一种基于稀疏扰动的黑盒视频对抗样本生成方法

技术领域

一种基于稀疏扰动的黑盒视频对抗样本生成方法，用于生成视频对抗样本，属于人工智能安全领域技术领域。

背景技术

近年来，随着深度神经网络技术广泛应用于图像识别与分类，深度神经网络自身的安全性研究也愈发受到重视。现有技术表明，深度神经网络易受到对抗样本的攻击。对抗样本攻击指在原始的图片、音频或视频等数据上添加微小的、人类感官无法察觉的扰动，而使得基于深度神经网络的分类系统产生误分类的攻击方法。现有的对抗样本生成技术（如：深度神经网络生成方法）主要针对图片、音频系统。现有的图片对抗样本生成技术是基于像素点的映射，即通过对图片的每一个像素点添加一定的扰动得到最终的图片对抗样本；而视频对抗样本生成技术则是直接将针对图片的对抗样本生成方法应用到视频对抗样本的生成上，即对原始视频的每一帧中的每一像素点都添加扰动，会导致总体的扰动率过大，隐蔽性差的问题；同时，由于要针对每一个像素点进行基于梯度下降的优化，其复杂程度相较于图片对抗样本的生成将呈指数增长（因为视频中包含的总的像素点个数远远高于图片），所以存在生成效率低的问题，对于视频对抗样本的生成存在生成效率低，生成的对抗样本扰动率高、隐蔽性差的问题。

发明内容

针对上述研究的问题，本发明的目的在于提供一种基于稀疏扰动的黑盒视频对抗样本生成方法，解决现有技术对视频的每个视频帧都添加扰动，对抗样本的生成效率低，生成的对抗样本扰动率高、隐蔽性差的问题。

为了达到上述目的，本发明采用如下技术方案：

一种基于稀疏扰动的黑盒视频对抗样本生成方法，包括如下步骤：

S1、获取视频，基于关键帧识别方法选取视频中的关键帧；

S2、基于关键区域识别技术评估各关键帧中的关键区域；

S3、将对抗样本生成系统生成的关键区域的扰动添加到关键区域上，得到初始化的视频对抗样本；

S4、基于初始化的视频对抗样本，利用黑盒梯度估计方法进行梯度的优化，生成最终的视频对抗样本。

进一步，所述步骤S1的具体步骤为：

获取一段视频

剔除视频中的第

对所有的概率差值

进一步，所述步骤S2中的关键区域识别技术是指OpenCV中提供关键区域的识别方法；

即基于OpenCV中提供关键区域的识别方法提取出关键帧中的关键区域

进一步，所述步骤S3的具体步骤为：

将选取的关键帧输入图片对抗样本生成系统生成针对图片系统的扰动

进一步，所述步骤S4的具体步骤为：

将初始化的视频对抗样本利用对称差商算法进行黑盒梯度估计，即将初始化的视频对抗样本与从正态分布中随机采样生成的方向向量之和作为输入传入黑盒视频分类系统，根据黑盒视频分类系统输出求得估计的梯度，估计的梯度

利用估计得到的梯度

若

本发明同现有技术相比，其有益效果表现在：

一、本发明通过分析视频各帧对于视频分类的重要性，仅在选取出的关键帧上的关键区域添加稀疏的扰动，对抗样本的生成效率高，生成的对抗样本扰动率低、隐蔽性佳，能够使目标视频分类系统产生误分类。

二、本发明与将图片对抗样本生成技术直接应用于视频对抗样本的生成相比，针对同一段视频本发明只需对30%左右的关键帧的关键区域添加扰动，扰动大大降低，且视频对抗样本的生成效率也比现有技术高，生成视频对抗样本所需迭代轮数至少降低30%。

附图说明

图1为本发明的流程示意图。

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

一种基于稀疏扰动的黑盒视频对抗样本生成方法，包括如下步骤：

S1、获取视频，基于关键帧识别方法选取视频中的关键帧；

具体步骤为：

获取一段视频

剔除视频中的第

对所有的概率差值

S2、基于关键区域识别技术评估各关键帧中的关键区域；其中，关键区域识别技术是指OpenCV中提供关键区域的识别方法；即基于OpenCV中提供关键区域的识别方法提取出关键帧中的关键区域

S3、将对抗样本生成系统生成的关键区域的扰动添加到关键区域上，得到初始化的视频对抗样本；

具体步骤为：

将选取的关键帧输入图片对抗样本生成系统（其中，图片对抗样本生成系统为现有的）生成针对图片系统的扰动

S4、基于初始化的视频对抗样本，利用黑盒梯度估计方法进行梯度的优化，生成最终的视频对抗样本。

具体步骤为：

将初始化的视频对抗样本利用对称差商算法进行黑盒梯度估计，即将初始化的视频对抗样本与从正态分布中随机采样生成的方向向量之和作为输入传入黑盒视频分类系统，根据黑盒视频分类系统输出求得估计的梯度，估计的梯度

利用估计得到的梯度

若

实施例

现有一个16帧的视频

对所有的概率差值

基于OpenCV中提供关键区域的识别方法提取出关键帧的关键区域

将选取的关键帧

将初始化的视频对抗样本利用对称差商算法进行黑盒梯度估计，即将初始化的视频对抗样本与方向向量之和作为输入传入目标分类系统，根据目标分类系统输出求得估计的梯度，估计的梯度

利用估计得到的梯度

若

本发明是针对视频分类系统生成视频对抗样本，即对视频分类系统可分类的视频都可进行处理。目前的视频分类系统可以对大多数的行为进行分类，包括人类、动物行为，自然现象等。因此本发明也可对包含上述内容的视频进行处理，并不局限于部分分类结果。此处的游泳为举例说明。本发明是

以上仅是本发明众多具体应用范围中的代表性实施例，对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案，均落在本发明权利保护范围之内。