[发明专利]对抗图像的生成方法及装置

说明书

本申请公开了一种对抗图像的生成方法及装置，属于机器学习领域。该方法包括：向扰动生成模型输入初始图像，得到所述扰动生成模型输出的对抗扰动；将所述对抗扰动添加到初始图像中，得到对抗图像。该初始图像与对抗图像的结构相似性指数大于结构相似性指数阈值，对抗图像与目标图像的特征相似性指数大于特征相似性指数阈值，使得能够在保证该对抗图像对图像识别模型进行对抗攻击的成功率较高的前提下，提高该对抗图像的图像质量。

技术领域

本申请涉及机器学习领域，特别涉及一种对抗图像的生成方法及装置。

背景技术

在机器学习领域，为了验证基于深度神经网络训练得到的图像识别模型的可靠性，可以采用对抗图像对图像识别模型进行对抗攻击。

其中，对抗图像可以是基于初始图像生成的图像，且观察者不容易察觉到两个图像的区别。若图像识别模型将对抗图像和初始图像识别为不同的类别，则可以确定对抗攻击成功。

但是，目前基于初始图像所生成的对抗图像的图像质量较差，观察者有可能会很容易察觉出对抗图像与初始图像的区别，导致对抗攻击的性能不高。

发明内容

本申请实施例提供了一种对抗图像的生成方法及装置。可以解决现有技术的对抗图像的图像质量较差的问题，所述技术方案如下：

一方面，提供了一种对抗图像的生成方法，所述方法包括：

向扰动生成模型输入初始图像，得到所述扰动生成模型输出的对抗扰动；

将所述对抗扰动添加到所述初始图像中，得到对抗图像；

其中，所述初始图像与所述对抗图像的结构相似性指数大于结构相似性指数阈值，所述对抗图像与目标图像的特征相似性指数大于特征相似性指数阈值，所述目标图像为不同于所述初始图像的图像。

可选的，在所述向扰动生成模型输入初始图像，得到所述扰动生成模型输出的对抗扰动之前，所述方法还包括：

获取训练样本集以及所述目标图像，所述训练样本集包括：多帧初始训练图像，每帧所述初始训练图像均与所述目标图像不同；

基于所述训练样本集、所述目标图像以及目标损失函数，对生成网络模型进行训练，得到所述扰动生成模型，所述目标损失函数用于表征：所述初始训练图像与对抗训练图像的结构相似性的损失值，以及所述训练对抗图像与所述目标图像的特征相似性的损失值；

其中，所述对抗训练图像为：向所述生成网络模型输入所述初始训练图像得到所述生成网络模型输出的原始对抗扰动后，将所述原始对抗扰动添加到所述初始训练图像中得到的图像。

可选的，基于所述训练样本集、所述目标图像以及目标损失函数，对生成网络模型进行训练，得到所述扰动生成模型，包括：

基于所述训练样本集、所述目标图像以及所述目标损失函数，对所述生成网络模型执行多次训练过程，以得到所述扰动生成模型；

其中，每次所述训练过程包括：

向所述生成网络模型输入所述训练样本集；

基于所述训练样本集以及所述生成网络模型的输出结果，生成与多帧所述初始训练图像一一对应的多帧所述对抗训练图像；

基于多帧所述初始训练图像和多帧所述对抗训练图像，确定所述初始训练图像和所述对抗训练图像的平均结构相似性损失值；

基于多帧所述对抗训练图像和所述目标图像，确定所述对抗训练图像和所述目标图像的平均特征相似性损失值；

基于所述平均结构相似性损失值和所述平均特征相似性损失值，以及所述目标损失函数，确定梯度信息；