[发明专利]一种基于修正边界攻击的对抗攻击方法

说明书

本发明公开了一种基于修正边界攻击的对抗攻击方法，步骤1，收集图像及标签信息，形成图像，类别对，构建图像数据集；步骤2，取原始图像x_i，进而得到由对抗样本所构成的集合x^*；步骤3，构造噪声集合z^*，以及构造并初始化扰动空间参数集合W；步骤4，通过计算扰动空间参数W的均值，构造扰动空间，在扰动空间中对扰动进行随机取样，生成噪声的切向方向的向量集合η；步骤5，修正边界攻击，构造新的对抗样本x′；步骤6，将新的对抗样本x′输入到目标模型，对扰动空间参数W进行调整；步骤7，重复步骤4、步骤5、步骤6共B‑1次，得到最终对抗样本x′，并将对抗样本输入到目标模型中进行分类，得出分类结果F(x′)。本发明达到了构建攻击能力更强的对抗样本的目的。

技术领域

本发明涉及机器学习安全技术领域，尤其涉及一种面向深度图像识别系统的黑盒对抗决策攻击的方法。

背景技术

基于决策的攻击是对抗攻击方法中重要的一个类别。不同于基于迭代或优化的攻击方法，基于决策的攻击不需要耗费大量的计算资源对目标模型重复求导，而是通过在原始图像的输入空间内随机漫步，并对目标模型进行一定次数的查询以实现非黑盒攻击以及对抗噪声的压缩，能够以更高的效率和更少的限制生成噪声幅度较小的对抗样本。然而，现有的基于决策的攻击，例如Boundary Attack，Evolutionary Attack等并不使用对目标模型的历史查询建模目标模型对图像各像素的噪声的敏感度。基于决策的攻击本质上是在输入空间中原始图像的邻域内进行采样，并在保证错分的前提下寻找改变幅度尽可能小的噪声幅度。事实上一张图像中不同的像素点对于错分的贡献程度并不相同，不同模型对于图像的敏感区域也有所差异，这些信息都可以通过对目标模型的历史查询来获得，可以认为历史查询的结果是对像素点噪声敏感度的一个无偏近似。

另一方面，决策攻击中失败的采样(也就是落在正确类别的采样)事实上包含了决策边界的位置信息。尽管失败的采样无法直接压缩噪声幅度，但刻画了更高概率穿越决策边界的方向。由于对于攻击方来说希望尽可能多的采样落在相对于正确类别而言决策边界的另一侧，失败采样的信息可以使新的采样尽量避开失败概率较高的区域。但当前基于决策的攻击方法没有利用到这一包含目标模型决策边界的关键信息。

发明内容

为解决以上技术问题，本发明提出一种基于修正边界攻击的对抗攻击方法，通过分析一张图像中不同的像素点对于错分的贡献程度，对贡献较大的像素点进行攻击，同时结合成功和失败两方面的采样，以达到构建攻击能力更强的对抗样本的目的。

本发明的基于修正边界攻击的对抗攻击方法，该方法包括以下步骤：

步骤1，收集图像及标签信息，形成图像，类别对，构建图像数据集；

步骤2，取原始图像x_i，对x_i添加随机高斯噪声得到使得目标分类器(DNN)输出分类结果F(x_i^*)≠y_i，进而得到由对抗样本所构成的集合x^*；

步骤3，构造噪声集合z^*，表达式如下：

构造并初始化扰动空间参数集合W，表达式如下：

；

步骤4，通过计算扰动空间参数W的均值，构造扰动空间，在扰动空间中对扰动进行随机取样，得到的噪声的切向方向向量集合η，表达式如下：

；

步骤5，依据以下公式修正边界攻击：

其中，表示z^*中绝对值最大的像素点，r表示新的采样包含的像素点数量相对于当前噪声的像素点数量的比例，即像素保留率；