[发明专利]面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法

说明书

本发明公开了一种面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，属于对抗性机器学习技术领域。目前对抗性机器学习技术领域所要解决的关键技术问题是提高机器学习模型抵御对抗性攻击的能力。基于静态广义非负矩阵分解算法(General Non‑negative Matrix Factorization，GNMF)的机器学习功能，提出基于大批量的自适应梯度攻击算法；基于动态增量广义非负矩阵分解算法(Incremental GNMF，IGNMF)的机器学习功能，提出基于动量迭代的自适应梯度攻击算法；在黑盒攻击环境下，构建与基于广义非负矩阵分解算法的机器学习模型近似相同的替代模型训练对抗样本；最后对提出的黑盒攻击策略进一步优化，N次迭代集成多个预训练的GNMF替代模型以构造对抗样本，进而探究性能较优的黑盒攻击方法。

技术领域

本发明涉及对抗性机器学习技术，尤其涉及一种面向广义非负矩阵分解算法的对抗性攻击技术。

背景技术

随着机器学习技术在人工智能和模式识别等领域的广泛应用，机器学习技术在训练或测试时极易受到对抗样本攻击，致使其产生错误输出。例如，对于图像分类机器学习技术，通过在给定图像中添加一些扰动来生成对抗样本，这些对抗性图像从人眼中看不出与原图像的差异，但会被已知性能良好的机器学习分类器错误分类，类似的攻击也会用于恶意软件检测、语音文本转换和人脸识别等领域，严重威胁到与人们生活和国家稳定息息相关的各领域的正常发展。近几年，非负矩阵分解算法已广泛运用于机器学习技术，面向不同的应用需求，基于非负矩阵分解算法的机器学习模型不断被改进和拓展，其应用范围也更加广泛，同时也面临各种安全威胁，一些恶意的攻击者根据机器学习模型存在的安全漏洞，试图通过各种手段绕过或直接对机器学习模型进行攻击。已有的对抗样本生成算法能否适用于基于广义非负矩阵分解算法的对抗性机器学习攻击，以及研究全新的面向广义非负矩阵分解算法的有效对抗样本生成算法/模型，是面向广义非负矩阵分解算法的对抗性机器学习攻击研究的核心问题。

鉴于此，亟待系统地研究面向广义非负矩阵分解算法的对抗性攻击方法，挖掘对抗样本生成机理和构造方法，从攻击角度深入研究基于广义非负矩阵分解算法的对抗性机器学习模型，提升对抗性攻击的攻击性能，进而探索更安全的机器学习算法。

发明内容

本发明提出了一种面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法。旨在从攻击的角度探索对抗性机器学习攻击算法并生成对抗样本的方法，进而系统化、全方位提高机器学习模型抵御对抗性攻击的能力。

鉴于此，本发明采用的技术方案是：面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，包括以下步骤：

S1，基于大批量的自适应梯度攻击算法生成对抗样本Ⅰ，然后通过基于静态广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅰ进行训练；

S2，基于动量迭代的自适应梯度攻击算法生成对抗样本Ⅱ，然后通过基于动态增量广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅱ进行训练；

S3，在黑盒攻击环境下，构建与基于广义非负矩阵分解算法的机器学习模型近似的替代模型，对已生成的对抗样本Ⅰ和对抗样本Ⅱ进行训练；

S4，对黑盒攻击策略进一步优化，N次迭代集成多个所述GNMF替代模型，构造最终的对抗样本。

具体地，步骤S1中生成对抗样本Ⅰ具体包括以下步骤：

步骤1)通过增加样本采集所需的批量数目大小，生成由t个样本组成的大批量输入样本集；

步骤2)每次随机采样大批量输入样本集来计算生成对抗样本所需的梯度，通过最大化损失函数J(x^*,y)寻找扰动矩阵，并使用符号函数对其进行处理，将其添加到干净输入x中以生成满足条件的对抗样本Ⅰ。