[发明专利]基于图像亮度随机变换的对抗样本生成方法及系统

说明书

本发明属于计算机视觉图像识别技术领域，特别涉及一种基于图像亮度随机变换的对抗样本生成方法及系统，收集用于视觉图像分类识别的样本数据，包含输入图像、以及与输入图像对应的标签数据；构建用于生成对抗样本的深度神经网络模型；通过对样本数据输入图像亮度随机变换进行数据增强，利用动量迭代FGSM图像对抗算法对网络模型求解，在目标损失函数关于输入梯度方向上寻找对抗扰动，并对对抗扰动进行无穷范数限制，通过最大化样本数据在网络模型上的目标损失函数来生成对抗样本。本发明将图像亮度随机变换引入到对抗攻击中，有效消除对抗样本生成过程过拟合，提高对抗样本攻击成功率和可迁移性，为构建更加鲁棒图像分类识别系统打下良好基础。

技术领域

本发明属于计算机视觉图像识别技术领域，特别涉及一种基于图像亮度随机变换的对抗 样本生成方法及系统。

背景技术

在图像识别领域，一些标准测试集上的实验结果表明，深度神经网络的识别能力已经可 以达到超过人类的水平。然而，在深度学习带给人们巨大便利的同时，其本身也存在一些安 全性问题。对于一个非正常的输入，深度神经网络是否依然能够得出满意的结果，其中隐含 的安全问题也渐渐引起人们的关注。深度神经网络已经被证明容易受到对抗样本的攻击，它 是通过在原始输入图像中添加人类不易察觉的附加扰动导致模型错误分类而产生的。通常情 况下，对抗样本具有一定的迁移性，即针对一个模型生成的对抗样本可能对另一个模型而言 也是对抗的，这种现象使得黑盒攻击成为可能，这凸显了其威胁性。攻击性能强的对抗样本 是评估模型鲁棒性的重要工具，以及它还可以作为对抗训练的输入来改善模型的鲁棒性。虽 然对抗样本具有可迁移性，但如何进一步提高其迁移性以进行有效的黑盒攻击仍然有待研究。 一些基于梯度的攻击被提出来寻找对抗样本，例如单步攻击方法和迭代攻击方法。在白盒攻 击场景下，这些方法表现出强大的攻击能力，然而在黑盒设置下，这些方法的攻击成功率却 比较低，可以认为是对抗样本发生了“过拟合”，即同一对抗样本在白盒和黑盒设置下的攻 击能力类似于同一神经网络在训练集与测试集上的表现差异。

发明内容

为此，本发明提供一种基于图像亮度随机变换的对抗样本生成方法及系统，将图像亮度 的随机变换引入到对抗攻击中，从而有效的消除对抗样本生成过程中的过拟合，提升对抗样 本的可迁移性，从而为构建更加鲁棒的图像分类识别系统打下良好基础。

按照本发明所提供的设计方案，一种基于图像亮度随机变换的对抗样本生成方法，用于 视觉图像分类识别，包含如下内容：

收集用于视觉图像分类识别的样本数据，该样本数据中包含输入图像、与输入图像对应 的标签数据；

构建用于对抗样本生成的神经网络模型；

针对样本数据，通过对样本数据中的输入图像亮度的随机变换进行数据增强，利用动量 迭代FGSM图像对抗算法对神经网络模型进行求解，在目标损失函数关于输入的梯度方向上 寻找对抗扰动，并对对抗扰动进行无穷范数限制，通过最大化样本数据在网络模型上的目标 损失函数来生成对抗样本。

作为本发明基于图像亮度随机变换的对抗样本生成方法，进一步地，神经网络模型目标 损失函数表示为：J(θ,x,y)，其中，x为输入图像，y为与输入图像x对应的标签，θ为神经 网络模型的参数，通过最大化J(θ,x,y)来生成与输入图像x对应的对抗样本x^adv。

作为本发明基于图像亮度随机变换的对抗样本生成方法，进一步地，对抗扰动限制的网 络模型优化问题表示为：ε为对抗扰动大小。

作为本发明基于图像亮度随机变换的对抗样本生成方法，进一步地，每次迭代的随机变 换中，通过设置转换概率来控制输入图像和变换图像之间的平衡。

作为本发明基于图像亮度随机变换的对抗样本生成方法，进一步地，利用动量迭代FGSM 图像对抗算法对网络模型中对抗扰动进行优化，优化后的对抗样本生成问题表示为：