[发明专利]一种基于敏感度实现清晰决策树与模糊决策树的攻击方法

权利要求书

1.一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于，包括以下步骤：

1)获取数据并进行数据处理；

2)将处理后的数据划分为训练集和测试集，通过从训练样本中学习，测试集上验证，获得清晰决策树和模糊决策树；

3)利用步骤2)中训练好的清晰决策树和模糊决策树的模型信息，计算样本被分为真实类别的置信度，进一步计算特征的敏感度，包括以下步骤:

3.1)选取需要修改特征，确定样本x的改动大小Δx：

Δx＝[Δx₁,Δx₂,......,Δx_n]

式中，n为样本的维度，Δx_i是对特征i的改动大小；当i≠f时，Δx_i＝0；否则，Δx_f＝ε，ε表示特征修改大小；

3.2)根据清晰决策树与模糊决策树的模型信息，分别计算清晰决策树和模糊决策树将样本分为真实类别t的置信度C^t；

清晰决策树：

式中，H^t表示清晰决策树的所有路径中能将样本分为真实类别t的路径集合，D(h,x)代表路径h中被满足的条件数量，L(h)是该路径的条件数量；

模糊决策树：

式中，H表示模糊决策树的所有路径的集合,l^t(h,x)表示模糊决策树的路径h将样本分为t类的概率，m(h,x)表示样本x属于路径h的程度；

3.3)计算每个特征的敏感度

根据清晰决策树和模糊决策树对原样本x和修改后的样本x+Δx_f或者x-Δx_f的置信度差异，计算得到敏感度：

M_f+(x)＝C^t(x)-C^t(x+Δx_f)，

M_f-(x)＝C^t(x)-C^t(x-Δx_f)

式中，f表示特征的索引，表示正向修改特征f的敏感度，表示负向修改特征f的敏感度，C^t()表示清晰决策树或者模糊决策树对样本分为t类的置信度计算函数；

4)根据特征的敏感度，选择有最大敏感度的特征进行修改；

5)迭代执行步骤3)和4)，直到满足终止条件，获得伪造的攻击样本集；

6)用伪造的攻击样本集分别在训练后的清晰决策树和模糊决策树上测试，然后比较清晰决策树和模糊决策树在测试集和伪造的攻击样本集上的准确率；若准确率降低，则说明攻击有效；若清晰决策树的准确率减少量比模糊决策树多，则表示清晰决策树比模糊决策树的鲁棒性差；反之，则清晰决策树比模糊决策树的鲁棒性好。

2.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤1)中，所述数据是指从网上获取的公开数据集；所述数据处理是指对数据集的数据量、维度大小进行处理，以及特征标准化和特征模糊化。

3.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤2)中，将处理后的数据分层划分为训练集和测试集，其中训练集占70％,测试集占30％；然后用训练集训练清晰决策树和模糊决策树，用测试集来评估训练后的清晰决策树和模糊决策树的泛化能力；最后重复训练和测试清晰决策树和模糊决策树5次，然后用5次测试结果的平均值衡量清晰决策树和模糊决策树的泛化能力。

4.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤4)中，利用步骤3)所有特征的敏感度，首先从所有特征的正或负向敏感度选取敏感度最大的特征：

式中，M_f+(x)表示正向修改特征f的敏感度，M_f-(x)表示负向修改特征f的敏感度；然后再从两者中选择有最大敏感度的特征作为最优特征进行修改：

式中，表示样本x的第个特征的值,表示样本x的第个特征的值；ε表示特征修改大小；是正向修改样本x的最优特征的敏感度，是负向修改样本x的最优特征f^-*的敏感度。

5.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤5)中，考虑到攻击效率，从三个方面来终止样本的特征修改程序，只要任意一个条件满足，就终止程序：

a、当清晰决策树和模糊决策树将伪造的样本分为其它类别时，终止程序；

b、当伪造的样本与原样本之间的欧氏距离超过最大限制时，终止程序；

c、当迭代次数超过最大迭代次数限制时，终止程序。