一种增强梯度低频信息的对抗样本生成方法及其应用

1.本发明属于计算机视觉图像识别技术领域，更具体地，涉及一种增强梯度低频信息的对抗样本生成方法及其应用。


背景技术：

2.近年来，深度卷积神经网络因为性能优越被广泛应用于计算机视觉领域，但与此同时，对抗样本给现代深度卷积神经网络带来的安全威胁也愈发严重。具体来说，将人眼难以察觉的恶意扰动添加到正常样本中生成对抗样本，导致神经网络对其以高置信度给出错误的输出结果，鲁棒性低的神经网络会深受其影响，进而产生较大的安全性问题。评估并提高卷积神经网络的鲁棒性是一个极其重要的课题，对抗样本是其中的评估方法之一。
3.截至目前，许多研究者提出了多种生成对抗样本的方法，其中快速梯度符号法(fgsm)是第一个被提出的基于梯度的对抗样本生成方法，之后有很多变体方法被提出，包括迭代快速梯度符号法(bim)、动量迭代快速梯度符号法(mim)、平移变换集成迭代快速梯度符号法(tim)等。其中tim是一种提取梯度低频信息用于生成对抗样本的方法，被应用于经过对抗训练得到的卷积神经网络中。与mim相比，tim在经过对抗训练得到的网络中迁移攻击成功率有所提升，但因为其过度提取了梯度的低频信息，导致梯度的高频信息失真，造成在经过正常训练得到的网络中迁移攻击成功率有所下降。


技术实现要素：

4.针对现有技术的缺陷和改进需求，本发明提供了一种增强梯度低频信息的对抗样本生成方法及其应用，其目的在于解决tim算法在正常训练的网络中迁移攻击成功率有所下降的问题。
5.为实现上述目的，按照本发明的一个方面，提供了一种增强梯度低频信息的对抗样本生成方法，包括：
6.将原始图像输入待欺骗分类器中，基于该分类器的损失函数，得到当前迭代的第一梯度；
7.采用低通滤波器从当前迭代的第一梯度中提取低频的信息，作为第二梯度并与其对应的第一梯度线性融合，以增强梯度中的低频信息；
8.采用所述融合后的梯度，通过加权平均，得到当前迭代的动量，并用当前迭代的动量计算对抗扰动，将对抗扰动添加到上一次迭代得到的对抗样本中，得到当前迭代的对抗样本；将当前迭代的对抗样本作为新的原始图像，重复上述过程，直到达到设定的迭代次数，输出对抗样本。
9.进一步，所述线性融合的计算方式为：
[0010][0011]
其中，β为权重系数，取值为0.7，t(
·
)为大小11
×
11的高斯滤波器，g
t
为当前迭代的梯度。
[0012]
进一步，所述当前迭代的动量的确定方式为：
[0013]
将所述融合后的梯度进行标准化，并将标准化后的结果与上一次迭代得到的动量进行指数加权平均计算，得到当前迭代的动量。
[0014]
进一步，所述当前迭代的动量的计算方式为：
[0015][0016]
其中，为第t-1次迭代累加的动量，μ为动量系数，取值为1.0，为所述线性融合的梯度，表示在l1范数下的取值。
[0017]
本发明还提供一种增强梯度低频信息的对抗样本生成装置，包括：
[0018]
初始梯度获取单元，用于将原始图像输入待欺骗分类器中，基于该分类器的损失函数，得到当前迭代的第一梯度；
[0019]
增强单元，用于采用低通滤波器从所述初始梯度获取单元所获得的当前迭代的第一梯度中提取低频的信息，作为第二梯度并与其对应的第一梯度采用如上所述一种增强梯度低频信息的对抗样本生成方法中的线性融合方式进行线性融合，以增强梯度中的低频信息；
[0020]
对抗样本生成单元，用于采用所述增强单元所得到的融合后的梯度，通过如上所述的一种增强梯度低频信息的对抗样本生成方法中的加权平均法进行加权平均，得到当前迭代的动量，并用当前迭代的动量计算对抗扰动，将对抗扰动添加到上一次迭代得到的对抗样本中，得到当前迭代的对抗样本，并根据迭代终止条件，将所述对抗样本发送给所述初始梯度获取单元，或者，迭代结束输出对抗样本。
[0021]
本发明还提供一种图像对抗攻击方法，采用如上所述的一种增强梯度低频信息的对抗样本生成方法所生成的对抗样本，进行图像对抗攻击。
[0022]
本发明还提供一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序被处理器运行时控制所述存储介质所在设备执行如上所述的一种增强梯度低频信息的对抗样本生成方法和/或如上所述的一种图像对抗攻击方法。
[0023]
总体而言，通过本发明所构思的以上技术方案，能够取得以下有益效果：
[0024]
本发明考虑了真实梯度与低频梯度在方向上的差异，是一种考虑多方面梯度信息的对抗样本生成技术。本发明在保留对抗扰动高频信息的基础上，通过线性融合操作增强对抗扰动的低频信息，在保持对经过对抗训练的卷积神经网络攻击效果的基础上，提高对抗样本在经过正常训练的卷积神经网络上的迁移攻击成功率，完成更为有效的攻击，本发明是新颖且普适的，并且在计算过程中不引入额外的计算复杂度，解决了传统利用梯度低频信息的攻击技术中造成的正常训练分类器迁移攻击成功率降低的问题。
附图说明
[0025]
图1为本发明实施例提供的一种增强梯度低频信息的对抗样本生成方法的流程图。
具体实施方式
[0026]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0027]
实施例一
[0028]
一种增强梯度低频信息的对抗样本生成方法，如图1所示，包括：
[0029]
将原始图像输入待欺骗分类器中，基于该分类器的损失函数，得到当前迭代的第一梯度；
[0030]
采用低通滤波器从当前迭代的第一梯度中提取低频的信息，作为第二梯度并与其对应的第一梯度线性融合，以增强梯度中的低频信息；
[0031]
采用融合后的梯度，通过加权平均，得到当前迭代的动量，并用当前迭代的动量计算对抗扰动，将对抗扰动添加到上一次迭代得到的对抗样本中，得到当前迭代的对抗样本；将当前迭代的对抗样本作为新的原始图像，重复上述过程，直到达到设定的迭代次数，输出对抗样本。
[0032]
与动量迭代快速梯度符号法(mim)相比，平移变换集成迭代快速梯度符号法(tim)在经过对抗训练得到的网络中迁移攻击成功率有所提升，但因为其过度提取了梯度的低频信息，导致梯度的高频信息失真，造成在经过正常训练得到的网络中迁移攻击成功率有所下降。
[0033]
在迭代计算对抗样本的过程中，增强每次迭代所求梯度的低频信息，具体实施方法是首先利用低频信息提取器对反向传播求得的梯度提取低频信息，然后与原梯度进行线性融合。这在提高对抗样本在对抗训练模型上迁移攻击成功率的同时，同样会使得在正常训练模型上迁移攻击成功率有所提高。可以从破坏图像的低频信息更容易对对抗训练模型造成攻击，破坏图像的高频信息更易攻击正常训练的模型来解释该效果，这是一个统计结果。现有算法或许提取梯度的低频信息过度，因此造成了对正常训练模型攻击成功率的下降。本发明所提算法是tim算法的一种泛化，在对梯度进行处理时，对其中所含低频信息以及高频信息有一定的取舍，使其达到对正常训练模型以及对抗训练模型上的迁移攻击成功率均有所提升的效果。因此，对tim算法，该实施例方法无论是在经过正常训练的模型上还是在经过对抗训练的模型上迁移攻击成功率均有所提升。
[0034]
当前迭代的第一梯度计算公式为：
[0035][0036]
其中，为根据对求梯度，为第t-1次迭代的对抗样本，y
true
为第一次迭代时输入分类器的原始图像的真实标签，取值固定，j(
·
，
·
)为目标函数。
[0037]
计算当前迭代的对抗样本的公式为：
[0038][0039]
其中，ε为l
∞
范数的最大扰动限制，clip为投影操作，α为步长因子，sign(
·
)为符号函数，为当前迭代的动量。
[0040]
优选的，上述线性融合的计算方式为：
[0041][0042]
其中，β为权重系数，取值为0.7，t(
·
)为大小11
×
11的高斯滤波器，g
t
为当前迭代的梯度。
[0043]
优选的，上述当前迭代的动量的确定方式为：
[0044]
将融合后的梯度进行标准化，并将标准化后的结果与上一次迭代得到的动量进行指数加权平均计算，得到当前迭代的动量。
[0045]
优选的，上述当前迭代的动量的计算方式为：
[0046][0047]
其中，为第t-1次迭代累加的动量，μ为动量系数，取值为1.0，为所述线性融合的梯度，表示在l1范数下的取值。
[0048]
实施例二
[0049]
一种增强梯度低频信息的对抗样本生成装置，包括：
[0050]
初始梯度获取单元，用于将原始图像输入待欺骗分类器中，基于该分类器的损失函数，得到当前迭代的第一梯度；
[0051]
增强单元，用于采用低通滤波器从初始梯度获取单元所获得的当前迭代的第一梯度中提取低频的信息，作为第二梯度并与其对应的第一梯度采用如实施例一所述一种增强梯度低频信息的对抗样本生成方法中的线性融合方式进行线性融合，以增强梯度中的低频信息；
[0052]
对抗样本生成单元，用于采用所述增强单元所得到的融合后的梯度，通过如实施例一所述的一种增强梯度低频信息的对抗样本生成方法中的加权平均法进行加权平均，得到当前迭代的动量，并用当前迭代的动量计算对抗扰动，将对抗扰动添加到上一次迭代得到的对抗样本中，得到当前迭代的对抗样本，并根据迭代终止条件，将所述对抗样本发送给所述初始梯度获取单元，或者，迭代结束输出对抗样本。
[0053]
相关技术方案同实施例一，在此不再赘述。
[0054]
实施例三
[0055]
一种图像对抗攻击方法，采用如上所述的一种增强梯度低频信息的对抗样本生成方法所生成的对抗样本，进行图像对抗攻击。
[0056]
相关技术方案同实施例一，在此不再赘述。
[0057]
实施例四
[0058]
一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序被处理器运行时控制所述存储介质所在设备执行如上所述的一种增强梯度低频信息的对抗样本生成方法和/或如上所述的一种图像对抗攻击方法。
[0059]
相关技术方案同实施例一，在此不再赘述。
[0060]
本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。