WO2022222832A1 - 图像攻击检测、图像攻击检测模型训练方法和装置 - Google Patents

Abstract

本申请涉及一种图像攻击检测方法、装置、计算机设备和存储介质。所述方法包括：获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果；基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待检测图像对应的参考图像的防御率计算得到的；基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果；基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。采用本方法能够提高图像攻击检测的准确性，减少安全隐患。

Description

图像攻击检测、图像攻击检测模型训练方法和装置

本申请要求于2021年04月21日提交中国专利局，申请号为2021104311531，申请名称为“图像攻击检测、图像攻击检测模型训练方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，特别是涉及一种图像攻击检测、图像攻击检测模型训练方法、装置、计算机设备和存储介质。

背景技术

随着图像识别技术的发展，出现了图像对抗攻击技术，比如，通过采用物理攻击(攻击区域可以通过3D打印等方式在物理侧生成)的方式对图像识别进行攻击，使图像识别的结果成为错误的结果，容易造成安全隐患。目前，通常是通过预处理或后处理手段修改攻击区域的像素值，破坏物理攻击效果，例如添加图像的滤波、颜色变换等，然而，目前对物理攻击的防御方式非常容易被规避，从而使得图像攻击检测的准确性降低，造成安全隐患。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高图像攻击检测准确性的图像攻击检测、图像攻击检测模型训练方法、装置、计算机设备和存储介质。

一种图像攻击检测方法，所述方法包括：

获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果；

基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度；

基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果；

基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

一种图像攻击检测装置，所述装置包括：

全局分类模块，用于获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果；

局部提取模块，用于基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度；

局部分类模块，用于基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果；

检测模块，用于基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机可读指令，所述处理器执行所述计算机可读指令时实现以下步骤：

获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果；

基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待 检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度；

基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果；

基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

一种计算机可读存储介质，其上存储有计算机可读指令，所述计算机可读指令被处理器执行时实现以下步骤：

获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果；

基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度；

基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果；

基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

上述图像攻击检测方法、装置、计算机设备和存储介质，通过获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果。由于真实图像的全局识别结果和任意的局部识别结果是一致的，而通过物理攻击的方式进行图像攻击是无法改变每个局部识别结果的，从而可以随机提取到目标数量的局部图像，该目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度，从而识别到各个局部分类识别结果，然后将各个局部分类识别结果进行融合，当得到的目标分类识别结果和全局分类识别结果不一致时，就判断待检测图像为攻击图像，从而能够提高对图像攻击检测的准确性，减少安全隐患。

一种图像攻击检测模型训练方法，所述方法包括：

获取训练数据，训练数据包括训练图像和图像攻击类别标签；

将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；

基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，训练目标数量是训练图像对应的训练参考图像的防御率计算得到的，训练参考图像的防御率用于表征训练参考图像受到图像攻击时的防御度；

分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；

将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。

一种图像攻击检测模型训练装置，所述装置包括：

数据获取模块，用于获取训练数据，训练数据包括训练图像和图像攻击类别标签；

训练全局分类模块，用于将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；

训练局部提取模块，用于基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，训练目标数量是训练图像对应的训练参考图像的防御率计算得到的，训练参考图像的防御率用于表征训练参考图像受到图像攻击时的防御度；

训练局部分类模块，用于分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；

训练检测模块，用于将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

迭代模块，用于基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机可读指令，所述处理器执行所述计算机可读指令时实现以下步骤：

获取训练数据，训练数据包括训练图像和图像攻击类别标签；

将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；

基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，训练目标数量是训练图像对应的训练参考图像的防御率计算得到的，训练参考图像的防御率用于表征训练参考图像受到图像攻击时的防御度；

分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；

将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。

一种计算机可读存储介质，其上存储有计算机可读指令，所述计算机可读指令被处理器执行时实现以下步骤：

获取训练数据，训练数据包括训练图像和图像攻击类别标签；

将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；

基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，训练目标数量是训练图像对应的训练参考图像的防御率计算得到的，训练参考图像的防御率用于表征训 练参考图像受到图像攻击时的防御度；

分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；

将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。

在上述图像攻击检测模型训练方法中，通过将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，训练目标数量是训练图像对应的训练参考图像的防御率计算得到的，训练参考图像的防御率用于表征训练参考图像受到图像攻击时的防御度；分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型并进行循环迭代，得到目标图像攻击检测模型，即通过使用目标训练分类识别结果向量和训练全局分类识别结果来训练得到的目标图像攻击检测模型，能够使得到的目标图像攻击检测模型提高一致性检测的准确性，从而提高了图像攻击检测的准确性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一个实施例中图像攻击检测方法的应用环境图；

图2为一个实施例中图像攻击检测方法的流程示意图；

图3为另一个实施例中图像攻击检测方法的流程示意图；

图4为一个实施例中得到目标数量的流程示意图；

图5为一个实施例中图像攻击检测模型训练方法的流程示意图；

图6为一个实施例中得到训练目标数量的流程示意图；

图7为一个实施例中得到训练局部图像的流程示意图；

图8为一个具体实施例中训练局部图像二值化结果的示意图；

图9为一个实施例中得到全局图像分类识别模型的流程示意图；

图10为一个具体实施例中学习率变化函数的示意图；

图11为一个实施例中得到局部图像分类识别模型的流程示意图；

图12为一个具体实施例中图像攻击检测方法的流程示意图；

图13为一个具体实施例中攻击图像进行攻击的示意图；

图14为图13具体实施例中图像攻击检测方法的架构示意图；

图15为一个实施例中图像攻击检测装置的结构框图；

图16为一个实施例中图像攻击检测模型训练装置的结构框图

图17为一个实施例中计算机设备的内部结构图；

图18为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的图像攻击检测方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104进行通信。服务器104获取终端102发送的待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果；服务器102基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度；服务器104基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果；服务器104基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像，服务器104将检测结果发送终端进行展示，还可以将检测结果保存到数据库106中。其中，终端102可以但不限于是各种台式计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器104可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接。

在一个实施例中，如图2所示，提供了一种图像攻击检测方法，以该方法应用于图1中的服务器为例进行说明，可以理解的是，该方法也可以应用在终端中，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。在本实施例中，包括以下步骤：

步骤202，获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果。

其中，待检测图像是指需要进行图像攻击检测的图像，检测该待检测图像是否为真实图像或者攻击图像。真实图像是指真实的图像，攻击图像是指对抗攻击的图像。对抗攻击是一种通过对图像施加扰动来使分类识别做出错误判断的技术，物理攻击是其中一个重要的分支，物理攻击的特点是在图像的一个的局部区域施加不受限制的扰动，形成攻击区域，由于该攻击区域可以通过3D打印等方式在物理侧生成，扰动量较大不易受到环境条件的干扰，更容易造成安全隐患。待检测图像可以是任意的需要对图像内容进行分类识别的图像，比如，可以是进行人脸识别、人脸检测以及人脸活体检测的人脸图像。也可以是进行物体分类识别的物体图像，比如，车、障碍物的图像。也可以是进行物种分类识别的物种图像，比如，猫、狗的图像。全局分类识别结果是指对待检测图像从整体上进行分类识别得到的结果。

具体地，服务器可以获取到终端发送的待检测图像，也可以从服务器中获取到待检测图像，还可以是从互联网络中采集到待检测图像，还可以是获取到业务服务器提供的待检测图像等等。然后服务器对待检测图像进行全局分类识别，得到全局分类识别结果。可以预先使 用神经网络算法建立的全局图像分类识别模型，并部署到服务器中，当获取到待检测图像时调用全局图像分类识别模型来对待检测图像进行全局分类识别，从而得到全局分类识别结果。

步骤204，基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度。

其中，参考图像是用于确定局部图像提取数量的图像，参考图像的尺寸与待检测图像的尺寸一致。参考图像的防御率用于表征参考图像受到图像攻击时的防御度，该防御度是指当参考图像为攻击图像时图像攻击检测结果为攻击图像的可能性。

具体地，服务器按照目标数量对待检测图像随机进行局部图像提取，得到目标数量的局部图像，其中，每次进行局部图像提取时都是在待检图像的整体上进行提取的，保证每次局部图像提取都是相互独立、不存在依赖。提取的局部图像的尺寸是预先确定好的，所有局部图像的尺寸都是相同的。在一个实施例中，局部图像的尺寸可以按照预先设置好的局部图像尺寸和整体图像尺寸的比例关系来确定或者也可以按照预先设置好的局部图像面积和整体图像面积的大小关系来确定。目标数量可以是预先根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度。在一个实施例中，提取的局部图像的尺寸可以是任意大小的，即不同的局部图像的尺寸可以是不相同的。

步骤206，基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果。

其中，局部分类识别结果是指对局部图像进行分类识别后得到的结果。目标分类识别结果是指各个局部分类识别结果集成后的结果。

具体地，服务器对目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果。其中，可以先使用神经网络算法建立局部图像分类识别模型，然后部署到服务器中，当获取到待检测图像时调用局部图像分类识别模型来对局部图像进行局部分类识别，从而得到局部分类识别结果。依次对每个局部图像进行局部分类识别，得到目标数量的局部分类识别结果，将目标数量的局部分类识别结果进行相加，得到局部分类识别总结果，然后根据局部分类识别总结果和目标数量进行平均计算，得到目标分类识别结果。在一个实施例中，服务器也可以先对目标数量的局部分类识别结果进行加权处理，得到加权后的局部分类识别结果，再根据加权后的局部分类识别结果和目标数量进行平均计算，得到目标分类识别结果。其中，加权权重可以根据局部图像的面积大小确定，也可以是根据局部图像的平均像素确定。

步骤208，基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

具体地，服务器判断目标分类识别结果和全局识别结果检测识别结果的一致性，其中，可以将目标分类识别结果和全局识别结果检测识别结果进行匹配，根据匹配结果判断一致性，也可以计算目标分类识别结果和全局识别结果检测识别结果的相似度，根据相似度确定一致性。还可以通过预先建立的图像攻击检测模型进行一致性检测识别。其中，当目标分类识别结果和全局分类识别结果不一致时，说明全局分类识别结果是对抗攻击后形成的错误的结果，此时判别待检测图像为攻击图像。当目标分类识别结果和全局分类识别结果一致时，说明全局分类识别结果是真实的结果，判别待检测图像为真实图像。

上述图像攻击检测方法、装置、计算机设备和存储介质，通过获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果。由于真实图像的全局识别结果和任意 的局部识别结果是一致的，而通过物理攻击的方式进行图像攻击是无法改变每个局部识别结果的，从而可以随机提取到目标数量的局部图像，该目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度，从而识别到各个局部分类识别结果，然后将各个局部分类识别结果进行融合，当得到的目标分类识别结果和全局分类识别结果不一致时，就判断待检测图像为攻击图像，从而能够提高对图像攻击检测的准确性，减少安全隐患。

在一个实施例中，如图3所示，图像攻击检测方法，还包括：

步骤302，将待检测图像输入全局图像分类识别模型中进行全局分类识别，得到全局分类识别结果向量。

其中，全局图像分类识别模型是指使用整体的图像通过神经网络算法训练得到的图像分类识别模型，用于对整体图像进行分类识别，其中，神经网络算法可以是CNN(Convolutional Neural Networks，卷积神经网络)算法、RNN(Recurrent Neural Network、循环神经网络)等等。在一个具体的实施例中，神经网络算法可以是ResNet18(残差网络)网络算法或者可以是VGGNet(深度卷积神经网络)网络算法、Inception(一种卷积神经网络结构)网络算法、DenseNet(Densely Connected Convolutional Networks，稠密卷积神经网络)网络算法等等。

具体地，服务器可预先使用整体的图像通过神经网络算法训练得到全局图像分类识别模型，将全局图像分类识别模型进行部署使用。当获取到待检测图像，服务器将待检测图像输入全局图像分类识别模型中进行全局分类识别，得到输出的全局分类识别结果向量。该全局分类识别结果向量是指待检测图像整体的分类概率向量，即全局分类识别结果向量中的每个元素用于表征对应类别的概率。在一个实施例中，也可以将待检测图像输入全局图像分类识别模型中进行全局分类识别，获取到在进行全局分类识别时卷积层输出的特征图作为全局分类识别结果向量。

步骤304，基于待检测图像随机进行局部图像提取，得到目标数量的局部图像。

步骤306，分别将目标数量的局部图像输入到局部图像识别模型中进行局部分类识别，得到各个局部分类识别结果向量，并将各个局部分类识别结果向量进行融合，得到目标分类识别结果向量。

其中，局部图像识别模型是指使用局部图像通过神经网络算法训练得到的模型，也可以是使用局部图像对全局图像识别模型进行进一步训练得到的模型。该局部图像识别模型用于对局部图像进行分类识别。局部分类识别结果向量是指局部图像对应的分类概率向量，即局部分类识别结果向量中的每个元素用于表征对应类别的概率。目标分类识别结果向量是指融合后的局部分类识别结果向量，目标分类识别结果用于表征使用局部图像进行分类识别时，得到图像的分类识别结果。

具体地，服务器根据待检测图像对应的参考图像的防御率计算得到目标数量，参考图像的防御率用于表征参考图像受到图像攻击时的防御度。然后按照目标数量对待检测图像随机进行局部图像提取，得到目标数量的局部图像。服务器将每个局部图像输入到局部图像识别模型中进行局部分类识别，得到各个局部分类识别结果向量。在一个实施例中，也可以将局部图像输入局部图像分类识别模型中进行局部分类识别，获取到在进行局部分类识别时卷积层输出的特征图作为局部分类识别结果向量。然后服务器将各个局部分类识别结果向量进行融合，得到目标分类识别结果向量。

在一个实施例中，服务器可以计算各个局部分类识别结果向量的平均向量，得到目标分类识别结果向量。即计算各个局部分类识别结果向量的向量和，然后计算向量和与目标数量的比值，得到平均向量，将该平均向量作为目标分类识别结果向量。

在一个实施例中，服务器也可以获取到各个局部分类识别结果向量对应的权重，对各个局部分类识别结果向量对应的权重进行加权平均，得到目标分类识别结果向量。其中，各个局部分类识别结果向量对应的权重可以是根据局部图像的重要性确定，局部图像的重要性可以是通过CAM(Class Activation Mapping，类激活映射)算法计算得到的。

步骤308，将目标分类识别结果向量和全局分类识别结果向量输入到图像攻击检测模型中进行一致性检测，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

其中，图像攻击检测模型用于对目标分类识别结果向量和全局分类识别结果的一致性进行检测，从而得到判别结果的模型，该判别结果可以是待检测图像为攻击图像或待检测图像为真实图像。图像攻击检测模型是二分类模型，是预先使用训练图像的目标分类识别结果向量和全局分类识别结果使用二分类算法进行训练得到的。其中，二分类算法可以是线性回归算法、支持向量机算法、神经网络算法、决策树算法、随机森林算法等等。

具体地，服务器在获取到目标分类识别结果向量和全局分类识别结果向量时，可以直接将目标分类识别结果向量和全局分类识别结果向量输入到图像攻击检测模型中进行一致性检测，图像攻击检测模型判断当目标分类识别结果和全局分类识别结果不一致时，输出待检测图像为攻击图像的检测结果。

在一个实施例中，服务器将目标局部识别结果向量和全局识别结果向量进行首尾拼接，得到拼接向量。其中，可以是目标局部识别结果向量在前，全局识别结果向量在后进行首尾拼接，得到拼接向量，也可以是全局识别结果向量在前，目标局部识别结果向量在后进行首尾拼接，得到拼接向量。然后将拼接向量输入到图像攻击检测模型，通过图像攻击检测模型检测目标局部识别结果向量和全局识别结果向量的一致性，判断当目标分类识别结果和全局分类识别结果一致时，输出待检测图像为真实图像的检测结果，当目标分类识别结果和全局分类识别结果不一致时，输出待检测图像为攻击图像的检测结果。

在上述实施例中，通过使用全局图像识别模型待检测图像进行全局分类识别，并通过局部图像识别模型对局部图像进行局部分类识别，最后通过图像攻击检测模型对目标局部识别结果向量和全局识别结果向量的一致性进行检测，从而得到图像检测结果，不仅提高了图像攻击检测的准确性，而且提高了图像攻击检测的效率。

在一个实施例中，本申请图像攻击检测方法中对待检测图像的检测结果可保存于区块链上，保证数据的安全、不可篡改。

在一个实施例中，如图4所示，图像攻击检测方法还包括：

步骤402，获取待检测图像的全局尺寸，基于待检测图像的全局尺寸获取参考图像，参考图像包含预设的参考攻击区域，参考攻击区域是根据预设攻击区域上限尺寸确定的。

其中，全局尺寸是指待检测图像的宽和高。参考攻击区域是指参考图像中的攻击区域，是预先设置的。预设攻击区域上限尺寸是指预先设置好攻击区域最大的宽和高。

具体地，服务器获取到待检测图像的全局尺寸，其中，不同的图像分类识别场景是对不同尺寸的图像进行分类识别的。不同尺寸的待检测图像对应的目标数量是不同的。当服务器获取到待检测图像的全局尺寸时，可以根据待检测图像的全局尺寸来获取到参考图像，该参 考图像的全局尺寸和待检测图像的全局尺寸一致。该参考图像中包含预设的参考攻击区域，参考攻击区域是根据预设攻击区域上限尺寸确定的。

步骤404，基于全局尺寸和预设攻击区域上限尺寸进行参数计算，得到目标局部图像的比重参数，目标局部图像中存在参考攻击区域的图像内容。

其中，目标局部图像是指存在参考攻击区域的图像内容的局部图像，局部图像是参考图像对应的局部图像。目标局部图像中可以包含部分的参考攻击区域，也可以包含所有的参考攻击区域。目标局部图像的比重参数是指参考图像对应的目标局部图像数量占所有局部图像数量的比值。目标局部图像的比重参数用于表征图像提取时提取到目标局部图像的可能性。

具体地，服务器可以根据全局尺寸确定参考图像要提取的局部图像的局部尺寸，然后使用全局尺寸、局部尺寸和预设攻击区域上限尺寸进行参数计算，得到目标局部图像的比重参数。

在一个实施例中，步骤404，基于全局尺寸和预设攻击区域上限尺寸进行参数计算，得到目标局部图像的比重参数，包括步骤：

基于全局尺寸确定局部尺寸，基于全局尺寸和局部尺寸计算参考图像可提取的局部图像总数量。基于全局尺寸、局部尺寸和预设攻击区域上限尺寸计算参考图像可提取的目标局部图像总数量。计算目标局部图像总数量与局部图像总数量的比例，得到目标局部图像的比重参数。

其中，参考图像可提取的局部图像总数量是指参考图像进行局部图像提取时能够提取的局部图像的最大数量。目标局部图像总数量是指参考图像进行局部图像提取能够提取到的目标局部图像的最大数量。

具体地，服务器可以按照预先设置好的全局图像和局部图像的比例关系来确定参考图像对应的全局尺寸的局部尺寸，该局部尺寸为参考图像提取的局部图像的尺寸。然后使用全局尺寸和局部尺寸计算参考图像可提取的局部图像总数量，并使用全局尺寸、局部尺寸和预设攻击区域上限尺寸计算参考图像可提取的目标局部图像总数量。最后计算目标局部图像总数量与局部图像总数量的比值，得到目标局部图像的比重参数。

在一个具体的实施例中，服务器可以使用如下所示的公式(1)计算得到参考图像可提取的局部图像总数量。

n _all＝(w-k _i+1)×(h-k _j+1)  公式(1)

其中，n _all表示局部图像总数量，w表示全局尺寸中的宽，h表示全局尺寸中的高。k _i表示局部尺寸中的宽，k _j表示局部尺寸中的高。服务器可以使用如下所示的公式(2)计算得到参考图像可提取的目标局部图像总数量。

n _adv＝min(p _i+k _i-1,w-k _i+1)

×min(p _i+k _j-1,h+k _j+1)   公式(2)

其中，n _adv表示目标局部图像总数量，p _i表示预设攻击区域上限尺寸中的宽，p _j表示预设攻击区域上限尺寸中的高。服务器可以使用如下所示的公式(3)计算得到目标局部图像的比重参数。

其中，p _la表示目标局部图像的比重参数。

步骤406，获取参考局部图像提取数量，基于参考局部图像提取数量将参考图像随机进行局部图像提取，得到参考局部图像提取数量的局部图像。

其中，参考局部图像提取数量是指待确定的局部图像提取数量。

具体地，服务器可以是从终端中获取到的参考局部图像提取数量，也可以是从数据库中获取到参考局部图像提取数量。按照参考局部图像提取数量将参考图像随机进行局部图像提取，得到参考局部图像提取数量的局部图像。服务器在进行局部图像提取时独立提取，即每次都以参考局部图像为基础进行局部图像提取。

步骤408，基于参考局部图像提取数量的局部图像进行局部分类识别，得到参考局部图像提取数量的局部分类识别结果，基于参考局部图像提取数量的局部分类识别结果进行统计计算，得到目标局部图像的提取下限数量。

具体地，服务器可以使用局部图像分类识别模型分别对参考局部图像提取数量的局部图像进行局部分类识别，得到参考局部图像提取数量的局部分类识别结果。统计参考局部图像提取数量的局部分类识别结果中数量最多的局部分类识别结果和数量第二多的局部分类识别结果，使用数量最多的局部分类识别结果和数量第二多的局部分类识别结果计算得到目标局部图像的提取下限数量。

在一个实施例中，基于参考局部图像提取数量的局部分类识别结果进行统计计算，得到目标局部图像的提取下限数量，包括：

统计参考局部图像提取数量的局部分类识别结果中第一类别的数量和第二类别的数量，第一类别是指参考局部图像提取数量的局部分类识别结果中数量最多类别，第二类别是指参考局部图像提取数量的局部分类识别结果中除第一类别以外数量最多类别；基于第一类别的数量和第二类别的数量计算目标局部图像的提取下限数量。

其中，不同的局部分类识别结果可能存在不同的类别，比如在人脸识别的，将A的人脸图像进行局部提取得到局部图像，对局部图像进行识别时，局部识别结果中就存在A的识别结果，也可能存在其他的识别结果，比如，识别为B，识别为C等等。

具体地，服务器根据参考局部图像提取数量的局部分类识别结果行进类别数量的统计，得到不同类别的局部分类识别结果数量，按照不同类别的局部分类识别结果数量将各个类别进行排序，将局部分类识别结果数量最多的类别作为第一类别，将参考局部图像提取数量的局部分类识别结果中除第一类别以外数量最多类别作为第二类别。其中，第一类别为参考图像对应的真实的分类识别结果。使用第一类别的数量和第二类别的数量计算目标局部图像的提取下限数量。该目标局部图像的提取下限数量即攻击图像要攻击成功时至少要改变的局部分类识别结果的数量。

在一个具体的实施例中，可以使用如下所示的公式(4)计算得到目标局部图像的提取下限数量。

其中，n _a表示目标局部图像的提取下限数量，n _c1表示第一类别的数量，n _c2表示第二类别的数量。

步骤410，基于目标局部图像的提取下限数量、参考局部图像提取数量和目标局部图像比重参数进行二项分布加和计算，得到参考图像的防御率；

具体地，服务器基于目标局部图像的提取下限数量、参考局部图像提取数量和目标局部图像比重参数采用二项分布求和公式进行计算，得到参考图像的防御率。

在一个具体地实施例中，可以使用如下所示的二项分布求和公式(5)计算得到参考图像的防御率。

其中，p _e表示参考图像的防御率，参考图像的防御率用于表征参考局部图像提取数量不超过目标局部图像的提取下限数量的概率。N是指参考局部图像提取数量。即p _e是随着变量N单调递增的函数。当p _e为1时，分类识别时在任何情况下都不会被攻击图像攻破，即能够检测出所有的攻击图像。

步骤412，当参考图像的防御率符合预设条件时，将参考局部图像提取数量作为目标数量。

其中，预设条件是指预先设置好的防御率条件，可以是防御率下限值，不同的图像分类识别场景中可以设置不同的防御率下限值，即可以根据需求设置。

具体地，服务器判断当参考图像的防御率符合预设条件时，将参考局部图像提取数量作为目标数量。当参考图像的防御率未符合预设条件时，获取到更新的参考局部图像提取数量，将更新的参考局部图像提取数量作为参考局部图像提取数量并返回步骤406迭代执行，直到当参考图像的防御率符合预设条件时，将参考局部图像提取数量作为目标数量。

在上述实施例中，通过计算得到的目标局部图像的提取下限数量和目标局部图像比重参数以及参考局部图像提取数量通过二项分布加和计算，得到参考图像的防御率，使得到的参考图像的防御率更加准确，进而当参考图像的防御率符合预设条件时，将参考局部图像提取数量作为目标数量，使得确定的目标数量更加的准确。

在一个实施例中，图像攻击检测方法，还包括步骤：

获取各个参考局部图像提取数量，基于各个参考局部图像提取数量计算得到对应的各个防御率，基于各个参考局部图像提取数量和对应的各个防御率建立参考局部图像提取数量和防御率的关联关系；获取待检测图像对应的预设防御率，从参考局部图像提取数量和防御率的关联关系中查找预设防御率对应的目标参考局部图像提取数量，将目标参考局部图像提取数量作为目标数量。

其中，参考局部图像提取数量和防御率的关联关系是指参考局部图像提取数量和防御率的一一对应关系，预设防御率是指预先设置好的待检测图像受到图像攻击时的防御度。

具体地，服务器获取各个参考局部图像提取数量，基于各个参考局部图像提取数量计算得到对应的各个防御率，其中，通过计算每个参考局部图像提取数量对应的目标局部图像的比重参数和目标局部图像的提取下限数量，使用每个参考局部图像提取数量、目标局部图像的比重参数和目标局部图像的提取下限数量进行二项分布加和计算，得到每个参考局部图像提取数量对应的防御率，然后将每个参考局部图像提取数量和对应的防御率关联保存。当需要对待检测图像进行图像攻击检测时，获取待检测图像对应的预设防御率，然后从保存的参考局部图像提取数量和防御率的关联关系中查找预设防御率对应的目标参考局部图像提取数量，将目标参考局部图像提取数量作为目标数量。其中，防御率越高，对应的参考局部图像提取数量就越多。

在上述实施例中，通过将各个参考局部图像提取数量和对应的防御率关联保存，当获取到待检测图像对应的预设防御率时，可以直接查找到对应的目标参考局部图像提取数量，将目标参考局部图像提取数量作为目标数量，能够提高得到目标数量的效率。

在一个实施例中，步骤412，将参考局部图像提取数量作为目标数量，包括步骤：

获取当前设备对应的资源信息，基于当前设备对应的资源信息确定当前局部图像提取数量；当参考局部图像提取数量超过当前局部图像提取数量时，将当前局部图像提取数量作为目标数量；当参考局部图像提取数量未超过当前局部图像提取数量时，将参考局部图像提取数量作为目标数量。

其中，当前设备是指进行图像攻击检测的设备。资源信息是指当前设备在进行图像攻击检测时能够使用的资源，该资源包括但不限于内存资源，存储资源、计算资源和时间资源。内存资源是指进行图像攻击检测当前设备能够占用的内存。存储资源是指进行图像攻击检测时当前设备能够使用的存储空间。计算资源是指进行图像攻击检测时当前设备能够使用的算力。时间资源是指进行图像攻击检测时当前设备所能消耗的时间。当前局部图像提取数量是指在当前设备的资源信息下能够提取的局部图像的数量。

具体地，服务器获取到自身对应的资源信息，该资源信息可以是预先分配好的。然后服务器根据对应的资源信息确定当前局部图像提取数量，服务器根据提取依次局部图像时所耗费的资源信息来根据当前设备对应的资源信息确定当前局部图像提取数量。服务器然后判断当参考局部图像提取数量超过当前局部图像提取数量时，将当前局部图像提取数量作为目标数量。当参考局部图像提取数量未超过当前局部图像提取数量时，将参考局部图像提取数量作为目标数量。比如，当前设备的时间资源为1秒，基于该时间资源确定的目标数量不能使图像攻击检测所耗费的时间超过1秒。

在上述实施例中，通过获取当前设备的资源信息，基于当前设备的资源信息确定当前局部图像提取数量，然后与参考局部图像提取数量进行比较，最终确定目标数量，使得到的目标数量时服务器即当前设备能够处理的数量，避免图像攻击检测所耗费的资源信息超出当前设备的资源信息。

在一个实施例中，如图5所示，提供了一种图像攻击检测模型训练方法，以该方法应用于图1中的服务器为例进行说明，可以理解的是，该方法也可以应用在终端中，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。在本实施例中，包括以下步骤：

步骤502，获取训练数据，训练数据包括训练图像和图像攻击类别标签。

其中，训练图像是指训练图像攻击检测模型所使用的图像。图像攻击类别标签是指训练 图像对应的攻击类别标签。攻击类别标签包括训练图像为真实图像的标签和训练图像为攻击图像的标签。

具体地，服务器可以从数据库中获取到训练数据，也可以从第三方数据库中获取到训练数据，还可以从互联网中采集到训练数据。

步骤504，将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量。

其中，全局图像分类识别模型使预先训练好的对整体图像进行分类识别的神经网络模型。训练全局分类识别结果向量是指训练图像整体对应的全局分类识别结果向量。

具体地，服务器将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量。

步骤506，基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，训练目标数量是训练图像对应的训练参考图像的防御率计算得到的，训练参考图像的防御率用于表征训练参考图像受到图像攻击时的防御度。

其中，训练目标数量是指训练图像对应的要提取的局部图像的数量。训练参考图像是指训练时的参考图像。

具体地，服务器获取到训练目标数量，按照训练目标数量对训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像。比如，可以按照训练目标数随机地从图像中裁剪出固定大小的正方形区域，得到训练局部图像。

步骤508，分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量。

其中，局部图像分类识别模型是指预先训练好的对局部图像进行分类识别的神经网络模型。训练局部分类识别结果向量是指训练局部图像对应的局部分类识别结果的向量。目标训练分类识别结果向量是将各个训练局部分类识别结果向量进行融合得到的向量。

具体地，服务器分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，然后计算各个训练局部分类识别结果向量的平均向量，将该平均向量作为目标训练分类识别结果向量。

步骤510，将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果。

其中，初始图像攻击检测模型是指模型参数初始化的图像攻击检测模型。初始一致性检测结果是指初始的一致性检测结果，一致性检测结果是指判断目标训练分类识别结果向量和训练全局分类识别结果是否一致得到的图像是否为攻击图像的结果。

具体地，服务器可以将目标训练分类识别结果向量和训练全局分类识别结果向量进行拼接，得到拼接后的向量，将拼接后的向量输入到初始图像攻击检测模型中，初始图像攻击检测模型对目标训练分类识别结果向量和训练全局分类识别结果向量的一致性进行检测，输出初始一致性检测结果。

步骤512，基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。

具体地，服务器使用二分类损失函数计算初始一致性检测结果和图像攻击类别标签的损失值，其中，二分类损失函数可以是交叉熵损失函数。判断该损失值是否达到预先设置好的损失阈值，当未达到预先设置好的损失阈值时，基于该损失值更新初始图像攻击检测模型中的初始化的参数，得到更新的图像攻击检测模型，将更新的图像攻击检测模型作为初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤迭代执行，直到达到预先设置好的损失阈值时，将达到预先设置好的损失阈值的初始图像攻击检测模型作为目标图像攻击检测模型。

上述图像攻击检测模型训练方法，通过将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型并进行循环迭代，得到目标图像攻击检测模型，即通过使用目标训练分类识别结果向量和训练全局分类识别结果来训练得到的目标图像攻击检测模型，能够使得到的目标图像攻击检测模型提高一致性检测的准确性，从而提高了图像攻击检测的准确性。

在一个实施例中，如图6所示，图像攻击检测模型训练方法，还包括：

步骤602，获取训练图像的训练全局尺寸，基于训练图像的训练全局尺寸获取训练参考图像，训练参考图像包含预设的训练参考攻击区域，训练参考攻击区域是根据预设训练攻击区域上限尺寸确定的。

其中，训练全局尺寸是指训练图像的尺寸，即宽和高。训练参考攻击区域时训练图像中的攻击区域是预先设置的。预设训练攻击区域上限尺寸是指预先设置好的攻击区域最大的尺寸即宽和高。

具体地，服务器获取到训练图像的训练全局尺寸，基于训练图像的训练全局尺寸获取训练参考图像。训练参考图像的尺寸可以和训练图像的训练全局尺寸一致的。在一个实施例中，训练图像的训练全局尺寸与待检测图像的全局尺寸一致。

步骤604，基于训练全局尺寸和预设训练攻击区域上限尺寸进行参数计算，得到训练目标局部图像的比重参数，训练目标局部图像中存在训练参考攻击区域的图像内容。

其中，训练目标局部图像是指训练时存在训练参考攻击区域的局部图像，训练目标局部图像中可以包含部分的训练参考攻击区域，也可以包含所有的训练参考攻击区域。训练目标局部图像的比重参数是指训练参考图像对应的训练目标局部图像占所有训练局部图像数量的比重，用于表征训练图像提取时提取到训练目标局部图像的可能性。

具体地，服务器可以根据训练全局尺寸来确定训练参考图像要提取的训练局部图像的训练局部尺寸，然后使用训练全局尺寸、训练局部尺寸和预设训练攻击区域上限尺寸进行参数计算，得到训练目标局部图像的比重参数。

在一个实施例中，步骤604，包括步骤：基于训练全局尺寸确定训练局部尺寸，基于训练全局尺寸和训练局部尺寸计算训练参考图像可提取的训练局部图像总数量。基于训练全局尺寸、训练局部尺寸和预设训练攻击区域上限尺寸计算训练参考图像可提取的训练目标局部 图像总数量。计算训练目标局部图像总数量与训练局部图像总数量的比例，得到训练目标局部图像的比重参数。

其中，训练参考图像可提取的训练局部图像总数量是指训练参考图像进行局部图像提取时能够提取的局部图像的最大数量。训练目标局部图像总数量是指训练参考图像能够提取到的目标局部图像的总数量。

具体地，服务器可以按照预先设置的整体图像和局部图像的尺寸大小关系来根据训练全局尺寸确定训练局部尺寸。然后使用训练全局尺寸和训练局部尺寸计算训练参考图像可提取的训练局部图像总数量。比如，可以使用公式(1)计算得到训练参考图像可提取的训练局部图像总数量。然后使用训练全局尺寸、训练局部尺寸和预设训练攻击区域上限尺寸计算训练参考图像可提取的训练目标局部图像总数量，比如，可以使用公式(2)计算得到。训练参考图像可提取的训练目标局部图像总数量。最后计算训练目标局部图像总数量与训练局部图像总数量的比例，得到训练目标局部图像的比重参数，比如，可以使用公式(3)计算得到训练目标局部图像的比重参数。

步骤606，获取训练参考局部图像提取数量，基于训练参考局部图像提取数量将训练参考图像随机进行局部图像提取，得到训练参考局部图像提取数量的局部图像。

其中，训练参考局部图像提取数量是指训练时待确定的局部图像提取数量。

具体地，服务器获取到训练参考局部图像提取数量，按照训练参考局部图像提取数量对训练参考图像随机进行局部图像提取，得到训练参考局部图像提取数量的局部图像。

步骤608，基于训练参考局部图像提取数量的局部图像进行局部分类识别，得到训练参考局部图像提取数量的局部分类识别结果，基于训练参考局部图像提取数量的局部分类识别结果进行统计计算，得到训练目标局部图像的提取下限数量。

具体地，服务器可以将训练参考局部图像提取数量的局部图像输入到局部图像分类识别模型中进行局部分类识别，得到输出的训练参考局部图像提取数量的局部分类识别结果。然后统计训练参考局部图像提取数量的局部分类识别结果中最多数量的局部分类识别结果和数量次多的局部分类识别结果，使用最多数量的局部分类识别结果和数量次多的局部分类识别结果得到训练目标局部图像的提取下限数量。

在一个实施例中，步骤608，包括步骤：统计训练参考局部图像提取数量的局部分类识别结果中第一训练类别的数量和第二训练类别的数量，第一训练类别是指训练参考局部图像提取数量的局部分类识别结果中数量最多类别，第二训练类别是指训练参考局部图像提取数量的局部分类识别结果中除第一训练类别以外数量最多类别；基于第一训练类别的数量和第二训练类别的数量计算训练目标局部图像的提取下限数量。

具体地，服务器统计训练参考局部图像提取数量的局部分类识别结果中数量最多类别对应的第一训练类别的数量，并统计训练参考局部图像提取数量的局部分类识别结果中除第一训练类别以外数量最多类别对应的第二训练类别的数量。然后使用第一训练类别的数量和第二训练类别的数量计算训练目标局部图像的提取下限数量，其中，可以使用公式(4)计算得到训练目标局部图像的提取下限数量。

步骤610，基于训练目标局部图像的提取下限数量、训练参考局部图像提取数量和训练目标局部图像比重参数进行二项分布加和计算，得到训练参考图像对应的防御率。

具体地，服务器使用训练目标局部图像的提取下限数量、训练参考局部图像提取数量和训练目标局部图像比重参数使用二项分布求和公式进行计算，得到训练参考图像对应的防御 率。即可以使用公式(5)计算得到训练参考图像对应的防御率。

步骤612，当训练参考图像对应的防御率符合预设条件时，将训练参考局部图像提取数量作为训练目标数量。

具体地，服务器判断当训练参考图像的防御率符合预设条件时，将训练参考局部图像提取数量作为训练目标数量。当训练参考图像的防御率未符合预设条件时，获取到更新的训练参考局部图像提取数量，将更新的训练参考局部图像提取数量作为训练参考局部图像提取数量并返回步骤606迭代执行，直到当训练参考图像的防御率符合预设条件时，将训练参考局部图像提取数量作为训练目标数量。

在上述实施例中，通过计算得到的训练目标局部图像的提取下限数量、训练参考局部图像提取数量和训练目标局部图像比重参数进行二项分布加和计算，得到训练参考图像对应的防御率，然后根据训练参考图像对应的防御率来确定训练目标数量，能够使得到的训练目标数量更加的准确。

在一个实施例中，如图7所示，步骤506，即基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，包括：

步骤702，获取训练图像中各个区域的重要程度，基于各个区域的重要程度按照预设重要度阈值将训练图像进行二值划分，得到目标区域和非目标区域。

其中，区域的重要程度用于表征该区域在进行分类时的重要程度。预设重要度阈值是指预先设置好的对图像进行二值划分时的重要度阈值。目标区域是指重要程度超过预设重要度阈值的区域。非目标区域是指重要程度未超过预设重要度阈值的区域。

具体地，服务器获取到训练图像中区域的重要程度，然后获取到预设重要度阈值，按照预设重要度阈值将各个区域的重要程度进行二值划分，得到目标区域和非目标区域。其中，可以使用CAM算法来判断训练图像中各个区域对于分类的重要程度，生成CAM热力图。然后设置阈值，将热力图中超过阈值的部分定义为目标区域，生成二值化图。该CAM算法是指将分类识别模型中最后一个全连接层的权值作为不同区域对于分类结果的重要程度，通过权值确定在全局平均池化前，每个channel(通道)特征图的重要程度，并把channel特征图按照权值相加，并缩放到原图大小，从而确定原图中每个区域的重要程度

在一个具体的实施例中，如图8所示，为得到的目标区域和非目标区域的示意图中，其中，对图8中的图a进行分类识别，得到分类识别模型中最后一个全连接层的权值，通过权值确定每个channel(通道)特征图的重要程度，把channel特征图按照权值相加，并缩放到原图大小，从而确定原图中每个区域的重要程度，然后获取到重要度阈值，按照重要度阈值将图8中的a图进行二值划分，得到图8中的b图，其中，目标区域为黑色部分，非目标区域为白色部分。

步骤704，随机从目标区域中选取第一部分局部图像，并随机从非目标区域中选取第二部分局部图像，其中，第一部分局部图像的面积大于第二部分局部图像的面积；

步骤706，基于第一部分局部图像和第二部分局部图像得到训练局部图像。

具体地，服务器随机从目标区域中选取第一部分局部图像，并随机从非目标区域中选取第二部分局部图像，其中，选取的第一部分局部图像的面积大于选取的第二部分局部图像的面积，然后根据提取的第一部分局部图像和第二部分局部图像进行融合得到训练局部图像。在一个实施例中，服务器从二值化的训练图像中选取局部图像，该局部图像的面积与目标区域的重叠面积超过50％。

在上述实施例中，通过随机提取的局部图像中保证较多目标区域的图像内容，能够使局部图像的分类识别更加准确。

在一个实施例中，如图9所示，全局图像分类识别模型的训练包括以下步骤：

步骤902，获取全局训练数据，全局训练数据包括全局训练图像和对应的全局类别标签。

其中，全局训练数据是指训练全局图像分类识别模型时使用的训练数据。全局训练图像是指训练全局图像分类识别模型时使用的图像，是完整的图像。全局类别标签是指全局训练图像对应的类别标签。

具体地，服务器可以直接从数据库中获取到全局训练数据，也可以从第三方数据库中获取到全局训练数据，也可以是从互联网采集到全局训练数据。

步骤904，将全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到初始全局分类识别结果。

其中，初始全局图像分类识别模型是指模型参数初始化的全局图像分类识别模型。初始全局分类识别结果是指使用初始化参数得到的全局分类识别结果。

具体地，服务求将全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到输出的初始全局分类识别结果

步骤906，基于初始全局分类识别结果和全局类别标签进行损失计算，得到全局损失信息。

其中，全局损失信息是指全局训练图像对应的模型损失，用于表征训练得到的分类识别结果与实际的分类识别结果之间的误差。

具体地，服务器使用分类损失函数计算初始全局分类识别结果与全局类别标签之间的损失，得到全局损失信息，其中，分类损失函数可以是交叉熵损失函数，也可以是对数损失函数，平方损失函数和指数损失函数等等。

步骤908，基于全局损失信息反向更新初始全局图像分类识别模型中的参数，得到更新后的全局图像分类识别模型。

具体地，服务器使用梯度下降算法来反向更新初始全局图像分类识别模型中的参数，即使用全局损失信息计算梯度，使用梯度反向更新初始全局图像分类识别模型中的参数，当参数更新完成时，得到更新后的全局图像分类识别模型。

在一个实施例中，步骤908，包括步骤：获取当前学习率，基于当前学习率和全局损失信息反向更新初始全局图像分类识别模型的参数，得到更新后的全局图像分类识别模型。其中，当前学习率可以是当前使用的学习率，可以是设置好的。学习率时训练过程中的超参数。

在一个实施例中，服务器还可以获取历史学习率，基于历史学习率使用预设余弦函数进行调整，得到当前学习率。其中，可以使用预先设置的余弦函数来对学习率进行调整。如图10所示，学习率参照余弦函数的规律来变化，即当前学习率每次波动到最低点后，直接跃升到最高点，同时，余弦周期也是不断变长的。

在一个实施例中，也可以使用warm up(适应性训练)衰减策略来调整学习率，即开始训练时以很小的学习率进行训练，随着训练的进行学习率慢慢变大，到了一定程度，以设置的初始学习率进行训练，学习率再慢慢变小。

步骤910，将更新后的全局图像分类识别模型作为初始全局图像分类识别模型，并返回将全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到初始全局分类识别结果的步骤执行，直到达到全局训练完成条件时，将达到全局训练完成条件时的初始 全局图像分类识别模型作为全局图像分类识别模型。

具体地，服务器将更新后的全局图像分类识别模型作为初始全局图像分类识别模型，并返回将全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到初始全局分类识别结果的步骤迭代执行直到达到全局训练完成条件时，将达到全局训练完成条件时的初始全局图像分类识别模型作为全局图像分类识别模型，其中，全局训练完成条件可以是全局损失信息小于预先设置好的损失阈值，也可以是达到预先设置好的迭代次数等等。

在上述实施例中，通过使用全局训练数据对初始全局分类识别模型进行训练，从而得到全局图像分类识别模型，方便后续的使用。

在一个实施例中，如图11所示，局部图像分类识别模型的训练包括以下步骤：

步骤1102，将全局图像分类识别模型作为初始局部图像分类识别模型。

步骤1104，获取局部训练数据，区域图像训练数据中包括局部训练图像和对应的局部图像类别标签。

其中，局部训练图像是完整图像的一部分图像。局部图像类别标签是指局部训练图像对应的类别标签。

具体地，服务器在训练局部图像分类识别模型时，可以在已经训练好的全局图像分类识别模型的基础上进行微调训练，即服务器将全局图像分类识别模型作为初始局部图像分类识别模型。然后从数据库中获取到局部训练数据。也可以获取到全局训练数据，从全局训练数据的全局训练图像中提取到局部训练图像，将全局训练图像对应的全局图像类别标签作为局部训练图像标签。也可以从第三方数据库中获取到局部训练数据，还可以从互联网中采集到局部训练数据。

步骤1106，将局部训练图像输入初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类识别结果。

步骤1108，基于初始局部分类识别结果和局部图像类别标签进行损失计算，得到局部损失信息，基于局部损失信息反向更新初始局部图像分类识别模型，得到更新后的局部图像分类识别模型。

具体地，服务器将局部训练图像输入初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类识别结果，然后通过梯度下降算法反向更新初始局部图像分类识别模型，即使用分类损失函数计算初始局部分类识别结果和局部图像类别标签之间的局部损失信息，该局部损失信息用于表征初始局部分类识别结果和局部图像类别标签之间的误差，然后使用局部损失信息反向更新初始局部图像分类识别模型中的参数，当参数更新完成时，得到更新后的局部图像分类识别模型。

步骤1110，将更新后的局部图像分类识别模型作为初始局部图像分类识别模型，并返回将局部训练图像输入初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类识别结果的步骤执行，直到达到局部训练完成条件时，将达到局部训练完成条件时初始局部图像分类识别模型作为局部图像分类识别模型。

具体地，服务器进行迭代训练，即将更新后的局部图像分类识别模型作为初始局部图像分类识别模型，并返回将局部训练图像输入初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类识别结果的步骤迭代执行，直到达到局部训练完成条件，局部训练完成条件包括训练得到的局部损失信息达到预先设置好的局部损失阈值、训练次数到达预先设置好的迭代次数上限和模型参数不再发生变化。此时，服务器将达到局部训练完成条件时初始局 部图像分类识别模型作为局部图像分类识别模型。

在上述实施例中，通过将全局图像分类识别模型作为初始局部图像分类识别模型，然后使用局部训练数据对初始局部图像分类识别模型进行训练，从而得到局部图像分类识别模型，能够提高得到局部图像分类识别模型的效率。

在一个具体实施例中，如图12所示，提供一种图像攻击检测方法，具体包括以下步骤：

步骤1202，获取训练数据，训练数据包括训练图像和图像攻击类别标签。

步骤1204，将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像。

步骤1206，分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，计算各个训练局部分类识别结果向量的平均向量，得到目标训练分类识别结果向量。

步骤1208，将目标训练分类识别结果向量和训练全局分类识别结果向量进行拼接后输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

步骤1210，基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。

步骤1212，获取待检测图像，将待检测图像输入全局图像分类识别模型中进行全局分类识别，得到全局分类识别结果向量。基于待检测图像随机进行局部图像提取，得到目标数量的局部图像。

步骤1214，分别将目标数量的局部图像输入到局部图像识别模型中进行局部分类识别，得到各个局部分类识别结果向量，并计算各个局部分类识别结果向量的平均向量，得到目标分类识别结果向量，得到目标分类识别结果向量。

步骤1216，将目标局部识别结果向量和全局识别结果向量进行拼接，得到拼接向量。将拼接向量输入到目标图像攻击检测模型，目标图像攻击检测模型检测当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

本申请还提供一种应用场景，该应用场景应用上述的图像攻击检测方法。具体地，

在人脸识别系统中，通过人脸图像识别得到的人的身份从而进行后续的处理，比如，进行人脸解锁。目前，如图13所示，为攻击图像对人脸识别系统进行攻击的示意图。其中，攻击方通过对真实图像进行对抗生成攻击区域，将攻击区域通过物理方式生成攻击图像。人脸识别系统对真实图像识别的结果为A，然后人脸识别系统再未进行图像攻击检测时，攻击方通过生成的攻击图像使用人脸识别结果为错误的结果，即为B。

此时，应用本申请的图像攻击检测方法。如图14所示，为图像攻击检测的架构示意图。当人脸识别系统要识别人脸图像时，先将人脸图像作为待检测的人脸图像，将待检测的人脸图像输入到全局图像分类识别模型中进行识别，得到全局类别向量，然后将待检测的人脸图像进行目标数量的局部图像提取，将提取到的目标数量的局部图像输入到局部图像分类识别模型中进行识别，得到局部类别向量，将局部类别向量进行平均计算，得到平均向量，将平均向量与全局类别向量进行拼接，并输入到图像攻击检测模型中进行检测，从而得到待检测的人脸图像时攻击的人脸图像或者时真实的人脸图像的检测结果。即本申请中能够有效抵御 黑产对安全系统发起的物理攻击，检测出相应的攻击并在将其拒绝。本申请中的图像攻击检测方法也可以是应用到图像文字识别场景中，还可以应用到行人检测场景中，也可以应用到物体识别场景中。

在一个具体的实施例中，测试本申请的图像攻击检测方法与现有技术对适应性攻击的防御效果，具体来说：使用CIFAR10(一个用于识别普适物体的小型数据集)和Imagenette(一种图像数据集)数据集上进行测试。得到的测试对比结果如下表1所示。

表1测试对比

数据集	本申请(％)	现有技术1(％)	现有技术2(％)	现有技术3(％)
CIFAR10	85.4	0.0	0.0	45.4
ImageNette	92.3	0.0	0.0	62.5

其中，明显可以肯出，本申请中在CIFAR10数据集和Imagenette数据集上的防御率远高于现有技术中的防御率，其中，现有技术1和现有技术2由于机制原因，对适应性攻击完全没有抵抗力。即本申请中能够明显提升对适应性攻击的防御效果。

应该理解的是，虽然图2-12的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-12中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图15所示，提供了一种图像攻击检测装置1500，该装置可以采用软件模块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：全局分类模块1502、局部提取模块1504、局部分类模块1506和检测模块1508，其中：

全局分类模块1502，用于获取待检测图像，基于待检测图像进行全局分类识别，得到全局分类识别结果；

局部提取模块1504，用于基于待检测图像随机进行局部图像提取，得到目标数量的局部图像，目标数量是根据待检测图像对应的参考图像的防御率计算得到的，参考图像的防御率用于表征参考图像受到图像攻击时的防御度；

局部分类模块1506，用于基于目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将各个局部分类识别结果进行融合，得到目标分类识别结果；

检测模块1508，用于基于目标分类识别结果和全局识别结果检测识别结果的一致性，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

在一个实施例中，图像攻击检测装置1500，还包括：

全局模型分类模块，用于将待检测图像输入全局图像分类识别模型中进行全局分类识别，得到全局分类识别结果向量；

随机提取模块，用于基于待检测图像随机进行局部图像提取，得到目标数量的局部图像；

局部模型分类模块，用于分别将目标数量的局部图像输入到局部图像识别模型中进行局部分类识别，得到各个局部分类识别结果向量，并将各个局部分类识别结果向量进行融合，得到目标分类识别结果向量；

检测模型检测模块，用于将目标分类识别结果向量和全局分类识别结果向量输入到图像 攻击检测模型中进行一致性检测，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

在一个实施例中，检测模型检测模块还用于将目标局部识别结果向量和全局识别结果向量进行拼接，得到拼接向量；将拼接向量输入到图像攻击检测模型，通过图像攻击检测模型识别目标局部识别结果向量和全局识别结果向量的一致性，当目标分类识别结果和全局分类识别结果一致时，判别待检测图像为真实图像，当目标分类识别结果和全局分类识别结果不一致时，判别待检测图像为攻击图像。

在一个实施例中，局部模型分类模块还用于计算各个局部分类识别结果向量的平均向量，得到目标分类识别结果向量。

在一个实施例中，图像攻击检测装置1500，还包括：

尺寸获取模块，用于获取待检测图像的全局尺寸，基于待检测图像的全局尺寸获取参考图像，参考图像包含预设的参考攻击区域，参考攻击区域是根据预设攻击区域上限尺寸确定的；

参数计算模块，用于基于全局尺寸和预设攻击区域上限尺寸进行参数计算，得到目标局部图像的比重参数，目标局部图像中存在参考攻击区域的图像内容；

参考局部提取模块，用于获取参考局部图像提取数量，基于参考局部图像提取数量将参考图像随机进行局部图像提取，得到参考局部图像提取数量的局部图像；

下限数量计算模块，用于基于参考局部图像提取数量的局部图像进行局部分类识别，得到参考局部图像提取数量的局部分类识别结果，基于参考局部图像提取数量的局部分类识别结果进行统计计算，得到目标局部图像的提取下限数量；

防御率计算模块，用于基于目标局部图像的提取下限数量、参考局部图像提取数量和目标局部图像比重参数进行二项分布加和计算，得到参考图像的防御率；

目标数量得到模块，用于当参考图像的防御率符合预设条件时，将参考局部图像提取数量作为目标数量。

在一个实施例中，参数计算模块还用于基于全局尺寸确定局部尺寸，基于全局尺寸和局部尺寸计算参考图像可提取的局部图像总数量；基于全局尺寸、局部尺寸和预设攻击区域上限尺寸计算参考图像可提取的目标局部图像总数量；计算目标局部图像总数量与局部图像总数量的比例，得到目标局部图像的比重参数。

在一个实施例中，下限数量计算模块还用于统计参考局部图像提取数量的局部分类识别结果中第一类别的数量和第二类别的数量，第一类别是指参考局部图像提取数量的局部分类识别结果中数量最多类别，第二类别是指参考局部图像提取数量的局部分类识别结果中除第一类别以外数量最多类别；基于第一类别的数量和第二类别的数量计算目标局部图像的提取下限数量。

在一个实施例中，图像攻击检测装置1500，还包括：

关系建立模块，用于获取各个参考局部图像提取数量，基于各个参考局部图像提取数量计算得到对应的各个防御率，基于各个参考局部图像提取数量和对应的各个防御率建立参考局部图像提取数量和防御率的关联关系；

查找模块，用于获取待检测图像对应的预设防御率，从参考局部图像提取数量和防御率的关联关系中查找预设防御率对应的目标参考局部图像提取数量，将目标参考局部图像提取数量作为目标数量。

在一个实施例中，目标数量得到模块还用于获取当前设备对应的资源信息，基于当前设备对应的资源信息确定当前局部图像提取数量；当参考局部图像提取数量超过当前局部图像提取数量时，将当前局部图像提取数量作为目标数量；当参考局部图像提取数量未超过当前局部图像提取数量时，将参考局部图像提取数量作为目标数量。

在一个实施例中，如图16所示，提供了一种图像攻击检测模型训练装置1600，该装置可以采用软件模块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：数据获取模块1602、训练全局分类模块1604、训练局部提取模块1606、训练局部分类模块1608、训练检测模块1610和迭代模块1612，其中：

数据获取模块1602，用于获取训练数据，训练数据包括训练图像和图像攻击类别标签；

训练全局分类模块1604，用于将训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；

训练局部提取模块1606，用于基于训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，训练目标数量是训练图像对应的训练参考图像的防御率计算得到的，训练参考图像的防御率用于表征训练参考图像受到图像攻击时的防御度；

训练局部分类模块1608，用于分别将目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；

训练检测模块1610，用于将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

迭代模块1612，用于基于初始一致性检测结果和图像攻击类别标签更新初始图像攻击检测模型，并返回将目标训练分类识别结果向量和训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。

在一个实施例中，图像攻击检测模型训练装置1600，还包括：

训练尺寸获取模块，用于获取训练图像的训练全局尺寸，基于训练图像的训练全局尺寸获取训练参考图像，训练参考图像包含预设的训练参考攻击区域，训练参考攻击区域是根据预设训练攻击区域上限尺寸确定的；

训练参数计算模块，用于基于训练全局尺寸和预设训练攻击区域上限尺寸进行参数计算，得到训练目标局部图像的比重参数，训练目标局部图像中存在训练参考攻击区域的图像内容；

训练参考局部提取模块，用于获取训练参考局部图像提取数量，基于训练参考局部图像提取数量将训练参考图像随机进行局部图像提取，得到训练参考局部图像提取数量的局部图像；

训练下限数量计算模块，用于基于训练参考局部图像提取数量的局部图像进行局部分类识别，得到训练参考局部图像提取数量的局部分类识别结果，基于训练参考局部图像提取数量的局部分类识别结果进行统计计算，得到训练目标局部图像的提取下限数量；

训练防御率计算模块，用于基于训练目标局部图像的提取下限数量、训练参考局部图像提取数量和训练目标局部图像比重参数进行二项分布加和计算，得到训练参考图像对应的防御率；

训练目标数量得到模块，用于当训练参考图像对应的防御率符合预设条件时，将训练参考局部图像提取数量作为训练目标数量。

在一个实施例中，训练参数计算模块还用于基于训练全局尺寸确定训练局部尺寸，基于训练全局尺寸和训练局部尺寸计算训练参考图像可提取的训练局部图像总数量；基于训练全局尺寸、训练局部尺寸和预设训练攻击区域上限尺寸计算训练参考图像可提取的训练目标局部图像总数量；计算训练目标局部图像总数量与训练局部图像总数量的比例，得到训练目标局部图像的比重参数。

在一个实施例中，训练下限数量计算模块还用于统计训练参考局部图像提取数量的局部分类识别结果中第一训练类别的数量和第二训练类别的数量，第一训练类别是指训练参考局部图像提取数量的局部分类识别结果中数量最多类别，第二训练类别是指训练参考局部图像提取数量的局部分类识别结果中除第一训练类别以外数量最多类别；基于第一训练类别的数量和第二训练类别的数量计算训练目标局部图像的提取下限数量。

在一个实施例中，训练参考局部提取模块还用于获取训练图像中各个区域的重要程度，基于各个区域的重要程度按照预设重要度阈值将训练图像进行二值划分，得到目标区域和非目标区域；随机从目标区域中选取第一部分局部图像，并随机从非目标区域中选取第二部分局部图像，其中，第一部分局部图像的面积大于第二部分局部图像的面积；基于第一部分局部图像和第二部分局部图像得到训练局部图像。

在一个实施例中，图像攻击检测模型训练装置1600，还包括：

全局识别模型训练模块，用于获取全局训练数据，全局训练数据包括全局训练图像和对应的全局类别标签；将全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到初始全局分类识别结果；基于初始全局分类识别结果和全局类别标签进行损失计算，得到全局损失信息；基于全局损失信息反向更新初始全局图像分类识别模型中的参数，得到更新后的全局图像分类识别模型；将更新后的全局图像分类识别模型作为初始全局图像分类识别模型，并返回将全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到初始全局分类识别结果的步骤执行，直到达到全局训练完成条件时，将达到全局训练完成条件时的初始全局图像分类识别模型作为全局图像分类识别模型。

在一个实施例中，全局识别模型训练模块，还用于获取当前学习率；基于当前学习率和全局损失信息反向更新初始全局图像分类识别模型的参数，得到更新后的全局图像分类识别模型。

在一个实施例中，全局识别模型训练模块，还用于获取历史学习率，基于历史学习率使用预设余弦函数进行调整，得到当前学习率。

在一个实施例中，图像攻击检测模型训练装置1600，还包括：

局部识别模型训练模块，用于将全局图像分类识别模型作为初始局部图像分类识别模型；获取局部训练数据，区域图像训练数据中包括局部训练图像和对应的局部图像类别标签；将局部训练图像输入初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类识别结果；基于初始局部分类识别结果和局部图像类别标签进行损失计算，得到局部损失信息，基于局部损失信息反向更新初始局部图像分类识别模型，得到更新后的局部图像分类识别模型；将更新后的局部图像分类识别模型作为初始局部图像分类识别模型，并返回将局部训练图像输入初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类识别结果的步骤执行，直到达到局部训练完成条件时，将达到局部训练完成条件时初始局部图像分类识别模型作为局部图像分类识别模型。

关于图像攻击检测装置和图像攻击检测模型训练装置的具体限定可以参见上文中对于图 像攻击检测方法和图像攻击检测模型训练方法的限定，在此不再赘述。上述图像攻击检测装置和图像攻击检测模型训练装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图17所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机可读指令和数据库。该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的数据库用于待检测图像或者存储训练数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机可读指令被处理器执行时以实现一种图像攻击检测方法和图像攻击检测模型训练方法。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图18所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令。该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机可读指令被处理器执行时以实现一种图像攻击检测方法和图像攻击检测模型训练方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图17和图18中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机可读指令，该处理器执行计算机可读指令时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，存储有计算机可读指令，该计算机可读指令被处理器执行时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机可读指令可存储于一非易失性计算机可读取存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式， 比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (23)

1. 一种图像攻击检测方法，由计算机设备执行，其特征在于，所述方法包括：

   获取待检测图像，基于所述待检测图像进行全局分类识别，得到全局分类识别结果；

   基于所述待检测图像随机进行局部图像提取，得到目标数量的局部图像，所述目标数量是根据所述待检测图像对应的参考图像的防御率计算得到的，所述参考图像的防御率用于表征所述参考图像受到图像攻击时的防御度；

   基于所述目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将所述各个局部分类识别结果进行融合，得到目标分类识别结果；

   基于所述目标分类识别结果和所述全局识别结果检测识别结果的一致性，当所述目标分类识别结果和所述全局分类识别结果不一致时，判别所述待检测图像为攻击图像。
2. 根据权利要求1所述的方法，其特征在于，所述方法，还包括：

   将所述待检测图像输入全局图像分类识别模型中进行全局分类识别，得到全局分类识别结果向量；

   基于所述待检测图像随机进行局部图像提取，得到目标数量的局部图像；

   分别将所述目标数量的局部图像输入到局部图像识别模型中进行局部分类识别，得到各个局部分类识别结果向量，并将所述各个局部分类识别结果向量进行融合，得到目标分类识别结果向量；

   将所述目标分类识别结果向量和所述全局分类识别结果向量输入到图像攻击检测模型中进行一致性检测，当所述目标分类识别结果和所述全局分类识别结果不一致时，判别所述待检测图像为攻击图像。
3. 根据权利要求2所述的方法，其特征在于，所述将所述目标分类识别结果向量和所述全局分类识别结果向量输入到图像攻击检测模型中进行一致性检测，当所述目标分类识别结果和所述全局分类识别结果不一致时，判别所述待检测图像为攻击图像，包括：

   将所述目标局部识别结果向量和所述全局识别结果向量进行拼接，得到拼接向量；

   将所述拼接向量输入到图像攻击检测模型，通过所述图像攻击检测模型识别所述目标局部识别结果向量和所述全局识别结果向量的一致性，当所述目标分类识别结果和所述全局分类识别结果一致时，判别所述待检测图像为真实图像，当所述目标分类识别结果和所述全局分类识别结果不一致时，判别所述待检测图像为攻击图像。
4. 根据权利要求2所述的方法，其特征在于，所述将所述各个局部分类识别结果向量进行融合，得到目标分类识别结果向量，包括：

   计算所述各个局部分类识别结果向量的平均向量，得到目标分类识别结果向量。
5. 根据权利要求1-4任意一项所述的方法，其特征在于，所述方法还包括：

   获取所述待检测图像的全局尺寸，基于所述待检测图像的全局尺寸获取参考图像，所述参考图像包含预设的参考攻击区域，所述参考攻击区域是根据预设攻击区域上限尺寸确定的；

   基于所述全局尺寸和所述预设攻击区域上限尺寸进行参数计算，得到目标局部图像的比重参数，所述目标局部图像中存在所述参考攻击区域的图像内容；

   获取参考局部图像提取数量，基于所述参考局部图像提取数量将所述参考图像随机进行局部图像提取，得到参考局部图像提取数量的局部图像；

   基于所述参考局部图像提取数量的局部图像进行局部分类识别，得到参考局部图像提取数量的局部分类识别结果，基于所述参考局部图像提取数量的局部分类识别结果进行统计计 算，得到所述目标局部图像的提取下限数量；

   基于所述目标局部图像的提取下限数量、所述参考局部图像提取数量和所述目标局部图像比重参数进行二项分布加和计算，得到所述参考图像的防御率；

   当所述参考图像的防御率符合预设条件时，将所述参考局部图像提取数量作为所述目标数量。
6. 根据权利要求5所述的方法，其特征在于，所述基于所述全局尺寸和所述预设攻击区域上限尺寸进行参数计算，得到目标局部图像的比重参数，包括：

   基于所述全局尺寸确定局部尺寸，基于所述全局尺寸和所述局部尺寸计算所述参考图像可提取的局部图像总数量；

   基于所述全局尺寸、所述局部尺寸和所述预设攻击区域上限尺寸计算所述参考图像可提取的目标局部图像总数量；

   计算所述目标局部图像总数量与所述局部图像总数量的比例，得到所述目标局部图像的比重参数。
7. 根据权利要求5所述的方法，其特征在于，所述基于所述参考局部图像提取数量的局部分类识别结果进行统计计算，得到目标局部图像的提取下限数量，包括：

   统计所述参考局部图像提取数量的局部分类识别结果中第一类别的数量和第二类别的数量，所述第一类别是指所述参考局部图像提取数量的局部分类识别结果中数量最多类别，所述第二类别是指所述参考局部图像提取数量的局部分类识别结果中除第一类别以外数量最多类别；

   基于所述第一类别的数量和所述第二类别的数量计算所述目标局部图像的提取下限数量。
8. 根据权利要求5所述的方法，其特征在于，所述方法，还包括：

   获取各个参考局部图像提取数量，基于所述各个参考局部图像提取数量计算得到对应的各个防御率，基于所述各个参考局部图像提取数量和对应的各个防御率建立所述参考局部图像提取数量和所述防御率的关联关系；

   获取所述待检测图像对应的预设防御率，从所述参考局部图像提取数量和所述防御率的关联关系中查找所述预设防御率对应的目标参考局部图像提取数量，将所述目标参考局部图像提取数量作为目标数量。
9. 根据权利要求1所述的方法，其特征在于，所述将所述参考局部图像提取数量作为所述目标数量，包括：

   获取当前设备对应的资源信息，基于所述当前设备对应的资源信息确定当前局部图像提取数量；

   当所述参考局部图像提取数量超过所述当前局部图像提取数量时，将所述当前局部图像提取数量作为所述目标数量；

   当所述参考局部图像提取数量未超过所述当前局部图像提取数量时，将所述参考局部图像提取数量作为所述目标数量。
10. 一种图像攻击检测模型训练方法，由计算机设备执行，其特征在于，所述方法包括：

    获取训练数据，所述训练数据包括训练图像和图像攻击类别标签；

    将所述训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；

    基于所述训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，所述训练目标数量是所述训练图像对应的训练参考图像的防御率计算得到的，所述训练参考图像的防御率用于表征所述训练参考图像受到图像攻击时的防御度；

    分别将所述目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将所述各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；

    将所述目标训练分类识别结果向量和所述训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

    基于所述初始一致性检测结果和所述图像攻击类别标签更新所述初始图像攻击检测模型，并返回将所述目标训练分类识别结果向量和所述训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。
11. 根据权利要求10所述的方法，其特征在于，所述方法，还包括：

    获取所述训练图像的训练全局尺寸，基于所述训练图像的训练全局尺寸获取训练参考图像，所述训练参考图像包含预设的训练参考攻击区域，所述训练参考攻击区域是根据预设训练攻击区域上限尺寸确定的；

    基于所述训练全局尺寸和所述预设训练攻击区域上限尺寸进行参数计算，得到训练目标局部图像的比重参数，所述训练目标局部图像中存在所述训练参考攻击区域的图像内容；

    获取训练参考局部图像提取数量，基于所述训练参考局部图像提取数量将所述训练参考图像随机进行局部图像提取，得到训练参考局部图像提取数量的局部图像；

    基于所述训练参考局部图像提取数量的局部图像进行局部分类识别，得到训练参考局部图像提取数量的局部分类识别结果，基于所述训练参考局部图像提取数量的局部分类识别结果进行统计计算，得到所述训练目标局部图像的提取下限数量；

    基于所述训练目标局部图像的提取下限数量、所述训练参考局部图像提取数量和所述训练目标局部图像比重参数进行二项分布加和计算，得到所述训练参考图像对应的防御率；

    当所述训练参考图像对应的防御率符合预设条件时，将所述训练参考局部图像提取数量作为所述训练目标数量。
12. 根据权利要求11所述的方法，其特征在于，所述基于所述训练全局尺寸和所述预设训练攻击区域上限尺寸进行参数计算，得到训练目标局部图像的比重参数，包括：

    基于所述训练全局尺寸确定训练局部尺寸，基于所述训练全局尺寸和所述训练局部尺寸计算所述训练参考图像可提取的训练局部图像总数量；

    基于所述训练全局尺寸、所述训练局部尺寸和所述预设训练攻击区域上限尺寸计算所述训练参考图像可提取的训练目标局部图像总数量；

    计算所述训练目标局部图像总数量与所述训练局部图像总数量的比例，得到所述训练目标局部图像的比重参数。
13. 根据权利要求11所述的方法，其特征在于，所述基于所述训练参考局部图像提取数量的局部分类识别结果进行统计计算，得到训练目标局部图像的提取下限数量，包括：

    统计所述训练参考局部图像提取数量的局部分类识别结果中第一训练类别的数量和第二训练类别的数量，所述第一训练类别是指所述训练参考局部图像提取数量的局部分类识别结果中数量最多类别，所述第二训练类别是指所述训练参考局部图像提取数量的局部分类识别 结果中除第一训练类别以外数量最多类别；

    基于所述第一训练类别的数量和所述第二训练类别的数量计算所述训练目标局部图像的提取下限数量。
14. 根据权利要求10所述的方法，其特征在于，所述基于所述训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像，包括：

    获取所述训练图像中各个区域的重要程度，基于所述各个区域的重要程度按照预设重要度阈值将所述训练图像进行二值划分，得到目标区域和非目标区域；

    随机从所述目标区域中选取第一部分局部图像，并随机从非目标区域中选取第二部分局部图像，其中，所述第一部分局部图像的面积大于所述第二部分局部图像的面积；

    基于所述第一部分局部图像和第二部分局部图像得到训练局部图像。
15. 根据权利要求10所述的方法，其特征在于，所述全局图像分类识别模型的训练包括以下步骤：

    获取全局训练数据，所述全局训练数据包括全局训练图像和对应的全局类别标签；

    将所述全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到初始全局分类识别结果；

    基于所述初始全局分类识别结果和所述全局类别标签进行损失计算，得到全局损失信息；

    基于所述全局损失信息反向更新所述初始全局图像分类识别模型中的参数，得到更新后的全局图像分类识别模型；

    将所述更新后的全局图像分类识别模型作为初始全局图像分类识别模型，并返回将所述全局训练图像输入初始全局图像分类识别模型中进行全局图像分类识别，得到初始全局分类识别结果的步骤执行，直到达到全局训练完成条件时，将达到全局训练完成条件时的初始全局图像分类识别模型作为所述全局图像分类识别模型。
16. 根据权利要求15所述的方法，其特征在于，所述基于所述全局损失信息反向更新所述初始全局图像分类识别模型中的参数，得到更新后的全局图像分类识别模型，包括：

    获取当前学习率；

    基于所述当前学习率和所述全局损失信息反向更新所述初始全局图像分类识别模型的参数，得到更新后的全局图像分类识别模型。
17. 根据权利要求16所述的方法，其特征在于，所述获取当前学习率，包括：

    获取历史学习率，基于所述历史学习率使用预设余弦函数进行调整，得到当前学习率。
18. 根据权利要求10所述的方法，其特征在于，所述局部图像分类识别模型的训练包括以下步骤：

    将所述全局图像分类识别模型作为初始局部图像分类识别模型；

    获取局部训练数据，所述局部训练数据中包括局部训练图像和对应的局部图像类别标签；

    将所述局部训练图像输入所述初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类识别结果；

    基于所述初始局部分类识别结果和所述局部图像类别标签进行损失计算，得到局部损失信息，基于所述局部损失信息反向更新所述初始局部图像分类识别模型，得到更新后的局部图像分类识别模型；

    将所述更新后的局部图像分类识别模型作为初始局部图像分类识别模型，并返回将所述局部训练图像输入所述初始局部图像分类识别模型中进行局部分类识别，得到初始局部分类 识别结果的步骤执行，直到达到局部训练完成条件时，将达到局部训练完成条件时初始局部图像分类识别模型作为所述局部图像分类识别模型。
19. 一种图像攻击检测装置，其特征在于，所述装置包括：

    全局分类模块，用于获取待检测图像，基于所述待检测图像进行全局分类识别，得到全局分类识别结果；

    局部提取模块，用于基于所述待检测图像随机进行局部图像提取，得到目标数量的局部图像，所述目标数量是根据所述待检测图像对应的参考图像的防御率计算得到的，所述参考图像的防御率用于表征所述参考图像受到图像攻击时的防御度；

    局部分类模块，用于基于所述目标数量的局部图像分别进行局部分类识别，得到各个局部分类识别结果，将所述各个局部分类识别结果进行融合，得到目标分类识别结果；

    检测模块，用于基于所述目标分类识别结果和所述全局识别结果检测识别结果的一致性，当所述目标分类识别结果和所述全局分类识别结果不一致时，判别所述待检测图像为攻击图像。
20. 一种图像攻击检测模型训练装置，其特征在于，所述装置包括：

    数据获取模块，用于获取训练数据，所述训练数据包括训练图像和图像攻击类别标签；

    训练全局分类模块，用于将所述训练图像输入全局图像分类识别模型中进行全局分类识别，得到训练全局分类识别结果向量；

    训练局部提取模块，用于基于所述训练图像随机进行局部图像提取，得到训练目标数量的训练局部图像；所述训练目标数量是所述训练图像对应的训练参考图像的防御率计算得到的，所述训练参考图像的防御率用于表征所述训练参考图像受到图像攻击时的防御度；

    训练局部分类模块，用于分别将所述目标数量的训练局部图像输入到局部图像分类识别模型中进行局部分类识别，得到各个训练局部分类识别结果向量，将所述各个训练局部分类识别结果向量进行融合，得到目标训练分类识别结果向量；

    训练检测模块，用于将所述目标训练分类识别结果向量和所述训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果；

    迭代模块，用于基于所述初始一致性检测结果和所述图像攻击类别标签更新所述初始图像攻击检测模型，并返回将所述目标训练分类识别结果向量和所述训练全局分类识别结果向量输入到初始图像攻击检测模型中进行识别结果的一致性检测，得到初始一致性检测结果的步骤执行，直到训练完成时，得到目标图像攻击检测模型。
21. 一种计算机设备，包括存储器和处理器，所述存储器存储有计算机可读指令，其特征在于，所述处理器执行所述计算机可读指令时实现权利要求1至18中任一项所述的方法的步骤。
22. 一种计算机可读存储介质，存储有计算机可读指令，其特征在于，所述计算机可读指令被处理器执行时实现权利要求1至18中任一项所述的方法的步骤。
23. 一种计算机程序产品，包括计算机可读指令，其特征在于，所述计算机可读指令被处理器执行时实现权利要求1至18中任一项所述的方法的步骤。

Images