[发明专利]面向深度神经网络的抗压缩对抗性图像生成方法

说明书

本发明公开了一种面向深度神经网络的抗压缩对抗性图像生成方法,通过设计一个神经网络来近似图像压缩算法，并将此神经网络加入到对抗性图像的优化求解过程中，使得生成的对抗性图像可以抵御图像压缩。本方法具有高扩展性，可以与现有的对抗性图像攻击方案相结合，在不明显影响攻击成功率的条件下，提高各种攻击算法生成的对抗性图像的抗压缩性能。另外，本方法还可针对压缩方法未知情况下的抗压缩对抗性图像实现，有着较高的黑盒实用性。克服了以往攻击方法生成的对抗性图像经过图像压缩后会失效的问题。

技术领域

本发明涉及一种面向深度神经网络的抗压缩对抗性图像生成方法，属于人工智能安全领域。

背景技术

近年来，深度学习技术发展迅速，深度神经网络在各种领域展现出接近甚至超过人类的表现，如：图像分类、目标检测、自然语言处理等。因此，深度神经网络被广泛地用于解决各类实际任务，如无人驾驶、语音识别、智能监控等。然而近期研究表明深度神经网络对于特定的攻击十分脆弱：将输入图像加上精心构建的人类难以察觉的噪声，深度神经网络会输出错误甚至攻击者期望的结果，这类修改后的输入称之为对抗性图像。这类对抗性图像对于深度神经网络具有极高的攻击成功率，且具有可转移性：通过特定的网络生成的对抗性图像可以攻击一系列的网络结构。这类对抗性图像攻击给基于深度学习技术的安全敏感应用带来了巨大的威胁。

然而，通过对现有对抗性图像算法进行研究，我们发现生成的对抗性图像并不能抵御图像压缩：对于图像而言，其大部分都会经过图像压缩来节省存储空间和网络传输资源，并且常用的图像压缩算法大部分都是有损图像压缩，即图像压缩前后会有一定的质量损失，也即图像的像素值会发生变化。同样对于对抗性图像而言，其加入的对抗性噪声是经过精心构造的，在其经过压缩之后，像素值的变化会影响构造的特定的噪声，使得对抗性图像失效，造成对抗性图像具有较差的鲁棒性和实用性。由于现有的攻击算法在生成噪声的时候只考虑目标模型来进行优化，这会导致生成的噪声会过拟合目标模型，这样的对抗性图像虽然能够达到高攻击成功率，但使得生成的对抗性图像稍加经过处理便会失效，无法有效的应用在现实的环境中，比如图像压缩。

本发明认为现有的对抗性图像生成方案仅仅满足对深度神经网络的高攻击成功率，在鲁棒性上表现很差，使得对抗性图像经过常用的图像压缩后便很容易失效，无法获得对图像压缩鲁棒的的对抗性图像，因此急需一种抗压缩的对抗性图像生成方案。

发明内容

本发明的目的是克服现有技术的不足，提供一种面向深度神经网络的抗压缩对抗性图像生成方法。

本发明所设计的一种面向深度神经网络的抗压缩对抗性图像生成方法，其特殊之处在于，包含如下步骤：

1)给定一个目标分类器模型，给定原始图像，该原始图像经过图像压缩后，输入到目标分类器能得到其分类到所有类别的置信度；攻击者拥有对目标模型的白盒访问权限，并设定目标类别；

2)将图像压缩算法注入到对抗性图像的优化求解过程，使用基于梯度的优化算法生成抗压缩的对抗性图像；

3)设计神经网络来近似图像压缩算法，训练后的神经网络可以作为压缩算法的可微近似形式；

4)将已训练好的神经网络模型加入到现有的对抗图像优化算法的求解过程中，生成抗压缩的对抗性图像，使目标模型分类到目标类别。

进一步地，输入的原始图像首先经过图像压缩处理x′＝comp(x)，其中x为输入的原始图像，comp()是图像压缩函数，x′是压缩后的图像；目标图像分类器可以表示为f(x′,θ)＝y，θ为模型参数，y为模型输出；模型输出倒数第二层被称作logits层，输出图像对应的每种类别的置信度；而最后一层称作softmax层，输出logits层结果归一化后的结果,即分类到每种类别的概率；分类器最后的输出y即为softmax层的最大值，表示为：

f(x,θ)＝max(softmax(logits(comp(x))))＝y