[发明专利]基于强化型通用补丁的对抗攻击方法、防御方法及装置

说明书

本发明提供一种基于强化型通用补丁的对抗攻击方法、防御方法及装置，所述对抗攻击方法包括：获取图像样本集；从所述图像样本集中随机选取第一图像样本作为第一待训练图像；获取原始补丁图像，将所述原始补丁图像与所述第一待训练图像进行图像融合得到第一对抗样本图像；将所述第一对抗样本图像输入至补丁生成模型，并基于梯度下降法更新补丁图像，以生成对抗补丁图像；从所述图像样本集中随机选取第二图像样本作为第二待训练图像；将所述对抗补丁图像与所述第二待训练图像进行图像融合得到第二对抗样本图像，将所述第二对抗样本图像输入至集成网络模型，并基于梯度下降法更新对抗补丁图像，以生成强化型通用补丁图像。

技术领域

本发明涉及图像识别技术领域，尤其涉及一种基于强化型通用补丁的对抗攻击方法、防御方法及装置。

背景技术

深度学习在我们的生活中的各个领域发挥着重要的作用，包括计算机视觉(CV)，模式识别(PR)，自然语言处理(NLP)等各个方面。同时越来越多的研究表明深度神经网络容易受到对抗样本的攻击，这不仅发生在实验室环境中，同样可以对现实世界中的各类CNN图像识别系统进行攻击。

现实世界的攻击，对抗补丁的存在证明了这类扰动不管在实验室环境或者现实环境下都能轻易对白盒神经网络进行攻击。然而在视觉感知上对抗补丁和目标类别的特征仍然存在距离，对抗防御也可利用这一特性对对抗样本做出判定。主要原因还是对抗补丁的生成依赖于大量的数据训练，而白盒的训练中，往往在补丁生成的早期会发生过早收敛的问题，而过早收敛的补丁往往不能充分挖掘目标类别深层次特征。现实世界攻击的防御，已有的方法大多是通过图像与补丁的梯度差异性，依靠检测手段对对抗样本做出判定。一方面这些方法在面对经过图像平滑等特殊处理后的补丁检测效率会明显下降，进而造成防御效率的下降。另一方面，其通用性和时间代价上也较高；而一些常规图像模糊或压缩等预处理防御手段等通常效率比较低下。

目前，Brown等人提出了通用补丁块实现有目标攻击，通过不断对梯度进行优化调整实现补丁对位置和角度的鲁棒性；Karmon在此基础上对损失函数进行了一系列的优化，并进一步探索了位置和类别间关系对补丁实现攻击的影响。现有的这类通用补丁生成都是通过对白盒的攻击拟合过程，实现对神经网络的攻击，而这样的补丁生成过程得到的补丁很大程度取决于所依赖的白盒的攻击难度；如果攻击难度过低，便意味着补丁的过早收敛，无法生成更多目标类别语义信息；从而就会进一步导致对抗补丁在黑盒环境下迁移性不足。

另外，通用补丁块的防御策略主要分为基于检测与扰动和检测与修复两大类，Naseer等人提出了一种局部梯度平滑方案对抗物理世界补丁攻击；在将图像输入CNN之前，通过对估计补丁区域的梯度进行正则化，可以消除对抗攻击的影响。Hayes等人提出了一种基于图像修复的物理图像对抗攻击防御方法；它们在传统图像处理方法的基础上，检测出输入图像中补丁的位置，并进一步利用图像修复技术去除补丁。Xu等人提出一种相似度度量的方法，将输入图片通过CAM算法得到图片中对结果影响最大的区域；截取该区域，然后将该区域和训练数据集中属于预测标签的图像区域进行相似度的对比；如果不相似程度超过一个阈值，就判定该输入样本为攻击样本。而现有的对抗补丁由于依靠对扰动后的图像的检测，在检测过程中存在检测效率不够高、检测时间代价高等特点，因此这类基于检测的防御方法在通用性、时间代价上仍然存在一定的局限性。同时，由于检测往往依靠补丁与正常图像的差异特性，主要表现在梯度和语义信息两个层面，因此目前常用的防御方法，其适应能力更差，往往只能防御单一类型的补丁攻击。因此，如何提供一种黑盒迁移能力更强的通用补丁以及如何针对通用对抗补丁进行有效防御是亟待解决的技术问题。

发明内容

有鉴于此，本发明提供了一种基于强化型通用补丁的对抗攻击方法、防御方法及装置，以解决现有技术中存在的一个或多个问题。

根据本发明的一个方面，本发明公开了一种基于强化型通用补丁的对抗攻击方法，所述方法包括：

获取图像样本集，从所述图像样本集中随机选取第一图像样本作为第一待训练图像；