(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211389040.0 (22)申请日 2022.11.08 (71)申请人 电子科技大 学 地址 611731 四川省成 都市高新区 （西区） 西源大道 2006号 (72)发明人 殷晋　李超群　秦科　 (74)专利代理 机构 电子科技大 学专利中心 51203 专利代理师 陈一鑫 (51)Int.Cl. G06T 5/20(2006.01) G06T 7/70(2017.01) G06V 10/764(2022.01) (54)发明名称 一种增强对抗图像样本 迁移性攻击的方法 (57)摘要 本发明公开了一种增强对抗图像样本迁移 性攻击的方法， 属于图像处理领域。 首先在利用 原图片生 成对抗图像样本 之前， 用高斯核对其进 行卷积， 而后扩大可搜索的对抗子空间， 让攻击 者获得更多信息， 再利用捕获到的额外信息生成 对抗图像样 本之后， 将对抗子空间还原到原来的 大小， 减少对抗图像样本和原图片间的视觉对 比， 最后生成对抗图像样本。 本发明与模型增强 等方法相比， 所增加的计算开销可 以忽略不计， 与其他攻击方法相结合， 进一步提高对抗图像样 本的迁移性， 本发明从频域和可搜索对抗子空间 的角度出发， 通过减少原图片 的高频成分， 扩大 可搜索的对抗子空间， 生 成更具迁移性的对抗图 像样本。 权利要求书2页 说明书6页 附图1页 CN 115439377 A 2022.12.06 CN 115439377 A 1.一种增强对抗图像样本 迁移性攻击的方法， 其特 征在于， 具体步骤如下： S1、 定义对抗图像样本生成问题， 用高斯核对原始图片进行卷积， 以减少图片的高频部 分； S11、 令 代表分类模型， 其中， 表示原始图像样本， 是其对应的标签； S12、 设计对抗图像样本 ， 为扰动， 以便它能成功地欺骗目标模型， 例如 ， 同时使对抗图像样本能够不被人眼所感知， 设置最 大扰动 来限制攻击者 对原图片的修改程度； S13、 定义对抗图像样本的生成问题：      （1） 其中， 表示交叉熵损失函数， 表示最大扰动， 表示扰动的无穷范 数； S14、 对原 始图像样本进行低通滤波， 得到低通滤波器之后的图像 ； S2、 将扰动 乘上一个大于一的系数得到新的扰动 ， 用来放松约束， 扩大可搜索的 对抗子空间， 让攻击者获得 更多信息； S3、 利用新的扰动 生成对抗 图像样本之后， 将对抗子空间还原到原来的大小， 生成 对抗图像样本； S31、 定义 最大迭代次数为 ， 将扰动 除以迭代次数， 得到学习率 ； S32、 计算交叉熵损失函数 关于样本图像的梯度 ； 其中， 表示对损失函数求关于 的梯度， 表示第t次迭代生成的对抗图像样 本； S33、 当迭代次数小于 定义的最大迭代次数 时， 更新样本：        （2） 其中， 是sign函数， 如果数值大于1， 则将其变为1， 如果数值小于1， 则将其变 为‑1， 如果数值 为0 ， 则不变； S34、 输出对抗图像样本 ； 其中， 表示将生成的对抗抗本裁剪到 的范围， 表示最 终生成的对抗图像样本 。 2.如权利要求1所述的一种增强对抗图像样本迁移性攻击的方法， 其特征在于， 所述步权　利　要　求　书 1/2 页 2 CN 115439377 A 2骤S14的具体方法为： 使用长度为 的高斯卷积核 进行滤波处理， 降低图像的高频部分：     （3） 其中， 标准差 设为 ， 表示在图像位置(i,  j)的未经过归一化处理的高斯 分布概率密度函数值， 归一 化 来得到高斯卷积核 ：       （4） 其中， 表示经过归一化处理的权重值， 是一个矩阵， 是矩阵的元 素值； 将原始图像样本通过高斯卷积核， 得到处 理后的图片：   （5） 其中， 表示经过高斯低通滤波器之后的图像。权　利　要　求　书 2/2 页 3 CN 115439377 A 3