上海软件中心获得发明专利“一种图像分类系统对抗性样本生成方法、系统及电子设备”

近日，上海软件中心获得 “一种图像分类系统对抗性样本生成方法、系统及电子设备” 发明专利授权，专利号为：ZL 2023 1 1411509.0。

深度神经网络（Deep Neural Networks，DNN）容易受到对抗性样本的影响，对抗性样本指针对深度神经网络故意构造的扰动图像，这种对抗性样本可以导致深度神经网络产生图像分类错误。生成对抗性样本的目的为了发现深度神经网络的脆弱性，从而进一步提升图像分类系统的鲁棒性。利用对抗性样本实施对抗攻击，根据扰动是否可在现实中部署，分成数字世界攻击和物理世界攻击，其中物理世界对抗攻击模式通常为贴在图像上的补丁，具有更广泛的应用前景。

本发明公开一种图像分类系统对抗性样本生成方法、系统及电子设备，涉及黑盒对抗攻击技术领域，该方法包括：根据预设下游任务，获取i种类别的图像；每种类别均包括j张图像；将各类别的图像分别求均值，得到对应类别的均值图像；基于各类别的均值图像确定对应类别的类别敏感补丁区域；获取目标图像；基于目标图像、微调后的替代图像分类模型和攻击区域修正网络，确定实例敏感补丁区域；基于类别敏感补丁区域和实例敏感补丁区域确定待填充补丁区域；基于目标图像和微调后的替代图像分类模型，确定补丁纹理；基于待填充补丁区域、补丁纹理和目标图像，得到对抗性样本。本发明提高了图像分类系统对抗性样本的迁移性。