一种基于对抗攻击的图像语义信息敏感像素域的筛选方法及应用方法与系统与流程

技术特征：
1.一种基于对抗攻击的图像语义信息敏感像素域的筛选方法，其特征在于：包括以下步骤：步骤1：获取待分析的目标图像，并将其作为输入图像；步骤2：将所述输入图像输入至若干对抗攻击算法，并分别作用于若干类神经网络执行无特定目标攻击模式，进而生成若干个对抗样本；其中，一类对抗攻击算法和一类神经网络至少对应一个对抗样本；步骤3：计算每个对抗样本与所述输入图像的差值得到对抗扰动；步骤4：统计每个对抗扰动中被篡改的像素位置得到若干个扰动位置集；步骤5：对所述若干个扰动位置集中的像素点位置进行精选，筛选出图像语义信息敏感像素域，其中，在所有扰动位置集中各个像素点位置的出现频率/次数越高，落入图像语义信息敏感像素域的概率越大；或者扰动位置集中重叠区域越大时，其区域内的像素点落入图像语义信息敏感像素域的概率越大。2.根据权利要求1所述的方法，其特征在于：步骤5中筛选图像语义信息敏感像素域的过程为：统计每个像素点位置在所有扰动位置集中的出现总次数；若所述总次数超过预设阈值，对应像素点位置视为落入图像语义信息敏感像素域。3.根据权利要求1所述的方法，其特征在于：步骤5中筛选图像语义信息敏感像素域的过程为：计算每两个扰动位置集的交集和并集；采用交并比iou方法计算每两个扰动位置集的iou，并分别判断iou是否大于预设值，若是，对应两个扰动位置集的交集中的像素点位置视为落入图像语义信息敏感像素域。4.根据权利要求1所述的方法，其特征在于：步骤5中采用至少两种不同的方法获取图像语义信息敏感像素域；再计算其并集得到表征图像语义信息的完全敏感像素域。5.根据权利要求1所述的方法，其特征在于：步骤2中每个对抗样本的生成过程如下：步骤2-1：将所述输入图像输入至一类神经网络，得到正确类别值；步骤2-2：添加对抗扰动至所述输入图像生成对抗样本，再送入神经网络获得扰动类别值；步骤2-3：根据正常类别值与扰动类别值的差值构造优化损失函数，并基于所述优化损失函数计算对抗扰动梯度值；步骤2-4：基于对抗扰动梯度值不同攻击意图的对抗攻击算法生成新的当前最优对抗扰动，其中，为每类对抗攻击算法设置各自适配的基于对抗扰动梯度值的对抗扰动更新方法；步骤2-5：更新对抗扰动，再按照步骤2-2至步骤2-5循环迭代，直至实现无特定目标攻击意图得到基于最优对抗扰动下的对抗样本。6.根据权利要求1所述的方法，其特征在于：实现无特定目标攻击模式的标准为：在对抗攻击作用下生成的对抗样本，使得神经网络将图像真实类别y
t
误判为其他任一类别y
t’，满足：y
t’≠y
t
。7.一种基于权利要求1-6任一项所述筛选方法的应用方法，其特征在于：应用于误导分类或者应用于验证基于神经网络的图像分类/识别模型的决策可信性；
其中，应用于误导分类时，包括如下过程：利用所述筛选方法获取图像语义信息敏感像素域；篡改图像上所述图像语义信息敏感像素域内的像素，再利用基于神经网络的图像识别模型进行分类，实现分类误导；应用于验证基于神经网络的图像分类/识别模型的决策可信性时，包括如下过程：利用所述筛选方法获取图像语义信息敏感像素域，并得到基于神经网络的图像分类/识别模型的分类/识别结果；将所述图像语义信息敏感像素域进行可视化操作，基于可视化结果验证神经网络的决策可信性。8.一种基于权利要求1-6任一项所述筛选方法的系统，其特征在于：包括：目标图像获取模块，用于获取待分析的目标图像，并将其作为输入图像；对抗样本生成模块，用于将所述输入图像输入至若干对抗攻击算法，并分别作用于若干类神经网络执行无特定目标攻击模式，进而生成若干个对抗样本；其中，一类对抗攻击算法和一类神经网络至少对应一个对抗样本；对抗扰动生成模块，用于计算每个对抗样本与所述输入图像的差值得到对抗扰动；扰动位置集生成模块，用于统计每个对抗扰动中被篡改的像素位置得到若干个扰动位置集；筛选模块，用于对所述若干个扰动位置集中的像素点位置进行精选，筛选出图像语义信息敏感像素域，其中，在所有扰动位置集中各个像素点位置的出现频率/次数越高，落入图像语义信息敏感像素域的概率越大；或者扰动位置集中重叠区域越大时，其区域内的像素点落入图像语义信息敏感像素域的概率越大。9.一种电子终端，其特征在于：包括：一个或多个处理器；存储了一个或多个计算机程序的存储器；所述处理器调用所述计算机程序以实现：权利要求1-6任一项所述图像语义信息敏感像素域的筛选方法的步骤或者权利要求7所述的应用方法的步骤。10.一种计算机可读存储介质，其特征在于：存储了计算机程序，所述计算机程序被处理器调用以实现：权利要求1-6任一项所述图像语义信息敏感像素域的筛选方法的步骤或者权利要求7所述的应用方法的步骤。

技术总结
本发明公开了一种基于对抗攻击的图像语义信息敏感像素域的筛选方法及应用方法与系统，所述方法包括：1)获取待分析的目标图像，并将其作为输入图像；2)将输入图像输入至若干对抗攻击算法，并分别作用于若干类神经网络执行无特定目标攻击模式，进而生成若干个对抗样本；3)计算每个对抗样本与所述输入图像的差值得到对抗扰动；4)统计每个对抗扰动中被篡改的像素位置得到若干个扰动位置集；5)对扰动位置集中的像素点位置进行精选得到图像语义信息敏感像素域。本发明所述方法将对抗攻击算法和神经网络模型相结合，融合了多个扰动所定位的图像像素位置集，最终提高了图像语义信息敏感像素域的筛选效率和识别精度。像素域的筛选效率和识别精度。像素域的筛选效率和识别精度。


技术研发人员：彭大天 杨君刚 张明江 王程远 江磊 王天琦
受保护的技术使用者：中国人民解放军国防科技大学
技术研发日：2021.12.17
技术公布日：2022/3/22