本发明涉及图像对抗处理,具体而言,涉及一种基于灰度不变性的双阶段集成可逆对抗攻击方法、装置、设备和介质。
背景技术:
1、随着深度神经网络(dnn)在多个领域的广泛应用,其强大的表达能力和优越性能为技术发展带来了显著的推动作用。然而,这种技术的快速发展也带来了隐私和安全方面的担忧。
2、为了解决这一问题,研究者们提出了rae(reversible adversarial example、可逆对抗攻击样本)技术。rae技术有两种主要的技术方案。第一种是通过对抗攻击的迁移性,使用替代模型生成对目标黑盒的扰动,随后利用rdh技术(reversible data hiding、可逆数据隐藏技术)对扰动信息进行一个存储生成rae,并在恢复时提取rae中的扰动信息来实现无损的原始图像恢复。这种方法可以近乎无损的恢复原始图像的质量,且有着极高的攻击鲁棒性。第二种是引入由攻击编码器网络和恢复解码器网络组成的rgan,使用攻击编码器高效地生成对抗示例rae,然后通过训练过的恢复解码器将其rae中的扰动进行解码和剔除,从而达到恢复原始图像的目的。尽管rae技术在理论上提供了一种有效的解决方案,但在实际应用中存在一些显著的问题和局限性。
3、对于第一类方案,通过对抗攻击的迁移性生成扰动并使用rdh技术生成rae的方法,在现实世界中对商业级黑盒模型的攻击效果并不显著。商业模型的高鲁棒性能够有效抵抗迁移性的对抗性攻击,且由于查询成本高昂和数据访问受限,使得通过查询过程构建有效替代模型变得不可行。因此,这种方案在面对真实世界的应用挑战时显示出明显的不足。
4、对于第二类方案,即利用rgan生成rae并恢复原始图像的方法,其实际效果受限于添加扰动的规模。小规模的扰动无法有效干扰模型,显示出对抗性攻击的不足。此外,恢复解码器无法完全抹除添加的扰动,导致无法保证图像完全恢复到原始无扰动状态。
5、这表明,尽管rae技术提供了一种图像恢复技术,但在保证图像恢复质量和模型防御效果方面存在技术缺陷和实际应用障碍。
6、有鉴于此,申请人在研究了现有的技术后特提出本技术。
技术实现思路
1、本发明提供了一种基于灰度不变性的双阶段集成可逆对抗攻击方法、装置、设备和介质,以改善上述技术问题中的至少一个。
2、第一方面、本发明实施例提供了一种基于灰度不变性的双阶段集成可逆对抗攻击方法。其包含步骤s1至步骤s4以根据初始图像生成可逆对抗攻击样本。
3、s1、获取初始图像。
4、s2、通过动量迭代快速梯度攻击法和梯度量化二进制编码对所述初始图像进行白盒攻击,获取第一扰动信息和第一对抗攻击样本。
5、s3、对所述第一对抗攻击样本进行黑盒攻击,对未能成功攻击目标网络的部分样本,采用阈值信息超像素攻击进一步调整扰动,获取第二扰动信息和第二对抗攻击样本。
6、s4、将所述第二扰动信息的扰动矩阵编码为二进制信息流,然后使用可逆数据隐藏技术rdh将所述二进制信息流嵌入所述第二对抗攻击样本,获得最终的双阶段集成可逆对抗攻击样本。
7、在一个可选的实施例中,步骤s2具体包括步骤s21至步骤s26。
8、s21、重复执行以下步骤直至达到预设的迭代终止条件,获取所述第一扰动信息和第一对抗攻击样本。
9、s22、将图像输入预定义的集成个图像分类深度神经网络的白盒模型中进行分析,获取融合个不同模型的输出。其中,第一次输入时输入所述初始图像,后续输入为上一次迭代得到的对抗攻击样本。式中,表示模型的输出、为输入模型的图片、为白盒模型的序号、为白盒模型的数量、是每个模型在损失函数中所占的权重、为融合第个白盒模型的输出。
10、s23、根据所述输出,获取白盒模型的损失函数。式中,表示损失函数、为输入模型的图片、是正确标签的独热编码、表示模型的输出、是图片的正确标签、识别类别的序号、是模型所能识别的所有类别数。
11、s24、将图片划分为超像素块,并将图片的梯度按照超像素块划分,并平均每个像素块内的梯度,获取转化为超像素块的梯度。
12、s25、根据所述转化为超像素块的梯度,通过梯度贡献值得分机制,获取扰动。
13、s26、将所述扰动添加到图像中,获取对抗攻击样本。
14、在一个可选的实施例中,步骤s24具体包括步骤s241至步骤s242。
15、s241、将多个像素点进行一个集合,以将图片划分为超像素块。
16、s242、采样像素块内每个像素点的梯度,对整个像素块的梯度进行一个平均,并用这种局部整合后的梯度去替代整张图的梯度,获取转化为超像素块的梯度。
17、在一个可选的实施例中,步骤s25具体包括步骤s251至步骤s254。
18、s251、根据所述转化为超像素块的梯度,获取绝对值矩阵。式中,表示梯度向量、表示扰动、表示损失函数、为输入模型的图片、为图片的真实标签。
19、s252、根据所述转化为超像素块的梯度,计算符号矩阵。式中,为符号函数、表示梯度向量、表示扰动、表示损失函数、为输入模型的图片、为图片的真实标签。
20、s253、根据超像素块的大小和梯形形状,计算贡献度得分矩阵。,式中,表示矩阵中第行第列的元素、为自然底数、表示绝对值矩阵中第行第列的元素、为元素的序号,超像素块的大小为,梯形形状为。
21、s254、根据所述贡献度得分矩阵、所述绝对值矩阵和所述符号矩阵,计算所述扰动。。
22、在一个可选的实施例中,步骤3具体包括步骤s31至步骤s32。
23、s31、将白盒模型迭代生成高鲁棒性的第一对抗攻击样本输入到黑盒模型中进行分类。其中,部分样本能够成功的攻击黑盒模型的目标网络,部分样本未能成功攻击目标网络。
24、s32、对未能成功攻击目标网络的部分样本,采用阈值信息超像素攻击随机选择一个超像素进行扰动添加,并通过查询来确认最优的扰动方向,以获取第二扰动信息和第二对抗攻击样本。其中,最优的扰动方向通过一个数组记录每次扰动添加对模型置信度的具体影响,经过一定次数的查询后,从历史添加的扰动中选择对模型影响最大的位置来获取。
25、在一个可选的实施例中,步骤4具体包括步骤s41至步骤s42。
26、s41、将所述第二对抗攻击样本对应的第二扰动信息的扰动矩阵转化为二进制信息流。
27、s42、通过具有灰度不变性的可逆数据隐藏技术rdh-gi在r通道中加入秘密信息,在b通道中加入纠错位,并通过调整g通道的像素值来保证灰度不变性,将所述二进制信息流嵌入所述第二对抗攻击样本,获得最终的双阶段集成可逆对抗攻击样本。其中,第二对抗攻击样本包含rgb三个通道。式中,表示灰度、表示r通道的强度、表示g通道的强度、表示b通道的强度。表示加入秘密信息后r通道的强度、表示加入纠错位后b通道的强度、表示调整后的g通道的强度。
28、在一个可选的实施例中,基于灰度不变性的双阶段集成可逆对抗攻击方法包含步骤s5和s6,以根据双阶段集成可逆对抗攻击样本,获取还原图像。
29、s5、使用具有灰度不变性的可逆数据隐藏技术rdh-gi提取嵌入在双阶段集成可逆对抗攻击样本中的第二扰动信息,还原扰动矩阵。
30、s6、根据还原后的扰动矩阵,去除双阶段集成可逆对抗攻击样本中的第二扰动信息,获取还原后的初始图像。
31、第二方面、本发明实施例提供了一种基于灰度不变性的双阶段集成可逆对抗攻击装置。其包含以下模块,以根据初始图像生成可逆对抗攻击样本。
32、初始图像获取模块,用于获取初始图像。
33、白盒攻击模块,用于通过动量迭代快速梯度攻击法和梯度量化二进制编码对所述初始图像进行白盒攻击,获取第一扰动信息和第一对抗攻击样本。
34、黑盒攻击模块,用于对所述第一对抗攻击样本进行黑盒攻击,对未能成功攻击目标网络的部分样本,采用阈值信息超像素攻击进一步调整扰动,获取第二扰动信息和第二对抗攻击样本。
35、扰动嵌入模块,用于将所述第二扰动信息的扰动矩阵编码为二进制信息流,然后使用可逆数据隐藏技术rdh将所述二进制信息流嵌入所述第二对抗攻击样本,获得最终的双阶段集成可逆对抗攻击样本。
36、第三方面、本发明实施例提供了一种基于灰度不变性的双阶段集成可逆对抗攻击设备。其包括处理器、存储器,以及存储在所述存储器内的计算机程序。所述计算机程序能够被所述处理器执行,以实现如第一方面任意一段所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法。
37、第四方面、本发明实施例提供了一种计算机可读存储介质。所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如第一方面任意一段所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法。
38、通过采用上述技术方案,本发明可以取得以下技术效果:
39、基于灰度不变性的双阶段集成可逆对抗攻击方法通过其独特的双阶段生成过程,不仅大幅提高了隐私保护的效果,同时保证了图像的高质量恢复。这种高鲁棒性的可逆对抗样本显著解决了现有隐私保护技术中常见的恢复效果差和保护效果弱的问题。
1.一种基于灰度不变性的双阶段集成可逆对抗攻击方法,其特征在于,包含以下步骤以根据初始图像生成可逆对抗攻击样本;
2.根据权利要求1所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法,其特征在于,通过动量迭代快速梯度攻击法和梯度量化二进制编码对所述初始图像进行白盒攻击,获取第一扰动信息和第一对抗攻击样本,具体包括:
3.根据权利要求2所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法,其特征在于,根据所述转化为超像素块的梯度,通过梯度贡献值得分机制,获取扰动,具体包括:
4.根据权利要求2所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法,其特征在于,将图片划分为超像素块,并将图片的梯度按照超像素块划分,并平均每个像素块内的梯度,获取转化为超像素块的梯度,具体包括:
5.根据权利要求1所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法,其特征在于,对所述第一对抗攻击样本进行黑盒攻击,对未能成功攻击目标网络的部分样本,采用阈值信息超像素攻击进一步调整扰动,获取第二扰动信息和第二对抗攻击样本,具体包括:
6.根据权利要求1所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法,其特征在于,将所述第二扰动信息的扰动矩阵编码为二进制信息流,然后使用可逆数据隐藏技术rdh将所述二进制信息流嵌入所述第二对抗攻击样本,获得最终的双阶段集成可逆对抗攻击样本,具体包括:
7.根据权利要求1至6任意一项所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法,其特征在于,还原所述可逆对抗攻击样本的步骤如下:
8.一种基于灰度不变性的双阶段集成可逆对抗攻击装置,其特征在于,包含以下模块,以根据初始图像生成可逆对抗攻击样本;
9.一种基于灰度不变性的双阶段集成可逆对抗攻击设备,其特征在于,包括处理器、存储器,以及存储在所述存储器内的计算机程序;所述计算机程序能够被所述处理器执行,以实现如权利要求1至7任意一项所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至7任意一项所述的一种基于灰度不变性的双阶段集成可逆对抗攻击方法。
