1.一种指定标签的对抗样本生成方法,其特征在于,包括:
将原始图像样本输入预设多标签分类网络,得到用于对所述原始图像样本进行多标签分类的各个标签的预测分数值;
从所述各个标签的预测分数值中抽取指定标签对应的预测分数值;
根据所述指定标签对应的预测分数值,采用动量快速梯度迭代mi-fgsm方法生成第一攻击扰动;
利用梯度权值类别响应图grad-cam方法对所述第一攻击扰动进行裁剪,得到第二攻击扰动;
将所述第二攻击扰动叠加到所述原始图像样本上,生成与所述指定标签对应的对抗样本。
2.根据权利要求1所述的方法,其特征在于,所述预设多标签分类网络包括:依次连接的特征提取骨干网络、全连接层和激活函数。
3.根据权利要求1所述的方法,其特征在于,所述根据所述指定标签对应的预测分数值,采用动量快速梯度迭代mi-fgsm方法生成第一攻击扰动,包括:
步骤s1、设置mi-fgsm迭代参数,所述迭代参数包括动量momentum、扰动值范围epsilon、迭代步数iternum、迭代步长α;
步骤s2、计算出所述指定标签对应的预测分数值关于所述原始图像样本的偏导数grad,以初始化梯度;
步骤s3、根据公式攻击扰动noise=momentum×noise+α×grad更新攻击扰动,并根据扰动值范围epsilon对更新后攻击扰动进行裁剪;
步骤s4、重复步骤s3,直到迭代了iternum步为止,得到第一攻击扰动。
4.根据权利要求1所述的方法,其特征在于,所述利用梯度权值类别响应图grad-cam方法对所述第一攻击扰动进行裁剪,得到第二攻击扰动,包括:
通过所述指定标签对应的损失函数对所述原始图像样本在所述预设多标签分类网络的各特征层的特征图像求导并加权求和,得到目标特征图像;
通过双线性插值方法将所述目标特征图像还原到与所述原始图像样本相同的尺度,得到grad-cam;
根据所述grad-cam对所述第一攻击扰动进行噪声裁剪,生成第二攻击扰动。
5.一种指定标签的对抗样本生成装置,其特征在于,包括:
预测模块,用于将原始图像样本输入预设多标签分类网络,得到用于对所述原始图像样本进行多标签分类的各个标签的预测分数值;
抽取模块,用于从所述各个标签的预测分数值中抽取指定标签对应的预测分数值;
梯度迭代模块,用于根据所述指定标签对应的预测分数值,采用动量快速梯度迭代mi-fgsm方法生成第一攻击扰动;
裁剪模块,用于利用梯度权值类别响应图grad-cam方法对所述第一攻击扰动进行裁剪,得到第二攻击扰动;
生成模块,用于将所述第二攻击扰动叠加到所述原始图像样本上,生成与所述指定标签对应的对抗样本。
6.根据权利要求5所述的装置,其特征在于,所述预设多标签分类网络包括:依次连接的特征提取骨干网络、全连接层和激活函数。
7.根据权利要求5所述的装置,其特征在于,所述梯度迭代模块,具体用于:
s1、设置mi-fgsm迭代参数,所述迭代参数包括动量momentum、扰动值范围epsilon、迭代步数iternum、迭代步长α;
s2、计算出所述指定标签对应的预测分数值关于所述原始图像样本的偏导数grad,以初始化梯度;
s3、根据公式攻击扰动noise=momentum×noise+α×grad更新攻击扰动,并根据扰动值范围epsilon对更新后攻击扰动进行裁剪;
s4、重复s3,直到迭代了iternum步为止,得到第一攻击扰动。
8.根据权利要求5所述的装置,其特征在于,所述裁剪模块,具体用于:
通过所述指定标签对应的损失函数对所述原始图像样本在所述预设多标签分类网络的各特征层的特征图像求导并加权求和,得到目标特征图像;
通过双线性插值方法将所述目标特征图像还原到与所述原始图像样本相同的尺度,得到grad-cam;
根据所述grad-cam对所述第一攻击扰动进行噪声裁剪,生成第二攻击扰动。
9.一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序时执行以实现如权利要求1至4任一项所述的方法。
10.一种计算机可读介质,其特征在于,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1至4任一项所述的方法。