[发明专利]面向红外图像对抗攻击的多任务防御模型构建方法

说明书

本发明提供面向红外图像对抗攻击的多任务防御模型构建方法，包括：根据获取到的红外图像数据集确定训练数据集和测试数据集；建立目标网络模型和附加网络模型，对目标网络模型和附加网络模型进行训练，根据训练获得的最优目标网络模型和最优附加网络模型的参数构建多任务防御模型并进行训练，训练完成获得最优多任务防御模型。本发明利用目标网络和附加网络之间进行参数共享，使目标网络在不牺牲原本分类精度的基础上，拥有附加网络的降噪和抗扰动能力；附加网络和目标分类网络会通过联合训练的方式进行信息交互，而不是仅对附加网络进行单独训练，网络应用泛化性高，提升目标网络的鲁棒性。

技术领域

本发明涉及面向红外图像对抗攻击的多任务防御模型构建方法，属于图像处理技术领域。

背景技术

红外图像是利用探测仪测量目标本身与背景间的红外线差，得到不同的热红外线而形成的一种图像，具有良好的目标探测能力和更好的鲁棒性。但红外图像有很多天然的缺点，红外弱小目标的成像面积一般比较小，且红外目标成像没有确定的形状，在红外图像上不存在纹理，形状信息等，成像信息较少；红外成像受大气衰减、复杂背景以及杂波覆盖遮掩等因素影响，导致红外图像数据本身存在噪声大、对比度低、非均匀性大和空间分辨力差等问题。近年来，基于深度学习的方法在很多领域取得了良好的表现，但是很大程度上依赖于海量标数据。在某些条件下，标注红外数据很难获取，而且需要大量的人力成本。因此，针对红外数据少、数据难以获得的问题，需要基于现有的数据进行数据样本生成研究，以扩大样本种类与数量，满足识别模型训练需要。

基于人工智能算法的图像目标识别系统在不同领域中广泛应用，被用于遥感卫星和无人飞行器自动侦查、交通监控、图像检索和人机交互等场合。然而，世界各国研究者对人工智能算法进行更深层次的研究实验发现，当攻击者利用了人工智能图像检测或识别算法模型的漏洞，即在目标上加装特定伪装图案，便可对各类应用对象背后所依赖的图像识别系统进行攻击，使其无法正常识别视频图像内容，无法正常工作。2014年，研究人员Szegedy等通过实验证明尽管深度卷积神经网络在计算机视觉领域的问题尤其是分类问题上表现出了其巨大的优越性，但也存在着诸多无法解释的问题，他们称其为深度网络的反直觉特性(Counter-intuitive Properties)：

(1)根据单元分析法发现单个深层神经元和深层神经元的随机线性组合之间没有区别，这表明在神经网络的深层中包含语义信息的是整个深层空间而非单个神经元；

(2)深度神经网络的输入输出映射在很大程度上是相当不连续的，可以通过对图像添加某种难以察觉的对抗性扰动(Adversarial Perturbation)使网络对图像进行错误分类。

这类对抗技术中最典型的针对图像人工智能模型的攻击技术称为对抗样本攻击。攻击者们在逐步利用人工智能算法的漏洞对军事目标实施定向攻击。这些对抗技术一方面能够欺骗人工智能模型给出攻击者意图的计算输出结果，另一方面可以制造以假乱真的伪造内容欺骗目标，进而对应用系统的安全稳定造成巨大威胁。相反，应用目标可以通过这类反智能化的对抗样本技术，对本身进行伪装处理，可以实现基于人工智能的隐身迷彩服等效果。基于以上原因，目标信息和人工智能算法对抗将发展成为未来社会生活中的主流场景。为应对人工智能技术带来的新形势，一方面需要利用相关技术研发出新型稳定识别系统，另一方面也需要研究攻击方将可能采取的相关对抗技术，从而进一步寻找对抗算法漏洞，研究并制定相关防御和反制方法。人工智能化也将会在这种攻击与防御背景下不断发展。

目前，世界各国的研究者们设计了不同的对抗攻击手段用于分析了不同攻击的存在，并提出针对性的防御措施，其中对抗攻击算法主要集中以下几种类型：

(1)用于分类的攻击