[发明专利]一种基于图像亮度映射的图像语义对抗攻击样本生成系统及生成方法

说明书

本发明公开了一种基于图像亮度映射的图像语义对抗攻击样本生成系统，包括：图像读取模块，用于读取原始图像信息，将图像的色彩与亮度分割开，得到图像亮度矩阵和图像色彩矩阵；图像映射模块，用于根据原始图像的亮度矩阵截取有效亮度矩阵与图像无效部分，并使用映射函数对有效亮度矩阵进行映射，得到原始攻击样本；目标网络模块，用于将原始攻击样本放入目标网络中进行推理，并在得到推理结果后反向传播，调整映射函数，得到新的映射函数；图像评估模块，用于根据所述图像推理结果与图像质量评分，选择对当前原始攻击样本进行跳过或保存或更新。本发明还公开了一种利用上述攻击样本生成系统生成攻击样本的方法。

技术领域

本发明属于人工智能安全领域，涉及一种基于图像亮度映射的图像语义对抗攻击样本生成系统及生成方法。

背景技术

深度神经网络(DNN)容易受到针对性的对抗样本的攻击。其中，一部分对抗样本的扰动通过L_p范数的限制来确保不可察觉性。然而，这些攻击示例在平方误差较低的地方(如天空、墙壁等)并不自然。另一些攻击则对扰动不作限制，以获得更好的鲁棒性和可转移性，因此这些对抗性示例可用于基于转移的黑盒攻击。但这些方法抛弃了很大一部分自然性。

发明内容

为了解决现有技术存在的不足，本发明的目的是提出了一种基于图像亮度映射的图像语义对抗攻击系统，能够在不做限制(如L_p范数)的同时保持自然性；通过根据输入的RGB图像生成针对目标网络的自然的攻击图像，使得在人眼无法识别的情况下能够让分类器出现错误。

具体地，本发明提出了一种基于图像亮度映射的图像语义对抗攻击样本生成系统，包括：

图像读取模块，用于读取原始图像信息，将所述原始图像的色彩与亮度分割开，得到图像亮度矩阵与图像色彩矩阵；

优选地，图像读取模块的输入图像格式为Tensor，在原始图像的亮度与色彩分割开前，从RGB空间转换为LAB空间图像，得到LAB颜色空间的Tensor。

图像映射模块，用于根据原始图像的亮度矩阵截取有效亮度矩阵与图像无效部分，并使用映射函数对有效亮度矩阵进行映射，映射完成后与图像无效部分进行整合，得到原始攻击样本；

优选地，图像映射模块包括：

映射划分单元，用于根据原始图像亮度区间，划分出基于图像亮度有效数值的有效亮度矩阵与图像无效部分；特别地，图像有效亮度范围即为该图像在亮度空间上的最小值至最大值。

图像映射单元，用于初始化映射函数，并对有效亮度矩阵根据映射函数进行映射，映射后的有效亮度矩阵和映射划分单元中获得的图像无效部分进行整合，得到原始攻击样本；

目标网络模块，用于将原始攻击样本放入目标网络中进行推理，并在得到推理结果后反向传播，调整映射函数，得到新的映射函数；

优选地，目标网络模块包括：

图像推理单元，将原始攻击样本放入图像推理单元中进行推理，得到推理结果，若是图像分类任务，则为对图像进行分类，判定图像所属的类别；

正则化单元，用于使得损失值包含映射函数斜率不为0的项。

优选地，加入正则化项后的损失函数为：

Loss＝L_CW(x，l)-ηsum(|θ|)/K

其中，L_CW(·)为CW损失，即输入图像x经过图像推理单元得到的推理结果中对应标签l那一类的值减去除该类外的最大值，sum(|θ|)/K即为正则化项；η为正则化率，用于调整正则化的程度，即正则化项在损失函数中占的比例，在本发明中η＝0.5。