[发明专利]一种基于WGAN-GP的对抗扰动图像生成方法

权利要求书

1.一种基于WGAN-GP的对抗扰动图像生成方法，其特征在于：所述生成方法包括如下步骤：

步骤1：参数初始化：设置训练步长n、噪声分布T和训练集P；

步骤2：采样噪声分布和数据集样本：从噪声分布T中取m个噪声扰动{z₁，z₂，...，z_m}进行小批量采样，从训练集P中取m个原始图像{x₁，x₂，...，x_m}进行小批量采样；

步骤3：提取原始图像特征向量：利用目标网络模型M的特征提取器f来提取每个原始图像的特征向量，并获取m张原始图像中的特征向量{f(x₁)，f(x₂)，...，f(x_m)}，使GAN网络生成器从学习原始图像的特征转换为学习目标特征；

步骤4：训练判别网络：在目标损失函数L_WGAN-GP基础上，通过提升随机梯度来训练判别器；

步骤5：小批量采样噪声分布：从噪声分布T中再取m个噪声扰动{z1，z2，...，zm}进行小批量采样；

步骤6：训练生成网络：结合目标损失函数L_WGAN-GP、误判损失函数L_adv和约束对抗扰动生成幅度损失函数L_norm，通过降低随机梯度来训练生成器；

步骤7：迭代步数：根据设置的迭代步数，反复的进行步骤2-步骤6的步骤直至到达终止条件，最终获取到一个可为任何输入的对抗目标产生对应的对抗扰动图像，而不需要再访问模型本身的前馈网络，其中：

目标损失函数L_WGAN-GP计算的表达式为：

L_WGAN-GP＝E_x[D(x)]-E_x[D(G(t|f(x)))]-λE_x[(||▽_xD(G(t|f(x)))||₂-1)²]     (2)

式(2)中，D(x)表示判别器判断x类别标签是否属于训练集P中的类别信息，E表示期望值表达式，

所述误判损失函数L_adv的计算表达式为：

式(3)中，l_M表示用于训练原始模型的交叉熵损失函数，c表示目标类别；

在有指向目标对抗中，L_adv使用最小化对抗扰动图像G(t|f(x))属于其他类别c的softmax概率方法，达到目标网络模型M误分类的目的；

在无指向目标对抗中，L_adv使用最大化对抗扰动图像G(t|f(x))的概率与真实值概率之间的距离方法，达到目标网络模型M检测失效的目的，

所述约束对抗扰动生成幅度损失函数L_norm的计算表达式为：

L_norm＝E_x||x-G(t|f(x))||₂                                (4)；

所述步骤3中所述图像特征向量的表达式为：

f_extract(x)＝f_l(f_l-1(...(f₂(f₁(x；W₁,b₁)；W₂,b₂))).W_l.,；b_l)                (1)。