[发明专利]基于优化算法和不变性的智能对抗样本生成方法及系统

说明书

本发明属于图像识别数据处理技术领域，特别涉及一种基于优化算法和不变性的智能对抗样本生成方法及系统，通过收集带有正确标签的原始图像数据；构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法进行迭代求解，根据迭代终止条件来获取最终生成的对抗样本。本发明从对抗样本的生成过程与神经网络训练过程类似的角度出发，通过Adabelief迭代快速梯度法优化收敛过程，利用裁剪不变性避免对抗攻击中过拟合现象，能够产生更具迁移性对抗样本，提高网络模型鲁棒性，便于实际场景应用。

技术领域

本发明属于图像识别数据处理技术领域，特别涉及一种基于优化算法和不变性的智能对抗样本生成方法及系统。

背景技术

在图像识别领域，相关标准数据集上的实验结果表明，深度神经网络的识别能力可以达到甚至是超过了人类的水平。然而研究人员发现深度神经网络是很脆弱的。如，Szegedy等人首次发现深度神经网络的有趣特性：即向原始干净图像中添加人类无法察觉的微小扰动可以使深度神经网络以高置信度给出错误的输出。添加了扰动的图像即是对抗样本；尽管对抗样本的存在严重影响了深度神经网络的安全使用，但是具有强攻击性能的对抗样本却可以用来评估甚至是提升模型的鲁棒性。

在了解神经网络结构和权重参数的情况下，有许多方法可以成功的生成对抗样本并实现白盒攻击，包括基于优化的方法，如L-BFGS(limited-memory BFGS)，基于单步梯度的方法，如快速梯度符号法(Fast Gradient Sign Method,FGSM)，基于多步迭代梯度的方法，如迭代快速梯度符号法(Iterative Fast Gradient Sign Method,I-FGSM)，动量迭代快速梯度符号法(Momentum Iterative Fast Gradient Sign Method,MI-FGSM)和CW攻击法(CarliniWagner attack method)。然而，在白盒设置下，攻击者需要完全了解给定模型的结构和参数，这在对抗环境中是很难实现的。但是，在一个模型上生成的对抗样本也可能对其他模型具有对抗性，这意味着对抗样本具有一定程度的可迁移性。对抗样本的这个特征使得黑盒攻击成为可能，由此带来现实的安全问题。尽管对抗样本通常具有可迁移性，但如何进一步提高其可迁移性来实现有效的黑盒攻击仍有待进一步研究。如：基于数据增强的多样化输入方法(Diverse Input Method,DIM)，以提高对抗样本的可迁移性。然而，这些现有的方法在黑盒环境下往往表现出较低的攻击成功率，特别是对于经过对抗训练的网络。因此，研究如何生成攻击性能强的对抗样本有助于评估和提高神经网络模型的鲁棒性，便于改善图像识别等领域的应用效果。

发明内容

为此，本发明提供一种基于优化算法和不变性的智能对抗样本生成方法及系统，从对抗样本的生成过程与神经网络的训练过程类似的角度出发，通过Adabelief迭代快速梯度法优化收敛过程，利用裁剪不变性避免对抗攻击中的过拟合现象，产生更具迁移性的对抗样本，提高网络模型的鲁棒性，便于实际场景应用。

按照本发明所提供的设计方案，一种基于优化算法和不变性的智能对抗样本生成方法，包含如下内容：

收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用相关约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。