本申請提供一種指定標簽的對抗樣本生成方法及裝置、一種電子設備以及一種計算機可讀介質。方法包括：將原始圖像樣本輸入預設多標簽分類網絡，得到用于對原始圖像樣本進行多標簽分類的各個標簽的預測分數值；從各個標簽的預測分數值中抽取指定標簽對應的預測分數值；根據指定標簽對應的預測分數值，采用動量快速梯度迭代MI?FGSM方法生成第一攻擊擾動；利用梯度權值類別響應圖Grad?CAM方法對第一攻擊擾動進行裁剪，得到第二攻擊擾動；將第二攻擊擾動疊加到所述原始圖像樣本上，生成與所述指定標簽對應的對抗樣本。通過本方案，可以有選擇性地生成指定標簽的對抗樣本，可以用于多標簽分類網絡數據增廣，從而提升多標簽分類模型的分類能力。

技術領域

本申請涉及圖像識別技術領域，具體涉及一種指定標簽的對抗樣本生成方法及裝置、一種電子設備以及一種計算機可讀介質。

背景技術

近年來，卷積神經網絡(Convolutional Neural Networks,CNN)在計算機視覺的多個應用領域，如圖像分類、物體檢測、語義分割等，取得了突破性的進展。2014年Szegedy等人發現在圖片上添加微小的擾動就可以使得CNN產生分類錯誤，隨即引發了廣泛的關注，這種樣本稱為對抗樣本。

對抗樣本可以劃分為多種形式，其中按照CNN模型結構和參數的已知情況，可以分為白盒攻擊和黑盒攻擊。白盒攻擊指攻擊者知道神經網絡的結構和參數，可以根據神經網絡的情況進行針對性的攻擊。白盒攻擊相對比較容易，但是在現實條件中很難滿足。黑盒攻擊指攻擊者不知道神經網絡的具體信息，例如只知道網絡的結構而不知道網絡的參數或者兩者信息都不知道。黑盒攻擊還可分為有探測的和無探測的，有探測的指攻擊者可以通過向神經網絡輸入數據來觀察輸出，根據輸入輸出情況對網絡進行攻擊。無探測的指無法通過輸入數據觀察網絡的輸出，一般通過攻擊通用模型或利用攻擊的傳遞性對網絡實施攻擊。

攻擊多標簽分類網絡的方法可以分為兩種，第一種是非指定標簽攻擊，即只需要攻擊使得分類模型對某一標簽分類錯誤；第二種是指定標簽攻擊，即使得分類模型對某個指定的標簽分類失效,同時保持對其他標簽分類正確。由于指定標簽攻擊的對抗樣本相對較少，制約了多標簽模型分類能力的提升。因此，對于多標簽分類網絡，如何生成指定標簽的對抗樣本是本領域亟需解決的技術問題。

發明內容

本申請的目的是提供一種指定標簽的對抗樣本生成方法及裝置、一種電子設備以及一種計算機可讀介質。

本申請第一方面提供一種指定標簽的對抗樣本生成方法，包括：

將原始圖像樣本輸入預設多標簽分類網絡，得到用于對所述原始圖像樣本進行多標簽分類的各個標簽的預測分數值；

從所述各個標簽的預測分數值中抽取指定標簽對應的預測分數值；

根據所述指定標簽對應的預測分數值，采用動量快速梯度迭代MI-FGSM方法生成第一攻擊擾動；

利用梯度權值類別響應圖Grad-CAM方法對所述第一攻擊擾動進行裁剪，得到第二攻擊擾動；

將所述第二攻擊擾動疊加到所述原始圖像樣本上，生成與所述指定標簽對應的對抗樣本。

在本申請的一些實施方式中，所述預設多標簽分類網絡包括：依次連接的特征提取骨干網絡、全連接層和激活函數。

在本申請的一些實施方式中，所述根據所述指定標簽對應的預測分數值，采用動量快速梯度迭代MI-FGSM方法生成第一攻擊擾動，包括：

步驟S1、設置MI-FGSM迭代參數，所述迭代參數包括動量momentum、擾動值范圍epsilon、迭代步數iter_num、迭代步長α；

步驟S2、計算出所述指定標簽對應的預測分數值關于所述原始圖像樣本的偏導數grad，以初始化梯度；