本發(fā)明涉及對抗攻擊，具體地，涉及一種對抗樣本生成方法及系統(tǒng)及裝置。

背景技術(shù)：

1、隨著深度神經(jīng)網(wǎng)絡(luò)的發(fā)展，其在圖像分類、目標(biāo)檢測、人臉識別等各種計(jì)算機(jī)視覺任務(wù)中取得了顯著成就。然而研究表明神經(jīng)網(wǎng)絡(luò)容易受到對抗攻擊(adversarialattacks)的影響，即利用深度學(xué)習(xí)弊端破壞識別系統(tǒng)，針對識別對象做出特殊改動，在人的肉眼看不出來任何異樣的情況下導(dǎo)致神經(jīng)網(wǎng)絡(luò)識別或分類的失靈。由一個模型生成的對抗樣本能夠以一定的概率欺騙另一個不同模型的性質(zhì)，稱為對抗樣本的可遷移性。研究生成具有強(qiáng)遷移性的對抗樣本不僅有助于識別神經(jīng)網(wǎng)絡(luò)的漏洞，還能在實(shí)際應(yīng)用中提高網(wǎng)絡(luò)對抗攻擊的魯棒性?；谔荻鹊墓羰菆D像分類領(lǐng)域中最常用和最有效的對抗攻擊方法之一，并在梯度計(jì)算前對圖像進(jìn)行輸入變換以提升遷移性。現(xiàn)有該類攻擊利用真實(shí)數(shù)據(jù)進(jìn)行增強(qiáng)，同時為維持對抗樣本與原圖像的視覺相似性，圖像的變換范圍被限制在不改變輸入圖像對象之間局部關(guān)系的全局變換中。兩者都在一定程度阻礙攻擊的可轉(zhuǎn)移性，限制了攻擊的跨模型效果。因此，如何在保持對抗樣本隱蔽性的同時提升其可遷移性，成為對抗攻擊領(lǐng)域中的一個關(guān)鍵問題。

技術(shù)實(shí)現(xiàn)思路

1、為了在維持對抗樣本與原圖像視覺相似性的同時提高對抗攻擊的可遷移性，本發(fā)明提供了一種對抗樣本生成方法，所述對抗樣本生成方法包括：

2、獲得第一數(shù)據(jù)集，所述第一數(shù)據(jù)集中包括若干第一樣本圖像；

3、根據(jù)所述第一樣本圖像計(jì)算合成樣本，根據(jù)所述合成樣本更新所述第一圖像數(shù)據(jù)集，獲得第二圖像數(shù)據(jù)集；

4、對所述第二圖像數(shù)據(jù)集進(jìn)行數(shù)據(jù)增強(qiáng)，獲得第三數(shù)據(jù)集；

5、計(jì)算所述第三數(shù)據(jù)集對應(yīng)的對抗噪聲并根據(jù)所述對抗噪聲處理所述第一樣本圖像，生成對抗樣本。

6、其中，本方法原理為：獲得原始數(shù)據(jù)對應(yīng)的第一數(shù)據(jù)集后，先計(jì)算第一樣本圖像對應(yīng)的合成樣本，通過所述合成樣本更新所述第一數(shù)據(jù)集，合成樣本引入了比原始數(shù)據(jù)更多的變異性，能夠保證樣本多樣性的同時，避免過度依賴單一的數(shù)據(jù)模式，從而增強(qiáng)對抗樣本在不同模型上的泛化能力。對更新后的圖像數(shù)據(jù)集進(jìn)行數(shù)據(jù)增強(qiáng)，利用充分變換后的圖像計(jì)算對抗噪聲并最終生成對抗樣本，保持對抗攻擊隱蔽性的同時使對抗攻擊具有良好的可遷移性。

7、進(jìn)一步的，單獨(dú)使用原始數(shù)據(jù)或合成樣本計(jì)算對抗噪聲并生成對抗樣本都會導(dǎo)致對抗攻擊的泛化能力相應(yīng)降低。具體而言，單獨(dú)使用原始數(shù)據(jù)計(jì)算對抗噪聲并生成對抗樣本會導(dǎo)致對抗樣本對某特征的過度依賴；而單獨(dú)使用合成樣本計(jì)算對抗噪聲并生成對抗樣本會導(dǎo)致對抗樣本偏離自然分布。為進(jìn)一步提高對抗攻擊的可遷移性，根據(jù)所述合成樣本更新所述第一圖像數(shù)據(jù)集，獲得第二數(shù)據(jù)集的方法為：

8、對所述第一數(shù)據(jù)集進(jìn)行抽樣，獲得第二樣本圖像；

9、計(jì)算合成樣本，混合所述第二樣本圖像和所述合成樣本，獲得第三樣本圖像；

10、將所述第三樣本圖像加入所述第一數(shù)據(jù)集，獲得第二數(shù)據(jù)集。

11、進(jìn)一步的，為了獲得不同于原始圖像的合成圖像，并使合成圖像與原始圖像保持高度的視覺相似性，所述計(jì)算合成樣本方法為：

12、獲得待處理圖像；

13、對所述待處理圖像疊加噪聲數(shù)據(jù)，獲得第一數(shù)據(jù)；

14、對所述第一數(shù)據(jù)進(jìn)行去噪處理，獲得合成樣本。

15、其中，混合所述第二樣本圖像和所述合成樣本的方法為：

16、x′＝λ·x+(1-λ)·s(x)

17、其中，x為所述第二樣本圖像，s(x)為所述合成樣本，x′為混合后的圖像，λ為所述樣本圖像和所述合成樣本的混合比。

18、進(jìn)一步的，根據(jù)wang等人利用學(xué)習(xí)感知圖像塊相似度比較原始圖像與數(shù)據(jù)增強(qiáng)后圖像之間的語義相似度的研究可知：在不損害圖像語義信息的情況下，隨著數(shù)據(jù)增強(qiáng)后圖像多樣性的增加、數(shù)據(jù)增強(qiáng)后圖像與原始圖像相似度的降低，對抗攻擊的可遷移性增強(qiáng)。因此，本方法通過對圖像分塊增強(qiáng)以提高圖像多樣性，所述對所述第二數(shù)據(jù)集進(jìn)行數(shù)據(jù)增強(qiáng)的方法為：

19、遍歷所述第二數(shù)據(jù)集，獲得第四樣本圖像；

20、對所述第四樣本圖像分區(qū)，獲得n個圖像塊，n為非零自然數(shù)；

21、對所述圖像塊進(jìn)行數(shù)據(jù)增強(qiáng)，獲得第三數(shù)據(jù)集。

22、進(jìn)一步的，圖像塊的數(shù)量決定了數(shù)據(jù)增強(qiáng)后圖像的多樣性，分割后的圖像區(qū)塊數(shù)量越大，則對抗攻擊的可遷移性越好。但當(dāng)圖像區(qū)塊數(shù)量大于臨界值后，樣本的多樣性會為梯度計(jì)算引入更多的方差，使攻擊性能略有下降。同時，同一圖像不同區(qū)域的語義信息含量不同，通過細(xì)粒度顯著性映射計(jì)算能夠得到圖像語義信息分布情況。因此，本方法計(jì)算樣本的細(xì)粒度顯著性映射后對圖像語義信息含量大的區(qū)域分割較多的圖像區(qū)塊，而對無關(guān)區(qū)域分割較少的圖像區(qū)塊以保證攻擊性能。所述第二圖像數(shù)據(jù)集進(jìn)行數(shù)據(jù)增強(qiáng)的方法為：

23、遍歷所述第二數(shù)據(jù)集，獲得第五樣本圖像；

24、計(jì)算所述第五樣本圖像對應(yīng)的第一細(xì)粒度顯著性映射；

25、根據(jù)所述第一細(xì)粒度顯著性映射對所述第五樣本圖像進(jìn)行分區(qū)，獲得m個圖像塊，m為非零自然數(shù)；

26、對所述圖像塊進(jìn)行數(shù)據(jù)增強(qiáng)，獲得第三數(shù)據(jù)集。

27、進(jìn)一步的，為了提高圖像數(shù)據(jù)增強(qiáng)后的多樣性，對分割后的圖像塊隨機(jī)應(yīng)用不同的圖像方法，所述對所述圖像塊進(jìn)行數(shù)據(jù)增強(qiáng)的方法為：

28、生成圖像變換集，所述圖像變換集包括位移變換集和像素變換集；

29、將所述圖像塊分別輸入所述位移變換集和/或所述像素變換集，獲得第三數(shù)據(jù)集。

30、進(jìn)一步的，為了根據(jù)原始樣本語義信息的分布情況優(yōu)化對原始樣本添加的擾動，提高對抗攻擊的隱蔽性及有效性，計(jì)算所述第三數(shù)據(jù)集對應(yīng)的對抗噪聲并根據(jù)所述對抗噪聲處理所述第一樣本圖像，生成對抗樣本的方法為：

31、計(jì)算所述第一樣本圖像對應(yīng)的第二細(xì)粒度顯著性映射；

32、遍歷所述第三數(shù)據(jù)集，獲得第六樣本圖像；

33、計(jì)算所述第六樣本圖像對應(yīng)的對抗噪聲，根據(jù)所述第二細(xì)粒度顯著性映射優(yōu)化所述對抗噪聲；

34、根據(jù)優(yōu)化后的對抗噪聲攻擊所述第一樣本圖像，獲得對抗樣本。

35、為實(shí)現(xiàn)上述目的，本發(fā)明還提供了一種對抗樣本生成系統(tǒng)，所述系統(tǒng)包括：

36、樣本采集單元，用于：獲得第一數(shù)據(jù)集，所述第一數(shù)據(jù)集中包括若干第一樣本圖像；

37、樣本處理單元，用于：計(jì)算合成樣本，根據(jù)所述合成樣本更新所述第一數(shù)據(jù)集，獲得第二數(shù)據(jù)集；

38、樣本增強(qiáng)單元，用于：對所述第二數(shù)據(jù)集進(jìn)行數(shù)據(jù)增強(qiáng)，獲得第三數(shù)據(jù)集；

39、樣本生成單元，用于：計(jì)算所述第三數(shù)據(jù)集對應(yīng)的對抗噪聲并根據(jù)所述對抗噪聲處理所述第一樣本圖像，生成對抗樣本。

40、其中，本系統(tǒng)原理為：獲得原始輸入樣本對應(yīng)的第一圖像數(shù)據(jù)集后，先計(jì)算第一樣本圖像對應(yīng)的合成樣本，通過所述合成樣本更新所述第一數(shù)據(jù)集，對更新后的圖像數(shù)據(jù)集進(jìn)行數(shù)據(jù)增強(qiáng)，利用充分變換后的圖像梯度更新對抗樣本，基于本發(fā)明提供的系統(tǒng)生成的對抗樣本能夠使對抗攻擊具有良好的可遷移性。

41、為實(shí)現(xiàn)上述目的，本發(fā)明還提供了一種對抗樣本生成裝置，包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器上的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時實(shí)現(xiàn)上述任意一個所述對抗樣本生成方法的步驟。

42、本發(fā)明提供的一個或多個技術(shù)方案，至少具有如下技術(shù)效果或優(yōu)點(diǎn)：

43、1.獲得原始輸入樣本后，計(jì)算合成樣本并更新原始樣本，避免了對抗樣本生成受限于原始數(shù)據(jù)，提高了對抗攻擊的可遷移性。

44、2.對圖像樣本進(jìn)行分區(qū)數(shù)據(jù)增強(qiáng)，使增強(qiáng)后的樣本具有良好的多樣性，提高了對抗攻擊的可遷移性。

45、3.利用細(xì)粒度顯著性映射計(jì)算圖像語義信息分布情況，根據(jù)圖像語義信息分布情況有針對性的對圖像進(jìn)行數(shù)據(jù)增強(qiáng)，降低了擾動的可察覺性，在保持對抗攻擊隱蔽性的同時提高了對抗攻擊的有效性。