基于直方图概率均衡的对抗样本生成方法

本发明涉及对抗样本技术，具体涉及一种基于直方图概率均衡的对抗样本生成方法。

背景技术：

1、给定一个分类器f(x):x∈x→y∈y，当给分类器输入一个原始图像x时，分类器即输出一个标签y作为预测，其中常采用神经网络用作分类器，j(θ,x,y)是神经网络的损失函数，θ是网络参数。对抗攻击的目标是在x的附近来寻找一个与x肉眼上不可区分的对抗样本xadv来使模型错误分类。

2、现有的对抗样本生成方法有fgsm，i-fgsm以及mi-fgsm。

3、fast gradient sign method(fgsm)，fgsm是这类方法中最原始的版本，也是最简单对抗样本生成方法之一。在该方法中，首先计算输入图像x的损失函数梯度，并以单步的形式沿梯度方向添加扰动，从而以最快的速度生成对抗样本。好处在于该方法降低了生成对抗样本的计算成本。但对抗样本攻击效果及其迁移性均欠佳。其过程可由以下公式表示。

4、

5、i-iterative fast gradient sign method(i-fgsm).i-fgsm是fgsm的多次迭代版本，它将fgsm中的梯度运算分成多步迭代进行，以此来减轻单步攻击带来的“欠拟合”。相比于fgsm，i-fgsm能构造出更加精准的扰动，大幅提高了白盒攻击成功率。但代价是增大了计算量，并且样本迁移性并未有显著提升。其过程可由以下公式表示；。

6、

7、

8、其中，α是每次迭代的步长，t为迭代次数；clip函数的作用是将对抗样本约束在原始图像x的ε邻域中，以满足无穷范数l∞约束。

9、momentum iterative fast gradient sign method(mi-fgsm).mi-fgsm首次提出将动量运用到对抗样本生成过程中，使得损失函数在计算过程中稳定更新方向，突破损失函数的局部最大值，到达真实的最优解。一定程度上提高了对抗样本的迁移性和攻击效果。但是迁移性仍有欠缺。其过程可由下述公式表示：

10、

11、

12、其中μ是动量项的衰减因子；gt是前t轮迭代的梯度加权累积。

13、目前虽有类似现有技术，例如专利cn_114913360_a公开应用于抗人球蛋白试验图像的自动分类方法、系统，但是其使用直方图均衡的目的是为使图像细节更加清晰，利于分类判别，不是为了解决迁移性问题。

技术实现思路

1、发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种基于直方图概率均衡的对抗样本生成方法。

2、技术方案：本发明的一种基于直方图概率均衡的对抗样本生成方法，包括以下步骤：

3、步骤(1)、采集彩色图像样本形成原始数据集，将彩色图像样本x的rgb三通道分解为红色通道(r)、绿色通道(g)和蓝色通道(b)，每个通道分别保存为单独的张量；通过概率选取通道模块分别对彩色图像样本x的rgb三通道来随机选择任一通道，通过数据增强模块对被选取的通道进行直方图均衡处理；

4、步骤(2)、对于彩色图像样本x，将经直方图均衡处理后的通道再与其他两个通道合并形成新图像x★；将所有新图像x★输入卷积神经网络，通过卷积神经网络训练，获得损失函数并计算梯度；

5、步骤(3)、基于mi-fgsm算法生成对抗扰动ε，向原始数据集中的对应彩色图像样本添加该对抗扰动ε生成对抗样本xadv。进一步地，在对抗样本的生成过程中，为增加样本的多样性和复杂度，在生成每个对抗样本时对原图像rgb通道进行随机选择，概率选取通道模块随机选取一个通道的具体方法为：

6、对于彩色图像样本x的红色通道(r)、绿色通道(g)和蓝色通道(b)，通过一个二元变量zi∈[0,1]来随机地选取一个通道进行均衡处理，即：

7、

8、其中，超参数zi表示选取i通道的概率，i∈[{r,g,b}](一般将zi设置为相等的值，即从而保证通道的均衡性)；

9、pr(i＝r),pr(i＝g),pr(i＝b)分别表示选择红色通道(r)、绿色通道(g)和蓝色通道(b)的条件概率。

10、进一步地，为防止网络过拟合，通过增强图像对比度来改变每次迭代中放入模型中的图片，也就是将一幅图像的直方图分布变成近似均匀分布，重新分配图像的像素值，从而增强图像的对比度提高图像输入的多样性，有效缓解生成对抗样本过程中存在的过拟合现象，从而提高黑盒攻击成功率；步骤(1)中数据增强模块对被选取通道进行直方图均衡处理的具体方法为：

11、

12、其中p(k)为第k个灰度级的概率密度，l为该被选取通道的灰度等级数，nk为第k个灰度级中包含的像素数，n为该被选取通道中总像素数，改变灰度值为k的点为对全局范围内的各个灰度值进行上述映射，实现直方图的拉伸。进一步地，先基于phe-i-fgsm方法(probability histogram equalization iterativefast gradient sign method)在每次迭代时对原始输入彩色图像以p的概率进行直方图均衡化，以缓解过拟合现象；它将输入图像的rgb三个通道随机选取一个进行直方图均衡化，转换概率p控制着原始输入图像和变换图像之间的平衡，其过程如下所述：

13、

14、

15、其中，x为每次迭代时后的图像样本，θ是指神经网络的权重和偏置参数，y为神经网络判断的分类输出，概率变换函数phe(xtadv；p)则为：

16、

17、α是每次迭代的步长，t为迭代次数，分别表示第0轮和第t+1轮的对抗样本；p包括pr(i＝r),pr(i＝g)和pr(i＝b)；

18、为形成更强的攻击方法，将动量和数据增强结合来缓解过度拟合，即phe-mi-fgsm方法，该方法的整体迭代过如下：

19、

20、

21、其中，μ是动量项的衰减因子，gt是前t轮迭代的梯度加权累积，为梯度方向，α表示学习率，α·sign(gt+1)是指变换后的扰动；为第t轮的对抗样本。

22、进一步地，所述步骤(2)中新图像x★输入卷积神经网络后，提取对应张量作为特征向量shape，shape为[batch_size,height,weight,3]；最终输出logits和end_points，logits和end_points分别是一个张量和一个字典，其中的logits为shape＝[batch_size,num_class]的张量，其保存着图片被网络预估的对应分类下的分数；

23、上述的卷积神经网络采用网络模型inception_v3。

24、进一步地，对于步骤(3)中的对抗扰动ε使用无穷范数l∞对对抗扰动进行约束，即‖xadv-x‖∞≤ε，即将对抗样本生成转化为以下约束条件的优化问题：

25、

26、其中j(θ,x,y)为卷积神经网络的损失函数，θ是网络参数。

27、有益效果：与现有技术相比，本发明具有以下优点：

28、(1)、为避免dnn深度神经网络受到对抗实例的攻击，本发明提供一种基于直方图概率均衡的对抗样本生成方法，基于用于研究和设计具有高度对抗性的图片实例，即对抗样本，有助于提高dnn网络的安全性和鲁棒性。

29、(2)、针对原始算法对抗样本可移植性低的情况，本发明在对抗样本生成算法中加入数据增强模块，有效提高对抗样本的黑盒攻击率，提高了其可移植性。

30、(3)、由于在黑盒环境mi-fgsm下，现有攻击算法生成的对抗样本的可移植性仍然很低。为此，本发明提出了基于直方图概率均衡的对抗实例方法，即hpe-mi-fgsm(histogram probability equilibrium momentum iterative fast gradient signmethod)；在imagenet数据集上验证了该方法的有效性。与传统的i-fgsm和mi-fgsm相比，对抗训练网络的平均攻击成功率也得到了提高。

31、(4)、本发明将数据增强引入，封装成为单独模块，拓宽使用场景，譬如数据增强模块中的直方图均衡算法可以利用其他数据增强的方法替代，以使用更加契合不同场景下数据集特征的数据增强方法。

32、(5)、本发明具有高度的可控性；在整体的操作过程中，只需要对超参数进行调整，便可以获得不同情况下的对抗样本；在多种模型上都具有更加显著的攻击效果，具有更好的普适性。