[发明专利]通过结合空间攻击和像素攻击两者来进行联合对抗性训练的系统和方法

说明书

本文中描述的是联合对抗性训练方法的实施方式，其结合了基于空间变换和基于像素值的攻击以改善图像模型鲁棒性。公开了具有显式预算概念的基于空间变换的攻击的实施方式，并且还公开了用于有效空间攻击生成的实用方法的实施方式。另外，像素攻击和空间攻击都集成到生成模型的实施方式中，并且利用彼此的互补强度来改善整体模型的鲁棒性。与最先进方法相比，几个基准数据集上的大量试验结果验证了所提方法的有效性。

技术领域

本公开总体涉及用于图像模型的对抗性训练的系统和方法。更具体地，本公开涉及通过结合空间攻击和像素攻击两者来进行对抗性训练的系统和方法。

背景技术

虽然利用深度神经网络在图像识别方面已经取得了进展，但是这些图像模型可能很容易被所谓的对抗样本所欺骗。就图像分类模型而言，给定图像的对抗样本是修改后的版本，该版本使得分类器产生与原始图像不同的标签，同时在视觉上与其难以区分。先前的工作主要集中在改善对像素值扰动的模型鲁棒性。相比之下，关于空间变换的模型鲁棒性的工作还很少。虽然已表明图像的诸如旋转和平移或非刚性变形的某些空间操纵可用于生成用于攻击目的的对抗样本，但是尚未开发出关于如何将空间域结合到对抗性训练框架中的实用方法以进一步改善图像模型的鲁棒性。

因此，需要通过结合空间攻击和像素攻击两者来进行对抗性训练的系统和方法以改善图像模型的鲁棒性。

发明内容

根据本公开的一方面，提供了一种用于对抗性图像生成的计算机实施的方法，使用一个或多个处理器来训练图像模型以致使执行步骤，所述步骤包括：

接收输入图像、用于所述输入图像的ground-truth标签、空间攻击预算和像素扰动预算；

在流场和像素扰动的相应的预算诱导空间中选择用于所述流场和所述像素扰动两者的随机点；

使用当前流场和当前像素扰动获得用于所述输入图像的第一对抗性图像，所述当前流场和所述当前像素扰动是可更新的并且从所选择的随机点开始；

通过对非ground-truth标签随机采样来获得对抗性生成标签；

为包括所述第一对抗性图像、所述对抗性生成标签、所述ground-truth标签和图像模型参数的损耗函数计算相对于所述流场的梯度；

至少基于所计算的相对于所述流场的梯度获得修正的流场；

将所述修正的流场投影到由所述空间攻击预算指定的流动可行区域，以更新所述流场；

使用所述当前像素扰动和所更新的流场获得用于所述输入图像的第二对抗性图像；

为包括所述第二对抗性图像、所述对抗性生成标签和图像模型参数的损耗函数计算相对于像素扰动的梯度；

至少基于所计算的相对于像素扰动的梯度获得修正的像素扰动；

将所述修正的像素扰动投影到由所述像素扰动预算指定的像素扰动可行区域，以更新所述像素扰动；以及

基于所更新的流场和所更新的像素扰动生成对抗性图像。

根据本公开的另一方面，提供了一种用于对抗性图像生成的计算机实施的方法，使用一个或多个处理器来训练图像模型以致使执行步骤，所述步骤包括：

接收输入图像、用于所述输入图像的ground-truth标签、空间攻击预算和像素扰动的预算；

在流场和像素扰动相应的预算诱导空间中选择用于所述流场和所述像素扰动两者的随机点；

使用当前像素扰动和当前流场获得用于所述输入图像的第一对抗性图像，所述当前流场和所述当前像素扰动是可更新的并且从所选择的随机点开始；

通过对非ground-truth标签随机采样来计算对抗性生成标签；