本發明提供一種認證半徑引導攻擊方法、優化訓練方法及系統，攻擊方法包括：對訓練樣本集的每一張原始圖片，添加高斯噪聲，并獲取對應的認證半徑；采用投影梯度下降法結合認證半徑對圖片進行迭代處理，得到迭代處理后的圖片，其中，所有迭代處理后的圖片形成對抗樣本集；利用對抗樣本集對語義分割模型進行攻擊測試。本發明采用認證半徑引導攻擊方法對語義分割模型進行攻擊測試，能夠揭示語義分割模型的內部弱點信息，進而根據語義分割模型的內部弱點信息，進行優化，使得優化后的語義分割模型的魯棒性更強，能對抗更強大的擾動。

技術領域

本發明涉及網絡模型優化領域，更具體地，涉及一種認證半徑引導攻擊方法、優化訓練方法及系統。

背景技術

神經網絡模型的應用非常廣泛，為了使得神經網絡模型的性能更好，通常先對神經網絡模型進行攻擊，針對攻擊出現的問題，對神經網絡模型進行優化。

傳統的在對神經網絡模型進行攻擊的階段，一般的白盒攻擊方法認為攻擊就是添加擾動使得模型的loss（損失函數值）增大，所以沿著梯度方向生成攻擊樣本應該是最佳的，由此提出了FGSM（fast gradient sign method，快速梯度符號法）方法和PGD（projected gradient descent，投影梯度下降法）方法。FGSM方法在產生對抗樣本時，是不需要迭代的，它順著梯度方向迭代一次，優點是速度很快，但它的攻擊效果很差。PGD方法對FGSM進行了改進，PGD考慮把FGSM的一大步換成多小步，并且將其轉化成一個優化過程，優點是攻擊效果顯著增強，但是速度非常慢。

發明內容

本發明提供一種克服上述問題或者至少部分地解決上述問題的一種語義分割模型的認證半徑引導攻擊方法、優化訓練方法及系統。

根據本發明的第一方面，提供了一種語義分割模型的認證半徑引導攻擊方法，包括：對訓練樣本集的每一張原始圖片，添加高斯噪聲，獲取每一張原始圖片對應的第一圖片；

計算每一張第一圖片的認證半徑；

采用投影梯度下降法對每一張第一圖片進行第一次迭代處理，以及結合所述認證半徑和投影梯度下降法對每一張第一圖片進行剩余次數的迭代處理，得到迭代處理后的第二圖片，其中，所有的第二圖片形成對抗樣本集；

利用對抗樣本集對語義分割模型進行攻擊測試；

其中，所述語義分割模型用于對圖片中的目標進行分割。

在上述技術方案的基礎上，本發明還可以作出如下改進。

可選的，通過如下公式計算每一張第一圖片的認證半徑：

其中，F(x)為平滑模型，E代表期望值， 代表高斯逆累積分布函數 (Gaussian Inverse CDF function) ， 代表高斯核，代表滿足高斯分布的統計變量, R_i代表訓練樣本集中的第i張原始圖片的認證半徑, F(x)_iA和F(x)_iB分別表示第i張原始圖片經過語義分割模型后輸出的預測分割圖F(x)中像素值最大的像素點和像素值第二大的像素點的索引值。

可選的，所述采用投影梯度下降法對每一張第一圖片進行第一次迭代處理，包括：

其中，x表示訓練樣本集中的原始圖片，x¹為原始圖片x經過第一次迭代后的輸出，代表圖片x第一次迭代的梯度值，代表迭代過程中的步長；

所述結合認證半徑和投影梯度下降法對每一張第一圖片進行剩余次數的迭代處理，包括：