[发明专利]一种黑盒攻击对抗样本生成方法及系统

权利要求书

1.一种黑盒攻击对抗样本生成方法，其特征在于，包括以下步骤：

S1，在原始测试图像上添加相同维度的随机扰动生成多个候选解集合并计算每个候选解的适应度值，选择适应度值最小的候选解作为当前最优解；

S2，根据当前最优解的适应度值与原始图像的正确类别置信度值的比值将候选解集合划分为两部分，对每一部分分别进行候选解计算，依据贪婪选择确定最终下一代的候选解并更新当前最优解；

S3，根据更新后的最优解获取对应候选解的选择概率，根据选择概率值Prob选择满足rand(0,1)Prob_i的候选解进一步探索，采用自适应最优引导局部寻优策略；

S4，检查当前所有候选解的评估次数trial，如果某候选解对应的trial值大于设定的阈值时，通过初始化生成新的候选解替换当前候选解；对步骤S2到步骤S4迭代执行，直到生成对抗样本或者查询数量达到最大查询数量，完成对抗样本的生成。

2.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，随机扰动由均匀分布生成，每一个元素均处于[-a×δ_max，a×δ_max]区间内，每一个候选解遵循公式进行初始化，共生成En个候选解集合S，在目标攻击中计算非目标攻击下计算为适应度值，同一个候选解每查询一次，其评估次数trial加1，选择适应度值最小的候选解作为当前最优解。

3.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，将候选解集合S划分为S₁和S₂两部分，划分方法为：

其中，BF为当前最优解对应的适应度值，conf_ori为原始测试图像X在模型f上的输出类别c的置信度。

4.根据权利要求3所述的一种黑盒攻击对抗样本生成方法，其特征在于，对S₁中的每一个候选解采用人工蜂群算法的搜索方式生成新的候选解，搜索公式为

5.根据权利要求3所述的一种黑盒攻击对抗样本生成方法，其特征在于，对S₂中的每一个候选解集采用最优解引导探索可行解，具体搜索策略为

6.根据权利要求3所述的一种黑盒攻击对抗样本生成方法，其特征在于，在生成下一代候选解后，计算每一个的候选解适应度值，并比较候选解和的适应度值，依据贪婪选择确定最终下一代的候选解，若被抛弃，设置新候选解评估次数trial为1，否则其对应trial加1，并更新当前最优解。

7.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，根据更新后的最优解获取对应候选解的选择概率，选择概率公式为：

式中，是t+1代中食物源i的适应度值，是第i个解的概率。

8.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，采用自适应最优引导局部寻优策略，更新每一个候选解中以概率rate随机选择的个元素的值，rate计算公式如下，

式中，ME为设置的最大查询数量，evalCount表示当下所用的查询数量。

9.根据权利要求8所述的一种黑盒攻击对抗样本生成方法，其特征在于，设Points为选择的元素集合，采用最优解引导策略为Points计算更新值探索新蜜源，计算更新值的适应度并进行贪婪选择。

10.一种黑盒攻击对抗样本生成系统，其特征在于，包括初始化候选模块，优化模块，选择模块和生成模块；

初始化候选模块用于在原始测试图像上添加相同维度的随机扰动生成多个候选解集合并计算每个候选解的适应度值，选择适应度值最小的候选解作为当前最优解；

优化模块用于根据当前最优解的适应度值与原始图像的正确类别置信度值的比值将候选解集合划分为两部分，对每一部分分别进行候选解计算，依据贪婪选择确定最终下一代的候选解并更新当前最优解；

选择模块用于根据更新后的最优解获取对应候选解的选择概率，根据选择概率值Prob选择满足rand(0，1)Prob_i的候选解进一步探索，采用自适应最优引导局部寻优策略；

生成模块用于检查当前所有候选解的评估次数，如果某候选解对应的评估次数trial大于设定的阈值时，通过初始化生成新的候选解替换当前候选解，直到生成对抗样本或者查询数量达到最大查询数量，完成对抗样本的生成并输出。