[发明专利]一种面向AR应用的基于生成对抗网络的对抗样本生成方法

说明书

本发明公开了一种面向AR应用的基于生成对抗网络的对抗样本生成方法，包括如下步骤：S1：生成器G以三个随机噪声(Z_Adv,Z_Ben,Z_Z)的嵌入Z＝Embedding(Z_Adv,Z_Ben,Z_Z)作为输入来生成对抗扰动Adv＝G(Z)；然后，将生成的对抗扰动Adv叠加到良性样X_Ben来生成对抗样本X_Adv＝X_Ben+Adv，并计算对抗扰动损失L_Adv；S2：判别器D以对抗样本X_Adv，良性样本X_Ben和良性样本X_Ben的分类类别Y_Ben作为输入，判别器D正确地区分(X_Ben,X_Adv)，并分别计算生成器G和判别器D的GAN损失L_WGAN‑GP；判别器D输出(X_Ben,X_Adv)的类别，并分别计算生成器G和判别器D的ACGAN分类损失L_ACGAN。本发明只需要训练一次，就可以快速的生成对抗样本，极大的降低了计算资源消耗与时间消耗，本发明生成的对抗样本具有良好的感知，并且能够很好的愚弄多个深度神经网络并具有很好的视觉感知。

技术领域

本发明涉及一种面向AR应用的基于生成对抗网络的对抗样本生成方法，属于深度学习的算法模型的安全技术领域。

背景技术

2006年Hinton等人提出了深度学习的概念，解决了深层网络结构难优化的问题。之后几年，随着计算机硬件计算能力的不断提升和数据量的爆发式增长，深度学习成为人工智能领域的重大研究热点，其理论成果也被成功的应用在了不同领域，如视觉、文本、语音等。然而，研究表明以深度学习为代表的机器学习模型容易受到对抗样本的攻击。Szegedy等人首先在图像领域发现了对抗样本，并提出了对抗样本的概念。对抗样本是指在数据集中通过故意添加细微的干扰所形成的输入样本，导致模型以高置信度给出一个错误的输出。对抗样本的存在对人工智能系统的实际部署带来了潜在的安全威胁，例如，攻击者恶意篡改交通标志停止路牌，使得自动驾驶汽车将其识别成前进，造成交通事故；通过面部伪装，欺骗政府部门或是公司的人脸识别安全系统，侵入其内部，窃取机密等。

增强现实(Augmented Reality，AR)技术，是一种通过实时扫描真实环境获取实景画面，并在实景画面上叠加相应的图像虚拟数据，进而对虚拟世界与现实世界进行融合的技术。鉴于深度学习在处理图像、视频、语音等多媒体数据上的优势，AR技术中不可避免的包含了大量的人工智能技术，例如图像识别，人脸识别，人体姿势检测等。因此，包含深度学习的AR技术必然也容易受到对抗样本的影响，例如对图像进行扰动，使用扰动后的图像进行AR扫一扫，肉眼不能发现图像被篡改了，但是扰动后的图像识别出来对应的视频已经被替换成其他内容。鉴于目前已存在的对抗样本生成方法生成的对抗样本的视觉感知与攻击能力仍然有些不足，本发明提出了一种面向AR应用的基于生成对抗网络的对抗样本生成方法，增强生成的对抗样本的视觉感知与攻击能力。通过引入本发明设计的对抗攻击生成算法，能够面向AR开发人员提供用来审计AR应用中是否存在对抗样本攻击。

发明内容

本发明所要解决的技术问题是，为了克服已有的对抗样本生成算法生成的对抗样本视觉感知差，攻击力弱，需要消耗大量计算资源等问题，提出了一种可以生成既具有良好视觉感知又有较强攻击能力的面向AR应用的对抗样本生成方法。

为解决上述技术问题，本发明采用的技术方案为：

一种面向AR应用的基于生成对抗网络的对抗样本生成方法，包括如下步骤：