[发明专利]一种基于梯度屏蔽的对抗样本生成方法

说明书

本发明公开了一种基于梯度屏蔽的对抗样本生成方法，包括：S1，将原始输入图像X表示成a×b的矩阵D,记为D＝D_a×b；S2，采用目标检测算法在矩阵D中进行核心区域定位，得到核心区域D^S；S3，运行基于梯度的攻击方法得到梯度矩阵M_G；S4，基于核心区域D^S和梯度矩阵M_G构造梯度屏蔽矩阵H；S5，将梯度矩阵M_G与梯度屏蔽矩阵H对应相乘得到更新梯度矩阵M'_G；S6，依据公式完成对抗样本的构造：S7，重复执行步骤S3‑S6进行K轮迭代，最终得到基于区域的梯度屏蔽方法的对抗样本。本发明既实现了高效的对抗样本生成，拥有与梯度攻击相似的成功率，又减少了对抗样本相对于原始样本的扰动，提高了对抗样本的抗感知能力和抗检测能力。

技术领域

本发明涉及人工智能安全技术领域，具体涉及一种基于梯度屏蔽的对抗样本生成方法。

背景技术

近年来，随着深度学习技术的不断突破，极大地促进了人工智能行业的发展，但人工智能本身的安全性问题也引起了人们越来越多的关注。特别地，由于深度学习强大的表征能力，它已被应用到各个图像处理领域。尤其是像自动驾驶这种高安全性要求的领域，神经网络更是扮演着极其重要的角色。2014年，Szegedy等人指出，对图像添加微小的扰动，可以导致神经网络识别图片出错，这一发现引起了学术界和工业界的广泛关注。自此之后，许多研究人员提出了大量的攻击方法来针对先前的分类器生成对抗样本，有攻击就会有防御，一些研究人员也提出了大量的防御方法来抵御对抗样本的攻击，不论是攻击还是防御都有助于研究人员进一步地理解神经网络的运行机理。但是，此前很多研究神经网络攻击的人员通常将关注点主要放在了提高对抗样本的攻击成功率上，而不是生成更好的难以察觉的或者说是扰动更小的对抗样本。

将攻击的类型依据攻击方法对原始图像的修改程度分为了全局的图像攻击和局部的图像攻击。在现有的攻击方法中，基于梯度的攻击方法是全局图像攻击的代表，基于梯度的攻击技术通常会对整张图片产生扰动。例如Goodfellow等人提出的通过修改整张图片的快速符号梯度法(FGSM)。FGSM仅采用一步更新即可生成对抗样本，扰动是通过反向传播获得的。而后，kurakin等人又在FGSM的基础上提出了基础迭代攻击(BIM)，在每次迭代时裁剪像素值，并且通过多次迭代生成对抗样本，以及之后的基于动量优化的MI-FGSM攻击方法同样是更强大的基于梯度的对抗样本生成方法，虽然这些攻击方法都是基于梯度的，生成对抗样本的效率很快，而且成功率也很高。但是从扰动的程度来看，这些方法都是对整张图像的像素值去做更改，扰动的幅度很大，从对抗样本的抗感知能力和抗检测能力来说效果并不是很好。

在现有的技术中，部分的技术也考虑了只进行局部的像素值修改，比如单像素攻击方法(one-pixel attack)，虽然只进行了局部像素点的更改，减小了扰动的幅度，但是单像素攻击的效率慢，成功率低。又比如现有的方法中有通过计算奇异点及临近点之间的平均距离作为评估指标来区分包含奇异点的对抗样本，设计新的基于点攻击方法来生成对抗样本，引入了新的约束权衡篡改点的数量和篡改的程度，以此来生成扰动更小的对抗样本，但是基于权重普生成的方法需要计算奇异值也带了很大的开销，耗时更多，而且成功率也不高。

综上，行业内急需研发一种既能高效的生成对抗样本，拥有与梯度攻击相似的成功率，又减少了对抗样本相对于原始样本的扰动，提高了对抗样本的抗感知能力和抗检测能力的对抗样本生成方法

发明内容

本发明的目的是为了克服以上现有技术存在的不足，提供了一种攻击成功率高且对原始样本的扰动小的基于梯度屏蔽的对抗样本生成方法。

本发明的目的通过以下的技术方案实现：

一种基于梯度屏蔽的对抗样本生成方法，包括：

S1，将原始输入图像X表示成a×b的矩阵D,记为D＝D_a×b；其中，d_ij表示位于第i行第j列的像素；