一种基于噪声压缩的可迁移的非黑盒攻击对抗方法专利检索-限幅信号处理专利检索查询-专利查询网

一种基于噪声压缩的可迁移的非黑盒攻击对抗方法

阅读：1发布：2022-01-02

专利汇可以提供一种基于噪声压缩的可迁移的非黑盒攻击对抗方法专利检索，专利查询，专利分析的服务。并且本发明公开了一种基于噪声压缩的可迁移的非黑盒攻击对抗方法，步骤1、构建VGG16待攻击神经网络模型及相应的参数配置文件；步骤2、给定待攻击的原始图片x,并指定错分的目标类别；步骤3、收集若干张目标类别的图片，将这些图片输入待攻击神经网络模型中，选取能够被正确分类的图片构成图像集合TargetImg；步骤4、利用二分插值法初步找到对抗样本；步骤5、找到噪声幅度更小的对抗样本；步骤6、进行分组降噪处理；步骤7、进行随机降噪处理，得到最终的对抗样本。与现有技术相比，本发明在实现非黑盒攻击的对抗能够更加简单高效且快速，相比于经典的“基于迭代的快速梯度符号法” 算法在性能方面有显著的提高；生成的对抗样本在非黑盒攻击下更具有鲁棒性。，下面是一种基于噪声压缩的可迁移的非黑盒攻击对抗方法专利的具体信息内容。

权利要求

1.一种基于噪声压缩的可迁移的非黑盒攻击对抗方法，其特征在于，该方法包括以下步骤：
步骤1、构建VGG16待攻击神经网络模型及相应的参数配置文件，采用github上的开源框架foolbox进行封装；
步骤2、给定一张待攻击的原始图片x，并指定错分的目标类别；
步骤3、收集若干张目标类别的图片，将这些图片输入待攻击神经网络模型中，选取输出类别与目标类别一致的图片构成图像集合TargetImg，公式如下：
TargetImg＝{Target1，…，TargetN}，
其中，N表示集合TargetImg中的图像总数；
步骤4、利用二分插值法初步找到对抗样本：首先，采用二分插值法在每张目标类别的图片Targeti中寻找各图片Targeti的最优对抗样本共N张，再从该N张对抗样本中选取最优的对抗样本Target0，其中评价对抗样本的优劣是利用l2范数，即原图与对抗样本的差的二范数；
步骤5、利用“针对性错分下的基于迭代的快速梯度符号法”算法找到噪声幅度更小的对抗样本，具体公式如下：
其中，x′0表示第(4)步找到的对抗样本Target0，x表示原始图片，表示交叉熵损失函数对于图片x的导数，求导法则表示复合函数的求导，x′t表示第t步的图片，x′t+1表示第t+1步的图片，α表示步长，Clipx，ε{·}函数的作用表示限制对抗样本相对于原始图片的改变幅度小于ε；
步骤6、对噪声进行分组降噪处理，首先将噪声z0根据像素值生成噪声集合V，然后每次迭代时寻找噪声集合V中绝对值最大的元素，对噪声矩阵z0中所有等于该像素值的点全部除以2并在集合中删除该元素，最后加上原图，并查询是否为对抗样本，如果是的话，维持此操作；否则撤销此操作，上述噪声集合V的形式化表示如下：
z0＝x′-x
V(z)＝{v|v＝zwhc，w∈[0，W]，h∈[0，H]，c∈[0，C]}
其中，z0表示噪声，L(V(z0)，t)表示在噪声z0的所有像素值的集合V中，第t个绝对值最大的元素，W，H，C分别表示噪声z0的长、宽和RGB空间，表示第t次迭代、噪声矩阵z的第whc元素；
步骤7、对噪声进行随机降噪处理，噪声中的每个元素都有极小几率1％的概率被置为
0，具体公式如下：
zt+1＝zt·mask
其中，mask表示矩阵，maskwhc表示矩阵的第whc元素，random表示0～1之间的随机数；
得到最终的对抗样本。

说明书全文

一种基于噪声压缩的可迁移的非黑盒攻击对抗方法

技术领域

[0001] 本发明涉及图像分类技术领域，尤其是涉及一种非黑盒攻击的对抗方法。

背景技术

[0002] 随着人工智能的发展，在计算机视觉和多媒体领域中，特别是随着数字图片的急速增长，无论是从学术界还是在工业界对于图片进行精准的分类任务都是一个非常重要和具有挑战性的任务。在现实生活中对于图像分类器的应用不计其数，例如人脸识别、异常行为检测等等。人类的生活已经对其产生了非常强的依赖性。但是随着人工智能进一步向前发展的同时，也需要进行思考。在过去的几年中已经涌现出了各种各样的图像分类方法，特别是最近几年深度学习在计算机智能领域的异军突起。使得用深度神经网络提取图片的特征表示成表示了一种主流方向。但是深度神经网络在一定程度上更像是一个黑盒，某种程度上具有不可解释性，所以这也带了不可忽视的安全隐患。随着研究的深入，谷歌大脑的研究人员首次在图片中增加人类视觉很难辨认的噪声，这种增加了噪声的图片可以使分类器错分，而这种增加了噪声的图片就是对抗样本。对抗样本尤其对基于深度神经网络的分类器效果更表示明显。对于分类器的错分分表示两种：针对性错分和非针对性错分。在这两者中，针对性错分具有更高的难度。

[0003] 根据攻击者对于目标模型和数据集的相关知识了解程度，攻击分类被分为白盒攻击、非黑盒(灰盒)攻击和黑盒攻击。最开始对抗攻击的研究基于白盒攻击，在这种设定下，攻击者能够充分获取目标模型的网络内部结构和数据集的相关知识，但是这种对抗攻击往往只具有理论价值而缺乏实际价值。之后研究者开始探究非黑盒(灰盒)攻击和黑盒的对抗攻击，该对抗攻击是指攻击者无法获取目标模型的内部知识或仅有少量的知识的情况下对目标模型发起攻击。深度神经网络的泛化能力在一定程度上促成了对抗样本对于分类器的鲁棒性。

发明内容

[0004] 本发明提出一种基于噪声压缩的可迁移的非黑盒攻击对抗方法，目的是优化白盒攻击的经典算法“基于迭代的快速梯度符号法”以及生成具有较强的可迁移能力的对抗样本，来实现对非黑盒攻击的对抗。

[0005] 本发明的一种基于噪声压缩的可迁移的非黑盒攻击对抗方法，该方法包括以下步骤：

[0006] 步骤1、构建VGG16待攻击神经网络模型及相应的参数配置文件，采用github上的开源框架foolbox进行封装；

[0007] 步骤2、给定一张待攻击的原始图片x，并指定错分的目标类别；

[0008] 步骤3、收集若干张目标类别的图片，将这些图片输入待攻击神经网络模型中，选取输出类别与目标类别一致的图片构成图像集合TargetImg，公式如下：

[0009] TargetImg＝{Target1，…，TargetN}，

[0010] 其中，N表示集合TargetImg中的图像总数；

[0011] 步骤4、利用二分插值法初步找到对抗样本：首先，采用二分插值法在每张目标类别的图片Targeti中寻找各图片Targeti的最优对抗样本共N张，再从该N张对抗样本中选取最优的对抗样本Target0，其中评价对抗样本的优劣是利用l2范数，即原图与对抗样本的差的二范数；

[0012] 步骤5、利用“针对性错分下的基于迭代的快速梯度符号法”算法找到噪声幅度更小的对抗样本，具体公式如下：

[0013]

[0014]

[0015] 其中，x′0表示第(4)步找到的对抗样本Target0，x表示原始图片，表示交叉熵损失函数对于图片x的导数，求导法则为复合函数的求导，x′t表示第t步的图片，x′t+1表示第t+1步的图片，α表示步长，Clipx，ε{·}函数的作用为限制对抗样本相对于原始图片的改变幅度小于ε；

[0016] 步骤6、对噪声进行分组降噪处理，首先将噪声z0根据像素值生成噪声集合V，然后每次迭代时寻找噪声集合V中绝对值最大的元素，对噪声矩阵z0中所有等于该像素值的点全部除以2并在集合中删除该元素，最后加上原图，并查询是否为对抗样本，如果是的话，维持此操作；否则撤销此操作，上述噪声集合V的形式化表示如下：

[0017] z0＝x′-x

[0018] V(z)＝{v|v＝zwhc，w∈[0，W]，h∈[0，H]，c∈[0，C]}

[0019]

[0020] 其中，z0表示噪声，L(V(z0)，t)表示在噪声z0的所有像素值的集合V中，第t个绝对值最大的元素，W，H，C分别表示噪声z0的长、宽和RGB空间，表示第t次迭代、噪声矩阵z的第whc元素；

[0021] 步骤7、对噪声进行随机降噪处理，得到最终的对抗样本，噪声中的每个元素都有极小几率1％的概率被置为0，具体公式如下：

[0022] zt+1＝zt·mask

[0023]

[0024] 其中，mask表示矩阵，maskwhc表示矩阵的第whc元素，random表示0～1之间的随机数；

[0025] 得到最终的对抗样本。

[0026] 与现有技术相比，本发明具有以下积极技术效果：

[0027] (1)对抗样本生成方法简单高效且快速，相比于经典的“基于迭代的快速梯度符号法”算法在性能方面有了显著的提高且一定能找到对抗样本实现针对性错分任务；

[0028] (2)同时，所生成的对抗样本具有较强的可迁移能力；

[0029] (3)该方法对于研究神经网络的可解释性和对于分类器模型的防御也提供了一种有效思路；

[0030] (4)所生成的对抗样本在非黑盒攻击下更具有鲁棒性。附图说明

[0031] 图1为本发明的一种基于噪声压缩的可迁移的非黑盒攻击对抗方法整体流程图；图2为样例图，展示了六组样例，其中最左侧的图为原始图片，采用的是Tiny- imagenet样例中的图片，大小为64×64×3，每组样例中左图表示原始图片，被分错到三种不同目标类别，从左到右分别为目标类别图片、噪声和对抗样本。

具体实施方式

[0032] 下面将结合附图对本发明的实施方式作进一步的详细描述。

[0033] 本发明的一种基于噪声压缩的可迁移的非黑盒攻击对抗方法，在白盒攻击的基础上优化了经典算法“基于迭代的快速梯度符号法”，增加了二分插值查找算法和降噪算法，进一步压缩噪声使之攻击效果更强；同时该方法生成的对抗样本具有较强的可迁移能力，即在一个模型上生成的对抗样本在另一个模型上保持攻击效果的能力。

[0034] 步骤1、构建VGG16待攻击神经网络模型及相应的参数配置文件，采用github上的开源框架foolbox进行封装；

[0035] 步骤2、给定一张待攻击的原始图片x并指定错分的目标类别；为了体现效果，该图片需要能够被待攻击的神经网络正确识别出，指定的错分类别需要在该神经网络能够检测的类别集合内；

[0036] 步骤3、收集若干张目标类别的图片(例如20张)，将这些图片输入待攻击神经网络模型中，选取输出类别与目标类别一致的图片构成图像集合TargetImg；

[0037] TargetImg＝{Target1，…，TargetN}，

[0038] 其中，N表示集合TargetImg中的图像总数；

[0039] 步骤4、利用二分插值法初步找到对抗样本：首先，采用二分插值法在每张目标类别的图片Targeti中寻找各图片Targeti的最优对抗样本共N张，再从该N张对抗样本中选取最优的对抗样本Target0；其中评价对抗样本的优劣是利用l2范数，即原图与对抗样本的差的二范数；寻找各图片Targeti的最优对抗样本的二分插值法的具体算法如下：

[0040] (1)定义low＝0，high＝1，z＝Targeti-x；

[0041] (2)计算mid＝(low+high)/2.0；

[0042] (3)生成新的图片x′＝x+mid×z；

[0043] (4)判断新的图片x′是否为对抗样本，即能否被神经网络错分至目标类别；如果可以，令high＝mid，否则令low＝mid；

[0044] (5)循环(2)(3)(4)步骤直至收敛。

[0045] 步骤5、利用“针对性错分下的基于迭代的快速梯度符号法”算法找到噪声幅度更小的对抗样本：

[0046] (1)经典对抗样本生成方法所采用的“基于迭代的快速梯度符号法”中，首先训练替代模型，然后对原图进行迭代攻击，具体公式如下：

[0047]

[0048]

[0049] 其中，x表示原始图片；表示交叉熵损失函数对于图片x的导数，求导法则表示复合函数的求导，x′t表示第t步的图片；x′t+1表示第t+1步的图片；α表示步长； Clipx，ε{·}函数的作用为限制对抗样本相对于原始图片的改变幅度小于ε。

[0050] 本发明对其进行了修改，具体公式如下：

[0051]

[0052]

[0053] 其中，x′0表示第(4)步找到的对抗样本Target0；

[0054] 步骤6、对噪声进行分组降噪处理；

[0055] 首先将噪声z0根据像素值生成噪声集合V，然后每次迭代时寻找噪声集合V中绝对值最大的元素，对噪声矩阵z0中所有等于该像素值的点全部除以2并在集合中删除该元素，最后加上原图，并查询是否为对抗样本，如果是的话，维持此操作；否则撤销此操作。上述噪声集合V的形式化表示如下：

[0056] z0＝x′-x

[0057] V(z)＝{v|v＝zwhc，w∈[0，W]，h∈[0，H]，c∈[0，C]}

[0058]

[0059] 其中，z0表示噪声，即对抗样本x′与原图x的差值；L(V(z0)，t)表示在噪声z0的所有像素值的集合V中，第t个绝对值最大的元素，W，H，C分别表示噪声z0的长、宽和 RGB空间，表示第t次迭代，噪声矩阵z的第whc元素；

[0060] 步骤7、对噪声进行随机降噪处理，得到最终的对抗样本；噪声中的每个元素都有极小几率1％的概率被置为0，具体公式如下：

[0061] zt+1＝zt·mask

[0062]

[0063] 其中，mask表示矩阵，与噪声Z大小一致，maskwhc表示矩阵的第whc元素，random表示0～1之间的随机数，服从均匀分布。

标题	发布/更新时间	阅读量
位置估计方法和位置控制装置	2020-06-04	2
一种基于旋转变压器的大转角极限位置检测电路	2020-10-16	0
高速数传接收装置	2020-11-11	1
一种电缆故障排查方法及装置	2022-02-26	2
一种油浸式变压器管路附件更换时快速排油与注油的方法	2020-12-25	0
用于复合材料工件的制孔边缘分层缺陷分析的试块及方法	2021-07-07	2
面向机电耦合的有源相控阵天线性能仿真置信度的计算方法	2023-02-13	1
波形整形电路及电子设备	2022-01-15	0
汽车1/4悬架实验台	2022-07-18	2
一种大跨距、可旋转拆卸的桁架装置	2020-11-20	1

一种基于噪声压缩的可迁移的非黑盒攻击对抗方法

一种基于噪声压缩的可迁移的非黑盒攻击对抗方法

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：