本發(fā)明屬于人工智能與深度學習領域，公開了一種基于貝塞爾曲線的圖像分類神經網絡攻擊方法。首先搭建多個圖像分類神經網絡并加載預訓練參數；然后從經典的ImageNet數據集中選取一千張滿足同分布的圖像樣本，利用圖像樣本對搭建好的神經網絡進行參數微調，提高準確率；在原圖像的基礎上隨機生成一條貝塞爾曲線；然后利用差分進化算法，在大量隨機生成的貝塞爾曲線中尋找最優(yōu)曲線；最后即可得到含有最優(yōu)貝塞爾曲線的對抗圖像樣本，誤導圖像分類神經網絡將其錯誤分類。

技術領域

本發(fā)明屬于人工智能與深度學習領域，具體涉及一種基于貝塞爾曲線的圖像分類神經網絡攻擊方法。

背景技術

眾所周知，基于卷積神經網絡的深度學習在人工智能領域的表現(xiàn)已經超過了傳統(tǒng)機器學習方法，在圖像識別、自然語言處理和語音處理等領域起著主導作用，尤其是在圖像分類領域，最先進模型的表現(xiàn)已經超過了人類。

然而，Szegedy等人發(fā)現(xiàn)當對圖像添加對抗擾動后，模型會變得脆弱不堪。同時，這些擾動對人類說幾乎不可分辨。隨后幾年，多個針對對抗樣本生成的算法表明，對抗圖像可以在攻擊正常模型時獲得極高的正確率。

目前針對深度學習模型的攻擊算法大多數是以在擾動最小的情況下攻擊分類模型為目標，通過限制l₂或l_∞來保證擾動添加的變化范圍。以實現(xiàn)擾動的添加不會被人類察覺或者說不影響人類對圖像的判斷。但是很少有算法考慮到，這種限制擾動的辦法是否足夠合理，或者說足夠有效。

阿里天池比賽中，以l_∞為限制標準，使用基于梯度的算法對分類模型進行攻擊的展示。每個像素點的最大改動值為32像素。當在蝸牛、蜣螂和蜘蛛的圖像上進行有目標分類的攻擊時，這些圖像在人類看來竟然變成了玉米、電子稱和狗。

在32像素改動值的限制下，對圖像進行修改后，原圖像可以變得人類都會識別錯誤，更不用說是分類模型了。

出現(xiàn)這種情況的主要原因是，像素修改值的大小并不代表著被修改圖像在人類看來的變化大小，擾動像素點的數量相比擾動像素點的值，對人類識別圖像的影響更大。

綜上所述，找到一個有效且對人類識別影響較小的圖像分類神經網絡攻擊方法具有重要的研究意義。

發(fā)明內容

為了克服上述方法的缺點，本發(fā)明提出了一種基于貝塞爾曲線的圖像分類神經網絡攻擊方法，能夠解決修改后的圖像對人類識別效果影響較大的問題，而且可以有效地對圖像分類神經網絡進行攻擊。具體方法的實現(xiàn)包括以下步驟：

步驟1：搭建多個圖像分類神經網絡并加載預訓練參數；

步驟2：從ImageNet數據集中選取一千張滿足同分布的圖像樣本，利用圖像樣本對搭建好的神經網絡進行參數微調；

步驟3：在原圖像的基礎上隨機生成一條貝塞爾曲線；

步驟4：利用差分進化算法，在大量隨機生成的貝塞爾曲線中尋找最優(yōu)曲線；

步驟5：將尋找出的最優(yōu)貝塞爾曲線加入到圖像樣本上，誤導圖像分類神經網絡將其錯誤分類；

步驟6：重復步驟3-步驟5，即可對所有圖像添加最優(yōu)貝塞爾曲線；

所述步驟1中，分別搭建3個經典的圖像分類神經網絡：VGG16，ResNet50，DenseNet201，并加載各自的預訓練參數。

所述步驟2中，從ImageNet數據集中選取滿足同分布的一千張圖像，以更好地驗證所提出方法的有效性。并且利用這些樣本對神經網絡進行參數微調，保證每個神經網絡對這些樣本的準確識別率為100％。

所述步驟3中，隨機生成的貝塞爾曲線，其像素點值均為同一個隨機化的初始值，并且其位置和方向也是隨機生成。所使用的貝塞爾曲線公式的理論基礎為伯恩斯坦多項式：