[发明专利]一种基于动态残差侵蚀的对抗样本生成方法

权利要求书

1.一种基于动态残差侵蚀的对抗样本生成方法，其特征在于，包括以下步骤：

步骤1：针对残差网络中的残差块结构，采用行动态梯度侵蚀机制，即EGM侵蚀机制，进行侵蚀处理，之后将其作为本地的白盒替代神经网络模型；

步骤2：采用Corrasion Attack攻击方法，将其与EGM侵蚀机制相结合，生成对抗样本；其中，Corrasion Attack攻击包括以下步骤：

步骤2.1：以MXNET_LResNet34E_IR、MXNET_LResNet50E_IR、MXNET_LResNet100E_IR作为本地替代模型，进行对抗攻击；

步骤2.2：给定一张原始输入图片x和靶向图片y，其中，图片x允许改变最大像素值∈、攻击步长α；

步骤2.3：设计一个输入变换函数T(·)，以随机概率p对输入图片x进行平移缩放：

T(x，p)＝T(x)，with probability p

步骤2.4：设定对抗攻击迭代次数；

步骤2.5：对于每一轮迭代攻击，将其分为m轮子迭代；

步骤2.6：对于每一轮子迭代，利用函数S_i(·)对图片进行尺度变换，其中，S_i(·)表示对图像的像素除以2的i次方，其中i∈[1，m]；

步骤2.7：将尺度变换后的图片混入随机噪声，降低获取到的图片的梯度方差；

步骤2.8：将步骤2.7得到的图片送入输入变换函数T(·)中；

步骤2.9：将处理后的图片送入步骤1获得的本地白盒替代神经网络模型中，求解图片梯度，同时，将靶向图片送入神经网络提取图片特征；对于识别任务，使用余弦相似度作为损失函数；

步骤2.10：将m轮子迭代获取到的梯度进行求平均，结果作为本次迭代攻击的最终梯度G；

步骤2.11：在获得的图像梯度G上，使用卷积核kernel matrix W，对图像梯度进行平滑；

步骤2.12：将经步骤2.11中处理后的梯度信息进行累计，即，与之前的梯度信息进行求和；

步骤2.13：对图片像素使用梯度方向进行更新，获取对抗样本x^adv，并对更改的最大像素值进行裁剪操作；

步骤2.14：将步骤2.13中输出的对抗样本作为本轮迭代攻击的结果和下一轮迭代攻击的输入，重复执行步骤2.5至2.13，直至达到迭代攻击次数。

2.如权利要求1所述的一种基于动态残差侵蚀的对抗样本生成方法，其特征在于，步骤1的具体实现方法如下：

在残差网络中，令F_i(·)表示第i层的残差块中的残差函数，F_i(x_i)表示第i层的残差函数的输出，x_i表示第i层跳跃连接部分，λ表示侵蚀参数；

首先，确定侵蚀参数λ，λ的取值为符合[0.5，1]的均匀分布，即侵蚀参数λ为一个集合λ＝{λ₁，λ₂，λ₃…λ_i}；

然后，在第i层残差块的部分，在其反向传播过程中给其梯度乘以侵蚀参数，使其变成

3.一种测试如权利要求1所述的一种基于动态残差侵蚀的对抗样本生成方法的方法，其特征在于，包括以下步骤：

使用InsightFace_mobilefacenet、InsightFace_IR_SE50、CosFace、FaceNet_casia、FaceNet_vggface2、ArcFace、MobileNet、ResNet50、ShuffleNet、evoLVe_IR_152、evoLVe_IR_50、evoLVe_IR_50_Asia这12个未知黑盒模型上，具体进行未知黑盒靶向攻击测试；

步骤3.1：使用步骤2中生成的对抗样本x^adv和靶向攻击图片y，组成靶向攻击对，在上述未知的识别模型上进行靶向攻击实验；

步骤3.2：将对抗样本x^adv与靶向图片y分别送入InsightFace_mobilefacenet特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度，若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.3：将对抗样本x^adv与靶向图片y分别送入InsightFace_IR_SE50特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值，说明攻击成功，否则说明攻击失败；

步骤3.4：将对抗样本x^adv与靶向图片y分别送入CosFace特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值，说明攻击成功，否则说明攻击失败；

步骤3.5：将对抗样本x^adv与靶向图片y分别送入FaceNet_casia特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.6：将对抗样本x^adv与靶向图片y分别送入FaceNet_vggface2特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.7：将对抗样本x^adv与靶向图片y分别送入ArcFace特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.8：将对抗样本x^adv与靶向图片y分别送入MobileNet特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.9：将对抗样本x^adv与靶向图片y分别送入ResNet50特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.10：将对抗样本x^adv与靶向图片y分别送入ShuffleNet特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功；以此攻击ShuffleNet模型；

步骤3.11：将对抗样本x^adv与靶向图片y分别送入evoLVe_IR_152特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.12：将对抗样本x^adv与靶向图片y分别送入evoLVe_IR_50特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败；

步骤3.13：将对抗样本x^adv与靶向图片y分别送入evoLVe_IR_50_Asia特征提取模型；将两者预测的图片特征向量使用余弦相似度进行计算，计算其相似度；若计算出的相似度大于可信度阈值说明攻击成功，否则说明攻击失败。