一种基于固定像素点获取低频信息的对抗样本防御方法与流程

1.本发明是关于对抗样本防御技术领域的，尤指一种基于固定像素点获取低频信息的对抗样本防御方法。


背景技术：

2.深度神经网络目前在生活中的应用已经十分广泛，而卷积神经网络在计算机视觉方向的应用被认为是神经网络最成功的应用之一。目前卷积神经网络在人脸识别、目标检测和自动驾驶等方面，然而这些方面对模型的安全性和鲁棒性有着较高的要求。在只添加微小扰动就可以使模型出错的对抗样本被发现之后，研究者意识到增强基于卷积神经网络的深度神经网络模型的鲁棒性，增加其在面对对抗样本时的预测正确率，对于人工智能的安全性十分重要。尽管随着网络信息技术的发展，现有技术中出现了一些基于分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的区块链的防御方法但安全性和鲁棒性并不显著，因此需要一种防御对抗样本的方法来提高深度神经网络模型的鲁棒性和准确性。


技术实现要素：

3.本发明的主要目的，在于提供一种基于固定像素点获取低频信息的对抗样本防御方法，该方法可以提高模型的鲁棒性和准确性。
4.为解决上述技术问题，本发明采取的技术方案在于：
5.一种基于固定像素点获取低频信息的对抗样本防御方法，其特征在于，先通过提取原始图像中的低频信息，使用预测用的原始图像和接受低频信息训练的模型对提取出来的低频信息分别进行预测，然后将两者的预测结果结合，得到最后的预测结果。
6.进一步，包括如下步骤：
7.s1：压缩原始图像，然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像；
8.s2：设置相同的第一卷积神经网络模型和第二卷积神经网络模型；
9.s3：第一卷积神经网络模型对未压缩的原始图像进行训练，确保在面对未压缩的原始图像的样本时第一卷积神经网络模型对其中的高频信息加以利用；第二卷积神经网络模型对第一低频信息图像进行训练，确保面对第一低频信息图像时，第二卷积神经网络模型对其中的低频信息加以利用；
10.s4：生成原始图像的对抗样本，提取对抗样本的低频信息，该低频信息命名为第二低频信息图像；
11.s5：第一卷积神经网络模型对对抗样本进行识别，得到第一识别结果，第二卷积神经网络模型对第二低频信息图像进行识别，得到第二识别结果；
12.s6：第一识别结果和第二识别结果对应相加得到最终识别结果。
13.进一步，采用图像压缩方式提取原始图像中的低频信息，图像压缩方式为将原始
图像中的四个像素点压缩为一个像素点，再将压缩后的像素点，按照一比四的比例填充为原图大小。
14.进一步，四个像素点的选取为紧挨着的形状为2
×
2的四个像素。
15.进一步，压缩后选取的像素点为原始图像上的四个像素点中固定位置的像素点。
16.进一步，填充的方式为将压缩选取的像素点作为压缩后的值，将该值填充到四个像素点对应的位置。
17.进一步，对抗样本和原始图像的关系为：公式中θ代表模型参数，x为原始图像，x^'为对抗样本，y为x对应的标签，j()为损失函数，为对损失函数在x上求梯度，ε为扰动值。生成对抗样本的步骤包括：根据对抗样本和原始图像的关系，采用调整ε的大小的方式，将原始图像转换成不同扰动大小的对抗样本。
18.进一步，s6的具体步骤为检测对抗样本的扰动值，当扰动值大于预设值时，将第二识别结果作为最终识别结果输出；当扰动值小于或等于预设值时，将第一识别结果作为最终识别结果输出。
19.进一步，第一卷积神经网络模型和第二卷积神经网络模型均采用lenet卷积神经网络模型。
20.本发明的有益效果为：
21.本技术的一种基于固定像素点获取低频信息的对抗样本防御方法，通过第一卷积神经网络模型和第二卷积神经网络模型分别识别对抗样本和根据对抗样本压缩提取的第二低频信息图像，然后综合这两个模型的识别结果，在检测干净的原始图像和扰动较小的对抗样本时，第一神经网络模型对于高频信息较为敏感且扰动对结果影响较小，所以此时第一神经网络模型的识别结果更可信，在对抗样本扰动较高时，第二卷积神经网络模型对于高频的扰动不敏感，受到影响较小，且在压缩中会将扰动过滤掉一部分，所以此时第二卷积神经网络模型的识别结果更可信。通过综合这两种结果使在面对对抗样本时正确率得到显著提高，取得了良好的效果。
附图说明
22.下面结合附图和具体实施方式对本发明作进一步详细的说明。
23.图1为本发明的流程图。
具体实施方式
24.下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
25.一种基于固定像素点获取低频信息的对抗样本防御方法，其特征在于，提取原始图像中的低频信息，使用预测用的原始图像和接受低频信息训练的模型对提取出来的低频信息分别进行预测，然后将两者的预测结果结合，得到最后的预测结果。
26.进一步，包括如下步骤：
27.s1：压缩原始图像，然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同
的第一低频信息图像
28.s2：设置相同的第一卷积神经网络模型和第二卷积神经网络模型；
29.s3：第一卷积神经网络模型对未压缩的原始图像进行训练，确保在面对未压缩的原始图像的样本时，第一卷积神经网络模型对其中的高频信息加以利用；第二卷积神经网络模型对第一低频信息图像进行训练，确保面对第一低频信息图像时，第二卷积神经网络模型对其中的低频信息加以利用；
30.s4：生成原始图像的对抗样本，提取对抗样本的低频信息，该低频信息命名为第二低频信息图像；
31.s5：第一卷积神经网络模型对对抗样本进行识别，得到第一识别结果，第二卷积神经网络模型对第二低频信息图像进行识别，得到第二识别结果；
32.s6：第一识别结果和第二识别结果对应相加得到最终识别结果。
33.进一步，采用图像压缩方式提取原始图像中的低频信息，图像压缩方式为将原始图像中的四个像素点压缩为一个像素点，再将压缩后的像素点，按照一比四的比例填充为原图大小。
34.进一步，四个像素点的选取为紧挨着的形状为2
×
2的四个像素。
35.进一步，压缩后选取的像素点为原始图像上的四个像素点中固定位置的像素点。比如都选择左上角的像素点，或者左下角、右上角、右下角。
36.进一步，填充的方式为将压缩选取的像素点作为压缩后的值，将该值填充到四个像素点对应的位置。
37.进一步，对抗样本和原始图像的关系为：公式中θ代表模型参数，x为原始图像，x^'为对抗样本，y为x对应的标签，j() 为损失函数，为对损失函数在x上求梯度，ε为扰动值。生成对抗样本的步骤包括：根据对抗样本和原始图像的关系，采用调整ε的大小的方式，将原始图像转换成不同扰动大小的对抗样本。
38.进一步，第一卷积神经网络模型和第二卷积神经网络模型均采用lenet卷积神经网络模型。
39.实施例
40.将原始图像中的像素点进行平均压缩，然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像。固定像素点压缩是指在紧挨着的形状为2*2的四个像素中，选取固定位置的像素点的值作为压缩后的值，本实施例通过选取固定位置的像素点作为压缩后的值，该值将填充到这四个像素点对应的位置，获取了和原始图像尺寸相同的第一低频信息图像，该方法压缩后的图像与原图存在人眼可以感知的差异，但是可以更大程度的保留原图中的低频信息，包括轮廓与形状，对对抗样本的扰动有一定的过滤能力。
41.生成相同的第一卷积神经网络模型和第二卷积神经网络模型，第一卷积神经网络使用原始图像训练，第二卷积神经网络模型使用低频信息图像训练。第一卷积神经网络模型和第二卷积神经网络模型的训练集分别为未处理的原始图像和低频信息图像，用来分别识别未处理的干净图像和低频图像。
42.在原始图像中加入扰动生成对抗样本，对抗样本就是在图像中添加人类无法发觉的扰动或者人类可以发觉但并不影响识别的扰动。
43.将对抗样本中的像素点进行压缩，然后将压缩后的像素点按压缩比填充成和对抗样本尺寸相同的第二低频信息图像，因此本实施例有两组测试集，一组是未进行低频处理的对抗样本，另一种是进行低频处理后的对抗样本，即第二低频信息图像。
44.将对抗样本输入到第一神经网络模型进行识别，获取第一识别结果。将第二低频信息图像输入到第二卷积神经网络模型进行识别，获取第二识别结果。将第一识别结果和第二识别结果进行综合得到最终识别结果。通过综合这两个模型的识别结果，在检测干净的原始图像和扰动较小的对抗样本时，第一神经网络模型对于高频信息较为敏感且扰动对结果影响较小，所以此时第一神经网络模型的识别结果更可信，在对抗样本扰动较高时，第二卷积神经网络模型对于高频的扰动不敏感，受到影响较小，且在压缩中会将扰动过滤掉一部分，所以此时第二卷积神经网络模型的识别结果更可信。通过综合这两种结果使在面对扰动较大的对抗样本时正确率得到显著提高，并且对原始图像和扰动较小的对抗样本的正确率也很高，取得了良好的效果。
45.在本技术的实施例中，将原始图像中的像素点进行平均压缩，然后将压缩后的像素点按压缩比填充成和原始图像尺寸相同的第一低频信息图像：计算原始图像中形状为2
×
2的相邻四个点的像素值的平均值，然后将平均值按照一比四的比例填充到原始图像大小，得到第一低频信息图像。同时，将对抗样本中的像素点进行平均压缩，然后将压缩后的像素点按压缩比填充成和对抗样本尺寸相同的第二低频信息图像包括以下步骤：计算对抗样本中形状为2
×
2的相邻四个点的像素值的平均值，然后将平均值按照一比四的比例填充到原始图像大小，得到第二低频信息图像。在另外的实施例中，也可以将原始图像中其他相邻像素点压缩成一个像素点，如形状为2
×
3的6个像素点压缩或形状为3
×
3 的9个像素点压缩，压缩后的填充比例相应的变为6或9，同时，对抗样本也进行相同形式的压缩和填充。
46.进一步，在本技术的一个具体实施例中，对抗样本和原始图像的关系为：
[0047][0048]
公式中θ代表模型参数，x为原始图像，x^'为对抗样本，y为x对应的标签，j()为损失函数，为对损失函数在x上求梯度，ε为扰动值。生成对抗样本的步骤包括：根据对抗样本和原始图像的关系，采用调整ε的大小的方式，将原始图像转换成不同扰动大小的对抗样本。
[0049]
将第一识别结果和第二识别结果进行综合的步骤包括：将第一识别结果和第二识别结果的对应的值对应相加，得到最终识别结果。综合步骤为：检测对抗样本的扰动值，当扰动值大于预设值时将第二识别结果作为最终识别结果输出；当扰动值小于或等于预设值时将第一识别结果作为最终识别结果输出。这两种方式均能够充分结合两种结果使在面对扰动较大的对抗样本时正确率得到显著提高，并且对原始图像和扰动较小的对抗样本的正确率也很高，取得了良好的效果。
[0050]
进一步，第一卷积神经网络模型和第二卷积神经网络模型均采用lenet卷积神经网络模型。图像数据的尺寸不同，对经典的网络结构进行修改，具体的，对其input和全连接层输入做了修改使得其能够用应用于相应尺寸图像。
[0051]
为验证本实施例的效果，本技术做了以下验证试验。
[0052]
本实施例的实验将使用mnist数据集作为训练和攻击的数据集。mnist数据集包含60,000个用于训练的示例和10,000个用于测试的示例。这些数字已经过尺寸标准化并位于
图像中心，图像是固定大小(28*28像素)，其值为0到1。网络模型使用一个经典的卷积神经网络lenet，生成第一神经网络模型和第二卷积神经网络模型。试验中，第一低频信息图像采用计算原始图像中形状为2
×
2 的相邻四个点的像素值的平均值，然后将平均值按照一比四的比例填充到原始图像大小得到。对抗样本根据对抗样本和原始图像的关系为：生成。实验结果如表1所示。
[0053][0054]
表1
[0055]
我们可以看出在防御对抗样本攻击时，都使得模型的鲁棒性得到了提高。使用上述基于固定像素点获取低频信息的对抗样本防御方法和原始图像共同识别时，模型的识别正确率最高时提高了7％左右。
[0056]
按照本文提出的基于低频信息的对抗样本防御方法，修改后的模型在面对对抗样本是正确率得到了显著的提高。虽然在扰动较大时效果并没有特别显著的提高，但其中的一部分图像因为扰动的破坏性过强，其实已经可以影响到人眼的判断。这与对抗样本的定义已经存在了一定程度的偏离。所以，本文提出的方法取得了期望的效果。
[0057]
以上说明内容仅为本发明较佳实施例，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。