[发明专利]一种抵抗JPEG压缩的对抗样本的生成方法

说明书

本发明公开了一种抵抗JPEG压缩的对抗样本的生成方法，其利用设计好的空间形变网络对图像形变，使得生成的对抗样本在公共信道传播时能抵抗可能的压缩；空间形变网络由定位网络和取样模块组成，定位网络由多个卷积层和池化层等组成，通过对图像进行对应空间坐标值的计算得到形变图像；将训练集中的图像块放入空间形变网络进行训练，得到形变图像块，然后将得到的形变图像块进行提取、拼接得到与原始样本相同大小的对抗样本；在测试阶段，通过对得到的对抗样本进行图像质量的评估来衡量对抗样本经过JPEG压缩后的对抗性是否下降；优点是其生成的对抗样本在公共信道上进行传播时能更好地抵抗JPEG压缩，进而保证了经过传播后的对抗样本依然具有很好的攻击性。

技术领域

本发明涉及一种对抗样本生成技术，尤其是涉及一种抵抗JPEG(JointPhotographicExperts Group，联合图像专家小组)压缩的对抗样本的生成方法，其生成的对抗样本可以更好地抵抗JPEG压缩。

背景技术

随着社交网络等新媒体技术的飞速发展，大量图片在互联网上传播。若这些图片在信道上以原始图片的方式进行传输时，需要占用大量的传输空间和存储空间，增加相关内容服务提供商的存储成本。因此，为了解决这个问题，传输前需要对原始图片进行压缩，以减少图片传输和存储所需要的成本。传统的压缩方法可分为有损压缩和无损压缩。无损压缩是指数据经过压缩后，信息不被破坏，压缩过程完全可逆，即可以将数据恢复原样。有损压缩是指将次要的数据舍弃，牺牲一些质量来减少数据量、提高压缩比。无损压缩常用于对图像质量要求较高的应用场景；有损压缩则更适合用户规模较大的场景，如社交网络。JPEG压缩技术是图像中最常见也是最通用的有损压缩技术，其特点是可以根据不同的压缩因子，对图像进行不同强度的压缩。JPEG压缩的一般流程如图1所示，编码过程首先将RGB格式的图像转换为YCrCb格式，然后进行分块和离散余弦变换(Discrete Cosine Transform，DCT)，再对DCT系数进行量化，最后将量化后的系数进行熵编码；解码过程首先进行熵解码得到DCT系数，然后将解码后的DCT系数进行逆DCT变换，转换到像素空间，最后将得到的像素块组成图像，并由YCrCb格式转换回RGB格式，得到JPEG压缩后的图像。在JPEG压缩的流程中，量化操作是有损的，同时也是不可微的，对图像进行JPEG压缩后，由于量化的影响，因此每个8×8的像素块边界均会出现失真，严重影响了图像的视觉质量。

然而，评价一幅图像是否“好看”有很多种方法，传统的方法只能通过指标去静态的衡量图像的好坏，和人类的视觉无法联系在一起，因此，以人作为观测者，对图像进行主观评价，力求能够真实地反应人的视觉感知。基于深度学习的图像质量评价器相比于传统的方法能更直观地反应图像的视觉质量。以使用广泛的图像质量评价器(NIMA)为例，它在分类网络的基础上进行改造。将VGG16的最后一层用含有10个神经元的全连接层代替，其他部分的结构保持不变，然后使用数据对NIMA进行端到端的训练。由于训练集中的图片的长宽比例各不相同，因此在输入到NIMA之前会对训练集中的图片进行预处理，将图片变为256×256大小，随后将图片随机裁剪为224×224大小，最后每一张图片输入NIMA后会得到10个概率值，这10个概率值代表该图片落在1～10分中每个分数段的概率值，然后对这10个概率值进行加权平均得到该图片在NIMA中的图像质量得分。通过对NIMA进行端到端的训练，使其更加贴近人眼观察图像的好坏。

随着深度学习技术在各个领域的优异表现，深度学习模型的安全性也存在隐患。对抗样本是指在数据集中通过故意添加细微的干扰所形成的输入样本，其会导致深度学习模型以高置信度给出一个错误的输出，从而欺骗深度学习模型。对抗攻击可以分为白盒攻击和黑盒攻击，白盒攻击是指知道所攻击模型的网络结构以及参数等模型的具体信息，可以通过梯度对模型进行攻击；黑盒攻击是指不知道所攻击模型的具体结构和参数等信息，攻击者只能通过对模型进行输入和输出的方式进行查询，然后建立替代模型，实现对模型的攻击。现有的白盒对抗样本生成方法一般分为两种：基于加性噪声的对抗样本生成方法和基于优化的对抗样本生成方法。