本發明專利技術涉及基于語義擾動的自然對抗補丁泛化檢測方法,同時涉及基于語義擾動的自然對抗補丁泛化檢測方法裝置及系統,屬于深度學習技術領域。所述方法包括:將待測測試集中的圖片進行模糊處理;通過對抗補丁定位模型對處理后的測試集中自然對抗補丁進行定位檢測。本發明專利技術能夠提高對自然對抗補丁泛化檢測能力。
【技術實現步驟摘要】
本專利技術涉及基于語義擾動的自然對抗補丁泛化檢測方法,同時涉及基于語義擾動的自然對抗補丁泛化檢測方法裝置及系統,屬于深度學習。
技術介紹
1、隨著人工智能技術的飛速發展,計算機視覺、自然語言處理等多個應用領域都取得了重大突破,現已廣泛應用于現實場景中。在計算機視覺領域,人臉識別、目標檢測、圖像分類等具體技術在公共安全、國防安全中貢獻了巨大的力量。例如,人臉識別技術已在教學樓、火車站、飛機場等場所中得到廣泛應用,代替了傳統人工核驗,大大解放了生產力;在自動駕駛、視頻監控、航空航天等場景中,大量的人類決策也被目標檢測技術所代替。人工智能技術現已涵蓋數學、醫學、物理學、計算機科學等多個學科,產業智能化、人機交互智能化、基礎設施智能化成為了現代社會發展的重要方向。然而,人工智能技術是一把“雙刃劍”,在給我們的生活帶來便利的同時,還存在著框架安全、模型安全、數據安全、算法安全等諸多安全問題正在成為網絡空間安全的新挑戰。
2、目前,計算機視覺技術大多建立在以深度學習為基礎的人工智能技術上。然而,深度學習模型脆弱的魯棒性為計算機視覺在應用中埋下了不可估量的安全隱患。2013年,首次提出對抗樣本(adversarial?examples)的概念,開創了計算機視覺模型研究的新方向。對抗樣本是指,通過人為精心設計向樣本中添加細微的干擾,導致模型以高置信度給出一個錯誤的輸出。例如,一張大熊貓的圖片加上被精心設計的噪聲擾動后,被模型錯誤識別為長臂猿。這種安全威脅將嚴重影響計算機視覺技術的應用,有可能在公共安全、國家安全等領域造成重大損失。</p>3、除數字世界外,這種安全威脅同樣存在于物理世界中。物理世界中的對抗樣本主要以補丁的形式呈現,具體來說,其視覺上相當于一塊涂鴉形式的對抗貼紙,可依附在具體的真實世界攻擊目標如路牌、衣服上,在不顯著干擾人類認知的情況下有效攻擊人工智能模型。一種經典的對抗補丁攻擊方法為,在物理世界的真實路牌上貼上精心設計的對抗補丁的對抗樣本。人眼對這種路牌能有效識別,目標檢測模型卻無法識別。在自動駕駛場景中,這種對抗補丁攻擊極易引發重大安全問題。
4、物理對抗補丁相比于數字世界對抗樣本,其表征形式更加接近真實場景,難以從全局特征角度進行檢測。目前,人們對物理世界對抗補丁的研究還相對較少,針對物理世界對抗補丁的檢測方法仍然不足。同時,現有的物理對抗補丁檢測方法主要存在補丁定位困難、自然對抗補丁可判定性差、自然對抗補丁泛化檢測能力低等問題。
5、物理對抗補丁是一種直接威脅真實世界應用的對抗攻擊方式,隨著物理世界對抗研究的深入,未來勢必會出現越來越“自然”的對抗補丁,甚至可能欺騙人眼,引發重大安全問題。因此,開展物理世界對抗補丁檢測方法研究具有迫切的實際需求和重要的應用價值。然而,現有針對物理世界對抗補丁的檢測方法非常少,針對的場景與模型均十分有限,有大量空白區域尚未填補,且存在泛化檢測能力低的問題,尤其是難以檢測自然對抗補丁。
6、經過近期大量的實驗證明,檢測模型對非自然對抗補丁具有良好的泛化檢測能力,但難以泛化檢測自然對抗補丁。即,非自然對抗補丁與自然對抗補丁之間存在某種差異,該差異能夠阻礙模型進行泛化檢測。
7、總的來說,數字世界與物理世界的對抗攻擊技術發展現已十分成熟,這為神經網絡模型的魯棒性帶來了巨大挑戰。相比于數字世界對抗攻擊,物理世界對抗補丁將對抗攻擊由數字世界帶到了真實世界中,將對真實應用安全產生更大的危害。如圖6所示,在表現形式上,與數字世界的噪聲擾動相比,物理世界對抗補丁具有更加豐富的表現形式,其中自然對抗補丁更是能夠騙過人眼,這對防御方法的設計帶來了極大挑戰。
8、科學家從自然對抗補丁與非自然對抗補丁的異同點出發,探究了非自然與自然對抗補丁可判定性存在差異的原因。他們認為對抗補丁的對抗性來源于對抗補丁中的某一部分特征,將這種特征定義為對抗特征。因此,將對抗補丁特征空間中的特征劃分為對對抗性機理有貢獻的對抗特征,與對如自然性等其他屬性有貢獻的非對抗特征。首先,他們證明了自然與非自然對抗補丁具有相似的對抗特征與不同的非對抗特征。又因為特征空間大小相同,得出兩類對抗補丁的可判定性差異,來源于其特征空間中對抗和非對抗特征比例差異的結論。
9、盡管自然與非自然對抗補丁都具有完整可檢測的語義,但二者內部的視覺有序程度仍有所不同。直觀上說,自然對抗補丁更接近清晰的圖片,而非自然對抗補丁內部表征更加無序,視覺上干擾更多,更接近模糊的涂鴉。
技術實現思路
1、本專利技術要解決的技術問題在于,克服現有的技術的不足,提供基于語義擾動的自然對抗補丁泛化檢測方法、裝置及系統,能夠提高對自然對抗補丁泛化檢測能力。
2、為達到上述技術目的,一方面,本專利技術提供的基于語義擾動的自然對抗補丁泛化檢測方法,包括:
3、將待測測試集中的圖片進行模糊處理;
4、通過對抗補丁定位模型對處理后的測試集中自然對抗補丁進行定位檢測。
5、其中較優地,所述將待測測試集中的圖片進行模糊處理,具體包括:
6、針對每張圖片,利用高斯模糊變換函數對每個像素點周圍的像素值進行加權平均。
7、其中較優地,所述高斯模糊變換函數采用的高斯核表達式為:
8、(1)
9、其中,
10、(2)
11、公式(1)和(2)中,為高斯核的尺寸數據,高斯核尺寸為,為高斯分布標準差,代表高斯核矩陣元素,為歸一化常數,代表高斯核矩陣的行,代表高斯核矩陣的列,為自然常數
e為底的指數函數。
12、其中較優地,模糊處理后的圖片表達式為:
13、(3)
14、公式(3)中,為待測測試集中的圖片,為高斯模糊變換函數。
15、其中較優地,所述模糊處理后圖片的像素值表達式為:
16、(4)
17、公式(4)中,為圖片中位置的像素值,為圖片中位置的像素值。
18、其中較優地,所述抗補丁定位模型的定位檢測結果為:
19、(5)
20、公式(5)中,為抗補丁定位模型,為測試集中第
i張圖片。
21、另一方面,本專利技術提供的基于語義擾動的自然對抗補丁泛化檢測裝置,包括:
22、處理單元,用于將待測測試集中的圖片進行模糊處理;
23、檢測單元,用于通過對抗補丁定位模型對處理后的測試集中自然對抗補丁進行定位檢測。
24、第三方面,本專利技術提供的基于語義擾動的自然對抗補丁泛化檢測系統,包括:處理器和存儲器,所述處理器讀取所訴存儲器中的計算機程序,用于執行以下操作:
25、將待測測試集中的圖片進行模糊處理;
26、通過對抗補丁定位模型對處理后的測試集中自然對抗補丁進行定位檢測。
27、在本專利技術中,對測試集中的圖片進行模糊處理,本文檔來自技高網
...
【技術保護點】
1.一種基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,包括:
2.根據權利要求1所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,所述將待測測試集中的圖片進行模糊處理,具體包括:
3.根據權利要求2所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,所述高斯模糊變換函數采用的高斯核表達式為:
4.根據權利要求3所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,模糊處理后的圖片表達式為:
5.根據權利要求4所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,所述模糊處理后圖片的像素值表達式為:
6.根據權利要求4所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,所述抗補丁定位模型的定位檢測結果為:
7.一種基于語義擾動的自然對抗補丁泛化檢測裝置,其特征在于,包括:
8.一種基于語義擾動的自然對抗補丁泛化檢測系統,其特征在于,包括:處理器和存儲器,所述處理器讀取所訴存儲器中的計算機程序,用于執行以下操作:
【技術特征摘要】
1.一種基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,包括:
2.根據權利要求1所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,所述將待測測試集中的圖片進行模糊處理,具體包括:
3.根據權利要求2所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,所述高斯模糊變換函數采用的高斯核表達式為:
4.根據權利要求3所述的基于語義擾動的自然對抗補丁泛化檢測方法,其特征在于,模糊處理后的圖片表達式為:
5....
【專利技術屬性】
技術研發人員:王嘉凱,吳斯揚,劉祥龍,
申請(專利權)人:北京中關村實驗室,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。