[发明专利]一种认证半径引导攻击方法、优化训练方法及系统

说明书

本发明提供一种认证半径引导攻击方法、优化训练方法及系统，攻击方法包括：对训练样本集的每一张原始图片，添加高斯噪声，并获取对应的认证半径；采用投影梯度下降法结合认证半径对图片进行迭代处理，得到迭代处理后的图片，其中，所有迭代处理后的图片形成对抗样本集；利用对抗样本集对语义分割模型进行攻击测试。本发明采用认证半径引导攻击方法对语义分割模型进行攻击测试，能够揭示语义分割模型的内部弱点信息，进而根据语义分割模型的内部弱点信息，进行优化，使得优化后的语义分割模型的鲁棒性更强，能对抗更强大的扰动。

技术领域

本发明涉及网络模型优化领域，更具体地，涉及一种认证半径引导攻击方法、优化训练方法及系统。

背景技术

神经网络模型的应用非常广泛，为了使得神经网络模型的性能更好，通常先对神经网络模型进行攻击，针对攻击出现的问题，对神经网络模型进行优化。

传统的在对神经网络模型进行攻击的阶段，一般的白盒攻击方法认为攻击就是添加扰动使得模型的loss（损失函数值）增大，所以沿着梯度方向生成攻击样本应该是最佳的，由此提出了FGSM（fast gradient sign method，快速梯度符号法）方法和PGD（projected gradient descent，投影梯度下降法）方法。FGSM方法在产生对抗样本时，是不需要迭代的，它顺着梯度方向迭代一次，优点是速度很快，但它的攻击效果很差。PGD方法对FGSM进行了改进，PGD考虑把FGSM的一大步换成多小步，并且将其转化成一个优化过程，优点是攻击效果显著增强，但是速度非常慢。

发明内容

本发明提供一种克服上述问题或者至少部分地解决上述问题的一种语义分割模型的认证半径引导攻击方法、优化训练方法及系统。

根据本发明的第一方面，提供了一种语义分割模型的认证半径引导攻击方法，包括：对训练样本集的每一张原始图片，添加高斯噪声，获取每一张原始图片对应的第一图片；

计算每一张第一图片的认证半径；

采用投影梯度下降法对每一张第一图片进行第一次迭代处理，以及结合所述认证半径和投影梯度下降法对每一张第一图片进行剩余次数的迭代处理，得到迭代处理后的第二图片，其中，所有的第二图片形成对抗样本集；

利用对抗样本集对语义分割模型进行攻击测试；

其中，所述语义分割模型用于对图片中的目标进行分割。

在上述技术方案的基础上，本发明还可以作出如下改进。

可选的，通过如下公式计算每一张第一图片的认证半径：

其中，F(x)为平滑模型，E代表期望值， 代表高斯逆累积分布函数 (Gaussian Inverse CDF function) ， 代表高斯核，代表满足高斯分布的统计变量, R_i代表训练样本集中的第i张原始图片的认证半径, F(x)_iA和F(x)_iB分别表示第i张原始图片经过语义分割模型后输出的预测分割图F(x)中像素值最大的像素点和像素值第二大的像素点的索引值。

可选的，所述采用投影梯度下降法对每一张第一图片进行第一次迭代处理，包括：

其中，x表示训练样本集中的原始图片，x¹为原始图片x经过第一次迭代后的输出，代表图片x第一次迭代的梯度值，代表迭代过程中的步长；

所述结合认证半径和投影梯度下降法对每一张第一图片进行剩余次数的迭代处理，包括：