图像处理方法、装置、计算机设备和存储介质与流程

1.本技术涉及图像识别技术领域，特别是涉及一种图像处理方法、装置、计算机设备和存储介质。


背景技术：

2.随着人工智能技术的发展，对抗图像在各个领域得到了广泛的应用，对抗图像是指在图像中通过故意添加细微的干扰所形成的图像，该图像导致识别模型以高置信度给出一个错误的输出。
3.对抗图像可以应用于模型的训练中，以提高模型承受攻击的能力，也可以用于对图像进行加密。例如，在使用神经网络模型的过程中，存在神经网络模型遭到恶意攻击的情况，攻击者可以将具有攻击性的图像输入到神经网络模型中，使得神经网络模型输出错误的结果。为了防止神经网络模型被恶意攻击，需要提高神经网络模型的可靠性，例如可以将对抗样本输入到神经网络模型中进行训练，从而提高神经网络模型识别攻击样本的能力，提高神经网络模型的鲁棒性。然而，目前存在所得到的对抗样本的对抗效果比较差的情况。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够提高对抗样本的对抗效果的图像处理方法、装置、计算机设备和存储介质。
5.一种图像处理方法，所述方法包括：获取目标图像类别的目标图像以及对抗图像类别对应的当前对抗图像；对所述目标图像进行特征提取，得到目标提取特征，基于所述目标提取特征得到参考提取特征；对当前对抗图像进行特征提取，得到对抗提取特征；计算所述对抗提取特征与所述参考提取特征间的特征差异值，基于所述特征差异值得到目标图像损失值；所述特征差异值与所述目标图像损失值成正相关关系；基于所述目标图像损失值得到干扰调整值，基于所述干扰调整值调整当前对抗图像的像素值，得到所述目标图像对应的目标对抗图像。
6.一种图像处理装置，所述装置包括：当前对抗图像获取模块，用于获取目标图像类别的目标图像以及对抗图像类别对应的当前对抗图像；参考提取特征得到模块，用于对所述目标图像进行特征提取，得到目标提取特征，基于所述目标提取特征得到参考提取特征；对抗提取特征得到模块，用于对当前对抗图像进行特征提取，得到对抗提取特征；目标图像损失值得到模块，用于计算所述对抗提取特征与所述参考提取特征间的特征差异值，基于所述特征差异值得到目标图像损失值；所述特征差异值与所述目标图像损失值成正相关关系；目标对抗图像得到模块，用于基于所述目标图像损失值得到干扰调整值，基于所述干扰调整值调整当前对抗图像的像素值，得到所述目标图像对应的目标对抗图像。
7.在一些实施例中，所述目标图像为多个，所述参考提取特征得到模块包括：目标提取特征得到单元，用于对各个所述目标图像进行特征提取，得到各个所述目标图像分别对应的目标提取特征；当前出现可能度计算单元，用于获取当前特征分布，计算各个所述目标
提取特征在当前特征分布中的当前出现可能度；目标特征分布得到单元，用于对各个所述目标提取特征对应的当前出现可能度进行统计，得到当前可能度统计值，调整当前特征分布对应的特征分布参数，以使当前可能度统计值朝着变大的方向变化，得到目标特征分布；参考提取特征得到单元，用于获取所述目标特征分布对应的目标代表特征，得到所述参考提取特征。
8.在一些实施例中，当前特征分布包括第一当前特征分布以及第二当前特征分布，所述当前出现可能度包括第一当前特征分布对应的第一当前出现可能度以及第二当前特征分布对应的第二当前出现可能度；所述目标特征分布得到单元，还用于获取所述第一当前特征分布对应的第一当前分布权重以及所述第二当前特征分布对应的第二当前分布权重；基于所述第一当前分布权重以及所述第一当前出现可能度，所述第二当前分布权重以及所述第二当前出现可能度进行加权求和，得到所述目标提取特征对应的当前出现可能度；对各个所述目标提取特征对应的当前出现可能度进行统计，得到当前可能度统计值，调整第一当前特征分布以及第二当前特征分布对应的分布参数、所述第一当前分布权重以及所述第二当前分布权重，以使当前可能度统计值朝着变大的方向变化，得到第一目标特征分布、第二目标特征分布、第一目标分布权重以及第二目标分布权重。
9.在一些实施例中，所述参考提取特征得到单元，还用于确定所述对抗提取特征在所述第一目标特征分布的第一目标出现可能度，基于所述第一目标分布权重以及所述第一目标出现可能度得到第一加权可能度；确定所述对抗提取特征在所述第二目标特征分布的第二目标出现可能度，基于所述第二目标分布权重以及所述第二目标出现可能度得到第二加权可能度；基于所述第一加权可能度以及所述第二加权可能度，从所述第一目标特征分布以及所述第二目标特征分布中选取可能度最大的特征分布，作为代表特征分布；获取代表特征分布所对应的目标代表特征，作为所述参考提取特征。
10.在一些实施例中，所述目标图像损失值得到模块包括：第一图像损失值得到单元，用于基于所述特征差异值得到第一图像损失值，所述特征差异值与所述第一图像损失值成正相关关系；第一置信度确定单元，用于基于所述对抗提取特征确定当前对抗图像在所述目标图像类别的第一置信度；第二图像损失值得到单元，用于基于所述第一置信度得到第二图像损失值；所述第二图像损失值与所述第一置信度成负相关关系；目标图像损失值得到单元，用于基于所述第一图像损失值与所述第二图像损失值得到目标图像损失值。
11.在一些实施例中，所述第二图像损失值得到单元，还用于基于对抗提取特征确定当前对抗图像在对抗图像类别的第二置信度；基于所述第一置信度与所述第二置信度之间的第一置信度差异值，得到第二图像损失值；所述第二图像损失值与所述第一置信度差异值成负相关关系。
12.在一些实施例中，所述目标图像损失值得到模块包括：第一图像损失值获取单元，用于基于所述特征差异值得到第一图像损失值，所述特征差异值与所述第一图像损失值成正相关关系；参考置信度确定单元，用于基于对抗提取特征确定当前对抗图像在各个参考图像类别的所述参考置信度；第三置信度得到单元，用于从各个所述参考置信度中选取最大的置信度，作为第三置信度；第三图像损失值得到单元，用于基于所述第一置信度与所述第三置信度之间的第二置信度差异值，得到第三图像损失值；所述第三图像损失值与所述第二置信度差异值成负相关关系；目标图像损失值得到单元，用于基于所述第一图像损失
值与所述第三图像损失值得到目标图像损失值。
13.在一些实施例中，所述目标对抗图像得到模块包括：更新的当前对抗图像得到单元，用于当所述第二置信度差异值小于置信度差异阈值时，基于所述干扰调整值调整当前对抗图像的像素值，得到更新的当前对抗图像；目标对抗图像得到单元，用于返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至所述第二置信度差异值达到置信度差异阈值，将当前对抗图像作为所述目标图像对应的目标对抗图像。
14.在一些实施例中，所述目标对抗图像得到模块包括：更新后的当前对抗图像得到单元，用于基于所述干扰调整值调整当前对抗图像的像素值，得到更新后的当前对抗图像；目标对抗图像获取单元，用于计算更新后的当前对抗图像与当前对抗图像对应的原始对抗图像之间的当前图像差异值，当当前图像差异值小于图像差异阈值时，返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至当前图像差异值达到所述图像差异阈值，将当前对抗图像作为所述目标图像对应的目标对抗图像。
15.在一些实施例中，所述干扰调整值包括各个像素点分别对应的像素调整值，所述目标对抗图像得到模块包括：像素调整值得到单元，用于基于当前对抗图像的各个像素点的像素值对所述目标图像损失值进行求导，得到当前对抗图像中各个所述像素点分别对应的像素调整值；像素值调整单元，用于基于各个所述像素点分别对应的像素调整值对当前对抗图像中的像素点的像素值进行调整，得到所述目标图像对应的目标对抗图像。
16.在一些实施例中，所述装置还包括：对抗置信度得到模块，用于将所述目标对抗图像输入到所述目标图像类别对应的待训练的图像识别模型中，得到所述目标对抗图像在所述目标图像类别对应的对抗置信度；目标模型损失值确定模块，用于基于所述对抗置信度确定目标模型损失值；所述目标模型损失值与所述对抗置信度成正相关关系；已训练的图像识别模型得到模块，用于基于所述目标模型损失值调整所述图像识别模型的模型参数，得到已训练的图像识别模型。
17.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述图像处理方法的步骤。
18.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述图像处理方法的步骤。
19.在一些实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法实施例中的步骤。
20.上述图像处理方法、装置、计算机设备和存储介质，获取目标图像类别的目标图像以及对抗图像类别对应的当前对抗图像，对目标图像进行特征提取，得到目标提取特征，基于目标提取特征得到参考提取特征，对当前对抗图像进行特征提取，得到对抗提取特征，计算对抗提取特征与参考提取特征间的特征差异值，基于特征差异值得到目标图像损失值，特征差异值与目标图像损失值成正相关关系，基于目标图像损失值得到干扰调整值，基于干扰调整值调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像。由于参考提取特征根据目标提取特征得到，因此参考提取特征可以反映目标图像类别的图像的特征，从而特征差异值可以反映对抗提取特征与目标图像类别的图像的特征之间的差异，而目标
图像损失值与特征差异值成正相关关系，可以实现当朝着目标图像损失值减小的方向调整干扰调整值时，可以使得当前对抗图像对应的特征差异值朝着变小的方向调整，从而提高了目标对抗图像与目标图像类别的图像在特征上的相似度，提高了对抗样本的对抗效果。
附图说明
21.图1a为一些实施例中图像处理方法的应用环境图；
22.图1b为一些实施例中图像处理方法的应用环境图；
23.图2为一些实施例中图像处理方法的流程示意图；
24.图3a为一些实施例中样本在特征空间中的分布图；
25.图3b为一些实施中触发图像识别请求以及显示图像识别结果的界面示意图；
26.图4为一些实施例中得到参考提取特征的步骤的流程示意图；
27.图5为一些实施例中得到参考提取特征的步骤的流程示意图；
28.图6为一些实施例中对抗图像的示意图；
29.图7为一些实施例中图像处理方法的流程示意图；
30.图8为一些实施例中图像处理装置的结构框图；
31.图9为一些实施例中计算机设备的内部结构图。
具体实施方式
32.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
33.人工智能(artificial intelligence,ai)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说，人工智能是计算机科学的一个综合技术，它企图了解智能的实质，并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法，使机器具有感知、推理与决策的功能。
34.人工智能技术是一门综合学科，涉及领域广泛，既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
35.机器学习(machine learning,ml)是一门多领域交叉学科，涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心，是使计算机具有智能的根本途径，其应用遍及人工智能的各个领域。机器学习和深度学习通常包括人工神经网络、置信网络、强化学习、迁移学习、归纳学习、式教学习等技术。
36.随着人工智能技术研究和进步，人工智能技术在多个领域展开研究和应用，例如常见的智能家居、智能穿戴设备、虚拟助理、智能音箱、智能营销、无人驾驶、自动驾驶、无人机、机器人、智能医疗、智能客服等，相信随着技术的发展，人工智能技术将在更多的领域得
到应用，并发挥越来越重要的价值。
37.本技术实施例提供的方案涉及人工智能的人工神经网络等技术，具体通过如下实施例进行说明：
38.本技术提供的图像处理方法，可以应用于如图1a所示的应用环境中。其中，终端102通过网络与服务器104进行通信。
39.终端102可以将获取的图像传输至服务器104，例如终端102可以进行图像采集，将采集得到的图像传输至服务器104，终端102还可以与图像采集设备通信，接收图像采集设备采集到的图像，转发至服务器104。服务器104可以接收终端102发送的图像，从接收到的图像中，获取目标图像类别的目标图像以及对抗图像类别对应的当前对抗图像，对目标图像进行特征提取，得到目标提取特征，基于目标提取特征得到参考提取特征，对当前对抗图像进行特征提取，得到对抗提取特征，计算对抗提取特征与参考提取特征间的特征差异值，基于特征差异值得到目标图像损失值，特征差异值与目标图像损失值成正相关关系，基于目标图像损失值得到干扰调整值，基于干扰调整值调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像。服务器104可以将目标对抗图像作为对抗样本，利用目标对抗图像对目标图像类别对应的图像识别模型进行对抗训练，得到已训练的图像识别模型，利用已训练的图像识别模型进行图像识别。目标图像类别对应的图像识别模型用于识别目标图像类别的图像，也可以识别其他类别的图像，是经过训练的模型。例如服务器104可以使用目标图像类别的图像对初始图像识别模型进行训练，直到模型收敛，得到预训练的图像识别模型，即预训练的图像识别模型是指利用普通的样本预先训练过的模型，需要利用对抗样本继续进行训练，可以将预训练的图像识别模型作为目标图像类别对应的图像识别模型，利用目标对抗图像对预训练的图像识别模型进行对抗训练，提高预训练的图像识别模型对对抗样本的识别能力和鲁棒性。其中，初始图像识别模型可以是基于卷积神经网络的，还可以是基于resnet(residual neural network，残差网络)网络的，例如可以是resnet50。
40.其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，还可以是图像采集设备。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
41.在一些实施例中，如图1b所示，为一些实施例中提供的图像处理方法的应用场景图。云服务器108中部署有已训练的图像识别模型，前端a106可以向云服务器108发送携带待识别的图像对应的图像识别请求，云服务器108可以根据图像识别请求获取待识别的图像，利用本技术提供的图像处理方法对待识别的图像进行图像处理，得到图像识别结果。云服务器108可以向前端b110发送图像识别结果。前端b110例如可以是电脑或者手机，前端a106可以是图像采集设备。可以理解，前端a106与前端b110可以是同一设备，也可以是不同设备。
42.在一些实施例中，如图2所示，提供了一种图像处理方法，以该方法应用于图1a中的服务器104为例进行说明，包括以下步骤：
43.s202，获取目标图像类别的目标图像以及对抗图像类别对应的当前对抗图像。
44.其中，图像类别指的是图像所属的类别，可以根据图像信息划分得到，例如可以根据图像中包括的物体划分得到，例如当图像包括一只小猫时，可以确定图像属于猫，当图像
包括一只小狗时，可以确定图像属于狗。目标图像类别可以是任意的图像类别，例如可以是猫。对抗图像类别为与目标图像类别不同的图像类别，例如可以是狗。
45.可以根据需要对抗训练的预训练的图像识别模型，确定图像的类别，当预训练的图像识别模型是用于对图像中的对抗进行识别的模型时，可以根据图像中包括的对象确定图像的类别，图像中的对象可以是无生命的事物或有生命的事物，无生命的事物可以是家具，例如可以是桌子或椅子，有生命的事物例如可以是植物、细菌、动物或者人体中的组成部分，人体中的组成部分例如可以是人体的肺、心脏或眼底等。例如当预训练的图像识别模型是用于识别“猫”的模型，则可以将“猫”的图像类别作为目标图像类别，将“猫”的图像作为目标图像，当要提高预训练的图像识别模型对“狗”类图像得到的对抗样本的识别能力时，可以将对抗图像类别设置为“狗”，将“狗”的图像作为当前对抗图像，或者对“狗”的图像进行调整得到当前对抗图像。例如，当预训练的图像识别模型是用于识别人体组成部分的模型时，例如是用于识别肺部的模型时，可以将包括“肺”的图像的类别作为目标图像类别，获取肺部图像得到目标图像类别对应的目标图像。
46.目标图像指的是属于目标图像类别的图像，即目标图像的真实图像类别为目标图像类别。当前对抗图像可以是没有经过调整的原始对抗图像，也可以是使用本技术实施例提供的方法对原始对抗图像进行一次或多次干扰调整得到的图像，原始对抗图像未经过调整并且属于对抗图像类别。目标图像以及原始对抗图像可以是图像采集设备直接采集到的真实的图像。
47.具体地，服务器可以获取对抗图像类别的原始对抗图像，可以将原始对抗图像作为当前对抗图像，或者在原始对抗图像进行扰动，例如修改原始对抗图像的像素值或者在原始对抗图像上叠加噪声，将扰动后的图像作为当前对抗图像。
48.在一些实施例中，终端可以向服务器发送对抗训练请求，对抗训练请求中可以携带待进行对抗训练的模型以及对抗图像类别，服务器可以获取对抗图像类别的图像，根据对抗图像类别的图像得到当前对抗图像，服务器可以确定待进行对抗训练的模型所用于识别的图像类别，作为目标图像类别。
49.s204，对目标图像进行特征提取，得到目标提取特征，基于目标提取特征得到参考提取特征。
50.其中，目标提取特征是对目标图像进行特征提取得到的特征。参考提取特征根据目标提取特征得到的特征，例如参考提取特征可以为目标提取特征，当目标图像为多个时，参考提取特征也可以是各个目标图像对应的目标提取特征的进行统计计算得到的特征。统计计算包括但不限于是均值计算或协方差计算。
51.具体地，服务器可以利用基于人工智能的神经网络模型对目标图像进行特征提取，得到目标提取特征，例如可以通过预训练的图像识别模型对目标图像进行特征提取，得到目标提取特征。
52.在一些实施例中，服务器可以利用预训练的图像识别模型对当前对抗图像进行特征提取，得到对抗提取特征，基于对抗提取特征确定参考提取特征，不同的对抗提取特征对应的参考提取特征可以相同也可以不同。例如服务器可以根据对抗提取特征与各个目标提取特征之间的差异，确定对抗提取特征对应的参考提取特征，例如可以将与对抗提取特征之间的差异做小的目标提取特征，作为参考提取特征。
53.在一些实施例中，服务器可以获取多个目标图像对应的目标提取特征，对各个目标提取特征进行统计，确定各个目标提取特征所满足的目标特征分布，基于目标特征分布确定对抗提取特征对应的参考提取特征。例如，服务器可以将目标特征分布对应的具有代表性的特征作为参考提取特征，例如可以将目标特征分布中出现可能度最大的特征作为参考提取特征，例如，当目标特征分布为高斯分布时，可以将目标特征分布的均值作为参考提取特征。
54.s206，对当前对抗图像进行特征提取，得到对抗提取特征。
55.具体地，对抗提取特征是对当前对抗图像进行特征提取得到的特征。对当前对抗图像进行特征提取的方式与对对目标图像进行特征提取的方式可以是相同的，例如对抗提取特征以及目标提取特征可以是预训练的图像识别模型的同一特征提取层输出的结果。特征提取层用于提取特征，可以包括线性特征提取层或非线性特征提取层中的至少一种。非线性特征提取层例如可以是激活层。
56.在一些实施例中，预训练的图像识别模型包括多个特征提取层，服务器可以将目标图像输入到预训练的图像识别模型中，得到至少两个特征提取层分别输出的目标提取特征，将当前对抗图像输入到该预训练的图像识别模型中，得到各个特征提取层分布输出的对抗提取特征，根据同一特征提取层输出的目标提取特征以及对抗提取特征，确定该特征提取层输出的对抗提取特征对应的参考提取特征。
57.在一些实施例中，服务器可以将目标图像输入到预训练的图像识别模型中，获取预训练的图像识别模型的非线性提取层输出的特征，得到目标图像对应的目标提取特征，将当前对抗图像输入到预训练的图像识别模型中，得到该非线性提取层输出的特征，得到对抗提取特征。其中非线性提取层可以有一个或多个。多个指的是至少两个。
58.s208，计算对抗提取特征与参考提取特征间的特征差异值，基于特征差异值得到目标图像损失值；特征差异值与目标图像损失值成正相关关系。
59.具体地，特征差异值指的是对抗提取特征与参考提取特征之间的差异。服务器可以计算对抗提取特征与参考提取特征之间的距离，作为特征差异值，例如可以计算对抗提取特征与参考提取特征之间的欧式距离，得到特征差异值。服务器还可以计算对抗提取特征与参考提取特征之间的相似度，得到特征相似度，根据特征相似度确定特征差异值，特征差异值与特征相似度成负相关关系，例如可以将特征相似度的相反数或倒数作为特征差异值。
60.在一些实施例中，服务器可以获取预训练的图像识别模型的预设特征提取层输出的目标提取特征、对抗提取特征以及根据目标提取特征确定的参考提取特征，计算对抗提取特征与参考提取特征间的特征差异值，对特征差异值进行转置运算，得到转置差异值，基于特征差异值以及转置差异值，得到层图像损失值，层图像损失值与转置差异值成正相关关系。例如，当参考提取特征为目标特征分布对应的高斯分布的均值时，服务器可以对转置差异值以及高斯分布的协方差矩阵进行相乘运算，得到第一运算结果，根据第一运算结果与特征差异值进行相乘运算，得到该预设特征提取层对应的层图像损失值，基于图像损失值得到目标图像损失值，目标图像损失值与图像损失值成正相关关系，例如预设特征提取层可以有多个，服务器可以获取各个预设提取层分别对应的层图像损失值，对各个层图像损失值进行加权计算，得到目标图像损失值。
61.正相关关系指的是：在其他条件不变的情况下，两个变量变动方向相同，一个变量由大到小变化时，另一个变量也由大到小变化。可以理解的是，这里的正相关关系是指变化的方向是一致的，但并不是要求当一个变量有一点变化，另一个变量就必须也变化。例如，可以设置当变量a为10至20时，变量b为100，当变量a为20至30时，变量b为120。这样，a与b的变化方向都是当a变大时，b也变大。但在a为10至20的范围内时，b可以是没有变化的。
62.在一些实施例中，服务器可以获取预训练的图像识别模型输出的当前对抗图像的对抗识别结果，对抗识别结果中可以包括当前对抗图像属于目标图像类别的置信度，基于当前对抗图像属于目标图像类别的置信度，得到第二图像损失值，第二图像损失值与当前对抗图像属于目标图像类别的置信度成负相关关系。服务器可以根据第一图像损失值以及第二图像损失值得到目标图像损失值。其中，置信度用于表示图像属于各个图像类别的可能性，置信度越大，则可能性越大，置信度的取值范围可以是0至1。
63.负相关关系指的是：在其他条件不变的情况下，两个变量变动方向相反，一个变量由大到小变化时，另一个变量由小到大变化。可以理解的是，这里的负相关关系是指变化的方向是相反的，但并不是要求当一个变量有一点变化，另一个变量就必须也变化。
64.s210，基于目标图像损失值得到干扰调整值，基于干扰调整值调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像。
65.其中，干扰调整值用于调整当前对抗图像中像素点的像素值，可以包括当前对抗图像中各个像素点分别对应的干扰调整值，对于当前对抗图像中的像素点。目标图像类别对应的图像识别模型指的是用于识别目标图像类别的图像的模型，是经过训练的预训练的图像识别模型。当然，目标图像类别对应的图像识别模型还可以识别处目标图像类别之外的图像类别的图像。
66.目标对抗图像是通过调整当前对抗图像的像素值得到的图像。目标对抗图像可以作为对抗样本。对抗样本是经过对抗攻击的样本。对抗攻击指的是通过在正常样本中加入微小扰动，使得基于深度神经网络(dnn，deep neural network)的模型产生错误结果。正常样本指的是未经过对抗攻击的正常数据，例如可以是通过图像采集设备采集到的图像。
67.对抗训练(adversarial training)是增强神经网络鲁棒性的重要方式，在对抗训练的过程中，样本被混合一些微小的扰动(改变很小，但是很可能造成误分类)，对抗训练的目的是使得神经网络适应这种改变，从而对对抗样本具有鲁棒性。
68.具体地，服务器计算目标图像损失值相对于当前对抗图像的导数，得到当前对抗图像中各个像素点分别对应的干扰调整值。像素点不同，对应的干扰调整值可以不同。对于当前对抗图像中的一个像素点，服务器可以计算该像素点的像素值与对应的干扰调整值相加后的结果，或者相乘后的结果，得到该像素点对应的调整后的像素值，根据调整像素值之后的当前对抗图像得到目标对抗图像，可以将调整像素值之后的当前对抗图像作为目标对抗图像，也可以继续对调整像素值之后的当前对抗图像进行像素值的调整，直到满足像素值调整结束条件，将满足像素值调整结束条件的当前对抗图像作为目标对抗图像。像素值调整结束条件包括但不限于目标图像损失值的变化量小于损失值变化阈值、调整后的当前对抗图像与当前对抗图像对应的原始对抗图像之间的差异达到图像差异阈值。
69.在一些实施例中，得到目标对抗图像之后，可以利用目标对抗图像对目标图像类别对应的图像识别模型进行对抗训练，以利用已训练的图像识别模型进行图像识别。例如
iterative method)指的是基于梯度的迭代攻击算法，bim(basic iterative method)指的是迭代fgsm算法，fgsm(fast gradient sign method)指的是快速梯度下降法，pgd(projected gradient descent)指的是投影梯度下降算法，cw(carlini and wagner)是一种基于优化的攻击，carlini以及wagner分别为cw的作者的名称，c指的是carlini的首字母，w指的是wagner的首字母。kd、maha、lid、svm、dnn以及bu为六种检测防御方法，其中kd、maha以及lid基于高维特征空间的距离测量方法，svm以及dnn基于机器学习方法。kd(kernel density)指的是核密度检测，maha(mahalanois
‑
distance)指的是马氏距离，lid(local intrinsic dimensionality)指的是局部内在维度，svm(support vector machine)指的是支持向量机，dnn(deep neural network)指的是深度神经网络，bu(bayesian uncertainty)指的是贝叶斯不确定度估计(bayesian uncertainty estimates)。
75.表1利用传统对抗样本以及新对抗样本进行对抗攻击时，检测防御方法的检测性能
[0076][0077]
表1中，adv.acc为利用新对抗样本进行对抗攻击时的攻击成功率，例如检测防御方法为kd、数据集为眼底数据集并且对抗攻击方法为mim时，攻击成功率为99.5，检测防御方法为kd、数据集为胸部x射线数据集并且对抗攻击方法为mim时，攻击成功率分别为98.1。
[0078]
表1中，auc以及tpr用于表示检测防御方法对抗攻击方法的检测性能，auc(area under curve)指的是roc(receiveroperating characteristic，接收者操作特征)曲线下的面积，介于0.1和1之间。auc可以直观的反映检测防御方法的检测性能，auc越大，表示检测防御方法的检测性能越好。tpr(true positive rate)指的是真正类率，指的是检测防御方法所识别出的对抗样本占所有对抗样本的比例。tpr越大表示检测防御方法的检测性能越好。“a\b”中的a(即“\”符号左边的数值)表示利用传统对抗样本进行对抗攻击时，检测防御方法的检测性能，b(“\”符号右边的数值)表示在传统对抗样本的基础上结合新对抗样本进行对抗攻击时，检测防御方法的检测性能，对于“a\b”中的a和b，得到a所使用的数据集与得到b所使用的数据集相同，得到a所使用的检测防御方法与得到b所使用的检测防御方法相同。从表1中可以看出，不管数据集为眼底数据集还是为胸部x射线数据集，对于auc以及tpr，“\”符号左边的数值大于“\”符号右边的数值，也就是说，检测防御方法对传统对抗样本的检测性能大于检测防御方法对传统对抗样本结合新对抗样本的检测性能，从而可以很明显的说明检测防御方法对本技术的图像处理方法生成的对抗样本的检测能力较弱，从而证明了本技术提供的图像处理方法生成的对抗样本的对抗效果大于传统的对抗攻击方法
所生成的对抗样本的攻击效果。
[0079]
例如，表1中眼底数据集对应的检测性能中，“98.8/72.0”中的98.8表示利用传统对抗攻击方法mim生成的传统对抗样本对检测防御方法kd进行攻击时，检测防御方法对应的auc，“98.8/72.0”中的72.0表示利用传统对抗攻击方法mim生成的传统对抗样本以及新对抗样本对检测防御方法kd进行攻击时，检测防御方法对应的auc，98.8大于72.0。再例如，“96.3/10.0”中的96.3表示利用传统对抗攻击方法mim生成的传统对抗样本对检测防御方法kd进行攻击时，检测防御方法对应的tpr，10.0表示利用传统对抗攻击方法mim生成的传统对抗样本以及新对抗样本对检测防御方法kd进行攻击时，检测防御方法对应的tpr，96.3大于10.0。从而可以说明在传统的对抗攻击方法mim生成的对抗样本的基础上结合本技术提取的图像处理方法所生成的对抗样本，可以降低检测防御方法kd的检测性能，从而证明了本技术的图像处理方法所生成的对抗样本的对抗效果大于对抗攻击方法mim所生成的对抗样本的对抗效果。
[0080]
可以利用本技术提供的图像处理方法所生成的对抗样本对检测防御方法进行训练，使得检测防御方法能够正确的识别对抗样本，提高检测防御方法对对抗样本的检测能力，提高检测防御方法对对抗样本的鲁棒性。
[0081]
本实施例中提供的图像处理方法，可以应用于医学影像分析领域，可以用于训练医学影像分析领域中的检测防御模型，提高检测防御模型的鲁棒性，还可以用于对医疗数据进行加密，通过人眼不可分的图像干扰，使得基于深度神经网络的分类器产生错误结果，达到数据加密的作用。
[0082]
本实施例中提供的图像处理方法，还可以应用于交通标志识别领域，例如本技术中的图像识别模型可以是交通标志分类模型，交通标志分类模型用于识别交通标示，可以采用本技术提供的方法，生成交通标志分类模型的对抗样本，利用对抗样本训练交通标志分类模型，提高交通标志分类模型对对抗样本的鲁棒性。
[0083]
在一些实施例中，终端可以向服务器发送图像识别请求，图像识别请求中可以携带待识别图像，服务器可以利用已训练的图像识别模型对待识别图像进行识别，得到待识别图像对应的图像识别结果，将该图像识别结果返回至终端，终端可以将图像识别结果展示在界面中。例如，如图3b所示，展示了一些实施中触发图像识别请求以及显示图像识别结果的界面示意图。该界面包括图片上传区域302、判断结果显示区域304以及概率显示区域306。“xx业务分类器”为图像识别业务的业务名称。当用户需要对图像进行识别时，可以点击“上传”按钮，进入图像上传界面选择图像，当图像选择完毕，接收到确认操作后，终端可以触发向服务器发送针对目标图像类别的图像识别请求，服务器获取图像识别请求中携带的待识别图像，将待识别图像输入到目标图像类别对应的已训练的图像识别模型中，得到待识别图像属于各种图像类别的概率，例如属于“狗”的概率为0.9766，属于“猫”的概率为0.3452，当“狗”的概率大于预设概率0.85时，服务器还可以输出“图片中包括狗”的图像识别结果。
[0084]
在一些实施例中，目标图像为多个，如图4所示，对目标图像进行特征提取，得到目标提取特征，基于目标提取特征得到参考提取特征包括：s402，对各个目标图像进行特征提取，得到各个目标图像分别对应的目标提取特征；s404，获取当前特征分布，计算各个目标提取特征在当前特征分布中的当前出现可能度；s406，对各个目标提取特征对应的当前出
现可能度进行统计，得到各个目标提取特征对应的当前可能度统计值，调整当前特征分布对应的特征分布参数，以使当前可能度统计值朝着变大的方向变化，得到目标特征分布；s408，获取目标特征分布对应的目标代表特征，作为参考提取特征。
[0085]
其中，当前特征分布可以是任意的特征分布，例如可以是高斯分布。当前特征分布对应的特征分布参数用于确定当前特征分布，例如当当前特征分布为高斯分布时，特征分布参数可以包括均值和协方差矩阵。当前特征分布包括特征出现的可能度，通过当前特征分布可以确定特征出现的可能度。当前出现可能度指的是目标提取特征在当前特征分布中出现的可能度，可能度可以采用概率表示，概率越大，则可能度越大，可能度例如可也以是0.3。
[0086]
当前可能度统计值是对各个目标提取特征分别对应的当前出现可能度进行统计得到的，当前可能度统计值与目标提取特征成正相关关系，例如可以对各个目标提取特征进行加和，得到当前可能度统计值，或者对各个目标提取特征进行连乘运算，得到当前可能度统计值，也可以对目标提取特征进行对数计算，得到目标提取特征对应的对数提取特征，对各个对数提取特征进行统计计算，得到当前可能度统计值，例如可以将各个对数提取特征加和的结果作为当前可能度统计值。
[0087]
目标代表特征指的是目标特征分布中具有代表性的特征，例如可以是目标特征分布的目标中心特征，目标中心特征指的是目标特征分布中出现可能度最大的特征。目标代表特征也可以是目标特征分布中与目标中心特征之间的距离小于特征距离阈值的特征。
[0088]
具体地，服务器可以朝着使当前可能度统计值变大的方向更新当前特征分布对应的特征分布参数，得到更新后的特征分布参数，判断是否达到更新停止条件，若否，则返回朝着使当前可能度统计值变大的方向更新当前特征分布对应的特征分布参数的步骤，直至达到更新停止条件，将更新后的特征分布参数对应的当前特征分布作为目标特征分布。更新停止条件包括但不限于是相邻两次的特征分布参数之间的差异值小于分布参数差异阈值、相邻两次的当前可能度统计值之间的差异值小于可能度统计值差异阈值。分布参数差异阈值以及可能度统计值差异阈值可以根据需要设置，也可以是预先设置的。
[0089]
在一些实施例中，当前特征分布可以包括多个当前子分布，多个指的是至少两个。对于每个目标提取特征，服务器可以计算该目标提取特征分别在各个当前子分布中的当前子出现可能度，对各个当前子出现可能度进行统计计算，例如加权计算，得到该目标提取特征对应的当前出现可能度，当前子出现可能度指的是目标提取特征在子分布中出现的可能度。
[0090]
在一些实施例中，子分布对应有子分布参数，特征分布参数可以包括各个当前子分布对应的子分布参数，服务器可以朝着当前可能度统计值变大的方向，不断更新各个当前子分布对应的子分布参数，直至达到更新停止条件，将更新后的子分布参数对应的当前子分布作为目标子分布，根据各个目标子分布得到目标特征分布，例如将各个目标子分布进行叠加得到目标特征分布。
[0091]
在一些实施例中，服务器可以获取目标子分布分别对应的代表特征，得到子代表特征，根据各个目标子分布确定参考提取特征，例如可以根据各个目标子分布分别对应的子代表特征进行统计计算，例如加权计算，得到参考提取特征，也可以从各个子代表特征中选取得到参考提取特征，例如可以计算对抗提取特征与子代表特征之间的相似度，将相似
度最大的子代表特征作为参考提取特征。其中，子代表特征可以是根据需要确定的，例如可以是目标子分布中出现概率最大的特征。
[0092]
在一些实施例中，当前特征分布为高斯混合分布，高斯混合分布中包括两个或多个子分布，每个子分布为一个高斯分布，多个指的是至少三个，通过将混合高斯分布中的各个子分布进行叠加可以得到混合高斯分布。混合高斯分布可以表示为公式(1)。其中，x1表示真实图像类别为目标图像类别的图像，表示基于深度神经网络的预训练的图像识别模型的第l层所输出的样本x1对应的特征，θ表示预训练的图像识别模型的模型参数，k表示高斯混合分布中包括的子分布的个数，可以根据需要设置，例如可以为2。π
k
表示第k个子分布对应的混合系数，也可以称为第k个子分布的权重，0≤π
k
≤1，≤1，表示第k个子分布的概率密度函数，即均值为μ
k
，协方差矩阵为σ
k
的高斯分布。表示高斯混合分布。高斯混合分布也可以称为高斯混合模型。子分布的均值μ
k
可以通过公式(2)表示，其中，n表示属于第k个子分布的样本数量，x
i
表示第i个样本，μ
k
表示第k个子分布的均值，h(x
i
)＝γ
ik
·
x
i
，γ
ik
表示x
i
属于第k个子分布的后验概率。子分布的协方差矩阵σ
k
可以通过公式(3)表示，其中，σ
k
表示第k个子分布的协方差矩阵。
[0093][0094][0095][0096]
在一些实施例中，服务器可以获取初始化的高斯混合分布，作为当前特征分布，初始化的高斯混合分布指的是初始化子分布的子分布参数，子分布参数包括子分布的均值、协方差矩阵以及权重，即为高斯混合分布中的各个子分布的均值、协方差矩阵以及权重设初始值。服务器可以计算各个目标提取特征在初始化的高斯混合分布中的概率，作为各个目标提取特征的当前出现可能度，计算各个当前出现可能度的乘积，作为当前可能度统计值，或者计算对各个当前出现可能度的对数结果进行加和计算，得到当前可能度统计值，朝着当前可能度统计值增大的方向，迭代的调整子分布参数，直至当前可能度统计值的变化值小于统计值变化阈值，或者子分布参数的变化小于子参数变化阈值，将调整后的子分布参数确定的子分布所构成的高斯混合分布，作为目标特征分布。统计值变化阈值以及子参数变化阈值可以是预先设置的。
[0097]
本实施例中，朝着使当前可能度统计值变大的方向调整当前特征分布对应的分布参数，可以使得当前特征分布不断地接近目标图像类别的图像的特征所满足的真实的分布情况，使得目标特征分布能够准确的反应目标图像类别的图像的特征所满足的真实的分布情况，获取目标特征分布对应的目标代表特征，作为参考提取特征，实现了将目标特征分布中具有代表性的特征作为参考提取特征，提高了参考提取特征的准确度。
[0098]
在一些实施例中，当前特征分布包括第一当前特征分布以及第二当前特征分布，当前出现可能度包括第一当前特征分布对应的第一当前出现可能度以及第二当前特征分
布对应的第二当前出现可能度；对各个目标提取特征对应的当前出现可能度进行统计，得到当前可能度统计值，调整当前特征分布对应的特征分布参数，以使当前可能度统计值朝着变大的方向变化，得到目标特征分布包括：获取第一当前特征分布对应的第一当前分布权重以及第二当前特征分布对应的第二当前分布权重；基于第一当前分布权重以及第一当前出现可能度，第二当前分布权重以及第二当前出现可能度进行加权求和，得到目标提取特征对应的当前出现可能度；对各个目标提取特征对应的当前出现可能度进行统计，得到当前可能度统计值，调整第一当前特征分布以及第二当前特征分布对应的分布参数、第一当前分布权重以及第二当前分布权重，以使当前可能度统计值朝着变大的方向变化，得到第一目标特征分布、第二目标特征分布、第一目标分布权重以及第二目标分布权重。
[0099]
其中，第一当前特征分布与第二当前特征分布可以是相同类型的概率分布，例如均可以为高斯分布。第一当前出现可能度指的是第一当前特征分布中目标提取特征出现的概率，第二当前出现可能度指的是第二当前特征分布中目标提取特征出现的概率。
[0100]
第一当前分布权重表示目标提取特征属于第一当前特征分布的可能度，第二当前分布权重表示目标提取特征属于第二当前特征分布的可能度。当前特征分布包括的各个分布对应的权重的加和等于1，例如当当前特征分布中仅包括第一当前特征分布以及第二当前特征分布时，第一当前分布权重与第二当前分布权重加和的结果为1。第一当前分布权重以及第二当前分布权重的初始值可以是预先设置的，初始值例如可以分别为0.5和0.5。
[0101]
目标特征分布包括第一目标特征分布以及第二目标特征分布。第一目标特征分布、第二目标特征分布、第一目标分布权重以及第二目标分布权重，分别为达到更新停止条件时的第一当前特征分布以及第二当前特征分布对应的分布参数、第一当前分布权重以及第二当前分布权重。
[0102]
具体地，服务器可以计算第一当前分布权重与第一当前出现可能度的乘积，得到第一结果，计算第二当前分布权重与第二当前出现可能度的乘积，得到第二结果，对第一结果以及第二结果进行加和计算，得到目标提取特征对应的当前出现可能度。
[0103]
在一些实施例中，服务器可以朝着使当前可能度统计值变大的方向调整第一当前特征分布以及第二当前特征分布对应的分布参数、第一当前分布权重以及第二当前分布权重，直至达到更新停止条件，将更新后的第一当前特征分布作为第一目标特征分布、更新后的第二当前特征分布作为第二目标特征分布、更新后的第一当前分布权重作为第一目标分布权重、更新后的第二当前分布权重作为第二目标分布权重。更新停止条件还可以包括相邻两次的当前分布权重之间的差异小于权重差异阈值。
[0104]
本实施例中，朝着使当前可能度统计值变大的方向调整第一当前特征分布以及第二当前特征分布对应的分布参数、第一当前分布权重以及第二当前分布权重，得到第一目标特征分布、第二目标特征分布、第一目标分布权重以及第二目标分布权重，从而使得目标特征分布包括第一目标特征分布以及第二目标特征分布，可以通过两个分布更好的反应目标图像类型的图像的特征所满足的分布情况，提高了目标特征分布的准确度。
[0105]
在一些实施例中，如图5所示，获取目标特征分布对应的目标代表特征，得到参考提取特征包括：s502，确定对抗提取特征在第一目标特征分布的第一目标出现可能度，基于第一目标分布权重以及第一目标出现可能度得到第一加权可能度；s504，确定对抗提取特征在第二目标特征分布的第二目标出现可能度，基于第二目标分布权重以及第二目标出现
可能度得到第二加权可能度；s506，基于第一加权可能度以及第二加权可能度，从第一目标特征分布以及第二目标特征分布中选取可能度最大的特征分布，作为代表特征分布；s508，获取代表特征分布所对应的目标代表特征，作为参考提取特征。
[0106]
其中，第一目标出现可能度指的是在第一目标特征分布中，对抗提取特征出现的概率，第二目标出现可能度指的是在第二目标特征分布中，对抗提取特征出现的概率。代表特征分布可以为第一目标特征分布或第二目标特征分布中的任意一种。目标代表特征指的是代表特征分布对应的具有代表性的特征，例如尅是代表特征分布中出现可能度最大的特征。
[0107]
具体地，服务器可以计算第一目标分布权重与第一目标出现可能度的乘积，得到第一加权可能度，计算第二目标分布权重与第二目标出现可能度的乘积，得到第二加权可能度，将第一加权可能度与第二加权可能度进行对比，确定第一加权可能度以及第二加权可能度中较大的加权可能度，作为目标加权可能度，将目标加权可能度对应的特征分布作为代表特征分布，例如当第一加权可能度大于第二加权可能度，可以将第一加权可能度对应的第一目标特征分布，作为目标加权可能度。
[0108]
在一些实施例中，服务器可以基于特征差异值得到第一图像损失值，根据第一图像损失值得到目标图像损失值，目标图像损失值与第一图像损失值成正相关关系，第一图像损失值与特征差异值成正相关关系。
[0109]
在一些实施例中，目标特征分布可以为高斯混合分布，第一目标特征分布以及第二目标特征分布分别为高斯混合分布中的子分布，服务器可以从高斯混合分布的子分布中，确定一个子分布，作为代表特征分布，例如服务器可以确定对抗提取特征在各个子分布中出现的概率，得到概率集合，将概率集合中最大的概率对应的子分布作为代表特征分布。例如可以采用公式(4)确定代表特征分布，公式(4)表示对抗提取特征在高斯混合分布的第k'个子分布中出现的概率，大于对抗提取特征在其他子分布中出现的概率，即第k'个子分布是与当前对抗图像距离最近的子分布，即可以将第k'个子分布作为代表特征分布。x2指的是当前对抗图像，表示当前对抗图像x2在预训练的图像识别模型的第l层所输出的对抗提取特征。
[0110][0111]
在一些实施例中，当代表特征分布为高斯混合分布的子分布时，服务器可以确定对抗提取特征在代表特征分布对应的子分布中的出现可能度，朝着该出现可能度增大的方向，调整当前对抗图像的像素值，得到目标图像对应的目标对抗你图像。对抗提取特征在代表特征分布对应的子分布中的出现可能度例如可以为公式(5)中的表特征分布对应的子分布中的出现可能度例如可以为公式(5)中的为第k'个子分布的均值，为代表第k'个子分布的协方差矩阵。由于公式(5)中的前两项为常数，因此朝着增大的方向，调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像。
[0112][0113]
在一些实施例中，参考提取特可以为代表特征分布对应的子分布的均值，服务器可以利用公式(6)计算预训练的图像识别模型的第l层的对抗提取特征对应的层图像损失值，统计各个特征提取层对应的层图像损失值，得到第一图像损失值，第一图像损失值可以表示为公式(7)。其中，j
l
表示第l层的对抗提取特征对应的层图像损失值，λ
l
为第l层的权重因此，可以根据需要设置。j
hfc
表示第一图像损失值，1≤l≤l，1≤l。服务器可以朝着第一图像损失值减小的方向调整当前对抗图像的像素值，即朝着当前提取特征与参考提取特征的差异减小的方向调整当前对抗图像的像素值，可以拉近当前对抗图像与目标图像类别的目标图像在高维特征空间中的距离。
[0114][0115][0116]
在一些实施例中，可以在离线端，收集正常样本数据，训练高斯混合模型。在服务器端，部署高斯混合模型，输入正常样本，输出对抗样本。
[0117]
本实施例中，从第一目标特征分布以及第二目标特征分布中选取可能度最大的特征分布，作为代表特征分布，使得代表特征分布中对抗提取特征出现的概率，大于非代表特征分布中对抗提取特征出现的概率，从而获取代表特征分布所对应的目标代表特征，作为参考提取特征，可以提高干扰调整值的收敛速度，更有利于在干扰调整值较小的情况下得到目标对抗图像，提高了生成目标对抗图像的效率。另外，由于特征差异值与目标图像损失值成正相关关系，即当目标图像损失值减小时，特征差异值减小，对抗提取特征与参考提取特征之间的差异减小，从而可以减小对抗样本的特征与目标图像类别的图像特征之间的差异，实现了将对抗样本的特征隐藏在目标图像类别的图像的特征所满足的分布中。
[0118]
在一些实施例中，基于特征差异值得到目标图像损失值包括：基于特征差异值得到第一图像损失值，特征差异值与第一图像损失值成正相关关系；基于对抗提取特征确定当前对抗图像在目标图像类别的第一置信度；基于第一置信度得到第二图像损失值；第二图像损失值与第一置信度成负相关关系；基于第一图像损失值与第二图像损失值得到目标图像损失值。
[0119]
其中，第一置信度指的是当前对抗图像属于目标图像类别的概率。第二图像损失值与第一置信度成负相关关系，可以将第一置信度的相反数或倒数作为第二图像损失值。目标图像损失值与第一图像损失值以及第二图像损失值成正相关关系。
[0120]
具体地，服务器可以将当前对抗图像输入到预训练的图像识别模型中，得到预训练的图像识别模型输出的图像识别结果，图像识别结果中可以包括当前对抗图像属于目标图像类别，还可以包括当前对抗图像属于参考图像类别的参考置信度，参考图像类别可以是目标图像类别之外的任意类别，可以包括对抗图像类别或对抗图像类别之外的图像类别中的至少一种。参考置信度指的是当前对抗图像属于参考图像类别的置信度，服务器可以基于第一置信度以及参考置信度得到第二图像损失值，例如可以基于第一置信度以及参考
置信度之间的差异值得到第二图像损失值。
[0121]
在一些实施例中，服务器可以将第一图像损失值与第二图像损失值进行加权计算，将加权计算的结果作为目标图像损失值，或者可以将第一图像损失值与第二图像损失值相加后的结果作为目标图像损失值。
[0122]
本实施例中，第二图像损失值与第一置信度成负相关关系，当第二图像损失值朝着减小的方向变化时，第一置信度朝着增大的方向变化，从而增大了当前对抗图像被识别为目标图像类别的概率，提高了当前对抗图像成为目标图像类别的对抗样本的概率。
[0123]
在一些实施例中，基于第一置信度得到第二图像损失值包括：基于对抗提取特征确定当前对抗图像在对抗图像类别的第二置信度；基于第一置信度与第二置信度之间的第一置信度差异值，得到第二图像损失值；第二图像损失值与第一置信度差异值成负相关关系。
[0124]
其中，第二置信度指的是当前对抗图像属于对抗图像类别的概率。第一置信度差异值可以与第一置信度减去第二置信度所得到的结果成正相关关系，例如可以为第一置信度减去第二置信度所得到的结果。第二图像损失值与第一置信度成负相关关系。
[0125]
具体地，服务器可以将第一置信度差异值的相反数或倒数作为第二图像损失值，或者对第一置信度差异值进行缩放处理，将缩放处理的结果所对应的相反数或倒数，作为第二图像损失值。
[0126]
本实施例中，第二图像损失值与第一置信度差异值成负相关关系，从而可以使得第一置信度与第二置信度之间的差异减小，提高了当前对抗图像被识别为第一图像类别的概率。
[0127]
在一些实施例中，基于特征差异值得到目标图像损失值包括：基于特征差异值得到第一图像损失值，特征差异值与第一图像损失值成正相关关系；基于对抗提取特征确定当前对抗图像在各个参考图像类别的参考置信度；从各个参考置信度中选取最大的置信度，作为第三置信度；基于第一置信度与第三置信度之间的第二置信度差异值，得到第三图像损失值；基于第一图像损失值与第三图像损失值得到目标图像损失值。
[0128]
其中，第三置信度为参考置信度中最大的置信度。第二置信度差异值指的是第一置信度与第三置信度之间的差异，可以与第一置信度减去第三置信度所得到的结果成正相关关系，例如可以为第一置信度减去第三置信度所得到的结果。第三图像损失值与第二置信度差异值成负相关关系。第三图像损失值与第一置信度成负相关关系。
[0129]
具体地，服务器可以对第一图像损失值以及第三图像损失值进行统计计算，例如加权计算，得到目标图像损失值，目标图像损失值与第一图像损失值以及第三图像损失值成正相关关系，服务器可以对第一图像损失值、第二图像损失值以及第三图像损失值进行统计计算，例如加权计算，得到目标图像损失值。
[0130]
本实施例中，从各个参考置信度中选取最大的置信度，作为第三置信度，基于第一置信度与第三置信度之间的第二置信度差异值，得到第三图像损失值，当第三图像损失值朝着减小的方向变化时，可以使得第二置信度差异值朝着增大的方向变化，即使得第一置信度朝着增大的方向变化，第三置信度朝着减小的方向变化，从而可以使得第一置信度大于第三置信度，即可以使得第一置信度成为图像识别结果包括的各个置信度中最大的置信度，从而可以使得当前对抗图像被识别为第一图像类别。
[0131]
在一些实施例中，基于干扰调整值调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像包括：当第二置信度差异值小于置信度差异阈值时，基于干扰调整值调整当前对抗图像的像素值，得到更新的当前对抗图像；返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至第二置信度差异值达到置信度差异阈值，将当前对抗图像作为目标图像对应的目标对抗图像。
[0132]
具体地，置信度差异阈值可以根据需要设置，也可以是预先设置的。第二置信度差异值可以为第一置信度减去第三置信度得到的结果，像素值调整结束条件还可以包括第二置信度差异值达到置信度差异阈值，当第二置信度差异值达到预设数值时，服务器可以确定满足像素值调整结束条件，停止基于干扰调整值调整当前对抗图像的像素值的步骤，将满足像素值调整结束条件时的当前对抗图像作为目标对抗图像。例如，第三图像损失值可以表示为公式(8)，目标图像损失值可以表示为公式(9)，其中j
final
表示目标图像损失值，j
hfc
表示第一图像损失值，j
cw
表示第三图像损失值。表示第二置信度差异值，kk表示置信度差异阈值，表示第一置信度，表示当前对抗图像，表示第三置信度。
[0133][0134]
j
final
＝j
hfc
j
cw
ꢀꢀꢀ
(9)
[0135]
本实施例中，当第二置信度差异值小于置信度差异阈值时，基于干扰调整值调整当前对抗图像的像素值，得到更新的当前对抗图像，返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至第二置信度差异值达到置信度差异阈值，将当前对抗图像作为目标图像对应的目标对抗图像，可以控制第一置信度高于第三置信度的程度，使得第一置信度不至于比第三置信度过大，减少了过拟合的情况。
[0136]
在一些实施例中，基于干扰调整值调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像包括：基于干扰调整值调整当前对抗图像的像素值，得到更新后的当前对抗图像；计算更新后的当前对抗图像与当前对抗图像对应的原始对抗图像之间的当前图像差异值，当当前图像差异值小于图像差异阈值时，返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至当前图像差异值达到图像差异阈值，将当前对抗图像作为目标图像对应的目标对抗图像。
[0137]
其中，原始对抗图像未经过对抗攻击。通过在原始对抗图像中加入人眼不可见得扰动，例如修改像素值，可以得到当前对抗图像。当前图像差异值指的更新后的当前对抗图像与原始对抗图像之间的差异，例如可以获取当前对抗图像与原始对抗图像之间各个像素点的像素值的差异，得到各个像素点对应的像素差异值，对各个像素差异值进行统计，得到当前图像差异值，例如可以将各个像素差异值加权计算的结果作为当前图像差异值，或将各个像素差异值构成的向量的p范数作为当前图像差异值，p可以根据需要设置，例如可以为3。当前图像差异值还可以是更新后的当前对抗图像的特征与原始对抗图像的特征之间的差异。
[0138]
具体地，服务器可以在当前对抗图像的像素值的基础上，叠加干扰调整值作为更新后的像素值，得到更新后的当前对抗图像，干扰调整值可以有一个或者多个，多个指的是
至少两个。当干扰调整值仅有一个时，可以通过干扰调整值对当前对抗图像中的各个像素值进行相同的调整，例如当干扰调整值为0.1时，可以将当前对抗图像中得各个像素值的基础上增加0.1，得到更新后的像素值。
[0139]
在一些实施例中，像素值调整结束条件还可以包括当前图像差异值达到图像差异阈值，服务器可以计算更新后的当前对抗图像与当前对抗图像对应的原始对抗图像之间的差异值，得到当前图像差异值，当当前图像差异值小于图像差异阈值时，返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至当前图像差异值达到图像差异阈值，将当前对抗图像作为目标图像对应的目标对抗图像。
[0140]
在一些实施例中，可以有多个像素点分别对应的干扰调整值，各个干扰调整值可以相同，也可以不同，例如一个像素点对应的干扰调整值为
‑
0.1，一个像素点对应的干扰调整值为0.1。服务器可以基于各个像素点分别对应的干扰调整值，对当前对抗图像中对应的像素点进行调整，得到更新后的当前对抗图像。
[0141]
在一些实施例中，当前图像差异值可以利用公式||x
adv
‑
x||
p
≤ε(10)计算得到，其中，ε表示图像差异阈值，也可以称为干扰预算。||x
adv
‑
x||
p
表示x
adv
‑
x的p范数。x
adv
表示当前对抗图像，x表示原始对抗图像。
[0142]
图像差异阈值不同，得到的目标对抗图像也不同，即得到的对抗样本不同如图6所示，展示了不同的图像差异阈值对应的对抗样本，第一行第1张图像为正常样本的图像，该图像来自于胸部x射线数据集，第一行第2张到第5张图像分别是图像差异阈值为0.5,1,2,4,8时所生成的对抗样本，第二行第1张图像为正常样本的图像，该图像来自于眼底数据集，第一行第2张到第5张图像分别是图像差异阈值为0.5,1,2,4,8时所生成的对抗样本。由图6可以看出，通过人眼并不能明显发现对抗样本与正常样本之间的差异，但是对于图像识别模型，随着图像差异阈值的提高，通过图像识别模型对对抗样本和正常样本的辨别能力越来越高。
[0143]
本实施例中，计算更新前后的当前对抗图像与当前对抗图像对应的原始对抗图像更新后的当前对抗图像之间的当前图像差异值，当当前图像差异值小于图像差异阈值时，返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至当前图像差异值大于达到图像差异阈值，将当前对抗图像作为目标图像对应的目标对抗图像，可以控制更新前后的当前对抗图像与原始对抗图像的差异，使得凭借肉眼无法区分更新前后的当前对抗图像与原始对抗图像，提高了目标对抗图像的准确度。
[0144]
在一些实施例中，干扰调整值包括各个像素点分别对应的像素调整值，基于干扰调整值调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像包括：基于当前对抗图像的各个像素点的像素值对目标图像损失值进行求导，得到当前对抗图像中各个像素点分别对应的像素调整值；基于各个像素点分别对应的像素调整值对当前对抗图像中的像素点的像素值进行调整，得到目标图像对应的目标对抗图像。
[0145]
具体地，服务器可以利用目标图像损失值对当前对抗图像中像素点的像素值进行求导，得到各个像素点分别对应的像素调整值，利用像素点对应的像素调整值，对对应的像素点的像素值进行调整，得到调整后的当前对抗图像，根据调整后的当前对抗图像得到目标对抗图像。
[0146]
在一些实施例中，服务器可以利用目标图像损失值对当前对抗图像中像素点的像
素值进行求导，得到各个像素点分别对应的求导值，根据求导值确定像素点调整系数，获取像素值调整幅度，计算像素点调整系数与像素点调整幅度的乘积，得到像素点对应的像素调整值。像素点调整幅度为每次调整像素值时，可以增加或减少的最大像素值，可以预先设置，例如可以是1，例如像素点的像素值为90，调整后的像素值的范围为89到91。其中，服务器可以将求导值与数值阈值进行对比，根据对比结果确定像素点调整系数，其中，当求导值大于数值阈值时，确定求导值对应的像素点调整系数为第一数值，当求导值小于数值阈值时，确定求导值对应的像素点调整系数为第二数值，数值阈值可以根据需要设置，例如可以是0，第一数值大于第二数值，第一数值例如为1，第二数值例如为
‑
1。
[0147]
本实施例中，基于各个像素点分别对应的像素调整值对当前对抗图像中的像素点的像素值进行调整，得到目标图像对应的目标对抗图像，实现了对各个像素点分别进行像素值调整，提高了调整像素值的灵活性以及准确性。
[0148]
在一些实施例中，该方法还包括：将目标对抗图像输入到目标图像类别对应的待训练的图像识别模型中，得到目标对抗图像在目标图像类别对应的对抗置信度；基于对抗置信度确定目标模型损失值；目标模型损失值与对抗置信度成正相关关系；基于目标模型损失值调整图像识别模型的模型参数，得到已训练的图像识别模型。
[0149]
其中，目标图像类别对应的待训练的图像识别模型指的是预训练的图像识别模型。对抗置信度为图像识别模型输出的目标对抗图像属于目标图像类别的置信度。模型参数指的是模型内部的变量参数，对于神经网络模型，也可以称为神经网络权重(weight)。
[0150]
具体地，服务器可以将目标对抗图像作为待训练的图像识别模型的负样本，对待训练的图像识别模型进行训练，服务器可以获取真正的图像类别为目标图像类别的目标图像，将目标图像作为待训练的图像识别模型的正样本，利用正样本以及负样本对待训练的图像识别模型进行训练，得到已训练的图像识别模型。其中，每一次训练的过程中，正样本的数量与负样本的数量可以根据需要确定。
[0151]
在一些实施例中，服务器可以采用迭代训练的方式训练图像识别模型，具体地，服务器可以朝着目标模型损失值减小的方向，调整图像识别模型的模型参数，进行迭代训练，直到满足模型收敛条件，将调整模型参数后的图像识别模型作为已训练的图像识别模型。模型收敛条件包括但不限于是目标模型损失值的变化小于预设损失值变化或模参数的变化小于预设参数变化值。
[0152]
本实施例中，基于对抗置信度确定目标模型损失值，由于目标模型损失值与对抗置信度成正相关关系，因此当目标模型损失值减小时，对抗置信度也减小，即目标对抗图像被识别为目标图像类别的可能性减小，从而可以减小已训练的图像识别模型将目标对抗图像识别为目标图像类别的可能性，提高图像识别模型对对抗样本的鲁棒性，提高了图像识别模型的可靠性。
[0153]
在一些实施例中，如图7所示，提供了一种图像识别方法，包括以下步骤：
[0154]
702、获取目标图像类别的目标图像以及对抗图像类别对应的当前对抗图像。
[0155]
704、对各个目标图像进行特征提取，得到各个目标图像分别对应的目标提取特征，获取当前特征分布，计算各个目标提取特征在当前特征分布中的当前出现可能度，对各个目标提取特征对应的当前出现可能度进行统计，得到当前可能度统计值，调整当前特征分布对应的特征分布参数，以使当前可能度统计值朝着变大的方向变化，得到目标特征分
布。
[0156]
其中，目标特征分布可以包括第一目标特征分布以及第二目标特征分布，第一目标特征分布对应第一目标分布权重，第二目标特征分布对应第二目标分布权重，基于第一目标分布权重以及第二目标分布权重，对第一目标特征分布以及第二目标特征分布进行加权计算，可以得到目标特征分布，即目标特征分布是通过将第一目标特征分布与第二目标特征分布进行叠加得到的分布。
[0157]
当图像识别模型为神经网络模型时，可以利用高斯混合模型对图像识别模型的每个激活层进行正态分布建模，得到目标特征分布，通过最大化对抗样本的对数似然，使得对抗样本在特征空间中拟合于正常样本。
[0158]
706、对当前对抗图像进行特征提取，得到对抗提取特征。
[0159]
708、确定对抗提取特征在第一目标特征分布的第一目标出现可能度，基于第一目标分布权重以及第一目标出现可能度得到第一加权可能度，确定对抗提取特征在第二目标特征分布的第二目标出现可能度，基于第二目标分布权重以及第二目标出现可能度得到第二加权可能度。
[0160]
710、基于第一加权可能度以及第二加权可能度，从第一目标特征分布以及第二目标特征分布中选取可能度最大的特征分布，作为代表特征分布，获取代表特征分布所对应的目标代表特征，作为参考提取特征。
[0161]
712、计算对抗提取特征与参考提取特征间的特征差异值，基于特征差异值得到目标图像损失值。
[0162]
其中，特征差异值与目标图像损失值成正相关关系。
[0163]
714、基于对抗提取特征确定当前对抗图像在目标图像类别的第一置信度，基于对抗提取特征确定当前对抗图像在对抗图像类别的第二置信度，基于第一置信度与第二置信度之间的第一置信度差异值，得到第二图像损失值。
[0164]
其中，第二图像损失值与第一置信度差异值成负相关关系。
[0165]
716、基于第一图像损失值与第二图像损失值得到目标图像损失值，基于目标图像损失值得到干扰调整值。
[0166]
718、判断第二置信度差异值是否小于置信度差异阈值，以及当前图像差异值是否小于图像差异阈值，若是，则执行720的步骤，若否(即第二置信度差异值达到置信度差异阈值或当前图像差异值达到图像差异阈值)，则执行步骤722。
[0167]
720、基于干扰调整值调整当前对抗图像的像素值，得到更新的当前对抗图像，对更新的当前对抗图像进行特征提取，得到更新的对抗提取特征，返回对步骤712。
[0168]
722、将当前对抗图像作为目标图像对应的目标对抗图像。
[0169]
其中，服务器可以基于干扰调整值调整当前对抗图像的像素值，得到更新后的当前对抗图像，计算更新后的当前对抗图像与当前对抗图像对应的原始对抗图像之间差异值，得到当前图像差异值。
[0170]
724、将目标对抗图像输入到目标图像类别对应的待训练的图像识别模型中，得到目标对抗图像在目标图像类别对应的对抗置信度。
[0171]
其中，目标对抗图像还可以称为对抗样本。
[0172]
726、基于对抗置信度确定目标模型损失值，基于目标模型损失值调整图像识别模
型的模型参数，得到已训练的图像识别模型，利用已训练的图像识别模型进行图像识别。
[0173]
其中，目标模型损失值与对抗置信度成正相关关系。
[0174]
本实施例中，通过同时约束图像识别模型的不同层的特征空间中的对抗样本，即约束对抗样本在特征空间中的分布，使得对抗样本拟合于目标图像类别的正常样本的分布中，从而利用对抗样本对图像识别模型训练，可以提高图像识别模型对对抗样本的鲁棒性，提高了图像识别模型的可靠性。
[0175]
本技术提供的图像处理方法可以应用于神经网络模型的对抗训练中，例如可以应用于对医学领域的神经网络模型的对抗训练中，例如预训练的图像识别模型是用于对医学图像中的对象进行识别的模型，医学图像可以包括正常类别的医学图像以及异常类别的医学图像，正常类别的医学图像例如可以是“无肺炎”的肺部图像，异常类别的医学图像例如可以是“肺炎”的肺部图像，服务器可以利用正常的医学图像以及异常的医学图像对初始的图像识别模型进行训练，得到能够正确识别医学图像是正常类别还是异常类别的预训练的图像识别模型。服务器可以对正常类别的医学图像进行特征提取，得到正常提取特征，对异常类别的医学图像进行特征提取，得到异常提取特征，朝着正常提取特征靠近异常提取特征的方向，调整正常类别的医学图像，得到调整后的医学图像，使得调整后的医学图像被预训练的图像识别模型识别为异常类别。服务器可以获取调整后的医学图像，利用调整后的医学图像对预训练的图像识别模型进行对抗训练，通过调整预训练的图像识别模型，使得预训练的图像识别模型可以将调整后的医学图像识别为正常类别，即使得预训练的图像识别模型可以正确的识别被调整过的图像，从而提高了医学图像的识别准确度，可以避免不法分子将正常的医学图像修改为异常的医学图像，并利用修改后的医学图像申请保险赔偿的情况发生。
[0176]
本技术提供的图像处理方法可以应用于计算机视觉任务中，例如分割任务或检测任务中，例如可以应用于对包括待检测对象的图像的加密中，以保证图像的安全。服务器可以存储目标对抗图像相对于原始图像的干扰调整值，即可以存储目标对抗图像与干扰调整值的关系，当需要对加密的图像进行识别时，可以基于目标对抗图像与干扰调整值，去除目标对抗图像中的干扰调整值，得到原始图像，基于原始图像进行图像识别。例如待检测对象可以是眼底图像，通过得到眼底图像的干扰调整值，对眼底图像进行调整，可以保证眼底图像的安全性，避免眼底图像被恶意攻击者窃取后进行非法利用。服务器可以存储目标对抗图像相对于原始图像的干扰调整值，当需要对图像进行识别时，例如识别眼底图像中的异常区域时，可以去除目标对抗图像中的调整干扰调整值，再进行识别。
[0177]
本技术提供的图像处理方法可以部署于多种操作系统下，例如可以在linux，windows以及macos环境下使用，还可以嵌入到基于深度学习的分类模型中。
[0178]
应该理解的是，虽然图2
‑
7的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2
‑
7中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0179]
在一些实施例中，如图8所示，提供了一种图像处理装置，该装置可以采用软件模
块或硬件模块，或者是二者的结合成为计算机设备的一部分，该装置具体包括：当前对抗图像获取模块802、参考提取特征得到模块804、对抗提取特征得到模块806、目标图像损失值得到模块808和目标对抗图像得到模块810，其中：
[0180]
当前对抗图像获取模块802，用于获取目标图像类别的目标图像以及对抗图像类别对应的当前对抗图像。
[0181]
参考提取特征得到模块804，用于对目标图像进行特征提取，得到目标提取特征，基于目标提取特征得到参考提取特征。
[0182]
对抗提取特征得到模块806，用于对当前对抗图像进行特征提取，得到对抗提取特征。
[0183]
目标图像损失值得到模块808，用于计算对抗提取特征与参考提取特征间的特征差异值，基于特征差异值得到目标图像损失值；特征差异值与目标图像损失值成正相关关系。
[0184]
目标对抗图像得到模块810，用于基于目标图像损失值得到干扰调整值，基于干扰调整值调整当前对抗图像的像素值，得到目标图像对应的目标对抗图像。
[0185]
在一些实施例中，目标图像为多个，参考提取特征得到模块804包括：
[0186]
目标提取特征得到单元，用于对各个目标图像进行特征提取，得到各个目标图像分别对应的目标提取特征。
[0187]
当前出现可能度计算单元，用于获取当前特征分布，计算各个目标提取特征在当前特征分布中的当前出现可能度。
[0188]
目标特征分布得到单元，用于对各个目标提取特征对应的当前出现可能度进行统计，得到当前可能度统计值，调整当前特征分布对应的特征分布参数，以使当前可能度统计值朝着变大的方向变化，得到目标特征分布。
[0189]
参考提取特征得到单元，用于获取目标特征分布对应的目标代表特征，得到参考提取特征。
[0190]
在一些实施例中，当前特征分布包括第一当前特征分布以及第二当前特征分布，当前出现可能度包括第一当前特征分布对应的第一当前出现可能度以及第二当前特征分布对应的第二当前出现可能度；目标特征分布得到单元，还用于获取第一当前特征分布对应的第一当前分布权重以及第二当前特征分布对应的第二当前分布权重；基于第一当前分布权重以及第一当前出现可能度，第二当前分布权重以及第二当前出现可能度进行加权求和，得到目标提取特征对应的当前出现可能度；对各个目标提取特征对应的当前出现可能度进行统计，得到当前可能度统计值，调整第一当前特征分布以及第二当前特征分布对应的分布参数、第一当前分布权重以及第二当前分布权重，以使当前可能度统计值朝着变大的方向变化，得到第一目标特征分布、第二目标特征分布、第一目标分布权重以及第二目标分布权重。
[0191]
在一些实施例中，参考提取特征得到单元，还用于确定对抗提取特征在第一目标特征分布的第一目标出现可能度，基于第一目标分布权重以及第一目标出现可能度得到第一加权可能度；确定对抗提取特征在第二目标特征分布的第二目标出现可能度，基于第二目标分布权重以及第二目标出现可能度得到第二加权可能度；基于第一加权可能度以及第二加权可能度，从第一目标特征分布以及第二目标特征分布中选取可能度最大的特征分
布，作为代表特征分布；获取代表特征分布所对应的目标代表特征，作为参考提取特征。
[0192]
在一些实施例中，目标图像损失值得到模块808包括：
[0193]
第一图像损失值得到单元，用于基于特征差异值得到第一图像损失值，特征差异值与第一图像损失值成正相关关系。
[0194]
第一置信度确定单元，用于基于对抗提取特征确定当前对抗图像在目标图像类别的第一置信度。
[0195]
第二图像损失值得到单元，用于基于第一置信度得到第二图像损失值；第二图像损失值与第一置信度成负相关关系。
[0196]
目标图像损失值得到单元，用于基于第一图像损失值与第二图像损失值得到目标图像损失值。
[0197]
在一些实施例中，第二图像损失值得到单元，还用于基于对抗提取特征确定当前对抗图像在对抗图像类别的第二置信度；基于第一置信度与第二置信度之间的第一置信度差异值，得到第二图像损失值；第二图像损失值与第一置信度差异值成负相关关系。
[0198]
在一些实施例中，目标图像损失值得到模块808包括：
[0199]
第一图像损失值获取单元，用于基于特征差异值得到第一图像损失值，特征差异值与第一图像损失值成正相关关系。
[0200]
参考置信度确定单元，用于基于对抗提取特征确定当前对抗图像在各个参考图像类别的参考置信度。
[0201]
第三置信度得到单元，用于从各个参考置信度中选取最大的置信度，作为第三置信度。
[0202]
第三图像损失值得到单元，用于基于第一置信度与第三置信度之间的第二置信度差异值，得到第三图像损失值；第三图像损失值与第二置信度差异值成负相关关系。
[0203]
目标图像损失值得到单元，用于基于第一图像损失值与第三图像损失值得到目标图像损失值。
[0204]
在一些实施例中，目标对抗图像得到模块810包括：
[0205]
更新的当前对抗图像得到单元，用于当第二置信度差异值小于置信度差异阈值时，基于干扰调整值调整当前对抗图像的像素值，得到更新的当前对抗图像。
[0206]
目标对抗图像得到单元，用于返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至第二置信度差异值达到置信度差异阈值，将当前对抗图像作为目标图像对应的目标对抗图像。
[0207]
在一些实施例中，目标对抗图像得到模块810包括：
[0208]
更新后的当前对抗图像得到单元，用于基于干扰调整值调整当前对抗图像的像素值，得到更新后的当前对抗图像。
[0209]
目标对抗图像获取单元，用于计算更新后的当前对抗图像与当前对抗图像对应的原始对抗图像之间的当前图像差异值，当当前图像差异值小于图像差异阈值时，返回对当前对抗图像进行特征提取，得到对抗提取特征的步骤，直至当前图像差异值达到图像差异阈值，将当前对抗图像作为目标图像对应的目标对抗图像。
[0210]
在一些实施例中，干扰调整值包括各个像素点分别对应的像素调整值，目标对抗图像得到模块810包括：
[0211]
像素调整值得到单元，用于基于当前对抗图像的各个像素点的像素值对目标图像损失值进行求导，得到当前对抗图像中各个像素点分别对应的像素调整值。
[0212]
像素值调整单元，用于基于各个像素点分别对应的像素调整值对当前对抗图像中的像素点的像素值进行调整，得到目标图像对应的目标对抗图像。
[0213]
在一些实施例中，该装置还包括：
[0214]
对抗置信度得到模块，用于将目标对抗图像输入到目标图像类别对应的待训练的图像识别模型中，得到目标对抗图像在目标图像类别对应的对抗置信度。
[0215]
目标模型损失值确定模块，用于基于对抗置信度确定目标模型损失值；目标模型损失值与对抗置信度成正相关关系。
[0216]
已训练的图像识别模型得到模块，用于基于目标模型损失值调整图像识别模型的模型参数，得到已训练的图像识别模型。
[0217]
关于图像处理装置的具体限定可以参见上文中对于图像处理方法的限定，在此不再赘述。上述图像处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0218]
在一些实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储图像处理方法中涉及到的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种图像处理方法。
[0219]
本领域技术人员可以理解，图9中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0220]
在一些实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
[0221]
在一些实施例中，提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
[0222]
在一些实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各方法实施例中的步骤。
[0223]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器
(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0224]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0225]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。