[发明专利]一种基于迁移性的图像对抗样本生成装置及方法

说明书

本发明属于计算机软件领域，公开了一种基于迁移性的图像对抗样本生成装置及方法，针对上述黑盒攻击需要大量问询，或者迁移性不高的问题，实现在少量问询的条件下，提高了对抗样本的攻击成功率。主要方案为1)输入正常图像样本；2)图像样本经过自编码器处理得到降维后的数据D；3)依次传入经过筛选的本地图像分类器中并使用PGD对抗样本生成算法得到不同的扰动r_i；4)根据权重系数将这些扰动线性集成得到最终的扰动f(D)；5)将降维后的数据D添加上扰动f(D)后经自编码器解码得到最终的对抗样本。

技术领域

本发明属于计算机软件领域，具体为一种基于迁移性的对抗样本生成框架及方法，能通过少量问询目标模型提高一定的迁移性。

背景技术

近年来，深度的神经网络在各方面已经得到了广泛的应用，其在图像识别上甚至可匹配人类的性能，例如图片分类系统，人脸识别等，已经可以达到99％以上的识别率。然而，大多数研究者更关心模型的性能(如正确率)，却忽略了模型的脆弱性和鲁棒性。现有的模型很容易受到“对抗样本”的攻击，它可以使模型产生误判，进而使攻击者达到绕过模型检测的目的，例如在图像分类系统中，通过给原始图像添加一个微小的扰动信息(所需的扰动可能很小，以至于肉眼无法区别)，就能够以很高的概率达到改变图像分类结果的目的，甚至能按照攻击者的想法让图片被分类为一个任意指定的标签(不是图片的正确分类标签)。

国外Szegedy等人通过给图像添加肉眼难以分辨的扰动，使得最终模型无法得到正确的分类结果，进而提出了对抗样本。现在方法主要分为白盒攻击和黑盒攻击，白盒攻击需要目标模型的全部信息，包括参数，已经模型结构等，主要的方法有FGSM，PGD，BIM，CW等，白盒攻击的优点是攻击成功率高，但是在实际对抗样本生成场景中往往不太能满足白盒攻击的要求。第二种为黑盒攻击，指的是只需要知道部分模型的信息比如数据集，便可以进行攻击，黑盒攻击更有难度，但是需要的信息少，同时也更接近实际的攻击场景。当前黑盒攻击主要分为两类，第一类基于梯度估计的方法，通过大量访问目标模型来估计其梯度从而生成对抗样本，该方法的缺点是需要大量的访问目标模型，容易被攻击者发现。第二类方法就是基于对抗样的迁移性--即对一个模型攻击成功的对抗样本对其它模型也能攻击成功，利用迁移性的攻击方法不需要大量的问询，但是攻击成功率不高。

发明内容

针对上述黑盒攻击需要大量问询，或者迁移性不高的问题，实现在少量问询的条件下，提高了对抗样本的攻击成功率。

为了达到上述目的，本发明采用如下技术方案：

一种基于迁移性的图像对抗样本生成装置，包括以下模块：

自编码训练模块：利用图像训练数据集进行无监督训练得到一个自编码器；

图像分类器训练模块：利用训练好的自编码器对图像训练数据集进行编码降维，并使用降维后的数据训练多个本地图像分类器；

分类器权重系数更新模块：利用本地图像分类器生成的对抗样本对目标模型进行攻击，根据得到的结果动态更新本地图像分类器权重；

分类器参数更新模块：利用没有攻击成功的样本对本地图像分类器参数进行更新。

上述技术方案中，所述自编码训练模块，采用稀疏性自编码网络，同时采用损失函数如下：

其中：