[发明专利]对抗图像的生成方法及装置

权利要求书

1.一种对抗图像的生成方法，其特征在于，所述方法包括：

向扰动生成模型输入初始图像，得到所述扰动生成模型输出的对抗扰动；

将所述对抗扰动添加到所述初始图像中，得到对抗图像，所述对抗图像用于对待攻击的图像识别模型进行定向攻击，或者，所述对抗图像用于作为样本数据训练神经网络模型，以得到能够避免被对抗扰动干扰的图像识别模型；

其中，所述初始图像与所述对抗图像的结构相似性指数大于结构相似性指数阈值，所述对抗图像与目标图像的特征相似性指数大于特征相似性指数阈值，所述目标图像为不同于所述初始图像，且与所述初始图像大小一致的同类型图像。

2.根据权利要求1所述的方法，其特征在于，在所述向扰动生成模型输入初始图像，得到所述扰动生成模型输出的对抗扰动之前，所述方法还包括：

获取训练样本集以及所述目标图像，所述训练样本集包括：多帧初始训练图像，每帧所述初始训练图像均与所述目标图像不同；

基于所述训练样本集、所述目标图像以及目标损失函数，对生成网络模型进行训练，得到所述扰动生成模型，所述目标损失函数用于表征：所述初始训练图像与对抗训练图像的结构相似性损失值，以及所述对抗训练图像与所述目标图像的特征相似性损失值；

其中，所述对抗训练图像为：向所述生成网络模型输入所述初始训练图像得到所述生成网络模型输出的原始对抗扰动后，将所述原始对抗扰动添加到所述初始训练图像中得到的图像。

3.根据权利要求2所述的方法，其特征在于，基于所述训练样本集、所述目标图像以及目标损失函数，对生成网络模型进行训练，得到所述扰动生成模型，包括：

基于所述训练样本集、所述目标图像以及所述目标损失函数，对所述生成网络模型执行多次训练过程，以得到所述扰动生成模型；

其中，每次所述训练过程包括：

向所述生成网络模型输入所述训练样本集；

基于所述训练样本集以及所述生成网络模型的输出结果，生成与多帧所述初始训练图像一一对应的多帧所述对抗训练图像；

基于多帧所述初始训练图像和多帧所述对抗训练图像，确定所述初始训练图像和所述对抗训练图像的平均结构相似性损失值；

基于多帧所述对抗训练图像和所述目标图像，确定所述对抗训练图像和所述目标图像的平均特征相似性损失值；

基于所述平均结构相似性损失值和所述平均特征相似性损失值，以及所述目标损失函数，确定梯度信息；

将所述梯度信息反向传播给所述生成网络模型，以使所述生成网络模型能够基于所述梯度信息，修改所述生成网络模型的参数。

4.根据权利要求3所述的方法，其特征在于，基于所述训练样本集以及所述生成网络模型的输出结果，生成与多帧所述初始训练图像一一对应的多帧所述对抗训练图像，包括：

获取所述生成网络模型输出的与每帧所述初始训练图像对应的原始对抗扰动；

对所述生成网络模型输出的每个原始对抗扰动进行高频滤除处理，得到与每帧所述初始训练图像对应的高频滤除处理后的原始对抗扰动；

将所述高频滤除处理后的原始对抗扰动添加到对应的初始训练图像上，得到多帧所述对抗训练图像。

5.根据权利要求4所述的方法，其特征在于，对所述生成网络模型输出的每个原始对抗扰动进行高频滤除处理，得到与每帧所述初始训练图像对应的高频滤除处理后的原始对抗扰动，包括：

对所述生成网络模型输出的每个原始对抗扰动进行离散余弦变换处理，得到与每个所述原始对抗扰动对应的频域图像；

对所述频域图像进行高频信息滤除处理，得到与每个所述原始对抗扰动对应的高频信息滤除处理后的频域图像；

对所述高频信息滤除处理后的频域图像进行离散余弦反变换处理，得到所述与每帧所述初始训练图像对应的高频滤除处理后的原始对抗扰动。