CN113066002B 对抗样本的生成方法、神经网络的训练方法、装置及设备 （华为技术有限公司）

TransferableAdversarialExampleTranslation-InvariantAttacks.20CVFConferenceonCom4314.TransferableAdversarialExampleTranslation-InvariantAttacks.20CVFConferenceonCom4314.对抗样本的生成方法、神经网络的训练方本申请实施例公开了一种对抗样本的生成包含神经网络的损失函数对目标图像中像素的2获取目标图像的第一梯度图，所述第一梯度图中包含神经网对所述第一梯度图进行仿射不变性变换以得到第二梯度图，所述第基于所述第二梯度图中像素的梯度对所述目标图像的像素进行调整所述对所述第一梯度图进行仿射不变性变换以得到第二对所述第一梯度图进行变换以得到第三梯度图，所述第三梯度图用于对所述第三梯度图进行极坐标变换，所述极坐标变换用于将所述对经过所述极坐标变换后的所述第三梯度图进行变换以得到第四梯度对所述第四梯度图进行极坐标反变换以得到所述第二梯度图，所述极坐将经过所述第四梯度图中像素的梯度从极坐标系下转换到直角基于所述目标图像的像素的扰动量对所述目标图像的像素进行调整对所述第二梯度图中像素的梯度，以及所述当前次迭代计算对所述经过所述归一化处理后的第二梯度图中像素的梯度，以及5.根据权利要求2至4中任意一项所述的生成基于符号函数获取所述目标图像的像素的扰基于所述符号值与扰动幅度的乘积，对所述目标图像的像素进36.根据权利要求2至4中任意一项所述的生成方以经过所述缩放变换的目标图像作为神经网络的输入，获取所述神经网络的损失函基于所述损失函数对所述神经网络进行反向传播，以得到所述目标图像的第一梯度采用权利要求1至6中任意一项所述的生成方法生成的对抗样本，对神经网络进行训梯度图获取单元，用于获取目标图像的第一梯度图，所述第一变换单元，用于对所述第一梯度图进行仿射不变性变换以得到第二梯调整单元，用于基于所述第二梯度图中像素的梯度对所述目标图像的像素进行调整，所述变换单元，具体用于对所述第一梯度图进行变换以得到第三梯度所述计算机设备上的处理器采用权利要求1至6中任意一项所述的生成方法生成的对抗样所述一个或多个处理器读取所述计算机可读指令，以使所述计算4的研究方向，它被引入机器学习使其更接近于最初的目标——人工智能(ArtificialIntelligence，AI)。随着深度学习技术的发展，深度神经网络(DeepNeuralNetworks，别的精度显著下降。对抗样本是指在数据集中通过故意添加细微的干扰所形成的输入样方法等一无所知，所以无法利用基于神经网络的信息生成的对抗样本对神经网络进行攻所以仅能利用基于神经网络有限的信息生成的对抗样本对神经网络进5[0015]作为一种实现的方式，基于第二梯度图中像素的梯度对目标图像的像素进行调6[0018]对前一次迭代计算中的扰动量与当前次迭代计算中的第二梯度图中像素的梯度进行加权处理，使得前一次迭代计算中的扰动量能够在当前次迭代计算中起到纠偏的作[0023]作为一种实现的方式，基于目标图像的像素的扰动量对目标图像的像素进行调[0026]先对目标图像进行缩放变换，然后将缩放变换后的目标7梯度图中像素的梯度从极坐标系下转换到直角8[0041]本申请实施例第五方面提供了一种计算机可读存储介质9信息或仅了解神经网络的部分信息，所以无法基于神经网络的信息生成有效的对抗样本，提供给基础平台提供的分布式计算系统中的智能芯片[0087]基础设施的上一层的数据用于表示人工智能领域的数据来源。数据涉及到图形、雷达等传感器获取到的不同类型的多个数据(也可称为训练数据，多个训练数据构成训练决策系统根据物体的类别和物体的位置做出相应[0101]在该场景下，如图5所示，可以采用本申请实施例提供的方法生成相应的对抗样[0104]需要说明的是，当利用本申请实施例提供的方法生成的对抗样本攻击神经网络攻击的模型)将对抗样本分类为目标类别则认为攻击成功，无目标攻击是指防御模型将对抗样本分类成除正确类别外的任何一个类别则认实施例提供的方法与其他任意一种生成对抗样本的方法结合，以生成更有效的对抗样本。[0111]请参阅图7，图7为本申请实施例提供的任务处理系统的一种系统架构图，在图7的神经网络再在执行设备110上进行运用。执行设备110可以调用数据存储系统150中的数[0113]经由训练设备120训练的目标模型/规则101后得到的训练后的神经网络可以应用据输入至执行设备110的计算模块111，由计算模块111对输入的该目标图像进行检测后得出检测结果，再将该检测结果输出至摄像设备或直接在执行设备110的显示界面(若有)进此处对执行设备110与客户设备140的产品形态[0114]值得注意的，图7仅是本申请实施例提供的一种系统架构的示意图，图中所示设[0133]操作303，基于损失函数对神经网络进行反向传播，以得到目标图像的第一梯度[0134]通过反向传播可以计算损失函数对目标图像中各个像素[0140]需要说明的是，对于一个图像进行仿射变换意味着对该图像先进行一次线性变过平移不变性变换和该变换后的梯度图能够使得目标图像具[0143]其中，平移不变性可以理解为目标图像经过平移变换后仍能保持原有性质的特有缩放不变性，缩放不变性可以理解为目标图像在经过缩放变换后仍具有原始性质的特[0152]要使得目标图像具体旋转不变性和缩放不变性的通用方法是对目标图像进行多[0154]然而，对第三梯度图进行的旋转不变性变换和缩放不变性变换通过卷积运算实标系下坐标(x，y)在第三梯度图中的梯度值映射到极坐标系下坐标(∠于将经过第四梯度图中像素的梯度从极坐标系下转换[0184]基于目标图像的像素的扰动量与扰动幅度的乘积，对目[0195]第一步，对目标图像进行缩放变换，具体过程可参照操作301的相关说明进行理[0197]第三步，通过反向传播获取梯度图BJ(T(x;p),yqq而得到具有仿射不变性的梯度图该梯度图中和P-1分别表示极坐标变换和极坐标反变换。次迭代计算中的扰动与本次迭代计算中的仿射不变性扰动叠加，得到本次迭代计算的扰对抗样本攻击目标神经网络，目标神经网络将图19所示的图像错误识别成草帽的概率为[0211]由此可见，采用本申请实施例提供的对抗样本的生成方攻击，目标神经网络将图20、图21和图22所示的图像错误识别成草帽的概率分别为62％、第四梯度图中像素的梯度从极坐标系下转换到直角坐标[0226]本申请实施例还提供了一种计算机设备的实施例，该计储器1832，一个或一个以上存储应用程序1842或数据1844的存储介质1830(例如一个或一线网络接口1850，一个或一个以上输入输出接口1858，和/或，一个或一个以上操作系统[0245]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only