[发明专利]局部对抗性攻击启发式防御方法和装置

说明书

本发明涉及一种使用梯度优化的局部对抗性攻击启发式防御方法和装置，包括：对原图进行处理，获得梯度图；筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁；对所述原图进行梯度增强，形成梯度增强图；将所述防御补丁投影到所述梯度增强图，形成防御处理图。本发明能够对高频噪音进行抑制，防止因深度神经网络被高频噪音吸引而做出错误判断，实现抑制对抗补丁。同时，还因将原图进行了梯度增强，提升了原图的轮廓纹理，方便分类器进行识别，提升图像识别的准确率。

技术领域

本发明涉及基于深度神经网络的图像防御领域，具体涉及一种局部对抗性攻击启发式防御方法和装置。

背景技术

近年来，对于图像处理领域，随着深度神经网络的不断发展，深度学习在图像数据集上精准地建立了复杂的函数模型，并且已逐渐进入实际应用阶段，在许多领域取得了显著的成就，如在人脸识别、图像分割、自动驾驶等领域。

然而现有大量的实验研究表明，在原始输入样本中引入微小的、难以察觉的变化，会导致深度神经网络以高置信度做出错误分类。现有技术中图像攻击的手段不断进化，现阶段为了减少外部因素对攻击的干扰，通常采用通过大量修改几个少量像素来生成对抗性补丁，对抗性攻击给现有的深度学习系统带来了巨大的挑战，提高给定深度学习网络的鲁棒性已成为近年来的一个热门话题。在图像攻击防御方面，在深度学习网络中引入了启发式防御的方式，在启发式防御中，数字水印和局部梯度平滑(Local Gradients Smoothing，下文简称LGS)可以大约提升20-30%的防御精度，在LGS算法中，通过抑制高频噪声使得分类器F不会受到对抗补丁的影响，从而保证分类器F准确识别出输入图像x的真实类别y。LGS通过筛选和抑制局部高频噪声，有效地消除了对抗性补丁对分类器的干扰，已经成为局部对抗性攻击的经典防御方法。

然而，在LGS算法的实验中，所有的对抗性补丁都是随机放置在图像的边缘区域，这样补丁就不能掩盖原目标位置。由于实际应用中对抗补丁的位置是随机的，因此很有可能会遮挡住目标物体的一些重要特征，此时在面对原始输入样本时，LGS算法很容易导致原始目标的细节丢失，最终分类器很难有效地识别原始目标。

发明内容

本发明旨在至少解决现有技术中存在的面对重要特征被遮挡的原始输入样本时LGS算法原始目标识别率低的技术问题。为此，本发明提出一种使用梯度优化的局部对抗性攻击启发式防御方法和装置，实现在抑制对抗攻击的同时，提升深度神经网络分类的准确率。

根据本发明实施例的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于：

对原图进行处理，获得梯度图；

筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁；

对所述原图进行梯度增强，形成梯度增强图；

将所述防御补丁投影到所述梯度增强图，形成防御处理图。

优选的，对原图进行处理，具体包括计算原图的一阶梯度；

所述使用梯度优化的局部对抗性攻击启发式防御方法还包括：

判断一阶梯度图中对比度是否大于第一预设阈值，若是则修改梯度阶数为n，n1，计算原图的n阶梯度。

所述对所述噪声区域进行抑制，包括：

通过低通滤波器将标记噪声区域的图像进行高频噪声梯度抑制，使得噪声的频率减弱，从而进行噪声抑制获得防御补丁。

优选的，所述筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁，包括：

将经过低通滤波器处理后的一阶梯度图像划分为k个相同大小的重叠块，根据噪声阈值筛选出噪声区域，对噪声区域进行梯度抑制；