[发明专利]一种基于生成机制的高分辨率对抗样本的合成方法

权利要求书

1.一种基于生成机制的高分辨率对抗样本的合成方法，其特征在于，所述合成方法包括以下步骤：

步骤1、选取大规模高分辨率数据集，并且对选取的数据集X进行图片增强，生成增强数据X′；

步骤2、使用VGG19作为特征提取函数F_x()对输入x′(x′∈X′)进行特征提取；

步骤3、使用主成分分析(PCA)的线性降维方法将x′映射到相应的噪声矢量z；

步骤4、使用基于核函数的主成分分析(KPCA)的非线性降维方法将x’映射到相应的噪声矢量z；

步骤5、将x’的深层特征F_x(x′)和噪声矢量z(结合成串联矢量)作为生成对抗网络生成器G的输入进行训练，并生成针对输入的特定对抗扰动δ_x′＝G(z|F_x(x′))；

步骤6、将增强数据集中的输入x′与相应的对抗扰动δ_x′进行叠加，合成对抗样本x^*＝x′+δ_x′；

步骤7、计算生成对抗网络训练过程的损失L_GAN；欺骗目标模型F_t()的损失L_adv；量级限制后的扰动损失L_pert。

2.根据权利要求1所述的一种基于生成机制的高分辨率对抗样本的合成方法，其特征在于，所述步骤1针对数据集使用图片数据增强，分别从图片的内在属性、图片的表现形式、图片的形状三个方面进行，具体步骤如下：

步骤1.1、

色度转化：图片的每个像素值在(-3，3)范围内随机相加，饱和度转化：图片的每个像素值在(0.95，1.05)范围内随机相乘，亮度转化：图片的每个像素值在(0.95，1.05)范围内随机相乘；

步骤1.2、

镜面翻转：将图片的左右顺序交换，图像旋转：将图片沿着顺时针方向在(-15，15)角度范围内旋转；

步骤1.3、

随机填充：将图片边缘区域的像素值随机使用空白来替代。

3.根据权利要求1所述的一种基于生成机制的高分辨率对抗样本的合成方法，其特征在于，所述步骤2使用预训练VGG19作为特征提取函数F_x()，预训练模型在验证对抗样本在不同模型间的迁移性时减少训练开销，16个卷积层和3个全连接层提取更多的输入特征且提升整个方法的泛化性能；通过对输入x’进行降维映射，组合图片的不同属性得到新的属性，改变原始的特征空间。

4.根据权利要求1所述的一种基于生成机制的高分辨率对抗样本的合成方法，其特征在于，所述步骤3使用主成分分析(PCA)的线性降维方法将x’映射到相应的噪声矢量z；PCA在输入x’所在的坐标系下，变化数据点的方差沿新的坐标轴得到最大化，利用输入集X′统计性质的特征空间变换，在无损或较少损失输入的情况下将图片特征映射为z。

5.根据权利要求1所述的一种基于生成机制的高分辨率对抗样本的合成方法，其特征在于，所述步骤4使用基于核函数的主成分分析(KPCA)的非线性降维方法将x′映射到相应的噪声矢量z；KPCA采用非线性映射把将输入集X′由数据空间映射到特征空间，增强了非线性数据的处理能力，在无损或较少损失输入的情况下将图片特征映射为z。

6.根据权利要求1所述的一种基于生成机制的高分辨率对抗样本的合成方法，其特征在于，所述步骤6将增强数据集中的输入x′与相应的对抗扰动δ_x′进行叠加，合成对抗样本x^*＝x′+δ_x′；设置输入x′的融合比例为100％，对抗扰动δ_x′的融合比例为15％，防饱和参数为-10。

7.根据权利要求1所述的一种基于生成机制的高分辨率对抗样本的合成方法，其特征在于，所述步骤7的具体步骤如下：

步骤7.1、

GAN损失L_GAN：方法使用均方误差(MSE)损失来检测预测标签与真实标签之间的偏差；将生成对抗网络(GAN)训练分为训练鉴别器D和训练生成器G两个过程；对于鉴别器D，最大化区分输入实例是原始图像还是生成图像的概率，在训练过程应使原始图像的损失最小化，生成图像的损失最大化；在优化损失函数时，将错误的样本标签设置为“0”，真正的样本标签设置为“1”；对于生成器，和成的对抗样本要尽可能欺骗判别器，最小化其损失函数；

步骤7.2、

对抗损失L_adv：方法使用的目标模型F_t()为预训练ResNet152结构，使用MSE计算目标模型的预测类别不同于x′真实类别的损失；

步骤7.3、

扰动损失L_pert：扰动的大小对于使输出类似于原始图像至关重要，方法使用L₂范数和L_∞范数结合的技巧来限制生成扰动的量级。