来测试迭代次数，并进行设置，通常迭代次数在100到200之间，这样会使扰动量的扰动能力相较于传统的攻击方法增强数倍。

第二获取模块204，用于获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果。

其中，所述待检测图像模型与所述训练好的主流图像分类模型不同，用户可能会在主流框架模型上进行修改以获得所述待检测图像模型。

其中，可以在本地获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及在本地获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果，或者，可以在用户端设备上获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及在用户端 设备上获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果。

判断模块205，用于判断所述第一识别结果与所述第二识别结果是否一致。

其中，假设所述原始图像样本以及所述对抗样本是针对人脸图片的识别的，则待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，该第一识别结果为所述原始图像样本存在人脸，而待检测图像模型对所述对抗图像进行识别后获得的第二识别结果，由于所述对抗图像是添加扰动后的图像，则所述第二识别结果可能是所述对抗图像存在人脸，或者，所述对抗图像不存在人脸。

确定模块206，用于若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。

其中，若所述第一识别结果与所述第二识别结果一致，表明所述待检测图像模型成功正确识别了所述对抗图像。

在图2所描述的图像模型检测装置中，可以获取原始图像样本，将所述原始图像样本输入训练好的主流图像分类模型，使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像，进一步地，可以获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果，并判断所述第一识别结果与所述第二识别结果是否一致，若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。可见，本申请中，可以通过训练好的主流图像分类模型，对所述原始图像样本进行对抗攻击来生成对抗图像，进而通过对抗图像来对待检测图像模型进行测试，通过上述方式，可以检测所述待检测图像模型的安全性能，便于后续根据检测结果对所述待检测图像模型进行改进，提高所述待检测图像模型的抗扰能力。

图3是本申请实现图像模型检测方法的较佳实施例的电子设备的结构示意图。所述电子设备3包括存储器31、至少一个处理器32、存储在所述存储器31中并可在所述至少一个处理器32上运行的计算机可读指令33及至少一条通讯总线34。

本领域技术人员可以理解，图3所示的示意图仅仅是所述电子设备3的示例，并不构成对所述电子设备3的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述电子设备3还可以包括输入输出设备、网络接入设备等。

所述至少一个处理器32可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。该处理器32可以是微处理器或者该处理器32也可以是任何常规的处理器等，所述处理器32是所述电子设备3的控制中心，利用各种接口和线路连接整个电子设备3的各个部分。

所述存储器31可用于存储所述计算机可读指令33和/或模块/单元，所述处理器32通过运行或执行存储在所述存储器31内的计算机可读指令和/或模块/单元，以及调用存储在存储器31内的数据，实现所述电子设备3的各种功能。所述存储器31可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据电子设备3的使用所创建的数据(比如音频数据)等。此外，存储器31可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。

结合图1，所述电子设备3中的所述存储器31存储多个计算机可读指令 以实现一种图像模型检测方法，所述处理器32可执行所述多个计算机可读指令从而实现：

获取原始图像样本；

将所述原始图像样本输入训练好的主流图像分类模型；

使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；

获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；

判断所述第一识别结果与所述第二识别结果是否一致；

若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。

具体地，所述处理器32对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。

在图3所描述的电子设备3中，可以获取原始图像样本，将所述原始图像样本输入训练好的主流图像分类模型，使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像，进一步地，可以获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果，并判断所述第一识别结果与所述第二识别结果是否一致，若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。可见，本申请中，可以通过训练好的主流图像分类模型，对所述原始图像样本进行对抗攻击来生成对抗图像，进而通过对抗图像来对待检测图像模型进行测试，通过上述方式，可以检测所述待检测图像模型的安全性能，便于后续根据检测结果对所述待检测图像模型进行改进，提高所述待检测图像模型的抗扰能力。

所述电子设备3集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个非易失性可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机可读指令来指令相关的硬件来完成，所述的计算机可读指令可存储于一非易失性可读存储介质中，该计算机可读指令在被处理器执行时，可实现上述各个方法实施例的步骤。其中，计算机可读指令代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述非易失性可读介质可以包括：能够携带所述计算机可读指令代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器以及只读存储器(ROM，Read-Only Memory)。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

最后应说明的是，以上实施例仅用以说明本申请的技术方案而非限制，尽管参照较佳实施例对本申请进行了详细说明，本领域的普通技术人员应当理解，可以对本申请的技术方案进行修改或等同替换，而不脱离本申请技术方案的精神和范围。

Claims (20)

1. 一种图像模型检测方法，其特征在于，所述方法包括：

   获取原始图像样本；

   将所述原始图像样本输入训练好的主流图像分类模型；

   使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；

   获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；

   判断所述第一识别结果与所述第二识别结果是否一致；

   若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。
2. 根据权利要求1所述的方法，其特征在于，所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像包括：

   使用所述主流图像分类模型，基于动量的梯度迭代算法，计算扰动量；

   对所述扰动量进行卷积平滑处理；

   在所述原始图像上增加处理后的所述扰动量，获得对抗图像。
3. 根据权利要求1所述的方法，其特征在于，所述获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果之前，所述方法还包括：

   从用户端设备获取需要进行模型检测的待检测图像模型；

   安装所述待检测图像模型；

   将所述原始图像样本以及所述对抗图像分别输入至所述待检测图像模型。
4. 根据权利要求1所述的方法，其特征在于，所述使用所述主流图像分类 模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像之后，所述方法还包括：

   将携带有所述原始图像样本以及所述对抗图像的识别请求发送至用户端设备，其中，所述用户端设备安装有待检测图像模型，由所述用户端设备上的所述待检测图像模型对所述原始图像样本进行识别，获得第一识别结果，以及对所述对抗图像进行识别，获得第二识别结果。
5. 根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

   若所述第一识别结果与所述第二识别结果不一致，确定所述待检测图像模型发生误判；

   统计所述待检测图像模型发生误判的数量；

   根据所述数量以及所述原始图像样本的总数量，计算所述待检测图像模型的准确率；

   根据所述准确率，确定所述待检测图像模型的安全等级。
6. 根据权利要求1至4中任一项所述的方法，其特征在于，所述获取原始图像样本之前，所述方法还包括：

   从需要进行模型检测的用户端设备获取训练样本；

   提取所述训练样本的样本特征；

   将所述样本特征输入开源模型框架中进行训练，获得训练好的主流图像分类模型。
7. 根据权利要求1所述的方法，其特征在于，所述获取原始图像样本之后，所述方法还包括：

   对所述原始图像样本进行图片增强处理；

   将经过图片增强处理后的所述原始图像样本输入训练好的主流图像分类模型。
8. 一种图像模型检测装置，其特征在于，所述装置包括：

   第一获取模块，用于获取原始图像样本；

   输入模块，用于将所述原始图像样本输入训练好的主流图像分类模型；

   生成模块，用于使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；

   第二获取模块，用于获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；

   判断模块，用于判断所述第一识别结果与所述第二识别结果是否一致；

   确定模块，用于若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。
9. 一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述处理器用于执行存储器中存储的至少一个计算机可读指令以实现以下步骤：

   获取原始图像样本；

   将所述原始图像样本输入训练好的主流图像分类模型；

   使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；

   获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；

   判断所述第一识别结果与所述第二识别结果是否一致；

   若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。
10. 根据权利要求9所述的电子设备，其特征在于，所述处理器执行至少一个计算机可读指令以实现所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像时，具体包括：

    使用所述主流图像分类模型，基于动量的梯度迭代算法，计算扰动量；

    对所述扰动量进行卷积平滑处理；

    在所述原始图像上增加处理后的所述扰动量，获得对抗图像。
11. 根据权利要求9所述的电子设备，其特征在于，所述获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果之前，所述处理器执行至少一个计算机可读指令还用以实现以下步骤：

    从用户端设备获取需要进行模型检测的待检测图像模型；

    安装所述待检测图像模型；

    将所述原始图像样本以及所述对抗图像分别输入至所述待检测图像模型。
12. 根据权利要求9所述的电子设备，其特征在于，所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像之后，所述处理器执行至少一个计算机可读指令还用以实现以下步骤：

    将携带有所述原始图像样本以及所述对抗图像的识别请求发送至用户端设备，其中，所述用户端设备安装有待检测图像模型，由所述用户端设备上的所述待检测图像模型对所述原始图像样本进行识别，获得第一识别结果，以及对所述对抗图像进行识别，获得第二识别结果。
13. 根据权利要求9至12中任一项所述的电子设备，其特征在于，所述处理器执行至少一个计算机可读指令还用以实现以下步骤：

    若所述第一识别结果与所述第二识别结果不一致，确定所述待检测图像模型发生误判；

    统计所述待检测图像模型发生误判的数量；

    根据所述数量以及所述原始图像样本的总数量，计算所述待检测图像模型的准确率；

    根据所述准确率，确定所述待检测图像模型的安全等级。
14. 根据权利要求9至12中任一项所述的电子设备，其特征在于，所述获 取原始图像样本之前，所述处理器执行至少一个计算机可读指令还用以实现以下步骤：

    从需要进行模型检测的用户端设备获取训练样本；

    提取所述训练样本的样本特征；

    将所述样本特征输入开源模型框架中进行训练，获得训练好的主流图像分类模型。
15. 一种非易失性可读存储介质，其特征在于，所述非易失性可读存储介质存储有至少一个计算机可读指令，所述至少一个计算机可读指令被处理器执行时实现以下步骤：

    获取原始图像样本；

    将所述原始图像样本输入训练好的主流图像分类模型；

    使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像；

    获取待检测图像模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果；

    判断所述第一识别结果与所述第二识别结果是否一致；

    若所述第一识别结果与所述第二识别结果一致，确定所述待检测图像模型针对所述对抗图像的识别成功。
16. 根据权利要求15所述的存储介质，其特征在于，所述至少一个计算机可读指令被处理器执行以实现所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像时，具体包括：

    使用所述主流图像分类模型，基于动量的梯度迭代算法，计算扰动量；

    对所述扰动量进行卷积平滑处理；

    在所述原始图像上增加处理后的所述扰动量，获得对抗图像。
17. 根据权利要求15所述的存储介质，其特征在于，所述获取待检测图像 模型对所述原始图像样本进行识别后获得的第一识别结果，以及获取所述待检测图像模型对所述对抗图像进行识别后获得的第二识别结果之前，所述至少一个计算机可读指令被处理器执行还用以实现以下步骤：

    从用户端设备获取需要进行模型检测的待检测图像模型；

    安装所述待检测图像模型；

    将所述原始图像样本以及所述对抗图像分别输入至所述待检测图像模型。
18. 根据权利要求15所述的存储介质，其特征在于，所述使用所述主流图像分类模型，基于动量的梯度迭代算法，对所述原始图像样本进行对抗攻击，获得对抗图像之后，所述至少一个计算机可读指令被处理器执行还用以实现以下步骤：

    将携带有所述原始图像样本以及所述对抗图像的识别请求发送至用户端设备，其中，所述用户端设备安装有待检测图像模型，由所述用户端设备上的所述待检测图像模型对所述原始图像样本进行识别，获得第一识别结果，以及对所述对抗图像进行识别，获得第二识别结果。
19. 根据权利要求15至18中任一项所述的存储介质，其特征在于，所述至少一个计算机可读指令被处理器执行还用以实现以下步骤：

    若所述第一识别结果与所述第二识别结果不一致，确定所述待检测图像模型发生误判；

    统计所述待检测图像模型发生误判的数量；

    根据所述数量以及所述原始图像样本的总数量，计算所述待检测图像模型的准确率；

    根据所述准确率，确定所述待检测图像模型的安全等级。
20. 根据权利要求15至18中任一项所述的存储介质，其特征在于，所述获取原始图像样本之前，所述至少一个计算机可读指令被处理器执行还用以实现以下步骤：

    从需要进行模型检测的用户端设备获取训练样本；

    提取所述训练样本的样本特征；

    将所述样本特征输入开源模型框架中进行训练，获得训练好的主流图像分类模型。

Images