本發明公開了一種有目標的攻擊樣本生成方法，通過獲取待識別圖像X和特定數字j，遍歷待識別圖像X的每個像素點，在每個像素點采樣K個像素值，并分別計算每個數值在神經網絡N中的識別概率，得到將待識別圖像X，識別為所述特定數字j的識別結果中最大識別概率的像素點的位置P；遍歷像素點的位置P的每個像素值，并分別計算每個數值在神經網絡N中的識別概率，得到將待識別圖像X，識別為特定數字j的最大識別概率時的像素值V’；將待識別圖像X中像素位置P的像素值修改為V’，得到對抗樣本X’，該方法的運行時間短，僅通過修改數字樣本圖像的一個像素點，就可使得神經網絡將待識別圖像誤識別為特定的數字。

技術領域

本發明涉及圖像識別技術領域，尤其涉及一種有目標的攻擊樣本生成方法。

背景技術

識別手寫數字的技術是目前圖像識別技術的一個分支，該技術可以借助機器智能識別文本上的阿拉伯數字0-9。由于國際上統一使用阿拉伯數字，并且信息化時代進程越來越快，人類對于手寫數字的識別具有廣泛的需求。目前類似于銀行支票錄入、物流信息分管等大規模數據分析系統，都是使用結合神經網絡的數字識別方法，實現智能化識別。

借助于2006年提出的深度學習，神經網絡廣泛應用于圖像識別領域，隨著技術的發展，神經網絡也逐漸暴露出一些問題：通過對原始圖像添加細微的噪聲生成對抗樣本，該對抗樣本能夠使得基于神經網絡的分類器發生錯誤，但是人眼卻很難察覺原始圖像和對抗樣本之間的差別。目前，該領域已經受到學者的廣泛關注。

目前存在一些針對數字識別神經網絡的攻擊方法。現有專利中最為接近的技術為：“一種基于對抗攻擊的車牌攻擊生成方法”(申請號201810186291.6)，其中借鑒了梯度下降的思想，利用經典的卷積神經網絡來生成對抗樣本；還有一種更為極端的對抗攻擊方法，僅僅改變圖像中的一個像素值就能實現對抗攻擊，在論文“One pixel bttbck forfooling deep neurbl networks”(Su J,Vbrgbs D V,Kouichi S.One pixel bttbck forfooling deep neurbl networks[J].2017)中，Su等人使用差分進化算法，對每個圖像進行迭代地修改生成子圖像，并保留攻擊效果最好的子圖像作為對抗樣本，實現對神經網絡的攻擊。針對于數字識別神經網絡的單像素有目標攻擊，即修改原始圖像樣本中一個像素點的像素值，使得神經網絡識別成另一個特定數字(定向識別錯誤)。最簡單的方法為遍歷法，通過對圖像所有像素點的像素值(0～255)進行遍歷，即遍歷選擇每一個像素點，并將該點的數值從0到255枚舉一遍，記錄每一種情況下神經網絡識別成另一個特定數字的概率，在枚舉所有情況以后選擇神經網絡識別成另一個特定數字概率最高的樣本作為單像素有目標攻擊樣本。

發明內容

本發明實施例的目的是提供一種有目標的攻擊樣本生成方法，該方法的運行時間短，僅通過修改數字樣本圖像的一個像素點，就可使得神經網絡將待識別圖像誤識別為特定的數字。

為實現上述目的，本發明實施例提供了一種有目標的攻擊樣本生成方法，包括以下步驟：

獲取待識別圖像X和特定數字j，遍歷所述待識別圖像X的每個像素點，在每個像素點采樣K個像素值，并分別計算每個數值在預設的神經網絡N中的識別概率，得到將所述待識別圖像X，識別為所述特定數字j的識別結果中最大識別概率的像素點的位置P；其中，255≥K≥1；

遍歷所述像素點的位置P的每個像素值，并分別計算每個數值在所述預設的神經網絡N中的識別概率，得到將所述待識別圖像X，識別為所述特定數字j的最大識別概率時的像素值V’；

將所述待識別圖像X中像素位置P的像素值修改為V’，得到對抗樣本X’。

進一步的，所述預設的神經網絡N是通過輸入多個數字樣本圖像進行識別訓練，直到正確識別每一個數字時構建而成；

所述預設的神經網絡N，用于對輸入的數字樣本圖片進行識別，并輸出識別結果。