[发明专利]一种对抗样本生成方法、系统、计算机设备和存储介质

说明书

本发明提供了一种对抗样本生成方法、系统、计算机设备和存储介质，通过获取待攻击的原始图像样本和神经网络模型，根据原始图像样本输入神经网络模型得到对应的梯度符号矩阵，以及采用熵值滤波器获取原始图像样本的信息熵分布矩阵生成扰动矩阵，并使用该扰动矩阵对原始图像样本添加扰动，并在得到的噪声图像样本满足对抗样本生成要求时，停止迭代，将该噪声图像样本作为对抗样本，反之，将噪声图像样本输入神经网络模型，进行下一轮噪声图像样本生成迭代，直至得到满足要求的对抗样本的方法，克服现有技术中未对梯度信息的重要程度作区分，在图像信息熵不同的区域生成均匀分布扰动缺陷的同时，增加了对抗样本的隐蔽性，提升了对抗样本的攻击效果。

技术领域

本发明涉及人工智能深度学习技术领域，特别是涉及一种基于图像信息熵分布的对抗样本生成方法、系统、计算机设备和存储介质。

背景技术

随着人工智能技术的飞速发展，基于人工智能的系统和应用呈现了爆发式增长，也给人们的生活带来了极大便利。其中，深度学习作为人工智能的代表，也因能够有效的从大量数据中训练得到高精度的分类模型，且在分类任务上有着卓越的表现，而被许多领域引入使用，尤其在安全场景备受青睐，如自动驾驶中的物体识别，门禁系统中的人脸识别等。但在2014年由Szegedy提出对抗样本的概念后，实验证明在数据集中故意添加细微的干扰而形成的对抗样本会导致深度学习模型以高置信度给出一个错误的输出，这成为深度学习的一个深度缺陷，同时对抗样本也就成为恶意攻击者攻击深度学习模型的有力武器。随之，如何构造有效的对抗样本应用于深度学习模型的防御训练来提升深度学习模型抗干扰能力的问题，逐渐成为众多学者研究的对象。

现有的对抗样本生成方法有经典的FGSM对抗样本生成方法、引入多次迭代的PGD对抗样本生成方法、基于PGD方法引入动量因素的MI-FGSM对抗样本生成方法、构造更优损失函数加大惩罚项的CW对抗样本生成方法、以及基于寻找最近决策面的Deepfool对抗样本生成方法等。虽然由上述现有对抗样本生成方法生成的对抗样本在一定程度上满足了应用的需求，但它们在对抗样本的生成过程中均未考虑梯度信息在生成对抗样本中的重要程度，在图像包含更多信息量的信息熵高的区域与图像包含相对较少信息量的信息熵低的区域生成均匀分布的扰动，导致在图像信息量相对较少区域(如色调单一的空白区域)生成的扰动更容易被察觉，却在图像包含更多信息量的区域(如图像中物体边缘区域、颜色变换复杂的区域)生成的扰动不足，进而导致生成的对抗样本攻击性不强的问题，并不能很好地应用于深度学习模型的防御训练。

因此，亟需提供一种在对抗样本的生成过程中充分考虑梯度的重要程度，在图像中信息熵不同的区域生成不同的扰动，进而增加对抗样本隐蔽性和提升对抗样本的攻击效果的对抗样本生成方法。

发明内容

本发明的目的是提供一种对抗样本生成方法，在使用深度学习模型生成对抗样本的过程中采用图像信息熵分布给梯度信息分配对应权重，生成一个扰动更低更不容易察觉的对抗样本，克服现有对抗样本生成过程中未对梯度信息的重要程度作区分，在图像信息熵不同的区域生成均匀分布的扰动的缺陷同时，有效增加对抗样本的隐蔽性，进一步提升对抗样本的攻击效果。

为了实现上述目的，有必要针对上述技术问题，提供了一种对抗样本生成方法、系统、计算机设备及存储介质。

第一方面，本发明实施例提供了一种对抗样本生成方法，所述方法包括以下步骤：

获取待攻击的原始图像样本和神经网络模型；

将所述原始图像样本输入所述神经网络模型，得到对应的梯度符号矩阵；

获取所述原始图像样本的信息熵分布矩阵，并根据所述信息熵分布矩阵和所述梯度符号矩阵，生成对应的扰动矩阵；

采用所述扰动矩阵对所述原始图像样本添加扰动，得到噪声图像样本；