[发明专利]一种防御图像对抗扰动的预处理方法

说明书

本发明公开了一种防御图像对抗扰动的预处理方法，包括离线阶段用无扰动自然图像学习超完备字典和在线防御阶段对图像的预处理，其中：在线防御阶段对图像的预处理用非负矩阵分解法获取扰动图像的低秩表示；用所述离线阶段学得的超完备字典对所述低秩表示进行稀疏编码重构；本发明公开的方法能够有效防御多种图像对抗扰动，具有良好的泛化性且能与其他防御方法串行使用。

技术领域：

本发明涉及图像处理技术与深度学习技术领域，尤其涉及神经网络对抗扰动的防御方法。

背景技术：

由于近年来计算机算力的提升，深度学习技术取得了很大的进展，各种基于深度神经网络(Deep Neural Network，DNN)的技术在一些特定任务中甚至具有超过人类的表现。尤其在计算机视觉领域，人脸识别、自动驾驶等应用已经具备不小的实用价值。然而近年的研究表明，DNN极易受到一种被称为对抗扰动的特殊噪声的影响，出现错误的输出结果。对抗扰动的发现，成为了DNN在各领域应用中的不可忽视的安全隐患。在图像识别领域，Szegedy等^[1]发现，给图像添加一种不可察觉的、非随机的微弱噪声，将会改变网络模型对该图像的分类结果。给图像添加对抗扰动的过程被称为图像对抗扰动攻击，常用的方法包括FGSM(Fast Gradient Sign Method)^[2],BIM(Basic Iterative Method)^[3],DeepFool^[4],CW(CarliniWagner)^[5]和JSMA(Jacobian Saliency Map Attack)^[6]等。

为了预防对抗扰动可能带来的危害，国内外学者对防御图像对抗扰动攻击的方法进行了大量的研究。根据防御中所使用的技术手段的差异，现有的防御方法可以划分为两大类。第一类是基于深度学习的方法，例如Kurakin等^[7]通过在训练集中添加扰动图像然后对网络模型进行对抗训练，从而提升模型鲁棒性。Zantedeschi等^[8]为网络Relu激活函数确定值域上限，限制对抗扰动的逐层变大。Samangouei等^[9]训练生成对抗网络的生成器，用其重构输入图像，去除扰动。这一类方法在特定场景有较好的效果，但其效果通常会受到攻击算法、数据集或网络模型的影响。第二类是基于传统图像处理的方法。例如Guo等^[10]采用图像裁剪缩放、JPEG压缩、位压缩、总方差最小化和图像缝合五种图像处理算法去除扰动。Xu等^[11]采用位压缩和空间平滑滤波处理扰动图像图像。Sun等^[12]通过K-means算法对图像聚类后再按类别进行卷积稀疏编码重构图像。相比第一类方法，此类方法通常不受攻击算法、分类模型和数据集的影响，普适性和稳定性较强，同时这类方法更容易在不同目标模型中迁移使用。本发明所提方法属于第二类方法。

发明内容：

本发明提供了一种基于非负矩阵分解(Nonnegative Matrix Factorization，NMF)^[13]和稀疏编码重构的防御图像对抗扰动的预处理方法。针对自然图像的稀疏和低秩特性，本方法先采用低秩分解削弱图像中的对抗扰动，同时利用稀疏编码对低秩图像进行重构，在滤除残余扰动的同时恢还原始图像的细节信息。该方法可适应多种对抗噪声和神经网络结构，具有较强的普适性。

本发明采用如下技术方案予以实施：

.一种防御图像对抗扰动的预处理方法，所述方法包括离线阶段用无扰动自然图像学习超完备字典和在线防御阶段对图像的预处理，所述在线防御阶段对图像的预处理包括以下步骤：

步骤一：用非负矩阵分解法获取扰动图像的低秩表示；其中：

101：将所述扰动图像分解为若干单通道图像；

102：将所述单通道图像分解为基矩阵与系数矩阵，基矩阵与稀疏矩阵的乘积为所述单通道图像的低秩表示；