一种对抗攻击图像生成方法、装置、设备及存储介质

本申请涉及计算机，尤其涉及一种对抗攻击图像生成方法、装置、设备及存储介质。

背景技术：

1、图像对抗攻击算法是用来攻击深度学习模型的一种技术，它在原有图像上添加轻微扰动生成对抗性样本，从而愚弄深度神经网络模型产生近乎荒谬的预测结果。由于对抗性样本具有可迁移性，深度神经网络的脆弱性受到广泛关注，具有高可迁移性的对抗性攻击算法成为热门研究领域。

2、近年来，以卷积神经网络为代表的深度神经网络模型得到了广泛应用，尤其在图像分类任务中，随着图像数据的增多和计算机算力的增加，深度神经网络展露出显著的优势。然而szegedy等人的研究表明，深度神经网络并不可靠，它们容易受到在原有图像上进行轻微改动而生成的对抗样本的攻击。这种精心设计的对抗样本可以轻易地愚弄最先进的深度神经网络，使其产生近乎荒谬的预测结果，并且，对抗样本攻击已经从理论研究发展到了真实的物理世界，这给深度模型的实际应用带来了很多不确定性。因此，研究对抗样本，进而研究深度神经网络的内部缺陷，提高模型的鲁棒性，解决实际应用中的安全性问题，是当前计算机视觉领域的重中之重。

3、对抗性扰动的有效性来源于它所包含的不相关特征，这些不相关特征相比干净样本本身的特征对分类器的影响更加显著，如何使得对抗攻击图像能够拥有更易被分类器提取并识别的高密重复性特征是急需解决的技术问题。

技术实现思路

1、本申请提供了一种对抗攻击图像生成方法、装置、设备及存储介质，使得对抗攻击图像能够拥有更易被分类器提取并识别的高密重复性特征。

2、有鉴于此，本申请第一方面提供了一种对抗攻击图像生成方法，所述方法包括：

3、s1、在目标数据域中构建一个生成器gθ；

4、s2、获取干净样本以及对抗性噪声图案；

5、s3、将对抗性噪声图案作为正样本，干净样本作为负样本，以相似性对比损失值为最小为目标，对生成器gθ进行训练；

6、s4、获取训练后的生成器gθ根据待输入图像生成的第一对抗攻击图像；

7、s5、通过高斯低通滤波器提取干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征；

8、s6、将干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征进行融合，得到第二对抗攻击图像。

9、可选地，所述步骤s3具体包括：

10、将对抗性噪声图案作为正样本，干净样本作为负样本，以分类器特定层l的相似性对比损失值为最小值为目标，对生成器进行训练，其中所述相似性对比损失值的第一计算式为：

11、

12、其中，α∈r+，xi为干净样本，上标i表示干净样本来源于目标数据域，fil为在目标数据域中训练的分类器，l表示为特定层的特征映射，p代表对抗性噪声图案，为生成器gθ生成的对抗样本与干净样本xi在特定层l中的余弦相似度，为生成器gθ生成的对抗样本与对抗性噪声图案p在特定层l中的余弦相似度。

13、可选地，所述步骤s3具体包括：

14、将对抗性噪声图案作为正样本，干净样本作为负样本，以分类器各特征层l的加权相似性对比损失值为最小值为目标，对生成器进行训练，其中所述加权相似性对比损失值的第二计算式为：

15、

16、其中，α∈r+，xi为干净样本，上标i表示干净样本来源于目标数据域，fil为在目标数据域中训练的分类器，l表示为分类器各特征层的特征映射，p代表对抗性噪声图案，为生成器gθ生成的对抗样本与干净样本xi在分类器特征层l中的余弦相似度，为生成器gθ生成的对抗样本与对抗性噪声图案在分类器特征层l中的余弦相似度，ωl为分类器特征层l中信息的权重。

17、可选地，所述第一对抗攻击图像具体为：

18、

19、其中，干净样本xτ∈xτ，ε为预设值。

20、可选地，所述高斯低通滤波器具体为：

21、

22、其中，σ为高斯函数的标准差，μ和v分别为高斯函数在x轴和y轴方向上的均值，且高斯低通滤波器核的大小为(4σ+1)*(4σ+1)。

23、可选地，所述第二对抗攻击图像具体为：

24、

25、其中，*表示高斯滤波中的卷积操作，δ是用于平衡来自不同部分的高频和低频信息，ε使对抗性扰动收到l∞范数的约束。

26、本申请第二方面提供一种对抗攻击图像生成装置，所述装置包括：

27、构建单元，用于在目标数据域中构建一个生成器gθ；

28、第一获取单元，用于获取干净样本以及对抗性噪声图案；

29、训练单元，用于将对抗性噪声图案作为正样本，干净样本作为负样本，以相似性对比损失值为最小为目标，对生成器gθ进行训练；

30、第二获取单元，用于获取训练后的生成器gθ根据待输入图像生成的第一对抗攻击图像；

31、滤波单元，用于通过高斯低通滤波器提取干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征；

32、融合单元，用于将干净样本的低频部分特征以及第一对抗攻击图像的高频部分特征进行融合，得到第二对抗攻击图像。

33、可选地，所述训练单元具体用于：

34、将对抗性噪声图案作为正样本，干净样本作为负样本，以分类器特定层l的相似性对比损失值为最小值为目标，对生成器进行训练，其中所述相似性对比损失值的第一计算式为：

35、

36、其中，α∈r+，xi为干净样本，上标i表示干净样本来源于目标数据域，fil为在目标数据域中训练的分类器，l表示为特定层的特征映射，p代表对抗性噪声图案，为生成器gθ生成的对抗样本与干净样本xi在特定层l中的余弦相似度，为生成器gθ生成的对抗样本与对抗性噪声图案p在特定层l中的余弦相似度。

37、本申请第三方面提供一种对抗攻击图像生成设备，所述设备包括处理器以及存储器：

38、所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

39、所述处理器用于根据所述程序代码中的指令，执行如上述第一方面所述的对抗攻击图像生成的方法的步骤。

40、本申请第四方面提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行上述第一方面所述的方法。

41、从以上技术方案可以看出，本申请实施例具有以下优点：

42、本申请中，提供了一种对抗攻击图像生成方法、装置、设备及存储介质，通过选择特定的对抗噪声图案以及干净样本作为生成器的输入，基于对比学习的相似性对比损失，在破坏干净样本的低级特征的同时学习适应样本的高密重复性特征，使得训练后的生成器输出的对抗样本获得影响分类器决策的新特征，进一步地利用高斯低通滤波器提取干净样本的低频部分和对抗样本的高频部分进行融合，产生新的对抗攻击样本进一步地强化了原特征的丢失以及新特征的融合，提高了对抗攻击样本的泛化能力以及攻击成功率。

技术特征：

1.一种对抗攻击图像生成方法，其特征在于，包括：

2.根据权利要求1所述的对抗攻击图像生成方法，其特征在于，所述步骤s3具体包括：

3.根据权利要求1所述的对抗攻击图像生成方法，其特征在于，所述步骤s3具体包括：

4.根据权利要求2或3所述的对抗攻击图像生成方法，其特征在于，所述第一对抗攻击图像具体为：

5.根据权利要求4所述的对抗攻击图像生成方法，其特征在于，所述高斯低通滤波器具体为：

6.根据权利要求5所述的对抗攻击图像生成方法，其特征在于，所述第二对抗攻击图像具体为：

7.一种对抗攻击图像生成装置，其特征在于，包括：

8.根据权利要求7所述的对抗攻击图像生成装置，其特征在于，所述训练单元具体用于：

9.一种对抗攻击图像生成设备，其特征在于，所述设备包括处理器以及存储器：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行权利要求1-6任一项所述的对抗攻击图像生成方法。

技术总结
本申请公开了一种对抗攻击图像生成方法、装置、设备及存储介质，通过选择特定的对抗噪声图案以及干净样本作为生成器的输入，基于对比学习的相似性对比损失，在破坏干净样本的低级特征的同时学习适应样本的高密重复性特征，使得训练后的生成器输出的对抗样本获得影响分类器决策的新特征，进一步地利用高斯低通滤波器提取干净样本的低频部分和对抗样本的高频部分进行融合，产生新的对抗攻击样本进一步地强化了原特征的丢失以及新特征的融合，提高了对抗攻击样本的泛化能力以及攻击成功率。

技术研发人员：李智,王熠,罗如为,张丽
受保护的技术使用者：贵州大学
技术研发日：
技术公布日：2024/1/15