[发明专利]基于梯度热力图和关键区域检测对抗样本的方法及系统有效
| 申请号: | 202210353949.4 | 申请日: | 2022-04-01 |
| 公开(公告)号: | CN114758189B | 公开(公告)日: | 2023-04-07 |
| 发明(设计)人: | 刘小垒;胥迤潇;杨润;辛邦洲;王玉龙;殷明勇 | 申请(专利权)人: | 中国工程物理研究院计算机应用研究所 |
| 主分类号: | G06V10/774 | 分类号: | G06V10/774;G06V10/82;G06V10/764;G06V10/25;G06N3/045;G06N3/084;G06N3/094 |
| 代理公司: | 成都正煜知识产权代理事务所(普通合伙) 51312 | 代理人: | 袁宇霞 |
| 地址: | 621054*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 梯度 力图 关键 区域 检测 对抗 样本 方法 系统 | ||
本发明公开了一种基于梯度热力图和关键区域检测对抗样本的方法及系统,属于对抗样本识别技术领域,解决现有对抗样本检测方法的误报率和漏报率较高的问题。本发明基于图像关键区域识别方法对图像或视频进行关键区域识别;针对深度学习模型,利用热点区域检测方法对图像或视频进行热点区域识别;对关键区域和热点区域进行重合度计算,得到重合度值;判断重合度值是否大于给定的边界值,若大于边界值,则图像或视频为正常样本,否则判断为对抗样本。本发明用于对抗样本识别。
技术领域
一种基于梯度热力图和关键区域检测对抗样本的方法及系统,用于对抗样本识别,属于对抗样本识别技术领域。
背景技术
现有研究表明,基于深度神经网络的深度学习模型容易受到对抗样本攻击。对抗样本的攻击的一般定义为:攻击者通过对深度学习模型的输入样本添加人眼不可见的微小扰动,使得深度学习模型以较高的概率输出错误的结果或做出错误的响应。对抗样本严重威胁深度学习模型的应用安全性,尤其当深度学习模型被应用于安全关键场景,如自动驾驶、恶意流量分析等领域。因此增强深度学习模型对对抗样本的鲁棒性是深度学习模型进一步得到广泛应用的基础。
现有的主流对抗样本防御方法是对抗训练,即将对抗样本和正常样本同时加入深度学习模型进行训练,以提高深度学习模型对对抗样本的鲁棒性。但采用现有的对抗训练进行对抗样本检测存在如下技术问题:
1.现有对抗样本检测方法的误报率和漏报率较高;
2.基于现有的对抗训练进行对抗样本的防御方法需要引入新的对抗样本数据,增大了数据收集的难度;
3.采用对抗训练会降低深度学习模型在正常样本数据集上的性能,如针对图像分类模型,性能是指图像分类的准确率,针对图像生成模型,性能是指图像生成的质量;
4.采用现有技术无法对对抗样本攻击事件做出识别和预警。
发明内容
针对上述研究的问题,本发明的目的在于提供一种基于梯度热力图和关键区域检测对抗样本的方法及系统,解决现有对抗样本检测方法的误报率和漏报率较高的问题。
为了达到上述目的,本发明采用如下技术方案:
一种基于梯度热力图和关键区域检测对抗样本的方法,包括如下步骤:
步骤1、基于图像关键区域识别方法对图像或视频进行关键区域识别;
步骤2、针对深度学习模型,利用热点区域检测方法对图像或视频进行热点区域识别;
步骤3、对关键区域和热点区域进行重合度计算,得到重合度值;
步骤4、判断重合度值是否大于给定的边界值,若大于边界值,则图像或视频为正常样本,否则判断为对抗样本。
进一步,所述步骤1中的图像关键区域识别方法为AC算法、HC算法、LC算法或FT算法。
进一步,步骤1中关键区域识别的公式为:
s=Salient(x)
其中,s表示关键区域,x表示图像或视频,Salient(.)表示计算机视觉方法。
进一步,所述步骤2中的热点区域检测方法为梯度热力图方法G-CAM。
进一步,步骤2的具体步骤为:
将图像或视频x输入深度学习模型C获得深度学习模型的输入/响应y:
y=C(x)
利用热点区域检测方法识别深度学习模型C中,对于图像或视频x和输出/响应y的热点区域h:
h=Gradmap(C,x,y)
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国工程物理研究院计算机应用研究所,未经中国工程物理研究院计算机应用研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210353949.4/2.html,转载请声明来源钻瓜专利网。
