技术领域
[0001] 本
发明属于基于EEG的
脑机接口系统安全领域,更具体地,涉及一种脑机接口系统黑盒攻击方法。
背景技术
[0002] 脑机接口系统是一种连接大脑和外部
电子设备的实时通讯系统,该系统通过直接采集人脑产生的生理电
信号,然后将其转换成能够控制外部电子设备的命令,从而取代人类的自然肢体或语言器官,与外部世界进行交流,控制外部环境。EEG是迄今为止使用最为广泛的脑机接口系统
输入信号,由于其使用方便、相对较低的成本和对用户的
风险很小。在脑机接口系统中,
机器学习模
块是最重要的一个模块,随着近年来
深度学习的发展,一些用于EEG信号的脑机接口系统的深度学习模型被提出。
[0003] 然而,目前在深度学习中存在一个严重的安全问题:深度学习模型很容易受到对抗样本的攻击。对抗样本是指通过添加很小的、通常难以察觉的扰动来改变合法的输入,迫使学习器对得到的对抗输入进行错误分类,同时保持人类观察者的正确分类的数据样本。在这种攻击中,故意设计的很小的扰动被添加到正常的输入样本中以欺骗深度学习模型并导致显著的性能下降。为了能够更好的防御对抗样本的攻击,研究脑机接口系统黑盒攻击方法具有重要意义。
[0004] 目前已经有很多生成对抗样本的方法被提出,它们主要分为两类攻击方法:白盒攻击和黑盒攻击。白盒攻击是指攻击者可以得到目标模型的所有信息,包括其结构、参数和训练样本,而黑盒攻击则相反,攻击者不能得到目标模型的内部信息,只能观察其对输入的输出情况。与白盒攻击相比,黑盒攻击是更加实际、更具挑战性的一种攻击方式。因为由于安全原因,大多数基于EEG的BCI系统是不允许白盒
访问的。N.Papernot等人提出了一种基于
迁移性的黑盒攻击方法,该方法通过训练一个替代模型,然后针对它制作对抗样本,希望生成的对抗样本也可以成功攻击未知的目标模型。X.Zhang等人应用了基于迁移性的黑盒攻击方法中的类似思想成功实现了在基于EEG的脑机接口系统中的黑盒攻击。尽管取得了很好的攻击效果,然而这些方法对替代模型对抗样本的生成采用了基于雅可比的数据增强方法,其关键限制是:训练一个较好的替代模型需要大量的询问次数来收集足够的信息,攻击效率较低。
[0005] 综上所述,提出一种攻击效率高的脑机接口系统黑盒攻击方法是亟待解决的问题。
发明内容
[0006] 针对
现有技术的
缺陷,本发明的目的在于提出一种脑机接口系统黑盒攻击方法,旨在解决现有技术在训练替代模型时需要大量的询问次数来收集足够的信息而导致的攻击效率较低的问题。
[0007] 为实现上述目的,第一方面,本发明提供了一种脑机接口系统黑盒攻击方法,包括以下步骤:
[0008] S1、向脑机接口系统中的目标模型询问预收集好的EEG样本集中的样本标签,得到替代模型训练集,并基于该训练集训练分类模型,得到替代模型;
[0009] S2、生成替代模型中各决策边界两侧的样本,向目标模型询问其标签,并合成到替代模型训练样本中,然后基于该训练样本训练替代模型,重复步骤S2进行
迭代,直至迭代次数达到迭代次数上限,得到训练好的替代模型;
[0010] S3、基于所得替代模型构造对抗样本;
[0011] S4、使用对抗样本对EEG的脑机接口系统进行黑盒攻击。
[0012] 进一步优选地,步骤S2所述的方法包括以下步骤:
[0013] S21、初始化生成样本集为空集;
[0014] S22、在当前替代模型训练集中依次选择两类EEG样本集,初始化中间生成样本集为空集;
[0015] S23、在当前所选择的两类EGG样本集中随机选择两个不同类的EEG样本,在特征空间上通过二分法迭代生成位于替代模型在当前两类样本决策边界两侧的两个不同类样本,计算得到这两个样本中垂线上的样本,并加入到中间生成样本集中,重复步骤S23进行迭代,直至中间生成样本集中的样本个数达到预设样本数;
[0016] S24、将中间生成样本集加入到生成样本集中;
[0017] S25、重复步骤S22-S24,直至替代模型训练集中的各类EGG样本的两两组合均已
覆盖完毕;
[0018] S26、向目标模型询问生成样本集中的样本标签,并将生成样本集及其标签加入到当前替代模型训练集中,更新替代模型训练集;
[0019] S27、基于替代模型训练集重新训练替代模型;
[0020] S28、重复步骤S21-S27进行迭代,直至迭代次数达到迭代次数上限,得到训练好的替代模型。
[0021] 进一步优选地,上述预收集好的EEG样本集中每一类标签所对应的EEG样本数大于等于1。
[0022] 进一步优选地,用于作为替代模型的分类模型为深度学习模型。
[0023] 进一步优选地,步骤S2中构造所得的对抗样本为:其中,xi为预收集好的EEG样本集中的样本,ε为扰动上限,J为所得替代模型的损失函数,θ为替代模型的参数,y′i为向替代模型询问所得的xi的标签。
[0024] 进一步优选地,本发明所述的脑机接口系统黑盒攻击方法应用于基于EEG的脑机接口系统安全领域。
[0025] 第二方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质存储有
计算机程序,该计算机程序被处理器执行时实现上述第一方面所述的攻击方法。
[0026] 通过本发明所构思的以上技术方案,与现有技术相比,能够取得下列有益效果:
[0027] 1、本发明提出了一种脑机接口系统黑盒攻击方法,首先基于询问合成主动学习生成替代模型中各决策边界附近的样本,并加入到替代模型训练集中,使得替代模型训练集中的EEG样本具有更大的信息量和更高的多样性,大大降低了训练过程中的询问次数,然后基于该训练样本训练替代模型,使得替代模型能够更好地近似目标模型,最后通过在训练好的替代模型上生成对抗样本,使用对抗样本对EEG的脑机接口系统进行黑盒攻击,使其在目标模型上能够被错分。与传统的基于雅克比矩阵的黑盒攻击方法相比具有更好的攻击效果,在更少的询问次数情况下可以取得相同或更好的攻击性能,生成的对抗样本具有很小的噪声,在时域和频域上和原始的EEG信号几乎没有区别,不能被轻易发现,大大提高了脑机接口系统中黑盒攻击的攻击效率。
[0028] 2、本发明所提供的脑机接口系统黑盒攻击方法,将主动学习的思想结合到对抗攻击中,可以选择或生成最有用的样本进行标记,这样一个学习器就可以从最少的标记训练样本中得到训练。由于脑
电信号的获取非常耗时,采用主动学习将大大加快替代模型的训练过程,从而获得更好的攻击性能。
附图说明
[0029] 图1是本发明所提供的一种脑机接口系统黑盒攻击方法;
[0030] 图2是本发明所提供在EEG脑机接口系统中的进行黑盒攻击的示意图。
具体实施方式
[0031] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及
实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0032] 为了实现上述目的,本发明提供了一种脑机接口系统黑盒攻击方法,如图1所示,包括以下步骤:
[0033] S1、向脑机接口系统中的目标模型f询问预收集好的EEG样本集S0中的样本标签,得到替代模型训练集D,并基于该训练集训练分类模型,得到替代模型f′;
[0034] 具体的,本实施例中用于作为替代模型的分类模型为深度学习模型,本实施例中预收集好的EEG样本集S0中的样本个数为400,其中,每一类标签所对应的EEG样本数大于等于1。
[0035] S2、生成替代模型中各决策边界两侧的样本,向目标模型询问其标签,并合成到替代模型训练样本中,然后基于该训练样本训练替代模型,重复步骤S2进行迭代,直至迭代次数达到迭代次数上限,得到训练好的替代模型;
[0036] 具体的,包括以下步骤:
[0037] S21、初始化生成样本集ΔS为空集;
[0038] S22、在当前替代模型训练集中依次选择两类EEG样本集,初始化中间生成样本集ΔS1为空集;
[0039] S23、在当前所选择的两类EGG样本集中随机选择两个不同类的EEG样本{x+,x-},在特征空间上通过二分法迭代生成位于替代模型在当前两类样本决策边界两侧的两个不同类样本,计算得到这两个样本中垂线上的样本,并加入到中间生成样本集ΔS1中,重复步骤S23进行迭代,直至中间生成样本集ΔS1中的样本个数达到预设样本数;
[0040] 具体的,在特征空间中进行二分搜索,获得样本xb=(x++x-)/2,向替代模型f′询问生成的样本xb的标签,如果标签为正,则将x+替换为xb,如果标签为负,则将x-替换为xb。重复上述过程进行迭代直到达到最大二分次数m,得到两个不同类样本{x+,x-}。在本实施例中,m取值为10。然后计算得到这两个样本中垂线上的样本,使生成的样本分布更分散,并重新对{x+,x-}继续执行二分搜索,使生成的样本更具有信息量。具体的,本实施中采用格莱姆-施密特方法计算位于这两个样本中垂线上的样本,使用格莱姆-施密特
算法得到(x+-x-)的
正交向量,其大小为xp,然后继续执行m次二分搜索,得到新的两个不同类样本{x+,x-},最终得到中垂线处的样本xs=xp+(x++x-)/2,将xs加入到ΔS1中。重复上述过程进行迭代,直至生成样本集ΔS1中样本个数达到预设样本数n_max;本实施例中,预设样本数n_max取值为200。
[0041] S24、将中间生成样本集ΔS1加入到生成样本集ΔS中;
[0042] S25、重复步骤S22-S24,直至替代模型训练集中的各类EGG样本的两两组合均已覆盖完毕;
[0043] S26、向目标模型询问生成样本集ΔS中的样本标签,并将生成样本集ΔS及其标签加入到替代模型训练集D中,更新替代模型训练集D;
[0044] S27、基于替代模型训练集重新训练替代模型;
[0045] S28、重复步骤S21-S27进行迭代,直至迭代次数达到迭代次数上限N_max,得到训练好的替代模型。本实施例中,预设迭代次数N_max取值为2,最终每两类EEG样本集生成的样本数为n_max*N_max,本实施例中为400。
[0046] S3、基于所得替代模型构造对抗样本;
[0047] 具体的,构造所得的对抗样本为: 其中,xi为预收集好的EEG样本集中的样本,ε为扰动上限,J为所得替代模型的损失函数,θ为替代模型的参数,y′i为向替代模型询问所得的xi的标签。
[0048] S4、使用对抗样本对EEG的脑机接口系统进行黑盒攻击。
[0049] 具体的,本发明针对的脑机接口系统由信号采集模块、信号预处理模块、目标模型和
控制器组成,如图2所示,本发明所提供在EEG脑机接口系统中的进行黑盒攻击的示意图。将攻击模块置于信号预处理模块和目标模型之间,在训练好的替代模型上通过攻击模块产生对抗样本,由于对抗样本的迁移性,产生的对抗样本也能成功攻击目标模型,使得目标模型无法正确地做出预测,从而影响到整个脑机接口系统,使其无法正常工作。
[0050] 在相同的询问次数和相同的替代模型初始训练集条件下,分别采用本发明所提出的攻击方法和基于雅克比矩阵的攻击方法在ERN数据集上进行对比实验,其中,询问次数为400,替代模型初始训练集S0的大小为400,实验结果如表1所示。
[0051] 表1
[0052]
[0053]
[0054] 从表1可以看出,当目标模型为EEGNet,替代模型为DeepCNN时,攻击前目标模型在测试集上的正确率为76.26%,分别采用本发明所提出的方法和基于雅克比矩阵的攻击方法进行攻击后,目标模型在测试集上的正确率分别降低到36.55%和47.06%,并且对于不同的目标模型,采用不同的替代模型进行攻击,本发明的攻击效果也明显优于基于雅克比矩阵的攻击方法。本发明所提出的方法通过生成替代模型中各决策边界附近的样本进行询问合成主动学习,大大降低了训练过程中的询问次数,在更少的询问次数情况下攻击性能更好,攻击效率也更高。
[0055] 本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何
修改、等同替换和改进等,均应包含在本发明的保护范围之内。
