[发明专利]一种基于贝塞尔曲线的图像分类神经网络攻击方法

说明书

本发明属于人工智能与深度学习领域，公开了一种基于贝塞尔曲线的图像分类神经网络攻击方法。首先搭建多个图像分类神经网络并加载预训练参数；然后从经典的ImageNet数据集中选取一千张满足同分布的图像样本，利用图像样本对搭建好的神经网络进行参数微调，提高准确率；在原图像的基础上随机生成一条贝塞尔曲线；然后利用差分进化算法，在大量随机生成的贝塞尔曲线中寻找最优曲线；最后即可得到含有最优贝塞尔曲线的对抗图像样本，误导图像分类神经网络将其错误分类。

技术领域

本发明属于人工智能与深度学习领域，具体涉及一种基于贝塞尔曲线的图像分类神经网络攻击方法。

背景技术

众所周知，基于卷积神经网络的深度学习在人工智能领域的表现已经超过了传统机器学习方法，在图像识别、自然语言处理和语音处理等领域起着主导作用，尤其是在图像分类领域，最先进模型的表现已经超过了人类。

然而，Szegedy等人发现当对图像添加对抗扰动后，模型会变得脆弱不堪。同时，这些扰动对人类说几乎不可分辨。随后几年，多个针对对抗样本生成的算法表明，对抗图像可以在攻击正常模型时获得极高的正确率。

目前针对深度学习模型的攻击算法大多数是以在扰动最小的情况下攻击分类模型为目标，通过限制l₂或l_∞来保证扰动添加的变化范围。以实现扰动的添加不会被人类察觉或者说不影响人类对图像的判断。但是很少有算法考虑到，这种限制扰动的办法是否足够合理，或者说足够有效。

阿里天池比赛中，以l_∞为限制标准，使用基于梯度的算法对分类模型进行攻击的展示。每个像素点的最大改动值为32像素。当在蜗牛、蜣螂和蜘蛛的图像上进行有目标分类的攻击时，这些图像在人类看来竟然变成了玉米、电子称和狗。

在32像素改动值的限制下，对图像进行修改后，原图像可以变得人类都会识别错误，更不用说是分类模型了。

出现这种情况的主要原因是，像素修改值的大小并不代表着被修改图像在人类看来的变化大小，扰动像素点的数量相比扰动像素点的值，对人类识别图像的影响更大。

综上所述，找到一个有效且对人类识别影响较小的图像分类神经网络攻击方法具有重要的研究意义。

发明内容

为了克服上述方法的缺点，本发明提出了一种基于贝塞尔曲线的图像分类神经网络攻击方法，能够解决修改后的图像对人类识别效果影响较大的问题，而且可以有效地对图像分类神经网络进行攻击。具体方法的实现包括以下步骤：

步骤1：搭建多个图像分类神经网络并加载预训练参数；

步骤2：从ImageNet数据集中选取一千张满足同分布的图像样本，利用图像样本对搭建好的神经网络进行参数微调；

步骤3：在原图像的基础上随机生成一条贝塞尔曲线；

步骤4：利用差分进化算法，在大量随机生成的贝塞尔曲线中寻找最优曲线；

步骤5：将寻找出的最优贝塞尔曲线加入到图像样本上，误导图像分类神经网络将其错误分类；

步骤6：重复步骤3-步骤5，即可对所有图像添加最优贝塞尔曲线；

所述步骤1中，分别搭建3个经典的图像分类神经网络：VGG16，ResNet50，DenseNet201，并加载各自的预训练参数。

所述步骤2中，从ImageNet数据集中选取满足同分布的一千张图像，以更好地验证所提出方法的有效性。并且利用这些样本对神经网络进行参数微调，保证每个神经网络对这些样本的准确识别率为100％。

所述步骤3中，随机生成的贝塞尔曲线，其像素点值均为同一个随机化的初始值，并且其位置和方向也是随机生成。所使用的贝塞尔曲线公式的理论基础为伯恩斯坦多项式：