[发明专利]一种基于通用扰动的攻击图像检索方法

说明书

一种基于通用扰动的攻击图像检索方法，涉及图像检索、对抗样本。构造一种人类肉眼几乎不可见的扰动图片，使得叠加到对应的图像库里的图片后，在特征空间引起变化，破坏原来的相关近邻关系，返回相似度低的图像，从而使图像检索系统失效。对一个图像库仅需构造一张扰动图片。近邻关系包括图像最近最远近邻关系和排序列表近邻关系。为保证构建的噪声对任意分辨率的图片生效，训练过程中加入随机分辨率调整过程。针对参数无法获取的黑盒检索模型，采用从粗到精的模型蒸馏方法获得替代模型，并通过对替代模型的攻击来间接达到攻击原检索模型的效果。

技术领域

本发明涉及图像检索、对抗样本，具体是涉及一种基于通用扰动的攻击图像检索方法。

背景技术

随着计算机技术的快速发展，互联网已经渗透到了我们生活中的各个方面，多媒体数据特别是图像数据日益增多，如何准确在海量数据中准确快速地找到需要的信息是一个重要的问题。因此在计算机视觉领域，图像检索技术是一个长久的研究热点。具体而言，给定一张查询图像，检索引擎需要从中抽取特征信息，并在一个大规模数据集中匹配特征，返回相关联的图像。图像检索在日常工作生活中随处可见，因此它的脆弱性将带来巨大的影响。对图像检索方法的攻击，可以用来证明检索系统的脆弱性。

近年来，随着硬件GPU快速发展及大数据时代的来临，深度学习得到了迅猛发展，已席卷人工智能各个领域，包括语音识别、图像识别、视频跟踪、自然语音处理等在内的图、文、视频领域。深度学习技术突破了传统技术方法，大大提高各领域的识别性能。同样，现有的高精度的检索模型通常使用深度神经网络来抽取特征[1-4]。然而深度神经网络已经被证实容易受到微小的扰动的干扰，许多研究者提出不同的攻击方式来生成对应的扰动，比如模型蒸馏[5-6]、迁移攻击[7]和梯度更新[8]。与之前每次对给定图片计算一个特定扰动的方式不同，文献[9]提出一种图片无关的通用扰动，可以对来自一个数据分布的图片进行破坏。这种方式消除了每次输入都要重新计算的开销，适用于在线等实时场景下。

然而现存的攻击方式大部分关注于分类任务，没有相关工作关注图像检索任务。而分类任务与检索任务在多个方面存在区别：不同的数据标注格式、不同的目的、不同的输入尺度以及不同的输出及优化方式。这使得现有的对于分类模型的攻击无法直接应用在检索模型上。因此，针对检索模型自身特点，考虑一种针对图像检索任务的通用扰动方式来攻击检索模型，验证图像检索模型的脆弱性将成为研究重点。

参考文献：

[1].A.Babenko and V.Lempitsky.Aggregating local deep features forimage retrieval.In International Conference on Computer Vision,2015.

[2].A.Babenko,A.Slesarev,A.Chigorin,and V.Lempitsky.Neural codes forimage retrieval.In European Conference on Computer Vision,2014.

[3].A.S.Razavian,J.Sullivan,S.Carlsson,and A.Maki.Visual instanceretrieval with deep convolutional networks.ITE Transactions on MediaTechnology and Applications,2016.

[4].F.Radenovic,G.Tolias,and O.Chum.Fine-tuning cnn image retrievalwith no human annotation.IEEE Transactions on Pattern Analysis and MachineIntelligence,2018.