[发明专利]基于变分球面投影的对抗鲁棒性图像特征提取方法

说明书

本发明公开了一种基于变分球面投影的对抗鲁棒性图像特征提取方法，包括步骤：1)模型初始化；2)数据集预处理；3)变分球面投影前向传播；4)损失函数计算；5)对抗训练正则化；6)反向传播计算梯度，更新权值；7)重复步骤2)至步骤6)过程直至收敛，得到深度特征提取模型；应用时以参数编码过程的均值参数为特征，即可得到高可区分性特征。本发明在CASIA‑webface数据集进行训练，在LFW数据集上进行测试，能够保证模型的对抗鲁棒性的同时，特征具有高可分性。

技术领域

本发明涉及图像处理的技术领域，尤其是指一种基于变分球面投影的对抗鲁棒性图像特征提取方法。

背景技术

近些年来计算硬件GPU计算力的提升，大量的标注数据集的出现，使得深度神经网络训练成为可能。自从深度卷积网络赢得ImageNet官方举办的大型视觉识别比赛(ILSVRC)冠军后，深度网络结构不断推陈出新，逐渐在特定任务上媲美或者超越人类的水平。此后深度学习网络被广泛应用在人脸识别特征提取和相似图片检索上。从表示学习的角度来看，深度特征提取的成功在于通过大量的数据学习得到一个显著而稳定的特征表示方式，通过对原始输入空间到特征空间的映射，实现类别概念距离到欧式距离或者到余弦角距离的映射，让未见过样本依旧能在特征空间依据通过阈值进行分类，特征可分性越高，识别验证越准确。

利用深度神经网络作为可区分性特征提取器的训练方法通常有两种,一种是对训练数据进行精心挑选和重新组合得到符合测度学习的数据集，再通过测度学习损失函数来进行训练；而另一种训练方式则通过定制的损失函数，以直接训练常规分类器的方式间接得到一个可分性高的特征提取器。

然而最近一些关于深度神经网络的研究表明,深度神经网络对于输入空间的划分存在局部非稳定性，特定方向上的人眼难以察觉的微小扰动就可以造成深度神经网络的误分类。在高维度空间下，线性分类器每个分量上的微小变动即可导致线性模型的输出结果大相径庭。在多层线性网络下，通过逐层的累积放大，输入空间仅需要特定方向更加微小的变化即可轻易改变深度神经网络的表示特征，然后影响最后分类器的分类结果。

针对深度网络的局部非稳定性，攻击者可以利用网络的信息对输入进行不同范数测度类型的引导性失真得到对应的对抗样本，从而达到使深度神经网络分类器对该对抗样本误分类的目的，这种攻击方式可称为对抗攻击，而模型对于抵抗这种攻击的能力称为对抗鲁棒性。

正是由于局部非稳定性以及对应该性质的对抗攻击的存在，给深度特征提取器的应用带来了严重的安全隐患。比如自动驾驶中，摄像头对路标的识别特征被蓄意攻击导致误分类，从而造成不可以测的行为结果；又比如在广泛应用了深度神经网络作为特征提取的人脸识别系统，蓄意攻击人脸特征将导致系统错误授权予不法分子，从而造成用户财产隐私，甚至生命的安全收到威胁。

目前为止，提高深度神经网络分类器的对抗鲁棒性一般有三种方式，第一种是对模型参数本身进行正则化约束,但是以往的经典结构，如：多层卷积作为特征提取同时线性网络作为分类器的结构；或者变分参数编码器结构，在较大的正则化参数下，每一层的权重过于平滑，模型表达能力大幅下降，导致特征空间的可分性、分类器的分类性能会大幅度下降。第二种对训练集的进行标签平滑化，蒸馏学习，使模型的决策边界更加平滑，但模型的损失分类性能。第三种是对抗训练,利用模型的梯度生成原始样本的对抗样本，然后加入训练集，使得模型在不损失分类性能的前提下增加模型的鲁棒性，然而现有的方法均不能保证深度特征提取模型在特征空间上阈值可分，不适用用作未见过样本的特征提取。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提出了一种基于变分球面投影的对抗鲁棒性图像特征提取方法，利用变分参数编码器结构在采样上的灵活性，在深度变分信息瓶颈模型(DVIB)的基础上对其采样过程进行改进提出变分球面投影模型(VSP)，通过对采样均值参数进行平衡缩放，再对进行特定半径的球面采样得到特征，配合对抗训练使的采样参数在球面映射训练信号下类内特征聚拢、类间特征更加分离，兼顾特征的高可分性和深度特征提取器的对抗鲁棒性。