[发明专利]一种基于稀疏扰动的黑盒视频对抗样本生成方法

说明书

本发明公开了一种基于稀疏扰动的黑盒视频对抗样本生成方法，属于对抗样本生成方法技术领域，解决现有技术对视频的每个视频帧都添加扰动，对抗样本的生成效率低，生成的对抗样本扰动率高、隐蔽性差的问题。本发明获取视频，基于关键帧识别方法选取视频中的关键帧；基于关键区域识别技术评估各关键帧中的关键区域；将对抗样本生成系统生成的关键区域的扰动添加到关键区域上，得到初始化的视频对抗样本；基于初始化的视频对抗样本，利用黑盒梯度估计方法进行梯度的优化，生成最终的视频对抗样本。本发明用于生成视频对抗样本。

技术领域

一种基于稀疏扰动的黑盒视频对抗样本生成方法，用于生成视频对抗样本，属于人工智能安全领域技术领域。

背景技术

近年来，随着深度神经网络技术广泛应用于图像识别与分类，深度神经网络自身的安全性研究也愈发受到重视。现有技术表明，深度神经网络易受到对抗样本的攻击。对抗样本攻击指在原始的图片、音频或视频等数据上添加微小的、人类感官无法察觉的扰动，而使得基于深度神经网络的分类系统产生误分类的攻击方法。现有的对抗样本生成技术（如：深度神经网络生成方法）主要针对图片、音频系统。现有的图片对抗样本生成技术是基于像素点的映射，即通过对图片的每一个像素点添加一定的扰动得到最终的图片对抗样本；而视频对抗样本生成技术则是直接将针对图片的对抗样本生成方法应用到视频对抗样本的生成上，即对原始视频的每一帧中的每一像素点都添加扰动，会导致总体的扰动率过大，隐蔽性差的问题；同时，由于要针对每一个像素点进行基于梯度下降的优化，其复杂程度相较于图片对抗样本的生成将呈指数增长（因为视频中包含的总的像素点个数远远高于图片），所以存在生成效率低的问题，对于视频对抗样本的生成存在生成效率低，生成的对抗样本扰动率高、隐蔽性差的问题。

发明内容

针对上述研究的问题，本发明的目的在于提供一种基于稀疏扰动的黑盒视频对抗样本生成方法，解决现有技术对视频的每个视频帧都添加扰动，对抗样本的生成效率低，生成的对抗样本扰动率高、隐蔽性差的问题。

为了达到上述目的，本发明采用如下技术方案：

一种基于稀疏扰动的黑盒视频对抗样本生成方法，包括如下步骤：

S1、获取视频，基于关键帧识别方法选取视频中的关键帧；

S2、基于关键区域识别技术评估各关键帧中的关键区域；

S3、将对抗样本生成系统生成的关键区域的扰动添加到关键区域上，得到初始化的视频对抗样本；

S4、基于初始化的视频对抗样本，利用黑盒梯度估计方法进行梯度的优化，生成最终的视频对抗样本。

进一步，所述步骤S1的具体步骤为：

获取一段视频，表示该视频的第个帧；

剔除视频中的第帧得到的子集视频为，将和分别输入黑盒视频分类系统，黑盒视频分类系统输出的概率差值作为评估第帧重要性的指标，即，其中，表示将视频输入黑盒视频分类系统输出的概率，表示将子集视频输入黑盒视频分类系统输出的概率；

对所有的概率差值按照从大到小的顺序进行排序，选取前个所对应的个帧作为选取出的关键帧。

进一步，所述步骤S2中的关键区域识别技术是指OpenCV中提供关键区域的识别方法；

即基于OpenCV中提供关键区域的识别方法提取出关键帧中的关键区域。

进一步，所述步骤S3的具体步骤为：

将选取的关键帧输入图片对抗样本生成系统生成针对图片系统的扰动，将该扰动添加到对应的关键帧区域上，即扰动所对应的位置的值相加，得到初始化的视频对抗样本。

进一步，所述步骤S4的具体步骤为：