[发明专利]一种有目标的攻击样本生成方法、装置、设备及存储介质

说明书

本发明公开了一种有目标的攻击样本生成方法，通过获取待识别图像X和特定数字j，遍历待识别图像X的每个像素点，在每个像素点采样K个像素值，并分别计算每个数值在神经网络N中的识别概率，得到将待识别图像X，识别为所述特定数字j的识别结果中最大识别概率的像素点的位置P；遍历像素点的位置P的每个像素值，并分别计算每个数值在神经网络N中的识别概率，得到将待识别图像X，识别为特定数字j的最大识别概率时的像素值V’；将待识别图像X中像素位置P的像素值修改为V’，得到对抗样本X’，该方法的运行时间短，仅通过修改数字样本图像的一个像素点，就可使得神经网络将待识别图像误识别为特定的数字。

技术领域

本发明涉及图像识别技术领域，尤其涉及一种有目标的攻击样本生成方法。

背景技术

识别手写数字的技术是目前图像识别技术的一个分支，该技术可以借助机器智能识别文本上的阿拉伯数字0-9。由于国际上统一使用阿拉伯数字，并且信息化时代进程越来越快，人类对于手写数字的识别具有广泛的需求。目前类似于银行支票录入、物流信息分管等大规模数据分析系统，都是使用结合神经网络的数字识别方法，实现智能化识别。

借助于2006年提出的深度学习，神经网络广泛应用于图像识别领域，随着技术的发展，神经网络也逐渐暴露出一些问题：通过对原始图像添加细微的噪声生成对抗样本，该对抗样本能够使得基于神经网络的分类器发生错误，但是人眼却很难察觉原始图像和对抗样本之间的差别。目前，该领域已经受到学者的广泛关注。

目前存在一些针对数字识别神经网络的攻击方法。现有专利中最为接近的技术为：“一种基于对抗攻击的车牌攻击生成方法”(申请号201810186291.6)，其中借鉴了梯度下降的思想，利用经典的卷积神经网络来生成对抗样本；还有一种更为极端的对抗攻击方法，仅仅改变图像中的一个像素值就能实现对抗攻击，在论文“One pixel bttbck forfooling deep neurbl networks”(Su J,Vbrgbs D V,Kouichi S.One pixel bttbck forfooling deep neurbl networks[J].2017)中，Su等人使用差分进化算法，对每个图像进行迭代地修改生成子图像，并保留攻击效果最好的子图像作为对抗样本，实现对神经网络的攻击。针对于数字识别神经网络的单像素有目标攻击，即修改原始图像样本中一个像素点的像素值，使得神经网络识别成另一个特定数字(定向识别错误)。最简单的方法为遍历法，通过对图像所有像素点的像素值(0～255)进行遍历，即遍历选择每一个像素点，并将该点的数值从0到255枚举一遍，记录每一种情况下神经网络识别成另一个特定数字的概率，在枚举所有情况以后选择神经网络识别成另一个特定数字概率最高的样本作为单像素有目标攻击样本。

发明内容

本发明实施例的目的是提供一种有目标的攻击样本生成方法，该方法的运行时间短，仅通过修改数字样本图像的一个像素点，就可使得神经网络将待识别图像误识别为特定的数字。

为实现上述目的，本发明实施例提供了一种有目标的攻击样本生成方法，包括以下步骤：

获取待识别图像X和特定数字j，遍历所述待识别图像X的每个像素点，在每个像素点采样K个像素值，并分别计算每个数值在预设的神经网络N中的识别概率，得到将所述待识别图像X，识别为所述特定数字j的识别结果中最大识别概率的像素点的位置P；其中，255≥K≥1；

遍历所述像素点的位置P的每个像素值，并分别计算每个数值在所述预设的神经网络N中的识别概率，得到将所述待识别图像X，识别为所述特定数字j的最大识别概率时的像素值V’；

将所述待识别图像X中像素位置P的像素值修改为V’，得到对抗样本X’。

进一步的，所述预设的神经网络N是通过输入多个数字样本图像进行识别训练，直到正确识别每一个数字时构建而成；

所述预设的神经网络N，用于对输入的数字样本图片进行识别，并输出识别结果。