图像分类网络的训练方法、装置、计算机设备和存储介质与流程

1.本技术涉及图像处理和人工智能技术领域，特别是涉及一种图像分类网络的训练方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.随着图像分类的深度学习神经网络的发展环境下，图像分类的深度神经网络极易遭受对抗样本的入侵,对抗样本通常是对在图片中添加精心设计的微小修改,从而导致深度神经网络输出错误的图像图像分类结果。因此如何提升深度学习神经网络对对抗样本的防御效果是当前的研究重点。
3.目前，传统方法是通过大量对抗样本仿真攻击该深度学习神经网络，从而提升该深度学习神经网络对对抗样本的防御效果。但是传统方法是基于不同的对抗样本对该深度学习神经网络进行训练，而无法直接不同深度学习神经网络的防御弱点进行训练，从而导致训练的深度学习神经网络的防御效果较差。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种图像分类网络的训练方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
5.第一方面，本技术提供了一种图像分类网络的训练方法。所述方法包括：
6.获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；
7.基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；
8.基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；
9.在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。
10.可选的，所述获取多个攻击算法对应的对抗样本，包括：
11.针对每个攻击算法，基于所述攻击算法，对所述图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络，并基于所述已干扰的图像分类网络，生成所述攻击算法对应的对抗样本。
12.可选的，所述基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，包括：
13.基于所述图像分类网络的图像分类结果，分析所述图像分类结果的正确分类数目，得到所述图像分类网络的分类成功率；
14.在各所述攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
15.可选的，所述调整所述初始目标攻击算法的攻击参数，包括：
16.识别所述初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别所述当前梯度步长和所述初始目标攻击算法的攻击参数的关联关系；
17.计算在所述当前梯度步长下增添单位梯度步长时，所述攻击参数的变化信息，并基于所述变化信息更新所述攻击参数，得到第一攻击参数，将包含所述第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。
18.可选的，所述基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，包括：
19.基于已调整的初始目标攻击算法，通过所述图像分类网络，获取所述已调整的初始目标攻击算法对应的新对抗样本，并将所述新对抗样本输入所述图像分类网络，得到所述图像分类网络的新图像分类结果。
20.可选的，所述返回执行调整所述初始目标攻击算法的攻击参数步骤之前，还包括：
21.基于所述初始目标攻击算法对应的图像分类网络的分类成功率，以及所述已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算所述分类成功率与所述新分类成功率的差值信息，并基于所述差值信息，调整所述初始目标攻击算法的变化信息，得到新变化信息；
22.基于所述新变化信息调整所述已调整的初始目标攻击算法的第一攻击参数，得到所述已调整的初始目标攻击算法的第二攻击参数，并将所述已调整的初始目标攻击算法的第一攻击参数调整为所述第二攻击参数。
23.第二方面，本技术还提供了一种图像分类网络的训练装置。所述装置包括：
24.获取模块，用于获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；
25.筛选模块，用于基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；
26.评价模块，用于基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；
27.训练模块，用于在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。
28.可选的，所述获取模块，具体用于：
29.针对每个攻击算法，基于所述攻击算法，对所述图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络，并基于所述已干扰的图像分类网络，生成所述攻击算法对应的对抗样本。
30.可选的，所述筛选模块，具体用于：
31.基于所述图像分类网络的图像分类结果，分析所述图像分类结果的正确分类数
目，得到所述图像分类网络的分类成功率；
32.在各所述攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
33.可选的，所述筛选模块，具体用于：
34.识别所述初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别所述当前梯度步长和所述初始目标攻击算法的攻击参数的关联关系；
35.计算在所述当前梯度步长下增添单位梯度步长时，所述攻击参数的变化信息，并基于所述变化信息更新所述攻击参数，得到第一攻击参数，将包含所述第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。
36.可选的，所述评价模块，具体用于：
37.基于已调整的初始目标攻击算法，通过所述图像分类网络，获取所述已调整的初始目标攻击算法对应的新对抗样本，并将所述新对抗样本输入所述图像分类网络，得到所述图像分类网络的新图像分类结果。
38.可选的，所述装置还包括：
39.计算模块，用于基于所述初始目标攻击算法对应的图像分类网络的分类成功率，以及所述已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算所述分类成功率与所述新分类成功率的差值信息，并基于所述差值信息，调整所述初始目标攻击算法的变化信息，得到新变化信息；
40.调整模块，用于基于所述新变化信息调整所述已调整的初始目标攻击算法的第一攻击参数，得到所述已调整的初始目标攻击算法的第二攻击参数，并将所述已调整的初始目标攻击算法的第一攻击参数调整为所述第二攻击参数。
41.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现第一方面中任一项所述的方法的步骤。
42.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面中任一项所述的方法的步骤。
43.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现第一方面中任一项所述的方法的步骤。
44.上述图像分类网络的训练方法、装置、计算机设备和存储介质，通过获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本，输入所述图像分类网络，得到所述图像分类网络的图像分类结果；基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。通过每个攻击算法，分别攻击该图像分类网络，得到图像分类网络的分
类成功率，来筛选初始目标攻击算法，并调整该初始目标攻击算法的攻击参数，使得该初始目标攻击算法对该图像分类网络的攻击效果达到最佳，得到目标攻击算法，从而针对该图像分类网络的防御弱点，寻找最适合训练该防御弱点的已优化的目标攻击算法，提升了训练的深度学习神经网络的防御效果。
附图说明
45.图1为一个实施例中图像分类网络的训练方法的流程示意图；
46.图2为一个实施例中图像分类网络的训练示例的流程示意图；
47.图3为一个实施例中图像分类网络的训练装置的结构框图；
48.图4为一个实施例中计算机设备的内部结构图。
具体实施方式
49.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
50.本技术实施例提供的图像分类网络的训练方法，该方法可以应用于终端，可以应用于服务器，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。其中，终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。其中，终端通过每个攻击算法，分别攻击该图像分类网络，得到图像分类网络的分类成功率，来筛选初始目标攻击算法，并调整该初始目标攻击算法的攻击参数，使得该初始目标攻击算法对该图像分类网络的攻击效果达到最佳，得到目标攻击算法，从而针对该图像分类网络的防御弱点，寻找最适合训练该防御弱点的已优化的目标攻击算法，提升了训练的深度学习神经网络的防御效果。
51.在一个实施例中，如图1所示，提供了一种图像分类网络的训练方法，以该方法应用于终端为例进行说明，包括以下步骤：
52.步骤s101，获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将攻击算法的对抗样本，输入图像分类网络，得到图像分类网络的图像分类结果。
53.本实施例中，终端通过每个攻击算法，在图像分类网络中生成该攻击算法对应的对抗样本。然后终端响应于用户的网络训练操作，获取需要训练的分类网络，作为图像分类网络。其中，攻击算法为通过扰动图像分类网络，从而使得该图像分类网络的分类信息产生偏差的攻击算法，例如，快梯度符号攻击法(fast gradient sign method,fsgm)，该图像分类网络为用于图像识别并分类标注的强化学习型神经网络。例如，inception v3神经网络、inception v4神经网络、inception resnet v2神经网络、以及resnet v2 101等。终端针对每个攻击算法，将该攻击算法的对抗样本输入正在执行图像分类任务的图像分类网络中，得到该图像分类网络的图像分类结果。其中该图像分类结果包含图像分类任务对应的每个图像的分类信息。具体的对抗样本的获取过程后续将详细说明。其中，该对抗样本为攻击算法基于图像分类网络生成的该图像分类网络的干扰信息，该干扰信息可以但不限于是各种类型的图像噪声信息，修改图像尺寸的干扰信息、以及修改图像像素点的干扰信息等。其
中，该图像分类网络用于识别每个图像的图像类型，并将该图像类型进行分类，例如，终端将动物图像输入该图像分类网络，该图像分类网络可以将该动物图像划分为该动物图像对应的动物的类别，该图像分类结果就是该动物的类别。
54.步骤s102，基于图像分类结果中的分类成功率，在各攻击算法中，筛选初始目标攻击算法，并调整初始目标攻击算法的攻击参数。
55.本实施例中，终端通过预设的分类识别策略，分别识别每个图像的分类信息是否正确，并将正确分类的图像的数目与所有图像的数目的比例，作为该图像分类结果的分类成功率。然后终端在每个攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法，作为初始目标攻击算法。终端基于该图像分类网络，调整该初始目标攻击算法的攻击参数。其中，调整该初始目标攻击算法的攻击参数，用于提升该初始攻击算法对该图像分类网络的攻击效果。具体的调整过程后续将详细说明。其中，分类识别策略的识别过程后续将详细说明。
56.步骤s103，基于已调整的初始目标攻击算法，攻击图像分类网络，得到图像分类网络的新图像分类结果，并通过网络评价函数，评价图像分类网络的评价值。
57.本实施例中，终端基于已调整的初始目标攻击算法，重新获取该初始目标攻击算法的攻击样本，并执行s101步骤，得到该图像分类网络的新图像分类结果。然后，终端通过网络评价函数，评价该图像分类网络的新图像分类结果的评价值。其中网络评价函数可以但不限于是tenengrad评价函数、laplacian梯度函数、能量梯度函数(energy of gradient,eog)、以及roberts函数等。
58.步骤s104，在评价值低于预设评价阈值的情况下，返回执行调整初始目标攻击算法的攻击参数步骤，直到评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过目标攻击算法训练图像分类网络，得到目标图像分类网络。
59.本实施例中，终端预设评价阈值，并在该评价值低于预设评价阈值的情况下，返回执行s102步骤，直到评价值高于预设评价阈值时，终端停止迭代过程。然后，终端将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法。最后，终端通过该目标攻击算法训练图像分类网络的防御能力，得到目标图像分类网络。
60.基于上述方案，通过每个攻击算法，分别攻击该图像分类网络，得到图像分类网络的分类成功率，来筛选初始目标攻击算法，并调整该初始目标攻击算法的攻击参数，使得该初始目标攻击算法对该图像分类网络的攻击效果达到最佳，得到目标攻击算法，从而针对该图像分类网络的防御弱点，寻找最适合训练该防御弱点的已优化的目标攻击算法，提升了训练的深度学习神经网络的防御效果。
61.可选的，获取多个攻击算法对应的对抗样本，包括：
62.针对每个攻击算法，基于攻击算法，对图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络，并基于已干扰的图像分类网络，生成攻击算法对应的对抗样本。
63.本实施例中，终端针对每个攻击算法，基于攻击算法，对图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络。然后，终端基于该已干扰的图像分类网络，生成该攻击算法对应的对抗样本。
64.例如，终端通过将快梯度符号攻击法(fast gradient sign method,fsgm)。扰动
inception v3神经网络，从而使得该inception v3神经网络生成对抗样本。
65.具体的，fgsm对抗样本生成策略的基本思想是使对抗扰动的变化数量和图像分类网络的损失梯度变动的方面保持一致。θ为图像分类网络参数，x为图像分类网络的输入，y为输入x相应的正确类别，图像分类网络的损失函数是损失函数关于x的梯度是fgsm的原理为:
[0066][0067]
这里,α是超参量,表示为图像分类网络的下一个梯度的步长,而sign(.)则是符号函数,故该方式所得到的对扰动都是在l∞范数制约下的对抗扰动。
[0068]
基于上述方案，终端通过攻击算法在该图像神经网络中生成对抗样本，使得该对抗样本对该图像神经网络的干扰效果更明显，提升了后续筛选初始目标攻击算法的精准度。
[0069]
可选的，基于图像分类结果中的分类成功率，在各攻击算法中，筛选初始目标攻击算法，包括：基于图像分类网络的图像分类结果，分析图像分类结果的正确分类数目，得到图像分类网络的分类成功率；在各攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
[0070]
本实施例中，终端预设每个图像的正确分类信息，然后识别该图像分类网络的图像分类结果中每个图像的分类信息，并判断同一图像的正常分类信息与分类信息之间是否相同。然后终端将同一图像的正常分类信息与分类信息之间相同的数目与所有图像的数目的比例，作为该图像分类网络的分类成功率。然后，终端在各攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
[0071]
基于上述方案，通过分类成功率筛选攻击算法，提升了筛选攻击算法的精准度。
[0072]
可选的，调整初始目标攻击算法的攻击参数，包括：识别初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别当前梯度步长和初始目标攻击算法的攻击参数的关联关系；计算在当前梯度步长下增添单位梯度步长时，攻击参数的变化信息，并基于变化信息更新攻击参数，得到第一攻击参数，将包含第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。
[0073]
本实施例中，终端通过查询该初始目标攻击算法已攻击的图像分类网络的参数信息，得到该图像分类网络的当前梯度步长。然后终端基于该图像分类网络的损失函数，确定该图像分类网络的当前梯度步长和初始目标攻击算法的攻击参数之间的关联关系。
[0074]
具体的，在图像分类网络的损失函数的梯度变化方式是线性的情况下，终端直接基于该损失函数，建立该图像分类网络的当前梯度步长和初始目标攻击算法的攻击参数之间的关联关系，而在该图像分类网络的损失函数的梯度变化方式是非线性的情况下，终端通过建立图像分类网络的损失函数与初始目标攻击算法的关联函数，从而确定该图像分类网络的当前梯度步长和初始目标攻击算法的攻击参数之间的关联关系。
[0075]
例如，在该图像分类网络的损失函数的梯度变化方式是非线性的情况下，终端基于inception v3神经网络的损失函数和fgsm攻击算法，建立该图像分类网络的损失函数与攻击算法的关联函数，具体的函数公式如下：
[0076][0077]
其中，为第i次调整后攻击算法得到的对抗样本数据，α为参数，表示为进行迭代时各步梯度的平均变化率，clip(.)原理是将大于最大值的变量设定为最大值，小于最小值的变量设定为最小值，它可以将超出定义域的xa限定在规定的范围内，以此来提高初始目标攻击算法的攻击效果，并降低图像分类网络的分类成功率。
[0078]
终端通过该图像分类网络的当前梯度步长和初始目标攻击算法的攻击参数之间的关联关系，计算在当前梯度步长下增添单位梯度步长时，攻击参数的变化信息。然后终端基于该初始目标攻击算法的攻击参数、以及该攻击参数的变化信息，确定该初始目标攻击算法的第一攻击参数。最后，终端将包含第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。其中，调整的方式可以但不限于是对该初始目标攻击算法进行迭代优化。
[0079]
基于上述方案，终端通过图像分类网络的当前梯度步长和初始目标攻击算法的攻击参数之间的关联关系，确定该初始目标攻击算法的攻击参数的变化信息，从而调整该初始目标攻击算法的攻击参数，提升了初始目标攻击算法的攻击效果，并降低图像分类网络的分类成功率。
[0080]
可选的，基于已调整的初始目标攻击算法，攻击图像分类网络，得到图像分类网络的新图像分类结果，包括：
[0081]
基于已调整的初始目标攻击算法，通过图像分类网络，获取已调整的初始目标攻击算法对应的新对抗样本，并将新对抗样本输入图像分类网络，得到图像分类网络的新图像分类结果。
[0082]
本实施例中，终端基于已调整的初始目标攻击算法，通过步骤s102的方式，基于该图像分类网络，重新获取已调整的初始目标攻击算法对应的新对抗样本。然后，终端将新对抗样本输入图像分类网络，得到图像分类网络的新图像分类结果。
[0083]
基于上述方案，通过重新获取新的对抗样本，得到新的图像分类结果，确保获取的图像分类结果能够数据化识别已调整的初始目标攻击算法对该图像分类网络的攻击效果。
[0084]
可选的，返回执行调整初始目标攻击算法的攻击参数步骤之前，还包括：基于初始目标攻击算法对应的图像分类网络的分类成功率，以及已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算分类成功率与新分类成功率的差值信息，并基于差值信息，调整初始目标攻击算法的变化信息，得到新变化信息；基于新变化信息调整已调整的初始目标攻击算法的第一攻击参数，得到已调整的初始目标攻击算法的第二攻击参数，并将已调整的初始目标攻击算法的第一攻击参数调整为第二攻击参数。
[0085]
本实施例中，终端基于初始目标攻击算法对应的图像分类网络的分类成功率，以及已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算分类成功率与新分类成功率的差值信息。其中，该差值信息包括正差值与负差值，在该差值信息为正差值的情况下，终端确定该初始目标攻击算法的变化信息无误，直接将该初始目标攻击算法的第一攻击参数作为该初始目标攻击算法的第二攻击参数。在该差信息为负差值的情况下，终端确定该初始目标攻击算法的变化信息有误。然后终端基于差值信息返回执行调整初始目标攻击算法的攻击参数步骤，调整初始目标攻击算法的变化信息，得到新变化信息。然后终
端基于该新变化信息调整已调整的初始目标攻击算法的第一攻击参数，得到已调整的初始目标攻击算法的第二攻击参数。最后，终端将已调整的初始目标攻击算法的第一攻击参数调整为第二攻击参数。
[0086]
基于上述方案，通过分类成功率与新分类成功率的差值信息，调整初始目标攻击算法的变化信息，从而确保该初始目标攻击算法的攻击效率随着迭代次数的增加而逐渐提升，进一步提升了初始目标攻击算法的优化效率。
[0087]
在一个实施例中，如图2所示，提供了一种图像分类网络的训练示例，该示例包括以下步骤：
[0088]
步骤s201，针对每个攻击算法，基于攻击算法，对图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络，并基于已干扰的图像分类网络，生成攻击算法对应的对抗样本。
[0089]
步骤s202，针对每个攻击算法，将攻击算法的对抗样本输入图像分类网络，得到图像分类网络的图像分类结果。
[0090]
步骤s203，基于图像分类网络的图像分类结果，分析图像分类结果的正确分类数目，得到图像分类网络的分类成功率。
[0091]
步骤s204，在各攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
[0092]
步骤s205，识别初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别当前梯度步长和初始目标攻击算法的攻击参数的关联关系。
[0093]
步骤s206，计算在当前梯度步长下增添单位梯度步长时，攻击参数的变化信息，并基于变化信息更新攻击参数，得到第一攻击参数，将包含第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。
[0094]
步骤s207，基于已调整的初始目标攻击算法，通过图像分类网络，获取已调整的初始目标攻击算法对应的新对抗样本，并将新对抗样本输入图像分类网络，得到图像分类网络的新图像分类结果。
[0095]
步骤s208，基于初始目标攻击算法对应的图像分类网络的分类成功率，以及已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算分类成功率与新分类成功率的差值信息，并基于差值信息，调整初始目标攻击算法的变化信息，得到新变化信息。
[0096]
步骤s209，基于新变化信息调整已调整的初始目标攻击算法的第一攻击参数，得到已调整的初始目标攻击算法的第二攻击参数，并将已调整的初始目标攻击算法的第一攻击参数调整为第二攻击参数。
[0097]
步骤s210，在评价值低于预设评价阈值的情况下，返回执行调整初始目标攻击算法的攻击参数步骤，直到评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过目标攻击算法训练图像分类网络，得到目标图像分类网络。
[0098]
应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个
阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0099]
基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的图像分类网络的训练方法的图像分类网络的训练装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个图像分类网络的训练装置实施例中的具体限定可以参见上文中对于图像分类网络的训练方法的限定，在此不再赘述。
[0100]
在一个实施例中，如图3所示，提供了一种图像分类网络的训练装置，包括：获取模块310、筛选模块320、评价模块330和训练模块340，其中：
[0101]
获取模块310，用于获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；
[0102]
筛选模块320，用于基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；
[0103]
评价模块330，用于基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；
[0104]
训练模块340，用于在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。
[0105]
可选的，所述获取模块310，具体用于：
[0106]
针对每个攻击算法，基于所述攻击算法，对所述图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络，并基于所述已干扰的图像分类网络，生成所述攻击算法对应的对抗样本。
[0107]
可选的，所述筛选模块320，具体用于：
[0108]
基于所述图像分类网络的图像分类结果，分析所述图像分类结果的正确分类数目，得到所述图像分类网络的分类成功率；
[0109]
在各所述攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
[0110]
可选的，所述筛选模块320，具体用于：
[0111]
识别所述初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别所述当前梯度步长和所述初始目标攻击算法的攻击参数的关联关系；
[0112]
计算在所述当前梯度步长下增添单位梯度步长时，所述攻击参数的变化信息，并基于所述变化信息更新所述攻击参数，得到第一攻击参数，将包含所述第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。
[0113]
可选的，所述评价模块330，具体用于：
[0114]
基于已调整的初始目标攻击算法，通过所述图像分类网络，获取所述已调整的初始目标攻击算法对应的新对抗样本，并将所述新对抗样本输入所述图像分类网络，得到所述图像分类网络的新图像分类结果。
[0115]
可选的，所述装置还包括：
[0116]
计算模块，用于基于所述初始目标攻击算法对应的图像分类网络的分类成功率，以及所述已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算所述分类成功率与所述新分类成功率的差值信息，并基于所述差值信息，调整所述初始目标攻击算法的变化信息，得到新变化信息；
[0117]
调整模块，用于基于所述新变化信息调整所述已调整的初始目标攻击算法的第一攻击参数，得到所述已调整的初始目标攻击算法的第二攻击参数，并将所述已调整的初始目标攻击算法的第一攻击参数调整为所述第二攻击参数。
[0118]
上述图像分类网络的训练装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0119]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种图像分类网络的训练方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
[0120]
本领域技术人员可以理解，图4中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0121]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：
[0122]
获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；
[0123]
基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；
[0124]
基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；
[0125]
在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。
[0126]
可选的，所述获取多个攻击算法对应的对抗样本，包括：
[0127]
针对每个攻击算法，基于所述攻击算法，对所述图像分类网络进行仿真攻击处理，
得到已干扰的图像分类网络，并基于所述已干扰的图像分类网络，生成所述攻击算法对应的对抗样本。
[0128]
可选的，所述基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，包括：
[0129]
基于所述图像分类网络的图像分类结果，分析所述图像分类结果的正确分类数目，得到所述图像分类网络的分类成功率；
[0130]
在各所述攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
[0131]
可选的，所述调整所述初始目标攻击算法的攻击参数，包括：
[0132]
识别所述初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别所述当前梯度步长和所述初始目标攻击算法的攻击参数的关联关系；
[0133]
计算在所述当前梯度步长下增添单位梯度步长时，所述攻击参数的变化信息，并基于所述变化信息更新所述攻击参数，得到第一攻击参数，将包含所述第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。
[0134]
可选的，所述基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，包括：
[0135]
基于已调整的初始目标攻击算法，通过所述图像分类网络，获取所述已调整的初始目标攻击算法对应的新对抗样本，并将所述新对抗样本输入所述图像分类网络，得到所述图像分类网络的新图像分类结果。
[0136]
可选的，所述返回执行调整所述初始目标攻击算法的攻击参数步骤之前，还包括：
[0137]
基于所述初始目标攻击算法对应的图像分类网络的分类成功率，以及所述已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算所述分类成功率与所述新分类成功率的差值信息，并基于所述差值信息，调整所述初始目标攻击算法的变化信息，得到新变化信息；
[0138]
基于所述新变化信息调整所述已调整的初始目标攻击算法的第一攻击参数，得到所述已调整的初始目标攻击算法的第二攻击参数，并将所述已调整的初始目标攻击算法的第一攻击参数调整为所述第二攻击参数。
[0139]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：
[0140]
获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；
[0141]
基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；
[0142]
基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；
[0143]
在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。
[0144]
可选的，所述获取多个攻击算法对应的对抗样本，包括：
[0145]
针对每个攻击算法，基于所述攻击算法，对所述图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络，并基于所述已干扰的图像分类网络，生成所述攻击算法对应的对抗样本。
[0146]
可选的，所述基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，包括：
[0147]
基于所述图像分类网络的图像分类结果，分析所述图像分类结果的正确分类数目，得到所述图像分类网络的分类成功率；
[0148]
在各所述攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。
[0149]
可选的，所述调整所述初始目标攻击算法的攻击参数，包括：
[0150]
识别所述初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别所述当前梯度步长和所述初始目标攻击算法的攻击参数的关联关系；
[0151]
计算在所述当前梯度步长下增添单位梯度步长时，所述攻击参数的变化信息，并基于所述变化信息更新所述攻击参数，得到第一攻击参数，将包含所述第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。
[0152]
可选的，所述基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，包括：
[0153]
基于已调整的初始目标攻击算法，通过所述图像分类网络，获取所述已调整的初始目标攻击算法对应的新对抗样本，并将所述新对抗样本输入所述图像分类网络，得到所述图像分类网络的新图像分类结果。
[0154]
可选的，所述返回执行调整所述初始目标攻击算法的攻击参数步骤之前，还包括：
[0155]
基于所述初始目标攻击算法对应的图像分类网络的分类成功率，以及所述已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算所述分类成功率与所述新分类成功率的差值信息，并基于所述差值信息，调整所述初始目标攻击算法的变化信息，得到新变化信息；
[0156]
基于所述新变化信息调整所述已调整的初始目标攻击算法的第一攻击参数，得到所述已调整的初始目标攻击算法的第二攻击参数，并将所述已调整的初始目标攻击算法的第一攻击参数调整为所述第二攻击参数。
[0157]
在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
[0158]
获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；
[0159]
基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；
[0160]
基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；
[0161]
在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像
memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
[0177]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0178]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种图像分类网络的训练方法，其特征在于，所述方法包括：获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。2.根据权利要求1所述的方法，其特征在于，所述获取多个攻击算法对应的对抗样本，包括：针对每个攻击算法，基于所述攻击算法，对所述图像分类网络进行仿真攻击处理，得到已干扰的图像分类网络，并基于所述已干扰的图像分类网络，生成所述攻击算法对应的对抗样本。3.根据权利要求1所述的方法，其特征在于，所述基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，包括：基于所述图像分类网络的图像分类结果，分析所述图像分类结果的正确分类数目，得到所述图像分类网络的分类成功率；在各所述攻击算法中，筛选分类成功率最低的图像分类网络对应的攻击算法作为初始目标攻击算法。4.根据权利要求1所述的方法，其特征在于，所述调整所述初始目标攻击算法的攻击参数，包括：识别所述初始目标攻击算法已攻击的图像分类网络的当前梯度步长，并识别所述当前梯度步长和所述初始目标攻击算法的攻击参数的关联关系；计算在所述当前梯度步长下增添单位梯度步长时，所述攻击参数的变化信息，并基于所述变化信息更新所述攻击参数，得到第一攻击参数，将包含所述第一攻击参数的初始目标攻击算法，作为已调整的初始目标攻击算法。5.根据权利要求1所述的方法，其特征在于，所述基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，包括：基于已调整的初始目标攻击算法，通过所述图像分类网络，获取所述已调整的初始目标攻击算法对应的新对抗样本，并将所述新对抗样本输入所述图像分类网络，得到所述图像分类网络的新图像分类结果。6.根据权利要求4所述的方法，其特征在于，所述返回执行调整所述初始目标攻击算法的攻击参数步骤之前，还包括：基于所述初始目标攻击算法对应的图像分类网络的分类成功率，以及所述已调整的初始目标攻击算法对应的图像分类网络的新分类成功率，计算所述分类成功率与所述新分类成功率的差值信息，并基于所述差值信息，调整所述初始目标攻击算法的变化信息，得到新
变化信息；基于所述新变化信息调整所述已调整的初始目标攻击算法的第一攻击参数，得到所述已调整的初始目标攻击算法的第二攻击参数，并将所述已调整的初始目标攻击算法的第一攻击参数调整为所述第二攻击参数。7.一种图像分类网络的训练装置，其特征在于，所述装置包括：获取模块，用于获取多个攻击算法对应的对抗样本，并针对每个攻击算法，将所述攻击算法的对抗样本输入图像分类网络，得到所述图像分类网络的图像分类结果；筛选模块，用于基于所述图像分类结果中的分类成功率，在各所述攻击算法中，筛选初始目标攻击算法，并调整所述初始目标攻击算法的攻击参数；评价模块，用于基于已调整的初始目标攻击算法，攻击所述图像分类网络，得到所述图像分类网络的新图像分类结果，并通过网络评价函数，评价所述图像分类网络的评价值；训练模块，用于在所述评价值低于预设评价阈值的情况下，返回执行调整所述初始目标攻击算法的攻击参数步骤，直到所述评价值高于预设评价阈值时，将高于评价阈值的评价值的图像分类网络对应的已调整的初始目标攻击算法，作为目标攻击算法，并通过所述目标攻击算法训练所述图像分类网络，得到目标图像分类网络。8.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。10.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。

技术总结
本申请涉及一种图像分类网络的训练方法、装置、计算机设备和存储介质。本申请涉及图像处理和人工智能技术领域。方法包括：获取多个攻击算法对应的对抗样本，并计算每个攻击算法对应的图像分类网络的图像分类结果；基于图像分类结果中的分类成功率，在各攻击算法中，筛选初始目标攻击算法，并调整初始目标攻击算法的攻击参数；基于已调整的初始目标攻击算法，攻击图像分类网络，得到图像分类网络的新图像分类结果，并通过网络评价函数，评价图像分类网络的评价值；通过评价值训练初始目标攻击算法，得到目标攻击算法，并通过目标攻击算法训练图像分类网络，得到目标图像分类网络。采用本方法能够提升训练的深度学习神经网络的防御效果。御效果。御效果。


技术研发人员：孙震 郑晓雪 范琪
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.06.26
技术公布日：2023/9/20