[发明专利]一种基于空间变换的对抗样本增强方法和模型

说明书

本发明公开了一种基于空间变换的对抗样本增强方法和模型，所述的方法利用随机扰动生成初始对抗图像后输入基于空间变换的增强模块，所述增强模块在深度神经网络的前向传播过程中对初始对抗样本及其特征图应用空间变换，并且能随着深度神经网络的反向传播进行更新，通过不断优化随机扰动使生成的对抗样本能对不同角度与视角的旋转变换保持一定的攻击成功率，增强对抗样本对仿射变换等复杂条件的健壮性。所述的模型包括生成模块，增强模块ST，分类器F，测试模块，测试模块的最终输出即为增强的对抗样本。本发明适用性较广，通用性较强，在不同类型的数据集与不同结构的模型上的攻击成功率都较高。

技术领域

本发明涉及机器学习领域，更具体地，涉及一种基于空间变换的对抗样本增强方法和模型。

背景技术

对抗攻击是当前机器学习领域研究的一个热点问题。对抗攻击的原理是通过对抗样本(向原数据样本中添加经过精心训练的人眼不易察觉的微小扰动得到的新样本)来欺骗深度神经网络，使其做出错误判定。

现有关于神经网络的攻击方法研究大多基于一个假设——攻击者可以直接将对抗样本输入到深度学习分类器中。该假设能较好使用于发生在信息系统内部的攻击场景，例如躲避垃圾邮件过滤器的过滤或恶意软件检测器的检测。然而，对于运行在物理世界的系统而言，情况并非总是如此，特别是使用摄像机和其他传感器信号作为输入的系统。因为对抗样本可能在输入到分类器之前就进行了转换。已有研究表明，对抗样本一旦经过较小的转换，往往就失去了攻击性，导致攻击成功率大幅度下降。这反映了对抗样本具有脆弱性(vulnerability)，攻击能力在噪声、对比度和亮度变化等环境条件干扰下容易失效。特别是一些常规的图像转换，如仿射变换(旋转、缩放、平移、斜切等)，会极大地降低攻击的成功率。因此，出现了对抗样本的健壮性问题。对抗样本的健壮性是指在普通条件下生成的对抗样本转换到复杂条件下仍然能成功欺骗分类器的特质。

提高对抗样本的健壮性，使对抗样本在复杂条件下保持攻击成功率是一项极具挑战性的任务。因为物理世界中的转换通常是不确定的，而且很难建模。最近有研究致力于增强针对特定情况的对抗样本的健壮性，如人脸识别和路标识别。但是，他们都是应用于特定的程序，并不普遍适用。如文献[1]Goodfellow I J,Shlens J,Szegedy C,etal.Explaining and Harnessing Adversarial Examples[J].International Conferenceon Learning Representations,2015、文献[2]Kurakin A,Goodfellow I J,Bengio S,etal.Adversarial examples in the physical world[J].arXiv:Computer Vision andPattern Recognition,2017、文献[3]Moosavidezfooli S,Fawzi A,Frossard P,etal.DeepFool:A Simple and Accurate Method to Fool Deep Neural Networks[J].Computer Vision and Pattern Recognition,2016:2574-2582。

综上所述，虽然已有研究证明了现有攻击方法对神经网络的有效攻击，但仍存在现有攻击方法生成的对抗样本健壮性不足导致的攻击成功率大幅度下降等问题。

发明内容

本发明的首要目的是提供一种基于空间变换的对抗样本增强方法，提高对抗样本对旋转、缩放、平移、斜切等仿射变换处理的健壮性，进而提高攻击成功率。

本发明的进一步目的是提供一种基于空间变换的对抗样本增强模型。

为解决上述技术问题，本发明的技术方案如下：

一种基于空间变换的对抗样本增强方法，包括以下步骤：

S1：在原图像x添加随机扰动r，生成初始对抗样本x′；