[发明专利]一种基于动态化网络结构学习的黑盒攻击系统

权利要求书

1.一种基于动态化网络结构学习的黑盒攻击系统，其特征在于，包括基于结构化信息图的优化约束和动态化网络结构学习的替代训练，所述替代训练具体包括以下步骤：

S1：生成替代训练数据；

S2：基于结构化信息图的优化约束的替代训练；

S3：生成动态化网络结构学习的替代模型；

S4：将测试数据送入替代模型，通过白盒攻击方式生成对抗样本，并对目标黑盒模型进行攻击测试。

2.根据权利要求1中所述的黑盒攻击系统，其特征在于，所述步骤S1具体包括以下步骤：

S11：根据高斯分布随机生成噪声样本；

S12：将噪声样本送入生成器中生成替代训练数据。

3.根据权利要求1中所述的黑盒攻击系统，其特征在于，所述步骤S2具体包括以下步骤：

步骤21：将生成器生成的替代训练数据分别送入目标模型和替代模型中获得相应的输出；

步骤22：根据目标模型和替代模型的多个输出计算点节点和边特征，并构建相应的结构化信息图；

步骤23：根据目标模型和替代模型输出得到的结构化信息图，计算基于结构化信息图的优化损失函数；

步骤24：根据基于结构化信息图的优化损失函数缩小目标模型和替代模型输出间的距离，更新并优化替代模型网络参数；

步骤25：根据基于结构化信息图的优化损失函数扩大目标模型和替代模型输出间的距离，更新并优化生成器网络参数。

4.根据权利要求3中所述的黑盒攻击系统，其特征在于，所述步骤22的结构化信息图包括点节点和边特征，所述点节点由模型的输出本身表达，所述边特征为两两点节点之间的特征欧氏距离差。

5.根据权利要求3中所述的黑盒攻击系统，其特征在于，所述步骤23采用Kullback-Leibler散度来衡量点节点之间的距离，用MSE损失函数来表示边特征之间的距离。

6.根据权利要求1中所述的黑盒攻击系统，其特征在于，所述步骤S3具体包括以下步骤：

步骤31：根据输入的特征向量，经过平均池化层和全连接层进行简单处理；

步骤32：通过门函数来预测是否跳过当前残差分支。

7.根据权利要求6中所述的黑盒攻击系统，其特征在于，所述步骤32采用Hard-Sigmoid函数作为门函数H，并设定阈值为0.5，实现动态门输出的二值化。