2. 专利技术
  3. 一种目标注意非定向对抗攻击方法

一种目标注意非定向对抗攻击方法

专利2024-12-29  20


1.本发明涉及非定向对抗攻击技术领域,尤其涉及一种目标注意非定向对 抗攻击方法。


背景技术:

2.随着深度学习在各个领域的广泛应用,其安全问题也逐渐引起人们的关 注。深度学习卷积神经网络(cnn)会对添加扰动的输入样本产生误判,这些 被添加扰动的样本称为对抗样本,近年来成为研究者关注的热点。由于对抗 样本对深度学习系统的安全性存在威胁,尤其以攻击方在不需要模型参数情 况下实施的黑盒攻击更为严重,因此研究对抗样本对防御策略的提出和模型 鲁棒性的增强是很有必要的。
3.现阶段对黑盒攻击的研究众多,但大多数黑盒攻击产生全局扰动或局部 补丁来愚弄目标模型,这两种方式都会严重破坏图像的视觉感知质量。众所 周知,图像的每个像素对cnn的贡献都是不相同的。事实上,图像中目标所 在的区域内的像素对分类器的影响最大,例如一张图像之所以被分类器分为
ꢀ“
猫”,起关键作用的是图像中“猫”所在区域的像素,我们称这部分区域 为“目标区域”,因为图像的平滑背景部分不应该决定分类结果。如果我们 关注图像的目标区域并进行对抗攻击,就可以减少改动像素的个数,同时提 高攻击的隐蔽性。
4.现有技术方案1:胡聪,一种基于黑盒场景的图像对抗样本生成方法,2021。
5.该发明公开了一种基于黑盒场景的图像对抗样本生成方法,包括:将图 片x输入至多个白盒模型,分别得出目标标签或真实标签的概率值;动态计 算所述概率值对应白盒模型的权重;根据所述概率值与所述白盒模型的权重, 得到集成模型的概率值;根据所述集成模型的概率值计算损失值,并进行反 向传播;将所述反向传播后的图片的梯度作为扰动图像,加入到对抗样本中; 重复迭代,获得最终对抗样本。该方法能够在黑盒环境下取得较好的效果,为 深度神经网络的研究提供了新的思路。
6.现有技术方案2:王丽娜,一种基于微生物遗传算法的黑盒对抗样本生成 方法,2022。
7.该发明提出了一种基于微生物遗传算法的图像对抗样本生成方法。方法 包括:使用迁移攻击产生正常图像x的候选对抗样本;用迁移攻击产生的候 选对抗样本初始化微生物遗传算法的种群;对种群进行选择、交叉、变异、 更新操作,直到生成最终的对抗样本。
8.现有技术方案3:张恒巍,基于图像亮度随机变化的对抗攻击生成方法及 系统,2021。
9.该发明公开了一种基于图像亮度随机变换的对抗样本生成方法及系统, 收集用于视觉图像分类识别的样本数据,包含输入图像以及与输入图像对应 的标签数据;构建用于生成对抗样本的深度神经网络模型;通过对抗样本数 据输入图像亮度随机变换进行数据增强,利用动量迭代fgsm图像对抗算法对 网络模型求解,在目标损失函数关于输入梯度方向上寻找对抗扰动,并对对 抗扰动进行无穷范数限制,通过最大化样本数据在网络模型
上的目标损失函 数来生成对抗样本。该发明将图像亮度随机变换引入到对抗攻击中,有效消 除对抗样本生成过程过拟合,提高对抗样本攻击成功率和可迁移性。
10.对于现有技术方案1,该方案存在的缺点是:1、图像需要重复多次输入 多个白盒模型,并计算概率值与权重,增加了内存占用,并耗费了大量计算 资源。2、白盒模型数量无法覆盖现有的所有常用模型,且通过计算权重,得 到的集成模型的概率值与真实目标模型的概率值之间存在一定误差。
11.对于现有技术方案2,该方案存在的缺点是:1、图像为高维变量,而遗 传算法存在处理高维数据时效率较低,且占用计算资源较大。2、候选对抗样 本数量将影响最后对抗样本视觉效果的好坏,且扰动分布在图像全局范围内。
12.对于现有技术方案3,该方案存在的缺点是:1、替代模型与具体的目标 模型之间存在一定的差异,基于迁移的黑盒攻击并不理想。2、该方法产生全 局对抗扰动,容易在图像平滑的背景区域产生噪声,降低视觉效果。


技术实现要素:

13.(一)解决的技术问题
14.针对现有技术的不足,本发明提供了一种目标注意非定向对抗攻击方法, 基于图像目标区域对分类器贡献更大且对微小扰动更加不敏感的性质,拟设 计一种目标注意非定向对抗攻击方法,使得攻击者能在更少的模型查询次数 下更快的找到对抗样本,同时保证了攻击成功率和图像失真。
15.(二)技术方案
16.本发明提供如下技术方案:一种目标注意非定向对抗攻击方法,包括以 下步骤:
17.s1、通过yolov4对图像进行目标检测,得到目标区域(用s1表示);
18.s2、使用hvpnet对图像进行sod,得到显著目标区域(用s2表示);
19.s3、通过对二者取交集来生成精确的目标区域(用s表示,s=s1∩s2)。
20.进一步的,利用显著性区域激活因子k来判定是否出现了检测不全现象, 当sod检测不全时,s2中sod检测结果仅仅包含了真实目标区域的一小部分, 此时仅使用yolov4检测结果作为对象区域的估计,而丢弃sod结果。
21.进一步的,目标检测过程:在图像中检测到一个物体时,用一个矩形框 圈出该物体,并给出相应的置信度值,目标检测模型可以快速定位图像中的 目标,利用现有的模型yolov4来估计目标区域,用x0表示原始图像,用f1、s1分别表示yolov4的网络函数与检测结果,p表示目标的置信度值,则:
22.[p,s1]=f1(x0)s.t.p》p
t
(1)
[0023]
其中p
t
为手动设置的目标输出阈值。
[0024]
进一步的,显著性目标检测过程:hvp模型可通过公式(2)表示:
[0025][0026]
其中,f1×1、分别是内核大小为1
×
1的vanilla卷积,内核大小为 r
×
r的dsconv卷积和内核大小为3
×
3,膨胀率为r的dsconv卷积。
[0027]
进一步的,结合hvp模块和注意机制,得到了一个轻量级的sod网络, 称为hvpnet。hvpnet只有1.23m参数,运行速度达到了333.2fps(336*336*3 的帧大小)。由于hvpnet的这些优点,利用其来检测图像的sod,分别将f2 和s2表示hvpnet的函数和输出,因此:
[0028]
s2=f2(x0)
ꢀꢀꢀ
(3)
[0029]
hvpnet的输出是二值图像,白色部分表示突出的对象,黑色部分则表示背景。
[0030]
进一步的,组合寻优过程:激活策略由激活因子k控制,该因子由以下公 式计算:
[0031][0032]
当k》ε(ε是一个超参数,并根据经验设置)时,它表示检测不完全现象发生。
[0033]
进一步的,生成对抗样本过程:通过将搜索限制在检测到的目标区域来 改进simba。用i表示维度为m
×
m的单位矩阵,其中m是输入图像的像素总 数,首先通过从i中选取所有目标行向量来构造一个正交集q,其中目标行向 量指的是这些向量:其非零元素位置对应于检测到的目标区域,搜索攻击可 以集中在检测到的目标区域。
[0034]
进一步的,q的构造可以定义为:
[0035]
q=i
⊙vꢀꢀꢀ
(5)
[0036]

表示向量点积,v是一个展平后的图像向量(其中被检测到的目标区域对应 的元素为1,其他元素为0)复制m次后得到的矩阵。
[0037]
与现有技术相比,本发明提供了一种目标注意非定向对抗攻击方法,具 备以下有益效果:
[0038]
1、与现有技术1相比,本发明不需要使用大量的白盒模型,节省了计算 资源;不需要进行模型迁移,对抗样本具有更强的针对性。
[0039]
2、与现有技术2相比,本发明提前检测出了图像的目标区域(对抗区域), 并仅仅攻击这一部分区域,降低了寻找对抗样本过程对目标模型的查找次数。
[0040]
3、与现有技术3相比,本发明扰动像素仅仅为图像目标区域,被破坏的 像素数量更少,此外与图像中的一些平滑背景相比,对象区域通常具有更多 的边缘和更复杂的纹理,加在对象区域的小扰动将更不易被察觉,因此具有 更好的视觉效果
[0041]
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不 能限制本发明。
附图说明
[0042]
图1为本发明所提供的一种目标注意非定向对抗攻击方法中算法总体过 程;
[0043]
图2为本发明所提供的一种目标注意非定向对抗攻击方法中sod检测不 全现象;
[0044]
图3为本发明所提供的一种目标注意非定向对抗攻击方法中正交向量集 q求取过程;
[0045]
图4为本发明所提供的一种目标注意非定向对抗攻击方法中不同参数对 性能的影响;
[0046]
图5为本发明所提供的一种目标注意非定向对抗攻击方法中不同目标分 割方案对视觉效果的影响。
具体实施方式
[0047]
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。
[0048]
实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同 或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施 例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
[0049]
如图1-5所示,本发明提供了一种目标注意非定向对抗攻击方法,包括 以下步骤:
[0050]
s1、通过yolov4对图像进行目标检测,得到目标区域(用s1表示);
[0051]
s2、使用hvpnet对图像进行sod,得到显著目标区域(用s2表示);
[0052]
s3、通过对二者取交集来生成精确的目标区域(用s表示,s=s1∩s2)。
[0053]
由于sod存在检测不全现象,即sod检测结果仅仅包含了真实目标区域 的一小部分,为此,设计显著性区域激活因子k来判定是否出现了检测不全现 象。当sod检测不全时,仅使用yolov4检测结果作为对象区域的估计,而丢 弃sod结果。通过这些策略,本发明不仅可以成功地从sod中去除视觉上显 著的但非目标的区域,而且可以弥补yolov4检测结果为矩形区域的固有缺陷。 利用简单黑盒对抗攻击(simba)方法,仅对检测到的目标区域执行对抗攻击。 在不同的系统设置下,减少了对目标模型查询次数,并且生成的对抗样本具 有更好的感知质量。
[0054]
本发明包含四个模块:(1)目标检测过程,(2)显著性目标检测过程, (3)组合寻优过程,(4)生成对抗样本过程。算法整体流程如图1所示, 其中各模块的具体流程如下所述:
[0055]
目标检测过程
[0056]
与图像分类任务不同,目标检测不仅关注目标是什么,还需要定位目标 的位置。当在图像中检测到一个物体时,利用一个矩形框圈出该物体,并给 出相应的置信度值。由于现有的目标检测模型可以快速定位图像中的目标, 因此利用现有的模型yolov4来估计目标区域。用x0表示原始图像,用f1、s1分 别表示yolov4的网络函数与检测结果,p表示目标的置信度值,则:
[0057]
[p,s1]=f1(x0)s.t.p》p
t
ꢀꢀꢀ
(1)
[0058]
其中p
t
为手动设置的目标输出阈值,根据经验选择。只有当目标的置信度 高于p
t
时,它才会被模型输出。
[0059]
显著性目标检测过程
[0060]
人类视觉系统具有很强的信息处理能力。它可以快速捕获更引人注目的 区域或感兴趣区域(roi),然后只处理roi而忽略其他区域。这种视觉信息 处理就是所谓的“视觉注意机制”。由于注意机制可以快速锁定视觉场景中 的roi,因此可以大大减少数据计算量,加快信息处理速度。这对于计算资源 有限、实时性要求高的各种机器视觉应用非常有吸引力。
[0061]
基于上述特点,显著目标检测(sod)已发展成为hvs模型。hvs的处理 通道是一个层次结构。同时多尺度视觉信号在具有不同群体感受野(prf)的 不同皮层区域进行分层处理。因此出现了一种模拟灵长类视觉皮层的结构的 层次视觉感知模型(hvp),该模型可通过公式(2)表示:
[0062][0063]
其中,f1×1、分别是内核大小为1
×
1的vanilla卷积,内核大小为r
×
r的dsconv卷积和内核大小为3
×
3,膨胀率为r的dsconv卷积。此外, 结合hvp模块和注意机制,得到了一个轻量级的sod网络,称为hvpnet。hvpnet 只有1.23m参数,运行速度达到了333.2fps(336*336*3的帧大小)。由于 hvpnet的这些优点,我们选择它来检测图像的sod。分别将f2和s2表示hvpnet 的函数和输出。因此:
[0064]
s2=f2(x0)
ꢀꢀꢀ
(3)
[0065]
hvpnet的输出是二值图像。白色部分表示突出的对象,黑色部分则表示背景。
[0066]
组合寻优过程
[0067]
yolov4具有快速定位图像中目标的优势,同时hvpnet能够准确检测图像 的显著区域。但它们在单独被用于估计目标区域时依然存在各自的局限性, 可以总结如下:1)yolov4的锚框通常包含一些背景区域,这些区域对于分类 任务并不重要。这意味着yolov4无法很好地分割出一个真实的物体。实际上, 对象才是对分类器最重要的信息。2)hvpnet的显著区域并不总是与目标区域 相等。例如,图1中鸟的倒影具有较高的视觉显著性并被检测为显著区域。 但事实上这部分区域对于分类器而言并不是最重要的。在这种情况下,如果 sod被唯一地用于确定目标区域,它将误导搜索对抗性示例的过程,这反过来 将使得查询数量显著增加,甚至导致对抗性攻击失败。
[0068]
考虑到以上两个问题,提出了一种组合优化策略来计算出真实的目标区 域。通常情况,图像的显著区域与对象区域高度重叠。因此,计算yolov4和 hvpnet检测结果之间的交集作为目标区域。另一方面,当yolv4检测结果中 未包含sod结果时,仅考虑yolvo4检测结果作为目标区域,因为yolvo4具 有较强的检测物体的能力。通过这种方式,可以成功地解决上述两个限制, 并充分利用这两种检测器的优势。
[0069]
此外,通过实验发现,sod结果中出现了如图2所示的检测不完全现象。 也就是说,sod区域不包含整个对象。此时目标检测结果s1为图2左侧中方 框内区域,sod结果s2为图2右侧中白色区域。显然,此时的交集区域s=s1∩s2只是整个汽车对象的一小部分。在这种情况下,如果将s作为要攻击的目标区 域,则查询的数量将显著增加,并且被攻击区域的感知质量将非常差。因此 设计了一个显著区域激活因子k,以进一步改进组合优化策略。虽然yolov4 无法准确检测物体的轮廓,但它是包含整个目标的最小矩形框。基于这一观 察,提出了一种显著性检测激活策略来解决检测不完全性问题。激活策略由 激活因子k控制,该因子由以下公式计算:
[0070][0071]
当k》ε(ε是一个超参数,并根据经验设置)时,它表示检测不完全现象发生。 在这种情况下,仅使用yolov4的检测结果作为对象区域的估计,而丢弃sod 结果。根据我们的实验,适当的ε值将显著提高攻击效率。
[0072]
生成对抗样本过程
[0073]
采用simba算法生成对抗性示例。simba随机搜索整个图像空间的每个像 素,以简单粗暴的方式进行攻击。通过将搜索限制在检测到的目标区域来改 进simba。用i表示维度为m
×
m的单位矩阵,其中m是输入图像的像素总数。 首先通过从i中选取所有目标行向量来构造一个正交集q,其中目标行向量指 的是这些向量:其非零元素位置对应于检测到的目标区域(注:输入图像也 被展平为向量)。q的构造可以定义为:
[0074]
q=i
⊙vꢀꢀꢀ
(5)
[0075]

表示向量点积,v是一个展平后的图像向量(其中被检测到的目标区域对应 的元素为1,其他元素为0)复制m次后得到的矩阵。
[0076]
然后,搜索攻击可以集中在检测到的目标区域。在每次迭代中,我们从q中随 机选择一个向量q(q∈q)。攻击需要xa=x0+μq,其中μ是扰动步长。如果 正确分类图像p(y|xa)的预测概率降低了,向目标图像中添加这一步的干扰。 否则,xa=x
0-μq。之后,根据之前的攻击结果,通过从q中重新选择一个方 向q来重复上述过程,该循环将继续,直到攻击成功或达到给定的最大查询数。 由于攻击是在图像的目标区域实施的,因此q的搜索数量将大大减少,从而显 著提高攻击效率。附图3给出了本发明构造正交向量集详细q的详细过程。
[0077]
本发明在imagenet-1k的验证集上进行了实验测试,不同参数对性能的 影响见附图4。由图可以知道较小的输出阈值下攻击效果更好。因此,选定超 参数p
t
=0.05,ε=4,然后对四个分类器进行了对比实验。通过大量的实验,本发 明与现有基于概率的非定向攻击技术的性能对比见表1,可以了解到所需要的 模型查询次数得到了较大提升(越少越好),同时具有较高的攻击成功率和 较低的l2失真。基于不同的目标区域分割方法进行攻击产生的对抗样本视觉 效果对比如附图5(sly和slh分别表示仅仅使用yolov4和hvpnet),可以看到, 本发明具有更好的视觉隐藏效果。
[0078]
表1 不同数据集和模型下的性能比较
[0079]
[0080][0081]
尽管已经示出和描述了本发明实施的实施例,对于本领域的普通技术人 员而言,可以理解在不脱离本发明的原理和精神的情况下可以对实施例进行 多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限 定。
[0082]
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特 征可以相互组合。
[0083]
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地 描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实 施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作 为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普 通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于 本发明保护的范围。

技术特征:
1.一种目标注意非定向对抗攻击方法,包括以下步骤:s1、通过yolov4对图像进行目标检测,得到目标区域(用s1表示);s2、使用hvpnet对图像进行sod,得到显著目标区域(用s2表示);s3、通过对二者取交集来生成精确的目标区域(用s表示,s=s1∩s2)。2.根据权利要求1所述的一种目标注意非定向对抗攻击方法,其特征在于,利用显著性区域激活因子k来判定是否出现了检测不全现象,当sod检测不全时,s2中sod检测结果仅仅包含了真实目标区域的一小部分,此时仅使用yolov4检测结果作为对象区域的估计,而丢弃sod结果。3.根据权利要求1所述的一种目标注意非定向对抗攻击方法,其特征在于,目标检测过程:在图像中检测到一个物体时,用一个矩形框圈出该物体,并给出相应的置信度值,目标检测模型可以快速定位图像中的目标,利用现有的模型yolov4来估计目标区域,用x0表示原始图像,用f1、s1分别表示yolov4的网络函数与检测结果,p表示目标的置信度值,则:[p,s1]=f1(x0)s.t.p>p
t
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)其中p
t
为手动设置的目标输出阈值。4.根据权利要求1所述的一种目标注意非定向对抗攻击方法,其特征在于,显著性目标检测过程:hvp模型可通过公式(2)表示:其中,f1×1、分别是内核大小为1
×
1的vanilla卷积,内核大小为r
×
r的dsconv卷积和内核大小为3
×
3,膨胀率为r的dsconv卷积。5.根据权利要求4所述的一种目标注意非定向对抗攻击方法,其特征在于,结合hvp模块和注意机制,得到了一个轻量级的sod网络,称为hvpnet。hvpnet只有1.23m参数,运行速度达到了333.2fps(336*336*3的帧大小)。由于hvpnet的这些优点,利用其来检测图像的sod,分别用f2和s2表示hvpnet的函数和输出,因此:s2=f2(x0)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(3)hvpnet的输出是二值图像,白色部分表示突出的对象,黑色部分则表示背景。6.根据权利要求2所述的一种目标注意非定向对抗攻击方法,其特征在于,组合寻优过程:激活策略由激活因子k控制,该因子由以下公式计算:当k>ε(ε是一个超参数,并根据经验设置)时,它表示检测不完全现象发生。7.根据权利要求1所述的一种目标注意非定向对抗攻击方法,其特征在于,生成对抗样本过程:通过将搜索限制在检测到的目标区域来改进simba。用i表示维度为m
×
m的单位矩阵,其中m是输入图像的像素总数,首先通过从i中选取所有目标行向量来构造一个正交集q,其中目标行向量指的是这些向量:其非零元素位置对应于检测到的目标区域,搜索攻击可以集中在检测到的目标区域。8.根据权利要求7所述的一种目标注意非定向对抗攻击方法,其特征在于,q的构造可
以定义为:q=i
⊙vꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(5)

表示向量点积,v是一个展平后的图像向量(其中被检测到的目标区域对应的元素为1,其他元素为0)复制m次后得到的矩阵。

技术总结
本发明涉及非定向对抗攻击技术领域,且公开了一种目标注意非定向对抗攻击方法,包括以下步骤,S1、通过YOLOv4对图像进行目标检测,得到目标区域(用S1表示),S2、使用HVPNet对图像进行SOD,得到显著目标区域(用S2表示),S3、通过对二者取交集来生成精确的目标区域(用S表示,S=S1∩S2)。本发明利用显著性区域激活因子k来判定是否出现了检测不全现象,当SOD检测不全时,S2中SOD检测结果仅仅包含了真实目标区域的一小部分,则仅使用YOLOv4检测结果作为对象区域的估计,而丢弃SOD结果。本发明不需要使用大量的白盒模型,节省了计算资源;不需要进行模型迁移,还能够提前检测出图像的目标区域,并仅仅攻击这一部分区域,对抗样本具有更强的针对性。强的针对性。强的针对性。


技术研发人员:王员根 周超
受保护的技术使用者:广州大学
技术研发日:2022.04.28
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-11236.html

专利

最新回复(0)