基于假想对象的无目标图像检索对抗攻击方法

对抗攻击能够欺骗图像检索模型,使其得到错误的检索结果,因此利用对抗攻击技术能够实现对图像信息的保护。但传统的对抗攻击方法攻击效果有限,生成的对抗样本失真程度较高。针对该问题,提出了一种基于假想对象的无目标图像检索对抗攻击方法。通过引入一批图像作为辅助样本,从中选取与查询图像特征差距最大的样本作为假想对象以引导攻击方向,从而提高攻击的效率。在Paris6k和Oxford5k两个图像检索数据集上的实验结果表明,相比传统方法,该方法生成的对抗样本具有更强的攻击效果和更高的图像质量,从而能够更好地保护图像信息。     

基于特征变换的图像检索对抗防御

对抗攻击在图像分类中较早被研究,目的是产生可以误导神经网络预测的不可察觉的扰动.最近,图像检索中的对抗攻击也被广泛探索,研究结果表明最先进的基于深度神经网络的图像检索模型同样容易受到干扰,从而将不相关的图像返回.文中首次尝试研究无需训练的图像检索模型的对抗防御方法,根据图像基本特征因素对输入图像进行变换,以在预测阶段消除对抗攻击的影响.所提方法探索了4种图像特征变换方案,即调整大小、填充、总方差最小化和图像拼接,这些都是在查询图像被送入检索模型之前对其执行的.文中提出的防御方法具有以下优点:1)不需要微调和增量训练过程;2)仅需极少的额外计算;3)多个方案可以灵活集成.大量实验的结果表明,提出的变换策略在防御现有的针对主流图像检索模型的对抗攻击方面是非常有效的.     

基于生成对抗网络的无目标深度检索哈希攻击算法

近年来深度哈希技术被广泛研究,可应用于大规模图像检索且取得了良好的性能,然而其安全性问题却相对被忽视.为此,本文提出了一种针对深度检索哈希的无目标攻击算法,可用于深度检索哈希的鲁棒性评估和优化设计.在该算法中我们构建了一个用于获得无目标攻击对抗样本的生成对抗网络模型UntargetedGAN.模型训练过程中,首先利用原型网络（PrototypeNet）将图像标签转换为原型网络编码,之后结合原型网络编码、解码器和鉴别器进行联合训练得到期望的UntargetedGAN模型;在测试阶段输入查询图像及其标签即可快速生成对抗样本.实验结果表明,UntargetedGAN生成的对抗样本可有效实现无目标攻击,且与现有的无目标攻击算法相比在攻击性能和对抗样本生成效率方面有显著提升.     

加权聚合深度卷积特征的图像检索方法

针对目前基于深度卷积特征的图像检索方法无法充分突出图像显著性区域特征和不能有效抑制背景噪声等问题,提出了一种加权聚合深度卷积特征的图像检索方法.根据逆文档频率,该方法对拥有较少特征和紧密特征的特征图赋予较大权重,生成差异性加权向量.由于不同图像表现的特征不同,该方法选择最能真实反映图像特征的一组特征图,计算出权重矩阵并对其进行滤波处理,最终生成选择滤波加权矩阵.公开数据集上的实验结果表明,本文提出的方法能够有效地增强图像特征的辨别能力,在图像检索精度上优于其它同类方法.     

基于孪生结构的对抗样本攻击动态防御方法

神经网络模型已被广泛应用于多个研究领域,但神经网络模型本身存在易受到对抗样本攻击的缺点,如在图像分类中,只需在原始图片中添加微小的对抗扰动生成对抗样本,就可以轻易欺骗神经网络分类模型,这给许多领域的应用安全带来严重的威胁。因此,研究如何提高神经网络分类模型对对抗样本攻击的防御能力成为深度学习安全领域的研究热点。目前常用的对抗样本攻击防御方法往往只侧重于提高模型对对抗样本分类的鲁棒性,或者只侧重于检测拦截对抗样本,而对抗训练需要收集大量对抗样本,且难以防御新类型的对抗样本攻击,对于使用额外的分类器去检测对抗样本的方法,则存在着易受到二次攻击等缺点。针对这些问题,提出一种基于孪生神经网络结构的对抗样本攻击动态防御方法,利用孪生结构可比较两个输入相似性的特点,从孪生神经网络两侧的预测差异着手,检测图片在动态滤波前后是否存在不同的攻击效果,从而筛选出带有动态扰动的对抗样本。实验结果表明,在没有收集特定种类的对抗样本进行训练的情况下,该方法对多种对抗样本攻击取得了良好的通用防御效果,其中在FGSM对抗样本测试集上的防御准确率达到95.35%,在DeepFool和JSMA对抗样本测试集上的防御准确...     

基于深度学习模型的对抗攻击方法分析

针对深度学习图像隐私泄露等问题,分析了基于深度学习模型的对抗攻击方法。使用对抗攻击生成对抗样本,能够保护隐私。但是针对检索系统目标对抗攻击的方法,会受到目标样本数量与质量的影响,从而导致攻击效果不佳。通过基于深度学习模型的对抗攻击能够使目标检索精准率作为对样本质量衡量的权重,通过目标类中的样本特征实现加权聚合,得到类特征的最终攻击目标。通过实验结果证明,能够提高检索精准度。     

计算机视觉对抗攻击与防御方法分析

大量的研究表明,由深度学习构成的计算机视觉模型容易遭受对抗样本的攻击。攻击者通过在样本中加入一些细微的扰动,可使深度学习模型出现判断错误,从而引发严重后果。本文主要总结了计算机视觉中对抗攻击手段与主动防御措施,分类与比较了一些典型方法。最后,结合对抗样本生成和防御技术发展的现状,提出了该领域的挑战和展望。     

基于决策的目标检测器黑盒对抗攻击方法

深度神经网络在目标检测领域有大量的应用已经落地,然而由于深度神经网络本身存在不可解释性等技术上的不足,导致其容易受到外界的干扰而失效,充分研究对抗攻击方法有助于挖掘深度神经网络易失效的原因以提升其鲁棒性;目前大多数对抗攻击方法都需要使用模型的梯度信息或模型输出的置信度信息,而工业界应用的目标检测器通常不会完全公开其内部信息和置信度信息,导致现有的白盒攻击方法不再适用;为了提升工业目标检测器的鲁棒性,提出一种基于决策的目标检测器黑盒对抗攻击方法,其特点是不需要使用模型的梯度信息和置信度信息,仅利用目标检测器输出的检测框位置信息,策略是从使目标检测器定位错误的角度进行攻击,通过沿着对抗边界进行迭代搜索的方法寻找最优对抗样本从而实现高效的攻击;实验结果表明所提出的方法使典型目标检测器Faster R-CNN在VOC2012数据集上的mAR从0.636降低到0.131,mAP从0.801降低到0.071,有效降低了目标检测器的检测能力,成功实现了针对目标检测器的黑盒攻击。     

基于快速边界攻击的黑盒对抗样本生成方法

深度学习技术在不同领域有着广泛的应用, 然而一个训练好的深度学习模型很容易受到干扰而得出错误的结果, 从而引发严重的安全问题. 为了检验深度学习模型的抗干扰性, 提高模型的安全性和鲁棒性, 有必要使用对抗样本进行对抗评估和对抗训练. 有目标的黑盒对抗样本的生成方法具有较好的实用性, 是该领域的研究热点之一. 有目标的黑盒对抗样本生成的难点在于, 如何在保证攻击成功率的前提下提高对抗样本的生成效率. 为了解决这一难点, 本文提出了一种基于快速边界攻击的有目标攻击样本生成方法. 该方法包括线上的搜索和面上的搜索两步. 线上的搜索由单侧折半法来完成, 用于提高搜索效率; 面上的搜索通过自适应调节搜索半径的随机搜索完成, 用于提高搜索的广度. 通过对5组图片的实验结果验证了方法的可行性.     

图像分类中的白盒对抗攻击技术综述

在深度学习中图像分类任务研究里发现,对抗攻击现象给深度学习模型的安全应用带来了严峻挑战,引发了研究人员的广泛关注。首先,围绕深度学习中用于生成对抗扰动的对抗攻击技术,对图像分类任务中重要的白盒对抗攻击算法进行了详细介绍,同时分析了各个攻击算法的优缺点;然后,分别从移动终端、人脸识别和自动驾驶三个现实中的应用场景出发,介绍了白盒对抗攻击技术的应用现状;此外,选择了一些典型的白盒对抗攻击算法针对不同的目标模型进行了对比实验并分析了实验结果;最后,对白盒对抗攻击技术进行了总结,并展望了其有价值的研究方向。     

面向高光谱图像分类网络的对比半监督对抗训练方法

目的 深度神经网络在高光谱图像分类任务中表现出明显的优越性,但是对抗样本的出现使其鲁棒性受到严重威胁,对抗训练方法为深度神经网络提供了一种有效的保护策略,但是在有限标记样本下提高目标网络的鲁棒性和泛化能力仍然需要进一步研究。为此,本文提出了一种面向高光谱图像分类网络的对比半监督对抗训练方法。方法 首先,根据少量标记样本预训练目标模型,并同时利用少量标记样本和大量无标记样本构建训练样本集合;然后,通过最大化训练样本集合中干净样本和对抗样本在目标模型上的特征差异生成高迁移性对抗样本;最后,为了减少对抗训练过程对样本标签的依赖以及提高目标模型对困难对抗样本的学习和泛化能力,充分利用目标模型和预训练模型的输出层及中间层特征,构建对比对抗损失函数对目标模型进行优化,提高目标模型的对抗鲁棒性。对抗样本生成和目标网络优化过程交替进行,并且不需要样本标签的参与。结果 在 PaviaU 和 Indian Pines 两组高光谱图像数据集上与主流的 5 种对抗训练方法进行了比较,本文方法在防御已知攻击和多种未知攻击上均表现出明显的优越性。面对 6 种未知攻击,相比于监督对抗训练方法 AT（adversarial training）和 TRADES（trade-offbetween robustness and accuracy）,本文方法分类精度在两个数据集上平均提高了 13. 3% 和 16%,相比于半监督对抗训练方法 SRT（semi-supervised robust training）、RST（robust self-training）和 MART（misclassification aware adversarialrisk training）,本文方法分类精度再两个数据集上平均提高了 5. 6% 和 4. 4%。实验结果表明了提出模型的有效性。结论 本文方法能够在少量标记样本下提高高光谱图像分类网络的防御性能。     

基于RSA的图像可识别对抗攻击方法

基于密码学中的RSA签名方案与RSA加密方案,提出了一种能够让特定分类器输出对抗样本正确分类的对抗攻击方法。通过单像素攻击的思想使正常图像在嵌入附加信息的同时能够具有让其余分类器发生错误分类的能力。所提方法可以应用在分类器授权管理与在线图像防伪等领域。实验结果表明,所提方法生成的对抗样本对于人眼难以察觉,并能被特定分类器识别。     

基于卷积特征聚合的细粒度图像检索方法

针对卷积神经网络（CNN）全连接层得到的是图像类别的全局语义信息,无法有效抑制背景噪声以及表示图像局部的细节信息,导致细粒度图像检索任务中负样本靠前的问题,提出了一种选择性加权来聚合卷积特征并利用k相互最近邻（k-reciprocal nearest neighbor,k-RNN）重排的图像检索方法。该方法主要是通过提取并筛选CNN最后一层特征来聚合形成单维全局特征向量,再引入k相互最近邻算法对检索出的结果进行重排。在细粒度基准数据集CUB-200-2011、室内场景数据集Indoor和普通类别数据集Caltech-101进行验证评估。实验结果表明该方法能够有效改善检索出负样本靠前的问题,相比SCDA方法,该方法检索精度及召回率有显著提升。     

面向个人信息保护的对抗性图像扰动算法研究

通过研究对抗性图像扰动算法,应对深度神经网络对图像中个人信息的挖掘和发现以保护个人信息安全.将对抗样本生成问题转换为一个含有限制条件的多目标优化问题,考虑神经网络的分类置信度、扰动像素的位置以及色差等目标,利用差分进化算法迭代得到对抗样本.在MNIST和CIFAR-10数据集上,基于深度神经网络LeNet和ResNet进行了对抗样本生成实验,并从对抗成功率、扰动像素数目、优化效果和对抗样本的空间特征等方面进行了对比和分析.结果表明,算法在扰动像素极少的情况下(扰动均值为5)依然可以保证对深度神经网络的有效对抗,并显著优化了扰动像素的位置及色差,达到不破坏原图像的情况下保护个人信息的目的.该研究有助于促进信息技术红利共享与个人信息安全保障之间的平衡,也为对抗样本生成及深度神经网络中分类空间特征的研究提供了技术支撑.     

基于可学习攻击步长的联合对抗训练方法

对抗训练（adversarial training,AT）是抵御对抗攻击的有力手段。然而,目前现有的方法在训练效率和对抗鲁棒性之间往往难以平衡。部分方法提高训练效率但降低对抗鲁棒性,而其他方法则相反。为了找到最佳平衡点,提出了一种基于可学习攻击步长的联合对抗训练方法（FGSM-LASS）。该方法包括预测模型和目标模型,其中,预测模型为每个样本预测攻击步长,替代FGSM算法的固定大小攻击步长。接着,将目标模型参数和原始样本输入改进的FGSM算法,生成对抗样本。最后,采用联合训练策略,共同训练预测和目标模型。在与最新五种方法比较时,FGSM-LASS在速度上比鲁棒性最优的LAS-AT快6倍,而鲁棒性仅下降1%;与速度相近的ATAS相比,鲁棒性提升3%。实验结果证明,FGSM-LASS在训练速度和对抗鲁棒性之间的权衡表现优于现有方法。     

基于对抗学习和多尺度特征融合的前列腺MR图像分割

前列腺MR图像的自动分割已被广泛应用于前列腺癌的诊断和治疗过程中,然而,由于前列腺的形状变化显著且与相邻组织的对比度低,传统的分割方法仍存在精度低、速度慢等缺点.生成对抗网络GAN在计算机视觉任务中展示出了优越的性能,因此提出了一种使用对抗学习的概念来训练分割网络的方法,实现前列腺MR图像端到端的自动分割.模型框架主要由分割网络和判别网络构成,分割网络生成分割预测图,判别网络判断输入来自真实标签还是分割预测.同时,在分割网络中集成了感受野模块RFB来获取和融合深度特征的多尺度信息,提高特征的识别率和鲁棒性,以提升网络的分割性能.在PROMISE12数据集上的验证结果显示,该模型的DSC和HD分别为89.56％ 和7.65 mm.     

基于多中心卷积特征加权的图像检索方法

深度卷积特征能够为图像内容描述提供丰富的语义信息,为了在图像表示中突出对象内容,结合激活映射中较大响应值与对象区域的关系,提出基于多中心卷积特征加权的图像表示方法。首先,通过预训练深度模型提取出图像卷积特征;其次,通过不同通道特征映射求和得到激活映射,并将激活映射中有较大响应值的位置认为是对象的中心;再次,将中心数量作为尺度,结合激活映射中不同位置与中心的距离为对应位置的描述子加权;最后,合并不同中心数量下的图像特征,生成图像表示用于图像检索。与池化卷积（SPoC）算法和跨维度（CroW）算法相比,所提方法能够为图像表示提供尺度信息的同时突出对象内容,并在Holiday、Oxford和Paris图像集中取得了良好的检索结果。     

一种通用防御物理空间补丁对抗攻击方法

目标检测算法具有优异的性能,在工业上已经得到广泛应用。然而,最近研究表明目标检测算法容易遭受对抗攻击,对抗样本会使得模型的性能大幅下降。攻击者在数字空间中在图片上贴一个对抗补丁,或者在物理空间中手持一张打印的对抗补丁,都可以使得待检测的对象从目标检测器中“消失”。补丁对抗攻击在物理空间中可以攻击自动驾驶汽车和躲避智能摄像头,对深度学习模型的应用造成了重大安全隐患。在物理空间中攻击目标检测器的对抗补丁具有鲜明特点,它们色彩鲜艳、变化剧烈,因此包含大量高频信息。基于这个特点,我们提出了一种遮罩防御方法。我们先把待检测的图片分割成若干个像素块,再用快速傅里叶变换和二值化处理求这些像素块中高频信息的含量,依次对含有较多高频信息的像素块使用遮罩,最后用目标检测器验证。此防御方法能够在物理空间中快速定位补丁的位置并破坏补丁的攻击效果,使得目标检测器可以检测到被攻击者隐藏的对象。本方法与模型无关,也和生成对抗补丁的方法无关,能够通用防御物理空间中的补丁对抗攻击。我们在物理空间中使用了两个应用广泛的目标检测器做防御补丁对抗攻击实验,在三个数据集中都能以超过94%的防御成功率防御攻击,比对比方法中最好的高出6%,实验结果证明了我们的方法的有效性。     

Series feature aggregation for content-based image retrieval

Feature aggregation is a critical technique in content-based image retrieval (CBIR) systems that employs multiple visual features to characterize image content. Most previous feature aggregation schemes apply parallel topology, e.g., the linear combination scheme, which suffer from two problems. First, the function of individual visual feature is limited since the ranks of the retrieved images are determined only by the combined similarity. Second, the irrelevant images seriously affect the retrieval performance of feature aggregation scheme since all images in a collection will be ranked. To address these problems, we propose a new feature aggregation scheme, series feature aggregation (SFA). SFA selects relevant images using visual features one by one in series from the images highly ranked by the previous visual feature. The irrelevant images will be effectively filtered out by individual visual features in each stage, and the remaining images are collectively described by all visual features. Experiments, conducted with IAPR TC-12 benchmark image collection (ImageCLEF2006) that contains over 20,000 photographic images and defined queries, have shown that the proposed SFA can outperform conventional parallel feature aggregation schemes.