一种基于贝塞尔曲线的图像分类神经网络攻击方法

摘要

本发明属于人工智能与深度学习领域，公开了一种基于贝塞尔曲线的图像分类神经网络攻击方法。首先搭建多个图像分类神经网络并加载预训练参数；然后从经典的ImageNet数据集中选取一千张满足同分布的图像样本，利用图像样本对搭建好的神经网络进行参数微调，提高准确率；在原图像的基础上随机生成一条贝塞尔曲线；然后利用差分进化算法，在大量随机生成的贝塞尔曲线中寻找最优曲线；最后即可得到含有最优贝塞尔曲线的对抗图像样本，误导图像分类神经网络将其错误分类。

说明书

技术领域

本发明属于人工智能与深度学习领域，具体涉及一种基于贝塞尔曲线的图像分类神经网络攻击方法。

背景技术

众所周知，基于卷积神经网络的深度学习在人工智能领域的表现已经超过了传统机器学习方法，在图像识别、自然语言处理和语音处理等领域起着主导作用，尤其是在图像分类领域，最先进模型的表现已经超过了人类。

然而，Szegedy等人发现当对图像添加对抗扰动后，模型会变得脆弱不堪。同时，这些扰动对人类说几乎不可分辨。随后几年，多个针对对抗样本生成的算法表明，对抗图像可以在攻击正常模型时获得极高的正确率。

目前针对深度学习模型的攻击算法大多数是以在扰动最小的情况下攻击分类模型为目标，通过限制l

阿里天池比赛中，以l

在32像素改动值的限制下，对图像进行修改后，原图像可以变得人类都会识别错误，更不用说是分类模型了。

出现这种情况的主要原因是，像素修改值的大小并不代表着被修改图像在人类看来的变化大小，扰动像素点的数量相比扰动像素点的值，对人类识别图像的影响更大。

综上所述，找到一个有效且对人类识别影响较小的图像分类神经网络攻击方法具有重要的研究意义。

发明内容

为了克服上述方法的缺点，本发明提出了一种基于贝塞尔曲线的图像分类神经网络攻击方法，能够解决修改后的图像对人类识别效果影响较大的问题，而且可以有效地对图像分类神经网络进行攻击。具体方法的实现包括以下步骤：

步骤1：搭建多个图像分类神经网络并加载预训练参数；

步骤2：从ImageNet数据集中选取一千张满足同分布的图像样本，利用图像样本对搭建好的神经网络进行参数微调；

步骤3：在原图像的基础上随机生成一条贝塞尔曲线；

步骤4：利用差分进化算法，在大量随机生成的贝塞尔曲线中寻找最优曲线；

步骤5：将寻找出的最优贝塞尔曲线加入到图像样本上，误导图像分类神经网络将其错误分类；

步骤6：重复步骤3-步骤5，即可对所有图像添加最优贝塞尔曲线；

所述步骤1中，分别搭建3个经典的图像分类神经网络：VGG16，ResNet50，DenseNet201，并加载各自的预训练参数。

所述步骤2中，从ImageNet数据集中选取满足同分布的一千张图像，以更好地验证所提出方法的有效性。并且利用这些样本对神经网络进行参数微调，保证每个神经网络对这些样本的准确识别率为100％。

所述步骤3中，随机生成的贝塞尔曲线，其像素点值均为同一个随机化的初始值，并且其位置和方向也是随机生成。所使用的贝塞尔曲线公式的理论基础为伯恩斯坦多项式：

其中，β

其中，i＝0，1，…，n，

当伯恩斯坦系数是一个位于二维平面上的固定点序列时(比如：P

B(t)＝(1-t)

贝塞尔曲线可以仅仅根据很少的点就能生成一条复杂的光滑曲线。通过二次贝塞尔曲线公式，给定三个随机生成的坐标点，就可以画出一条光滑的贝塞尔曲线。随机生成大量的贝塞尔曲线的三个关键坐标点值及RGB值，并在原图像的大量拷贝图像上绘制出这些不同的贝塞尔曲线，以供步骤4使用。

所述步骤4中，使用差分进化算法对步骤3中生成的大量贝塞尔曲线进行全局优化，寻找最优贝塞尔曲线。差分进化算法的基本思想是：从随机产生的初始种群开始，将种群中任意两个个体的向量差与第三个个体的向量求和，生成新个体，然后将新个体与当代种群中相应个体进行比较，如果新个体的适应能力强于现有个体，那么新个体将在下一代取代旧个体；通过不断的进化，保持好的个体，消除坏的个体，引导搜索到最优解。差分进化算法不需要模型的梯度信息，因此与基于梯度的方法相比，它可以应用于更广泛的优化问题。差分进化算法结构简单、收敛快速、鲁棒性强，被广泛应用在数据挖掘、模式识别、人工神经网络、等领域。

所述步骤5中，将寻找出的最优贝塞尔曲线加入到图像样本，并使用步骤2中得到的经过参数微调的神经网络对其进行分类，记录分类结果。

与现有技术相比，本发明的优点在于：

首先，提出不将l

其次，采用差分进化算法为优化策略，启发式地寻找最优的贝塞尔曲线，仅仅在图像中改动一条曲线的像素值，就实现了对分类模型的攻击。同时，这条曲线完全不会影响人类对图像的识别。

最后，由于差分进化算法不需要模型本身的梯度信息，可以应用于更广泛的优化问题，并且具有收敛快、鲁棒性强等特点。

附图说明

图1为本发明提出的基于贝塞尔曲线的图像分类神经网络攻击方法的具体流程图。

图2为9个攻击成功样本的图像展示，图像原标签和攻击后模型预测的标签在下方注明。

图3为差分进化算法优化贝塞尔曲线时的迭代损失图。

图4为利用本发明攻击ResNet50时预测标签编号的命中数展示图。

图5为利用本发明攻击VGG16时预测标签编号的命中数展示图。

图6为利用本发明攻击DenseNet201时预测标签编号的命中数展示图。

具体实施方式

为进一步介绍本发明的发明内容、计算过程及方法有效性，结合附图及以下实例，作以下详细说明：

实施流程图如图1所示。

按照步骤1的要求搭建三个神经网络模型：ResNet50,VGG16,DenseNet201,下载相应的预训练参数并加载到模型中，加载完成后对其进行一次测试，保证程序中参数及模型的正确性。同时，为了便于后续步骤的调用，将模型的输入输出接口设置好。

按照步骤2的要求从ImageNet数据集中选取满足同分布的一千张图像样本，然后利用图像样本对步骤1搭建好的三个模型分别进行参数微调，要求整个数据集的训练次数不得大于10次，防止过拟合现象的发生，最终将图像样本的判别准确率提升至100％。

按照步骤3的要求在原图像基础上随机生成贝塞尔曲线，即通过随机产生的P

按照步骤4的要求，将步骤3中生成的大量贝塞尔曲线输入到差分进化算法中，进行迭代优化。差分进化算法的具体设定为：种群数量200，迭代次数10。每次迭代，差分进化算法都会得到新种群，并且新种群相比旧种群，在三个图像分类模型上的真实标签置信度更小，也就是说迭代后的图像在分类时，更容易被错误分类到其他种类中去。经过多次差分进化算法的迭代计算，最终可以得到使模型分类错误的最优贝塞尔曲线。

按照步骤5的要求，将步骤4找到的贝塞尔曲线添加到图像样本上，即可令三个图像分类神经网络分类错误。

重复步骤3-步骤5即可对所有图像添加贝塞尔曲线。本发明最终完成一千张图像的贝塞尔曲线添加后，记录图像在三个图像分类模型上的结果为：

VGG16模型的错误分类率为97.7％，差分进化算法平均迭代次数为1.516，损失值为0.0582。

ResNet50模型的错误分类率为78％，差分进化算法平均迭代次数为3.997，损失值为0.2612。

DenseNet201模型的错误分类率为59.3％，差分进化算法平均迭代次数为5.692，损失值为0.2859。

可以看出，本发明在经典图像分类模型上的攻击效果较好，并且由于不需要模型梯度信息，具有较好的鲁棒性。图3的迭代损失图可以看出，差分进化算法具有较快的收敛速度。图4-图6的为本发明攻击ResNet50时预测标签编号的命中数展示图，可以看出，大量的预测错误的类别标签集中在少数几个数字上面。这说明了图像分类神经网络模型存在一些缺陷，在这些少数的数字标签上面更容易分类出错。