[发明专利]对抗扰动生成方法、装置及存储介质

说明书

本申请实施例涉及计算机视觉领域，一些实施例提供了一种对抗扰动生成方法、装置及存储介质。该方法包括：获取原始图像、第一图像识别模型和对抗扰动；将所述原始图像与所述对抗扰动叠加后，输入所述第一图像识别模型，得到输出结果；计算所述输出结果与攻击目标标签之间的相似度；若所述输出结果与攻击目标标签之间的相似度未达到第一预设阈值，则更新所述对抗扰动，直至所述输出结果与攻击目标标签之间的相似度达到第一预设阈值，并将更新后的对抗扰动作为目标对抗扰动。本申请实施例可以基于知识蒸馏得到的代理模型生成对抗图像，由于知识蒸馏时，代理模型学习到了更加全面的特征，从而生成的对抗图像能够迁移攻击更多不同的图像识别模型。

技术领域

本申请实施例涉及计算机视觉领域，更具体地涉及一种对抗扰动生成方法、装置及存储介质。

背景技术

在实际分类任务中，待识别的图像不可避免地存在一些包含干扰的对象，如果需要通过图像识别模型对该包含干扰的图象准确进行分类，则需要图像识别模型具有较高的抗干扰能力。相关技术中，一般通过对抗图像来对待检测的图像识别模型(例如商业模型)的抗干扰能力进行检测。通常采用基于询问的方法和基于迁移的方法来生成对抗图像。

由于基于询问的方法需要多次访问待检测的图像识别模型，而商用模型(例如手机或门禁的人脸识别模型)一般都是黑盒模型，且通常都会设置限制访问策略。由此，很难通过基于询问的方法生成针对商用模型的对抗图像。对于商用模型，通常采用基于迁移的方法生成用于检测商业模型的抗干扰能力的对抗图像。

基于迁移的方法需要在与商用模型具有相同识别特性的代理模型上生成对抗图像，即需要预先获取受害模型，才能在该受害模型生成对抗图像，然后利用该对抗图像对商用模型进行迁移攻击，以确定待检测的商用模型的抗干扰能力。

然而，现有的基于迁移的方法，往往需要针对每个待检测模型，都对应的选取一个代理模型来生成对抗图像，生成的对抗图像只能对有限数量的图像识别模型成功地迁移攻击，可见，基于该方法生成的对抗图像的迁移攻击性能较弱，即基于与待检测模型不匹配的代理模型生成的对抗图像，影响对待检测模型的抗干扰能力的检测效果，甚至无法检测抗干扰能力。

发明内容

本申请实施例提供一种对抗扰动生成方法、装置及存储介质，可以基于知识蒸馏得到的代理模型生成对抗图像，由于知识蒸馏时，代理模型学习到了更加全面的特征，从而生成的对抗图像上含有的错误类别的特征与对应的攻击目标类别更加匹配，能够迁移攻击更多不同的图像识别模型，从而一个对抗图像可以检测多个图像识别模型的抗干扰能力。

在本申请的第一方面中，提供了一种对抗扰动生成方法，包括：

获取原始图像、第一图像识别模型和对抗扰动，其中，所述第一图像识别模型通过知识蒸馏得到，在进行知识蒸馏时，仅通过第二图像识别模型的预测概率分布指导所述第一图像识别模型的训练；

将所述原始图像与所述对抗扰动叠加后，输入所述第一图像识别模型，得到输出结果；

计算所述输出结果与攻击目标标签之间的相似度，其中，所述攻击目标标签与所述原始图像标签相同或不同；

若所述输出结果与攻击目标标签之间的相似度未达到第一预设阈值，则更新所述对抗扰动，直至所述第一图像识别模型的输出结果与攻击目标标签之间的相似度达到第一预设阈值，并将更新后的对抗扰动作为目标对抗扰动；

其中，所述目标对抗扰动用于叠加所述原始图像，生成对抗图像，所述对抗图像用于迁移攻击多个与所述第一图像识别模型不同的图像识别模型。

在本申请的第二方面中，提供了一种对抗扰动生成装置，包括：

输入输出模块，被配置为获取原始图像、第一图像识别模型和对抗扰动，其中，所述第一图像识别模型通过知识蒸馏得到，在进行知识蒸馏时，仅通过第二图像识别模型的预测概率分布指导所述第一图像识别模型的训练；