[发明专利]一种基于生成机制的高分辨率对抗样本的合成方法

说明书

本发明涉及深度学习计算机视觉领域，具体的是一种基于生成机制的高分辨率对抗样本的合成方法，包括以下步骤：首先使用数据增强技术对高分辨率的数据集进行预处理，来获得复杂的数据分布以减少生成对抗网络在训练时出现过拟合现象；接着使用特征提取模型来提取输入的深层特征；然后结合主成分分析(PCA)和基于核函数的主成分分析(KPCA)方法，在保持原始输入96％以上的特征的同时将输入映射到噪声矢量；最后将上述特征和噪声矢量作为生成对抗网络生成器的输入进行训练，进而合成具有高分辨率的对抗样本。本发明实现了在高分辨率图像上产生更自然的扰动；提升了在复杂深度学习模型上的攻击成功率；合成了具有较好迁移性的强语义关联对抗样本。

技术领域

本发明涉及深度学习计算机视觉领域，具体的是一种基于生成机制的高分辨率对抗样本的合成方法。

背景技术

深度神经网络的最新成就使得计算机视觉、语音识别、自然语言处理、和Web挖掘等领域取得了重大突破。然而Szegedy等人提出对抗样本的概念，通过在原始良性输入图片的像素上添加人类难以感知的微小扰动，可以诱导深度学习模型将输入示例错误分类为其他类别，从而导致性能显著降低。Nguyen等人提出，深度学习模型可以高置信度地对人类无法识别的某些实例进行分类，这意味着深度学习模型非常脆弱。随着对抗样本这一概念的提出，围绕生成对抗样本的算法开始大量涌现，并且出现了各种各样的流派。这种现象对于深度学习的攻击和防御方面都具有重大的实际意义。其中攻击策略可分为以下几类：

1、基于敏感度分析，对抗攻击使用敏感度分析(一种用于确定每个输入特征对输出的贡献的算法)来发现敏感特征并对其进行干扰。在这一类别中具有代表性的算法，例如FGSM，JSMA和PGD。通常，这些攻击比基于优化的攻击要快也更直接，因此，它们更适合被整合到深度学习模型的训练过程中并提高其鲁棒性；

2、基于优化，攻击者使用优化算法来搜索解决方案，替代形式或约束。一些有代表性的算法是L-BFGS，DeepFool，CW等。尽管基于灵敏度分析的攻击更为普遍，但这些都需要对受攻击系统有全面的了解。与基于灵敏度分析的方法相比，基于优化的攻击在黑盒方案中使用更多；

3、基于生成机制，使用生成模型学习对抗扰动的概率分布，并将其用于采样新的对抗样本。一个有代表性的生成模型是生成对抗网络(GAN)，它不同于上面基于优化和基于敏感性分析的方法。一旦生成器学习了输入示例的分布，就可以在短时间内产生大量的对抗扰动。一些典型的算法是AdvGAN，Natural GAN，Rob-GAN等。

值得注意的是，由于数据量大，所需的计算资源高，之前基于生成机制算法合成对抗样本是使用小型和简单的数据集(例如MNIST，CIFAR-10和Tiny-ImageNet(64像素))进行训练的。这导致生成的对抗样本可视化效果不佳。此外通过增加迭代次数或调整相关的超参数，会使得训练模型在小规模数据集上出现过拟合。这会导致生成的对抗样本在白盒攻击下会表现出良好的性能，但当对抗样本被转移到其他模型进行测试时，性能表现就会较差。因此一种基于生成机制的高分辨率对抗样本的合成方法来解决上述问题，并且通过高分辨率对抗样本来发现深度学习模型中的盲点来提升整个模型的鲁棒性尤其重要。

发明内容

为解决上述背景技术中提到的不足，本发明的目的在于提供一种基于生成机制的高分辨率对抗样本的合成方法。

本发明的目的可以通过以下技术方案实现：

一种基于生成机制的高分辨率对抗样本的合成方法，所述合成方法包括以下步骤：

步骤1、选取大规模高分辨率数据集，并且对选取的数据集X进行图片增强，生成增强数据X′；

步骤2、使用VGG19作为特征提取函数F_x()对输入x′(x′∈X′)进行特征提取；

步骤3、使用主成分分析(PCA)的线性降维方法将x′映射到相应的噪声矢量z；