[发明专利]基于集成注意力机制的多目标对抗补丁生成方法及装置

说明书

本发明属于人工智能安全技术领域，特别涉及一种基于集成注意力机制的多目标对抗补丁生成方法及装置，该方法包括构建图像分类数据集；构建基于集成注意力机制的多目标对抗补丁生成框架；定义损失函数并训练多目标对抗补丁生成框架；测试生成对抗补丁的攻击效果。本发明通过集成注意力机制定位输入图像的关键分类区域，以确保对抗补丁发挥更好的攻击性能和迁移性；生成器的输入充分利用原图信息，将使生成器生成的对抗补丁效果更佳；生成器的输入还融合了多目标类别信息，可以攻击目标模型的任意指定类别，实现多目标类别的攻击；对判别器的输入进行裁剪，以保证判别器学到更多的上下文信息，提高对抗补丁视觉效果。

技术领域

本发明属于人工智能安全技术领域，特别涉及一种基于集成注意力机制的多目标对抗补丁生成方法及装置。

背景技术

深度神经网络在图像分类、图像检测、文本处理、语音识别等领域获得了巨大的成功。它作为一项变革性的技术，在带来了巨大的社会经济效益的同时，也引发了人们对于人工智能安全性的担忧和思考。已有研究表明，通过在原始样本上添加精心设计的微小扰动，可以让深度神经网络产生误判。

对抗样本的存在对人工智能的应用提出了重大挑战，例如，自动驾驶、人脸识别等，其促使学者不断研究对抗样本的攻击与防御算法，两者相互博弈、相互促进，使人工智能的安全性不断提高。因此，研究对抗样本攻防算法对人工智能安全领域的发展具有重要价值。

目前，直接在整幅图像上产生对抗扰动的方法有基于优化、基于梯度和基于生成网络三种方式。基于优化的方法有，Szegedy等人基于盒约束优化L-BFGS首次提出通过向图像中添加人眼无法观察的扰动可以让模型错误分类。Carlini和Wagner针对当时的防御算法，通过修改目标函数，提出了CW攻击算法。基于梯度的方法有，Goodfellow等人利用高维空间中深度神经网络模型的线性性质提出了快速梯度符号方法(FGSM)。Kurakin等人对FGSM进一步优化提出基本迭代方法(BIM)。Dong等人将动量引入BIM，提出动量迭代攻击方法(MI-FGSM)。尽管，基于优化和基于梯度的方法在攻击性能上取得了一定的成功，但其要经过大量迭代过程，这是非常耗时的。Zhao等人提出了基于生成网络的方法，其通过生成对抗网络来生成图像的对抗样本，使得生成的对抗样本更加自然。

上述方法都是针对整幅图像设计对抗扰动，其既包括目标图像，又包括背景图像，而实际上，如果要将攻击拓展到物理世界中去，攻击者就很难在整幅图像上做改动，因此可以选择图像中的某一特定区域，对该区域添加扰动，从而使得深度神经网络发生误判。

有学者研究过类似相关工作，Brown等人首次提出对抗补丁的概念，即通过在整幅图像中的某一特定区域添加扰动以使深度神经网络发生误判。与传统方法相比，该方法具有对抗扰动与场景独立等优势。Karmon等人通过基于优化的和修改损失函数的方式来生成对抗补丁。Evtimov等人采用传统的扰动生成技术来生成黑白条贴在交通标志图上，使其被错误分类。尽管对抗补丁生成技术在攻击性能和灵活性方面取得了不错的进展，但大多数关于对抗补丁的研究通常忽略了视觉效果，未能产生与攻击目标背景一致且具有攻击性的补丁，因此经常导致不稳定的攻击效果。Liu等人提出了Perceptual-Sensitive GAN(PS-GAN)来生成具有感知敏感性的对抗补丁，其能有效地增强对抗补丁的视觉效果和攻击能力。但是其无法生成针对特定类别的对抗补丁。

发明内容

针对现有技术中存在的问题，本发明提出了一种基于集成注意力机制的多目标对抗补丁生成方法及装置，可以显著降低训练成本和模型存储量，并通过集成注意力机制和对抗生成训练使对抗补丁具备良好的视觉效果和定向攻击性能。

为解决上述技术问题，本发明采用以下的技术方案：

本发明提供了一种基于集成注意力机制的多目标对抗补丁生成方法，包括以下步骤：

构建图像分类数据集；

构建基于集成注意力机制的多目标对抗补丁生成框架；