[发明专利]基于Adam的迭代快速梯度下降对抗攻击方法

说明书

本发明公开了一种基于Adam的迭代快速梯度下降对抗攻击方法，设置用于对抗攻击的基于深度神经网络的图像分类模型及其他对抗攻击参数，然后初始化迭代参数，在每次迭代时，将当前图像输入图像分类模型得到其分类结果，计算本次图像分类的损失函数梯度，根据该损失函数梯度对梯度均值和梯度方差进行更新，对梯度均值和梯度方差修正后更新每幅图像，如此循环直至达到最大迭代次数，将最后一次迭代得到的图像作为对抗样本。本发明引入Adam算法对I‑FGSM算法进行改进，能够在缩短训练时间的同时，提升生成对抗样本的迁移性和攻击成功率。

技术领域

本发明属于对抗攻击技术领域，更为具体地讲，涉及一种基于Adam的迭代快速梯度下降对抗攻击方法。

背景技术

近年来，深度神经网络在各个领域的贡献颇为显著，卷积神经网络(Convolutional Neural Network，CNN)在自动驾驶汽车、监视、恶意代码检测、无人机等领域得以成功应用，并且在其中扮演着关键性角色，因此深度神经网络模型安全的重要性更加凸显。

对抗攻击是威胁深度学习模型的主要攻击类型之一，其目的是通过对输入样本添加微小的噪声扰动，从而使得模型的预测结果发生错误(又称为无目标的攻击)，甚至能根据特定噪声扰动输出攻击者所期望的预测结果(称为有目标的攻击)。对抗攻击一方面对深度神经网络模型构成了威胁，另一方面也可用于辅助模型的训练和优化。现有研究结果表明，对抗攻击不仅可用于在深度神经网络模型启动之前测试其漏洞，评估模型脆弱性，而且可以融合对抗样本训练学习模型，丰富了训练样本的空间分布，有助于提高深度神经网络模型的鲁棒性。

对抗攻击可以分为黑盒攻击(black-box attack)和白盒攻击(white-boxattack)，区别在于攻击者是否知晓有关深度学习模型的先验知识，如深度神经网络结构、参数、超参数、训练样本、给定样本的学习结果等。在了解给定学习模型结构和参数的条件下，白盒攻击算法能成功生成对抗样本。相比而言，白盒攻击效果好，但已知条件较多；黑盒攻击效率低下，迁移性差。由于实际应用中所能获取的先验知识有限，因此黑盒攻击仍然是一种更为常用的对抗攻击方法。

经研究发现，对于用于图像分类的深度神经网络模型，通过在一张图片上做微小的扰动，就能让图片以很高的置信度被深度神经网络模型错误分类，甚至可以让图片被分类成一个指定的标签。GoodFellow等人于2015年分析了产生对抗攻击的根本原因为深度学习模型在高维空间中的线性特性，而非之前人们猜测的神经网络的复杂性，同时在这个假设前提下提出了一种高效生成对抗样本的算法快速梯度下降法FGSM，该方法是基于梯度的单步攻击方法，通过最大化损失函数来找到对抗样本。此后，2017年Madry等人提出了改进的I-FGSM算法，在FGSM算法基础上，定义了步长参数，用于增加多次迭代攻击，其效果更加显著。

就FGSM算法而言，其在计算对抗样本时采用了线性假设，但是在具体实践中，当失真较大时(如图片模糊不清)，线性假设可能不成立，这使得FGSM生成的对抗样本无法成功攻击目标深度神经网络模型，从而限制了其攻击的效率。I-FGSM算法虽然进行了改进，但是在每次迭代中会在梯度的符号方向上贪婪地向生成对抗样本的方向移动。因此，对抗样本容易陷入不良的局部最大值并“过拟合”模型，如此生成的对抗样本虽然攻击强度上更强，但是在黑盒模型上体现的攻击效果会更差。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于Adam的迭代快速梯度下降对抗攻击方法，引入Adam算法对I-FGSM算法进行改进，在更短训练时间内提升生成对抗样本的迁移性和攻击成功率。

为了实现上述发明目的，本发明基于Adam的迭代快速梯度下降对抗攻击方法包括以下步骤：

S1：设置用于对抗攻击的基于深度神经网络的图像分类模型，确定若干输入图像x_k，k＝1,2,…,K，K表示输入图像数量，记输入图像x_k对应的类型标签为y_k；根据需要设置输入图像的扰动量ε和最大迭代次数T，计算步长λ＝ε/T；