一种基于对抗样本防御的图像安全识别方法及系统

1.本技术涉及机器学习领域，具体而言，涉及一种基于对抗样本防御的图像安全识别方法及系统。


背景技术：

2.近年来随着深度学习技术在计算机视觉领域日益广泛的应用以及各类任务中的优异表现，深度学习技术吸引了大批学者进一步研究。2014年，szegedy等人首次提出深度神经网络并不是完美的，在计算机视觉领域应用时尽管效果很好，但是却很容易被微小，人类肉眼难以察觉的向量扰动，即这种向量增加到图像上，图像很难被看出有明显差异，但是深度神经网络对这类图片会得到错误结果。这种微小难以察觉却能扰动深度神经网络的向量被称为对抗扰动，而增加了对抗扰动的图片被称为对抗样本。
3.在防御对抗扰动方面，主要有三种方法，主要有修改训练过程中的输入样本，修改神经网络的网络模型参数，以及检测对抗样本三种方法来防御对抗样本攻击。有些方法不对网络本身的设计做改动，有些方法需要对深度神经网络本身进行分析。由于目前对抗样本攻击发展迅速，防御对抗扰动领域的相关研究处于相对落后状态，本发明为弥补防御对抗扰动领域的空白而提出，针对多种对抗样本防御提出解决办法。


技术实现要素：

4.本技术的目的在于提供一种基于对抗样本防御的图像安全识别方法，其能够对含有对抗神经网络特征的图像进行较为准确的安全识别。
5.本技术的另一目的在于提供一种基于对抗样本防御的图像安全识别系统，其能够运行一种基于对抗样本防御的图像安全识别方法。
6.本技术的实施例是这样实现的：
7.第一方面，本技术实施例提供一种基于对抗样本防御的图像安全识别方法，其包括获取对抗样本防御的图像样本，并进行预处理得到预处理图像；对于预处理后的对抗样本防御的图像，并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练；将测试对抗样本防御的图像样本输入至训练好的图像识别模型中，得到识别结果。
8.在本技术的一些实施例中，上述获取对抗样本防御的图像样本，并进行预处理得到预处理图像包括：将获取的对抗样本防御的图像样本进行尺寸调整和归一化操作，尺寸调整为根据图像识别模型中输入层的大小调整对抗样本防御的图像的尺寸。
9.在本技术的一些实施例中，上述还包括：利用差分进化算法，对对抗样本防御的图像样本中的每个图像迭代修改生成子图像，然后对多个子图像进行预处理。
10.在本技术的一些实施例中，上述对于预处理后的对抗样本防御的图像，并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练包括：基于预处理图像生成对抗测试集，将训练集图像数据作为训练数据，对图像识别模型进行微调。
11.在本技术的一些实施例中，上述还包括：在图像识别模型进行微调之前获取当前
迭代次数及设定的最大迭代次数，基于当前迭代次数及预处理后的对抗样本防御的图像对图像识别模型进行迭代训练。
12.在本技术的一些实施例中，上述将测试对抗样本防御的图像样本输入至训练好的图像识别模型中，得到识别结果包括：图像识别模型基于注意力机制的神经网络构建，神经网络包括编码器、解码器及视觉特征生成器。
13.在本技术的一些实施例中，上述视觉特征生成器包括：依次连接的两组全连接模块、全连接层、重采样层和上采样模块，每个上采样模块包括两个上采样层和两个leakyrelu层，上采样模块中的上采样层和leakyrelu层交替连接。
14.第二方面，本技术实施例提供一种基于对抗样本防御的图像安全识别系统，其包括获取模块，用于获取对抗样本防御的图像样本，并进行预处理得到预处理图像；
15.迭代训练模块，用于对于预处理后的对抗样本防御的图像，并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练；
16.输出模块，用于将测试对抗样本防御的图像样本输入至训练好的图像识别模型中，得到识别结果。
17.在本技术的一些实施例中，上述包括：用于存储计算机指令的至少一个存储器；与上述存储器通讯的至少一个处理器，其中当上述至少一个处理器执行上述计算机指令时，上述至少一个处理器使上述系统执行：获取模块、迭代训练模块及输出模块。
18.第三方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如一种基于对抗样本防御的图像安全识别方法中任一项的方法。
19.相对于现有技术，本技术的实施例至少具有如下优点或有益效果：
20.能够根据主流深度神经网络攻击方法针对该算法模型生成对抗样本，通过这些对抗样本对整个模型的安全性和识别准确率进行分析验证。通过调整扰动的范数大小，确保扰动肉眼不可见，提高图像攻击的置信度。基于对图像识别模型进行迭代训练，得到训练好的生成图像识别模型；将测试图像样本输入至训练好的图像识别模型中，得到识别结果。提高图像识别模型对于对抗样本的防御能力，使得安全性更高，实现图像安全识别。
附图说明
21.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
22.图1为本技术实施例提供的一种基于对抗样本防御的图像安全识别方法步骤示意图；
23.图2为本技术实施例提供的一种基于对抗样本防御的图像安全识别方法详细步骤示意图；
24.图3为本技术实施例提供的一种基于对抗样本防御的图像安全识别系统模块示意图；
25.图4为本技术实施例提供的一种电子设备。
26.图标：10-获取模块；20-迭代训练模块；30-输出模块；101-存储器；102-处理器；103-通信接口。
具体实施方式
27.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
28.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
29.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
30.需要说明的是，术语“包括”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
31.下面结合附图，对本技术的一些实施方式作详细说明。在不冲突的情况下，下述的各个实施例及实施例中的各个特征可以相互组合。
32.实施例1
33.请参阅图1，图1为本技术实施例提供的一种基于对抗样本防御的图像安全识别方法步骤示意图，其如下所示：
34.步骤s100，获取对抗样本防御的图像样本，并进行预处理得到预处理图像；
35.在一些实施方式中，获取对抗样本防御的图像样本采集的过程主要利用爬虫的方式，从网上爬取大量图像。过滤掉不合适的图像，最后得到新的100类的图像，每类设定100张图像。不够100张图片的将现有图像采用随机裁剪，翻转等技术构建新的图片，最后得到100张图像。原数据集有15个类，每个类有100张图像。将这些数据与原数据集合并形成一个新的数据集new-imagedata，这个新的数据集有252个类，每个类中100张图像。
36.在一些实施方式中，图像预处理指令中包括目标图像分辨率、预设图像采样次数以及具有初始图像分辨率的初始图像；可以理解地，图像预处理指令可以由用户通过如移动终端，电脑等设备发送的，也可以在用户输入目标图像分辨率、预设图像采样次数以及具有初始图像分辨率的初始图像之后自动生成的。其中，目标图像分辨率是指用户或者图像分类模型指定需要将各种不同分辨率的图像转换成相同分辨率图像的目标值；预设图像采样次数是指图像预处理过程中需要对初始图像进行尺度转换的次数(例如缩放次数)。
37.步骤s110，对于预处理后的对抗样本防御的图像，并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练；
38.在一些实施方式中，将预处理后的对抗样本防御的图像输入基于注意力机制的图
像识别模型中，得到真实视觉特征。
39.步骤s120，将测试对抗样本防御的图像样本输入至训练好的图像识别模型中，得到识别结果。
40.在一些实施方式中，对于对抗样本防御的图像，通过训练好的图像识别模型获取其对应的图像识别结果，并结合其对应的攻击类型及该攻击类型对应的标签序列，通过预设的判定方法判断其是否攻击成功，若成功且所述扰动的矩阵范数小于该扰动更新前对应的矩阵范数，则将所述对抗样本防御的图像作为最优对抗样本防御的图像并判断当前迭代次数是否小于设定的最大迭代次数，若是，则通过反向传播算法获取所述图像识别模型的代价函数对所述扰动的梯度；基于所述梯度，通过预设的扰动更新方法更新扰动，并根据更新后的扰动更新对抗样本防御的图像，更新完成后重新迭代，否则输出最优对抗样本防御的图像。
41.实施例2
42.请参阅图2，图2为本技术实施例提供的一种基于对抗样本防御的图像安全识别方法详细步骤示意图，其如下所示：
43.步骤s200，将获取的对抗样本防御的图像样本进行尺寸调整和归一化操作，尺寸调整为根据图像识别模型中输入层的大小调整对抗样本防御的图像的尺寸。
44.步骤s210，利用差分进化算法，对对抗样本防御的图像样本中的每个图像迭代修改生成子图像，然后对多个子图像进行预处理。
45.步骤s220，基于预处理图像生成对抗测试集，将训练集图像数据作为训练数据，对图像识别模型进行微调。
46.步骤s230，在图像识别模型进行微调之前获取当前迭代次数及设定的最大迭代次数，基于当前迭代次数及预处理后的对抗样本防御的图像对图像识别模型进行迭代训练。
47.步骤s240，图像识别模型基于注意力机制的神经网络构建，神经网络包括编码器、解码器及视觉特征生成器。
48.步骤s250，依次连接的两组全连接模块、全连接层、重采样层和上采样模块，每个上采样模块包括两个上采样层和两个leakyrelu层，上采样模块中的上采样层和leakyrelu层交替连接。
49.在一些实施方式中，构建生成器网络，视觉特征生成器g包括两组全连接模块、3层4096维的全连接层(fc 4096)、一个重采样层(reshape)、5组上采样模块。其中全连接模块由一个全连接层、一个leaky relu组成；上采样模块由两个上采样层(upconv)、两个leaky relu组成，其中上采样层和leaky relu交替连接。
50.具体地，视觉特征生成器包括两组全连接模块、3层4096维的全连接层、一个重采样层、5组上采样模块。将语义特征生成器生成的语义特征输入到视觉特征生成器中，首先经过两个1024的全连接模块；然后三个4096维全连接层对输入数据提取4096维的特征向量；接着经过一个重采样层，对输入特征向量的维度进行重采样为4
×4×
256；最后经过5个卷积核为4、步长为2的上采样模块，对特征向量进行上采样，每上采样一次就用一次激活函数防止梯度消失；输出特征向量。
51.实施例3
52.请参阅图3，图3为本技术实施例提供的一种基于对抗样本防御的图像安全识别系
统模块示意图，其如下所示：
53.获取模块10，用于获取对抗样本防御的图像样本，并进行预处理得到预处理图像；
54.迭代训练模块20，用于对于预处理后的对抗样本防御的图像，并将预处理后的对抗样本防御的图像作为图像识别模型的输入进行迭代训练；
55.输出模块30，用于将测试对抗样本防御的图像样本输入至训练好的图像识别模型中，得到识别结果。
56.如图4所示，本技术实施例提供一种电子设备，其包括存储器101，用于存储一个或多个程序；处理器102。当一个或多个程序被处理器102执行时，实现如上述第一方面中任一项的方法。
57.还包括通信接口103，该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块，处理器102通过执行存储在存储器101内的软件程序及模块，从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。
58.其中，存储器101可以是但不限于，随机存取存储器101(random access memory，ram)，只读存储器101(read only memory，rom)，可编程只读存储器101(programmable read-only memory，prom)，可擦除只读存储器101(erasable programmable read-only memory，eprom)，电可擦除只读存储器101(electric erasable programmable read-only memory，eeprom)等。
59.处理器102可以是一种集成电路芯片，具有信号处理能力。该处理器102可以是通用处理器102，包括中央处理器102(central processing unit，cpu)、网络处理器102(network processor，np)等；还可以是数字信号处理器102(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
60.在本技术所提供的实施例中，应该理解到，所揭露的方法及系统，也可以通过其它的方式实现。以上所描述的方法及系统实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的方法及系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
61.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
62.另一方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器102执行时实现如上述第一方面中任一项的方法。所述功能如果以
软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器101(rom，read-only memory)、随机存取存储器101(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
63.综上所述，本技术实施例提供的一种基于对抗样本防御的图像安全识别方法及系统，能够根据主流深度神经网络攻击方法针对该算法模型生成对抗样本，通过这些对抗样本对整个模型的安全性和识别准确率进行分析验证。通过调整扰动的范数大小，确保扰动肉眼不可见，提高图像攻击的置信度。基于对图像识别模型进行迭代训练，得到训练好的生成图像识别模型；将测试图像样本输入至训练好的图像识别模型中，得到识别结果。提高图像识别模型对于对抗样本的防御能力，使得安全性更高，实现图像安全识别。
64.以上仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。
65.对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其它的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。