[发明专利]一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法

说明书

本发明公开一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法,包括步骤如下：(1)采用图像分割技术，确定原始图像中对扰动较为敏感的活跃子空间；(2)利用低秩进化策略计算、更新附加在活跃子空间中的扰动；(3)配合基于安全裕度的目标函数；(4)种群中的每个个体随机选择区域实现活跃子空间失活；(5)满足迭代停止条件，输出对抗样本。本发明能实现生成高质量、低查询次数、低成本的对抗样本分布，所得对抗样本扩展性好、质量高。

技术领域

本发明涉及黑盒对抗攻击方法，尤其涉及一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法。

背景技术

随着深度学习系统在各领域的广泛应用，这些系统在面对恶意攻击者时的安全性已经成为一个重要的研究领域。在自动驾驶领域，系统通过识别道路附近的标志牌来转变方向、控制时速。而攻击者只要在指示牌贴上少量不易被人察觉到的小方块，就能够使得系统错判，不能按照实际路况行进，极大地影响了自动驾驶的广泛使用。

根据攻击者获得信息的能力，对抗样本生成技术可分为白盒攻击与黑盒攻击。白盒攻击者可以获得模型的结构、参数以及训练集等信息；黑盒攻击者则受到更多的约束，往往只能通过查询来访问模型，攻击难度也大幅度提升。当前白盒对抗样本的生成方法已发展得较为成熟，可达到较高的攻击成功率。但由于深度学习模型往往是远程部署，攻击者只有访问权限而得不到详细的内部信息，所以在实际情况下白盒攻击的实用性并不高，黑盒攻击更加符合现实情况。黑盒攻击也因此成为了当前的研究热点。

目前，常见的黑盒攻击主要分为三类：基于优化的方法、基于决策边界的方法和基于迁移学习的方法。

基于优化的方法通过一定的算法构造输入，然后根据模型的反馈不断迭代修改输入，较为典型的是单像素攻击与基于自然进化策略(NES)的攻击。但是单像素攻击只对包含较少像素信息的图像可行，如CIFAR-10与MNIST数据集，而对于ImageNet数据集中信息量比较大的图像则显得力不从心。基于自然进化策略的攻击为了应对图像中的高维数据问题，使用固定步长，避免计算协方差矩阵带来的内存与时间损耗。但是会损失大量模型反馈信息，需要较高的查询次数，攻击成本较高。

基于决策边界的方法完全依赖于模型的最终决策。平均每成功生成一幅对抗样本需要10万次左右的查询，代价昂贵，并且生成的对抗样本可扩展性低。

基于迁移学习的方法，则需首先训练替代模型，然后对替代模型使用白盒攻击来生成对抗样本，再利用这些样本对黑盒模型进行攻击。缺点是替代模型较难对目标模型进行准确模拟。并且当对方模型有所改动时，基于替代模型生成的对抗样本会在成功率上大打折扣。

发明内容

发明目的：本发明的目的是基于活跃子空间与低秩进化策略，提供一种黑盒条件下，实现高质量、低查询次数、低成本的对抗样本生成方法。

技术方案：本发明的黑盒对抗攻击方法，包括如下步骤：

(1)确定原始图像中含有信息的位置，该位置囊括对扰动较为敏感的边界、线条，被称为活跃子空间；

(2)设计基于安全裕度的目标函数；

(3)利用低秩进化策略计算、更新附加在活跃子空间中的扰动；

(4)采用基于安全裕度的目标函数，对种群中的每个个体随机选择区域实现活跃子空间失活，将不敏感区域的扰动置为零；

(5)满足迭代停止条件，输出对抗样本。

进一步，所述步骤(1)实现步骤如下：

(11)平滑图像：当滤波模板滑过将被平滑的图像时，每个像素被由该滤波模板定义的邻域中的像素的平均值代替；