[发明专利]一种针对语音关键词分类网络的对抗样本攻击方法

说明书

本发明公开了一种针对语音关键词分类网络的对抗样本攻击方法，包括以下步骤：(1)按照训练策略选择训练数据以及训练的批大小的目标标签；(2)将数据以及标签输入到生成器G中，生成对抗扰动，并且构建相应的对抗样本；(3)将生成的对抗样本分别输入到判别器D和目标受害模型，得到相应的损失，并且计算相应的损失，更新网络的参数；(4)重复步骤(1)至步骤(4)，直到满足训练的停止条件，最终得到训练好的模型；(5)模型使用，加载模型参数，输入语音样本以及目标标签，即可快速的生成对抗样本。使用本发明提出的方法，能够实现实时场景下基于语音关键词分类网络应用的对抗样本攻击。

技术领域

本发明涉及基于条件生成对抗网络的对抗样本生成技术领域，具体是一种针对语音关键词分类网络的对抗样本攻击方法。

背景技术

基于深度学习的语音关键词分类器作为语音唤醒功能的核心功能被广泛地应用于智能设备，如智能手机，智能音箱和智能声控门锁等。由于语音关键词分类器容易遭到对抗样本攻击，因而给这类应用蒙上潜在的安全隐患。为了消除这些安全隐患，对抗样本的研究显得非常必要。对抗样本是指在深度学习中，对网络的输入进行细微有目的修改导致网络做出错误输出，甚至攻击者指定的输出。一般意义上的对抗样本需要满足以下两个方面的条件：第一，在听觉感受上，对抗样本应与其原始样本无异。第二，在功能上，对抗样本可以使目标网络识别出错，甚至识别成攻击者指定的目标。现有构建对抗样本的方法可以分为以下两类：基于优化算法和基于进化算法。基于优化算法的攻击方法通过设计一个优化目标函数，通过迭代求出一个符合目标函数的最优解。基于进化算法的攻击方法的关键则是设计一个种群的适应度函数，通过对预设群体的不断进化更新，最终找到符合条件的结果。这两类方法的优点是，不需要获得目标网络的梯度信息，可以实现黑盒攻击；但是其缺点在于生成单个对抗样本需要大量的时间，这在实时场景中是无法接受的。近年来，也有基于深度学习方法的对抗样本攻击方法提出，这类方法将一个受害者模型置于网络框架种训练，最终使用训练好的模型生成对抗样本，但这种方法因需要对每个目标标签训练一个模型而导致效率不高，并且网络仅能针对某个特定的受害模型，生成的对抗样本的质量不高。

当前语音关键词分类网络的研究中，分为：一、使用遗传算法攻击谷歌提出的语音关键词分类网络；二、使用生成对抗网络生成对抗扰动，然后添加到语音中生成对抗样本，攻击了在关键词分类问题中性能很好的分类器。

方法一通过大量的迭代的方式求对抗样本，需要耗费大量的时间和计算机资源，而方法二需要针对每个目标都训练一个生成器，这导致在训练和使用时，效率都很低。此外，该方法生成的对抗样本语音质量也不高。

发明内容

本发明要解决的技术问题就是克服以上的技术缺陷，提供一种针对语音关键词分类网络的对抗样本攻击方法，通过分析损失权重与生成对抗样本语音质量的关系，从而选择了一组恰当的权重。此外，为了提高生成对抗样本的可转移性，即保证其能在一定程度上攻击未知模型，提出了一种模型集成的方法。当模型训练完成后，提出的方法能够满足实时攻击的场景，并且生成的对抗样本在可转移性和质量都有很大的提升。

为了解决上述问题，本发明的技术方案为：一种针对语音关键词分类网络的对抗样本攻击方法，包括以下步骤：

(1)按照训练策略选择训练数据以及训练的批大小的目标标签；

(2)将数据以及标签输入到生成器G中，生成对抗扰动，并且构建相应的对抗样本；

(3)将生成的对抗样本分别输入到判别器D和目标受害模型，得到相应的损失，并且计算相应的损失，更新网络的参数；

(4)重复步骤(1)至步骤(4)，直到满足训练的停止条件，最终得到训练好的模型；

(5)模型使用，加载模型参数，输入语音样本以及目标标签，即可快速的生成对抗样本。

进一步，所述步骤(1)中的目标标签由标签标量转化为标签向量的公式如下：