局部对抗性攻击启发式防御方法和装置

本发明涉及基于深度神经网络的图像防御领域，具体涉及一种局部对抗性攻击启发式防御方法和装置。

背景技术：

1、近年来，对于图像处理领域，随着深度神经网络的不断发展，深度学习在图像数据集上精准地建立了复杂的函数模型，并且已逐渐进入实际应用阶段，在许多领域取得了显著的成就，如在人脸识别、图像分割、自动驾驶等领域。

2、然而现有大量的实验研究表明，在原始输入样本中引入微小的、难以察觉的变化，会导致深度神经网络以高置信度做出错误分类。现有技术中图像攻击的手段不断进化，现阶段为了减少外部因素对攻击的干扰，通常采用通过大量修改几个少量像素来生成对抗性补丁，对抗性攻击给现有的深度学习系统带来了巨大的挑战，提高给定深度学习网络的鲁棒性已成为近年来的一个热门话题。在图像攻击防御方面，在深度学习网络中引入了启发式防御的方式，在启发式防御中，数字水印和局部梯度平滑(local gradients smoothing，下文简称lgs)可以大约提升20-30%的防御精度，在lgs算法中，通过抑制高频噪声使得分类器f不会受到对抗补丁的影响，从而保证分类器f准确识别出输入图像x的真实类别y。lgs通过筛选和抑制局部高频噪声，有效地消除了对抗性补丁对分类器的干扰，已经成为局部对抗性攻击的经典防御方法。

3、然而，在lgs算法的实验中，所有的对抗性补丁都是随机放置在图像的边缘区域，这样补丁就不能掩盖原目标位置。由于实际应用中对抗补丁的位置是随机的，因此很有可能会遮挡住目标物体的一些重要特征，此时在面对原始输入样本时，lgs算法很容易导致原始目标的细节丢失，最终分类器很难有效地识别原始目标。

技术实现思路

1、本发明旨在至少解决现有技术中存在的面对重要特征被遮挡的原始输入样本时lgs算法原始目标识别率低的技术问题。为此，本发明提出一种使用梯度优化的局部对抗性攻击启发式防御方法和装置，实现在抑制对抗攻击的同时，提升深度神经网络分类的准确率。

2、根据本发明实施例的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于：

3、对原图进行处理，获得梯度图；

4、筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁；

5、对所述原图进行梯度增强，形成梯度增强图；

6、将所述防御补丁投影到所述梯度增强图，形成防御处理图。

7、优选的，对原图进行处理，具体包括计算原图的一阶梯度；

8、所述使用梯度优化的局部对抗性攻击启发式防御方法还包括：

9、判断一阶梯度图中对比度是否大于第一预设阈值，若是则修改梯度阶数为n，n>1，计算原图的n阶梯度。

10、所述对所述噪声区域进行抑制，包括：

11、通过低通滤波器将标记噪声区域的图像进行高频噪声梯度抑制，使得噪声的频率减弱，从而进行噪声抑制获得防御补丁。

12、优选的，所述筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁，包括：

13、将经过低通滤波器处理后的一阶梯度图像划分为k个相同大小的重叠块，根据噪声阈值筛选出噪声区域，对噪声区域进行梯度抑制；

14、优选的，所述梯度抑制具体为：利用噪音区域乘平滑系数得到抑制梯度后，用所述噪音区域减去所述抑制梯度。

15、根据所述梯度图中的噪声区域的面积属性和位置属性，计算噪声阈值调整系数，根据噪声阈值调整系数和初始噪声阈值的乘积计算噪声阈值。

16、优选的，根据噪声阈值筛选出噪声区域，包括：

17、将单个重叠块每一列的行向量与梯度图点积之间的比值与噪声阈值进行对比，若比值大于噪声阈值，则记为噪声区域，若比值小于噪声阈值，则记为非噪声区域。对所述原图进行梯度增强具体为，获得原图在任意一点的梯度，将梯度乘以梯度增强系数得到增强梯度，并通过所述原图叠加所述增强梯度，实现对原图的梯度增强。

18、优选的，对所述原图进行梯度增强，形成梯度增强图，具体包括：

19、将原图看作为一个二维函数f(x，y)，图像中任意一点（x，y）分别向x和y方向上求导，求得灰度变化率：

20、，

21、其中，gx和gy分别表示了图像在点(x，y)处x和y两个方向上的梯度。

22、优选的，所述形成防御处理图后，还包括原图为被攻击的图像，将获得的防御处理图送入图像分类器进行分类，识别原图对应的图像中的目标对象。

23、本发明还提供一种使用梯度优化的局部对抗性攻击启发式防御装置，包括：

24、变换模块，用于对原图进行处理，获得梯度图；

25、抑制模块，用于筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁；

26、增强模块，用于对所述原图进行梯度增强，形成梯度增强图；

27、防御模块，用于将所述防御补丁投影到所述梯度增强图，形成防御处理图。

28、本发明提供的一种使用梯度优化的局部对抗性攻击启发式防御方法和装置，原图中包括目标对象和噪音两方面信息，利用滤波器对噪声进行过滤，有效过滤了噪声，提高了对噪声的抑制能力；另一方面，利用梯度增强对目标对象的轮廓信息进行处理，使得原始样本的梯度细节和纹理特征被进一步突出，实现在抑制对抗补丁的同时，提升图像识别的准确率。相较于现有技术中启发式防御存在的问题，本发明综合利用了图像梯度的处理方法，分别进行梯度增强和梯度抑制两种梯度处理手段，基于低通滤波器和梯度增强的保证，无论补丁位置在何处，本发明提供的方法都能够在抑制局部对抗噪声的同时，增强原始对象的轮廓，将局部对抗性噪声和防御算法对原图的影响降到最低。

技术特征：

1.一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于：

2.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，对原图进行处理，具体包括计算原图的一阶梯度；

3.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，所述对所述噪声区域进行抑制，包括：

4.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，所述筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁，包括：

5.根据权利要求4所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，

6.根据权利要求4所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，根据噪声阈值筛选出噪声区域，包括：

7.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，对所述原图进行梯度增强具体为，获得原图在任意一点的梯度，将梯度乘以梯度增强系数得到增强梯度，并通过所述原图叠加所述增强梯度，实现对原图的梯度增强。

8.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，对所述原图进行梯度增强，形成梯度增强图，具体包括：

9.根据权利要求1所述的一种使用梯度优化的局部对抗性攻击启发式防御方法，其特征在于，所述形成防御处理图后，还包括原图为被攻击的图像，将获得的防御处理图送入图像分类器进行分类，识别原图对应的图像中的目标对象。

10.一种使用梯度优化的局部对抗性攻击启发式防御装置，包括：

技术总结
本发明涉及一种使用梯度优化的局部对抗性攻击启发式防御方法和装置，包括：对原图进行处理，获得梯度图；筛选所述梯度图中的噪声区域，对所述噪声区域进行抑制，形成防御补丁；对所述原图进行梯度增强，形成梯度增强图；将所述防御补丁投影到所述梯度增强图，形成防御处理图。本发明能够对高频噪音进行抑制，防止因深度神经网络被高频噪音吸引而做出错误判断，实现抑制对抗补丁。同时，还因将原图进行了梯度增强，提升了原图的轮廓纹理，方便分类器进行识别，提升图像识别的准确率。

技术研发人员：马晓轩,孙博洋,化凤芳,张翰韬,单思涵,廉焜程,孟宪龙,丰泽宇
受保护的技术使用者：北京建筑大学
技术研发日：
技术公布日：2024/1/12