一种基于平均压缩获取低频信息的对抗样本防御方法
技术领域
本申请涉及智能图像识别
技术领域
,尤其涉及一种基于平均压缩获取低频信息的对抗样本防御方法。背景技术
深度神经网络目前在生活中的应用已经十分广泛,而卷积神经网络在计算机视觉方向的应用被认为是神经网络最成功的应用之一。目前卷积神经网络在文字识别、人脸识别、目标检测、智能交通和自动驾驶等方面,这些方面对模型的安全性和鲁棒性有着较高的要求。对抗样本的定义为,在图像中添加人类无法发觉的扰动或者人类可以发觉但并不影响识别的扰动。对于人类视觉来说,图像信息属于二维信息,人类在看到大致形状时就可以做出识别,而不需要仔细分辨图像中的具体数值信息。也因如此,人类对于图像中高频信息的敏感程度远远不及低频信息。而图像对于模型来说,维度由像素点的个数来决定的,是高维信息,这也使得其对高频信息十分敏感。如果只识别图像中的低频信息,模型的识别精度将会大大降低。
目前对抗样本的防御方法主要分为三个方向对应三个部分:
一、对应训练过程:这个方向通过修改或者增加训练样本来调整模型权重,使得在模型预测过程中受到扰动的影响减小,以达到提高模型的鲁棒性的目的。如,将对抗样本加入训练集。二、对应模型部分:通过修改模型,使得提取的特征改变或者影响提取的特征的权重,降低扰动对于预测结果的影响,以达到提高模型的鲁棒性的目的。三、对应数据部分:通过数据处理,将数据中的可以提升模型鲁棒性的部分增强,突出这部分数据在模型预测中的重要性,以达到提高模型的鲁棒性的目的。以上的方法一和方法二都是希望模型在预测时,减小可能受到扰动的像素点的权重,使得添加的扰动对预测结果的影响尽可能的较小,从而提高模型鲁棒性。方法三则是在预测前通过数据预处理减小或者过滤掉尽可能多的扰动,在不影响模型权重的影响下,完成正确的预测。但是现有的这些方法都需要对原有模型的参数做出改变才能实现提高模型鲁棒性的作用,如增加对抗样本加入训练集、改变提取的特征或者影响提取的特征的权重等,会影响模型预测干净图片时的准确率。
发明内容
本申请实施例提供一种基于平均压缩获取低频信息的对抗样本防御方法,能够在不影响模型精度的条件下提高模型鲁棒性,使得在防御对抗样本的攻击时,增加模型预测的正确率。
本申请的一种基于平均压缩获取低频信息的对抗样本防御方法,包括以下步骤:将原始训练图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述原始训练图像尺寸相同的第一低频信息图像;生成相同的第一卷积神经网络模型和第二神经网络模型,所述第一卷积神经网络使用原始训练图像训练,所述第二神经网络模型使用低频信息图像训练;在原始测试图像中加入扰动生成对抗样本;将对抗样本中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述对抗样本尺寸相同的第二低频信息图像;将所述对抗样本输入到所述第一神经网络模型进行识别,获取第一识别结果;将所述第二低频信息图像输入到所述第二神经网络模型进行识别,获取第二识别结果;将所述第一识别结果和所述第二识别结果进行综合得到最终识别结果。
可选地,所述将原始训练图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述原始训练图像尺寸相同的第一低频信息图像:计算原始训练图像中形状为2×2的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始训练图像大小,得到第一低频信息图像。
可选地,所述将对抗样本中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述对抗样本尺寸相同的第二低频信息图像包括以下步骤:计算对抗样本中形状为2×2的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始训练图像大小,得到第二低频信息图像。
可选地,所述对抗样本和所述原始测试图像的关系为:
公式中θ代表模型参数,x为原始测试图像,x′为对抗样本,y为x对应的标签,J()为损失函数,为对损失函数在x上求梯度,ε为扰动值。
可选地,生成对抗样本的步骤包括:根据所述对抗样本和所述原始测试图像的关系,采用调整ε的大小的方式,将所述原始测试图像转换成不同扰动大小的对抗样本。
可选地,将所述第一识别结果和所述第二识别结果进行综合的步骤包括:将所述第一识别结果和所述第二识别结果的对应的值对应相加,得到最终识别结果。
可选地,将所述第一识别结果和所述第二识别结果进行综合的步骤包括:检测对抗样本的扰动值,当扰动值大于预设值时将所述第二识别结果作为最终识别结果输出;当扰动值小于或等于预设值时将所述第一识别结果作为最终识别结果输出。
可选地,所述第一神经网络模型采用LeNet卷积神经网络模型。
可选地,所述第二神经网络模型采用LeNet卷积神经网络模型。
本申请还提出一种基于平均压缩获取低频信息的对抗样本防御系统,包括:第一低频信息提取模块,用于将原始训练图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述原始训练图像尺寸相同的第一低频信息图像;模型生成模块,用于生成相同的第一卷积神经网络模型和第二神经网络模型,所述第一卷积神经网络使用原始训练图像训练,所述第二神经网络模型使用低频信息图像训练;样本生成模块,用于在原始测试图像中加入扰动生成对抗样本;第二低频信息提取模块,用于将对抗样本中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述对抗样本尺寸相同的第二低频信息图像;第一识别模块,用于将所述对抗样本输入到所述第一神经网络模型进行识别,获取第一识别结果;第二识别模块,用于将所述第二低频信息图像输入到所述第二神经网络模型进行识别,获取第二识别结果;综合模块,用于将所述第一识别结果和所述第二识别结果进行综合得到最终识别结果。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请的一种基于平均压缩获取低频信息的对抗样本防御方法,通过第一卷积神经网络模型和第二神经网络模型分别识别对抗样本和根据对抗样本压缩提取的第二低频信息图像,然后综合这两个模型的识别结果,在检测干净的原始测试图像和扰动较小的对抗样本时,第一神经网络模型对于高频信息较为敏感且扰动对结果影响较小,所以此时第一神经网络模型的识别结果更可信,在对抗样本扰动较高时,第二神经网络模型对于高频的扰动不敏感,受到影响较小,且在压缩中会将扰动过滤掉一部分,所以此时第二神经网络模型的识别结果更可信。通过综合这两种结果使在面对对抗样本时正确率得到显著提高,取得了良好的效果。
附图说明
为了更清楚地表达说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例中一种基于平均压缩获取低频信息的对抗样本防御方法的流程图;
图2为本说明书实施例中一种基于平均压缩获取低频信息的对抗样本防御系统的模块框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参照图1,本申请实施例一种基于平均压缩获取低频信息的对抗样本防御方法,包括以下步骤:
将原始训练图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述原始训练图像尺寸相同的第一低频信息图像。平均压缩是指将将原图中相邻的多个像素点压缩为一个像素点且压缩后像素点的值为被压缩的像素点的平均值,本实施例通过将原始训练图像进行平均压缩,然后再将压缩后的像素点按压缩比例填充成原图大小,获取了和原始训练图像尺寸相同的第一低频信息图像,该方法压缩后的图像与原图存在人眼可以感知的差异,但是可以更大程度的保留原图中的低频信息,包括轮廓与形状,对对抗样本的扰动有一定的过滤能力。
生成相同的第一卷积神经网络模型和第二神经网络模型,所述第一卷积神经网络使用原始训练图像训练,所述第二神经网络模型使用低频信息图像训练。第一卷积神经网络模型和第二神经网络模型的训练集分别为未处理的原始训练图像和低频信息图像,用来分别识别未处理的干净图像和低频图像。
在原始测试图像中加入扰动生成对抗样本,对抗样本就是在图像中添加人类无法发觉的扰动或者人类可以发觉但并不影响识别的扰动。
将对抗样本中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述对抗样本尺寸相同的第二低频信息图像,因此本实施例有两组测试集,一组是未进行低频处理的对抗样本,另一种是进行低频处理后的对抗样本,既第二低频信息图像。
将所述对抗样本输入到所述第一神经网络模型进行识别,获取第一识别结果。将所述第二低频信息图像输入到所述第二神经网络模型进行识别,获取第二识别结果。将所述第一识别结果和所述第二识别结果进行综合得到最终识别结果。通过综合这两个模型的识别结果,在检测干净的原始测试图像和扰动较小的对抗样本时,第一神经网络模型对于高频信息较为敏感且扰动对结果影响较小,所以此时第一神经网络模型的识别结果更可信,在对抗样本扰动较高时,第二神经网络模型对于高频的扰动不敏感,受到影响较小,且在压缩中会将扰动过滤掉一部分,所以此时第二神经网络模型的识别结果更可信。通过综合这两种结果使在面对扰动较大的对抗样本时正确率得到显著提高,并且对原始测试图像和扰动较小的对抗样本的正确率也很高,取得了良好的效果。
进一步,在本申请的一个具体实施例中,所述将原始训练图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述原始训练图像尺寸相同的第一低频信息图像:计算原始训练图像中形状为2×2的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始训练图像大小,得到第一低频信息图像。同时,所述将对抗样本中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述对抗样本尺寸相同的第二低频信息图像包括以下步骤:计算对抗样本中形状为2×2的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始训练图像大小,得到第二低频信息图像。在另外的实施例中,也可以将原始训练图像中其他线其他相邻像素点压缩成一个像素点,如形状为2×3的6个像素点压缩或形状为3×3的9个像素点压缩,压缩后的填充比例相应的变为6或9,同时,对抗样本也进行相同形式的压缩和填充。
进一步,在本申请的一个具体实施例中,所述对抗样本和所述原始测试图像的关系为:
公式中θ代表模型参数,x为原始测试图像,x′为对抗样本,y为x对应的标签,J()为损失函数,为对损失函数在x上求梯度,ε为扰动值。生成对抗样本的步骤包括:根据所述对抗样本和所述原始测试图像的关系,采用调整ε的大小的方式,将所述原始测试图像转换成不同扰动大小的对抗样本。
进一步,在一个具体实施例中,将所述第一识别结果和所述第二识别结果进行综合的步骤包括:将所述第一识别结果和所述第二识别结果的对应的值对应相加,得到最终识别结果。在另一个具体实施例中,综合的步骤为:检测对抗样本的扰动值,当扰动值大于预设值时将所述第二识别结果作为最终识别结果输出;当扰动值小于或等于预设值时将所述第一识别结果作为最终识别结果输出。这两种方式均能够充分结合两种结果使在面对扰动较大的对抗样本时正确率得到显著提高,并且对原始测试图像和扰动较小的对抗样本的正确率也很高,取得了良好的效果。
进一步,所述第一神经网络模型和第二神经网络模型均采用LeNet卷积神经网络模型。图像数据的尺寸不同,对经典的网络结构进行修改,具体的,对其INPUT和全连接层输入做了修改使得其能够用应用于相应尺寸图像。
为验证本申请实施例的效果,本申请做了以下验证试验。
本实施例的实验将使用mnist数据集作为训练和攻击的数据集。mnist数据集包含60,000个用于训练的示例和10,000个用于测试的示例。这些数字已经过尺寸标准化并位于图像中心,图像是固定大小(28*28像素),其值为0到1。网络模型使用一个经典的卷积神经网络LeNet,生成第一神经网络模型和第二神经网络模型。试验中,第一低频信息图像采用计算原始训练图像中形状为2×2的相邻四个点的像素值的平均值,然后将平均值按照一比四的比例填充到原始训练图像大小得到。对抗样本根据所述对抗样本和所述原始测试图像的关系为:生成。实验结果如表1所示。
表1
从表1我们可以看出使用平均压缩方式提取到的图像低频信息辅助预测,在防御对抗样本攻击时,都使得模型的鲁棒性得到了提高。使用实施例模型识别时,模型的识别正确率在0.10<ε<0.20时,都提高了15%以上,最高达到了19%。在扰动较低,即人眼无法发觉扰动时,模型正确率下降十分微小。当扰动较大时,人眼其实就可以分辨其已添加扰动了,且其中的一部分已经会对人眼识别造成困扰,可以成功识别的一部分也已开始变得困难。扰动也会难以在压缩的过程中过滤。修改后的模型在面对对抗样本是正确率得到了显著的提高。虽然在扰动较大时效果并没有特别显著的提高,但其中的一部分图像因为扰动的破坏性过强,其实已经可以影响到人眼的判断。这与对抗样本的定义已经存在了一定程度的偏离。所以,本申请实施例提出的方法在防御对抗样本时起到很好的效果。
参照图2,本申请还提出一种基于平均压缩获取低频信息的对抗样本防御系统,包括:第一低频信息提取模块1,用于将原始训练图像中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述原始训练图像尺寸相同的第一低频信息图像;模型生成模块2,用于生成相同的第一卷积神经网络模型和第二神经网络模型,所述第一卷积神经网络使用原始训练图像训练,所述第二神经网络模型使用低频信息图像训练;样本生成模块3,用于在原始测试图像中加入扰动生成对抗样本;第二低频信息提取模块4,用于将对抗样本中的像素点进行平均压缩,然后将压缩后的像素点按压缩比填充成和所述对抗样本尺寸相同的第二低频信息图像;第一识别模块5,用于将所述对抗样本输入到所述第一神经网络模型进行识别,获取第一识别结果;第二识别模块6,用于将所述第二低频信息图像输入到所述第二神经网络模型进行识别,获取第二识别结果;综合模块7,用于将所述第一识别结果和所述第二识别结果进行综合得到最终识别结果。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统具体工作过程,可以参考前述方法实施例中的对应过程,作用和效果也相同,在此不再赘述。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
