[发明专利]基于注意力机制的可迁移的对抗样本攻击方法

权利要求书

1.一种基于注意力机制的可迁移的对抗样本攻击方法，其特征在于，包括以下步骤：

S1、选择一个本地替代网络模型，并构建特征库将原始图片映射到特征空间中；

S2、采用基于动量累积的迭代快速梯度符号攻击方法将原始图片的特征远离原始类别区域，同时使其靠近目标类别区域；

S3、将步骤S2攻击得到的对抗样本输入到黑盒分类模型中，误导模型输出目标类别。

2.根据权利要求1所述的基于注意力机制的可迁移的对抗样本攻击方法，其特征在于，所述步骤S1中选择一个本地替代网络模型具体为：

选择一个用于图片分类的本地替代网络模型，选择分类网络的中间层作为浅层，选择分类网络的Softmax的前一层作为深层。

3.根据权利要求2所述的基于注意力机制的可迁移的对抗样本攻击方法，其特征在于，所述步骤S1中构建特征库将原始图片映射到特征空间中具体为：

对本地替代网络模型的验证集中每个类别，分别在选择的分类网络的浅层和深层中计算所有被本地替代网络模型分类成功的图片的质心，构建不同层的特征库。

4.根据权利要求3所述的基于注意力机制的可迁移的对抗样本攻击方法，其特征在于，所述所有被本地替代网络模型分类成功的图片的质心的计算公式为：

其中，n为在j类别中所有被本地替代网络模型分类正确的图片数量，F_l为本地替代网络模型中间第l层，为j类别中第i张图片，y^j为j类别的真实分类标签。

5.根据权利要求1所述的基于注意力机制的可迁移的对抗样本攻击方法，其特征在于，所述步骤S2具体包括以下分步骤：

S21、对于每张原始图片，在第l层的特征库中选择一个与原始图片相同类别的质心作为负样本，随机选择一个与原始图片不同类别的质心作为正样本，并与原始图片的第l层的特征共同组成三元组损失函数；

S22、根据三元组损失函数构建本地替代网络模型的总损失函数；

S23、采用基于动量累积的迭代快速梯度符号攻击方法对原始图片的特征生成扰动。

6.根据权利要求5所述的基于注意力机制的可迁移的对抗样本攻击方法，其特征在于，所述步骤S22中本地替代网络模型的总损失函数具体为：

L_total＝L_l+L_k

L_l＝[D(f_l^a,f_l^p)-D(f_l^a,f_lⁿ)+θ_l]₊

其中，L_total为总损失函数，L_l、L_k分别为第l层和第k层上的三元组损失函数，D函数为欧氏距离函数，f_l^a、分别为原始图片的第l层和第k层特征，f_lⁿ、分别为第l层和第k层特征库中负样本，f_l^p、分别为第l层和第k层特征库中正样本，θ_l、θ_k分别为原始图片的第l层和第k层的特征与正样本之间的距离和该特征与负样本之间的距离之间的最小间隔，+表示[]内的值大于零时取该值为损失值，小于零时损失值为零。

7.根据权利要求5所述的基于注意力机制的可迁移的对抗样本攻击方法，其特征在于，所述步骤S23具体包括以下分步骤：

S231、对原始图片计算总损失函数的梯度；

S232、根据总损失函数的梯度计算累积的动量；

S233、利用得到的动量计算扰动并加到第t次迭代的对抗样本图片中生成第t+1次迭代的对抗样本图片；

S234、对原始图片进行T次迭代攻击后输出第T次迭代的对抗样本图片作为最终的对抗样本。