[发明专利]一种基于Transformer模型的黑盒对抗样本生成方法

说明书

为了解决实际应用中人工智能技术安全性难以评估和提升的问题，本发明提供一种基于Transformer模型的黑盒对抗样本生成方法，属于人工智能技术领域。主要思想在于考虑不同编码块对对抗样本性能的影响，采用编码块权重分数对编码块性能进行分类。针对不同的编码块使用不同策略生成对抗样本，平衡图像和模型信息对扰动的影响，稳定扰动的更新方向，提高对抗样本的攻击成功率和迁移能力。最后，设计自适应权重调整关键像素点的扰动大小，使得对抗扰动在人眼难以察觉的情况下提高攻击能力。本发明显著提高了对抗样本的迁移能力，能够有效评估和提高人工智能技术的安全性，其在图像分类任务上实验，充分证明方法的有效性。

技术领域

本发明涉及一种基于Transformer模型的黑盒对抗样本生成方法，属于人工智能技术领域。

背景技术

随着人工智能技术的迅猛发展，神经网络模型在社会各个领域中发挥了重要作用，尤其是在计算机视觉领域，例如人脸识别、自动驾驶、社会治安等。然而研究表明，神经网络模型非常容易受到具有高迁移性的对抗样本的影响：在本地模型上，通过对原始图像添加噪声，生成在视觉上与原始图像相似的图像，导致其他神经网络模型输出错误。随着越来越多的神经网络模型被大规模应用在现实场景中，其安全性引发了人们的担忧。与此同时，神经网络模型的不可解释性使得模型性能依赖于训练的数据集，限制了模型性能的提高和广泛应用。因此，如何建立可信的人工智能技术以及评估和提高神经网络模型的安全性是目前亟待解决的问题。

为了提高神经网络模型在应用领域上的安全性，减少在现实场景下受到攻击者的潜在威胁，一方面，利用对抗样本测试神经网络模型，可以评估模型的安全性能；另一方面，通过在原始训练集中添加对抗样本用于训练，可以提高模型的稳定性和安全性。因此，对抗样本成为了一种评估和提高模型性能的重要方法，是人工智能领域的热点研究问题。目前，出现了各种不同类型的神经网络模型架构，例如卷积神经网络、生成式对抗网络、ViTs(Vision Transformers)等，其中ViTs由于拥有更广的感受野，能够更好地融合全局信息，尤其是当采用大规模数据集训练模型时，在众多计算机视觉领域中具有非常出色的性能，包括目标检测和图像分类等。现存的对抗攻击技术大多是针对卷积神经网络提出的，过度依赖卷积神经网络模型信息，难以生成能够同时攻击多种不同类型模型的对抗样本，在ViTs模型上存在攻击成功率低，迁移能力弱等缺点，无法用于评估和提高ViTs的安全性。因此，研究基于ViTs 的对抗样本生成方法至关重要。

发明内容

为了解决现有技术在ViTs模型上攻击成功率低和迁移能力弱的问题，本发明提供了一种基于Transformer模型的黑盒对抗样本生成方法，其具有很强的攻击性能，减轻了对模型信息的依赖程度，从而提高对抗样本的迁移能力。在黑盒场景下，能够同时攻击多种卷积神经网络和ViTs模型。在模型的训练阶段，将本发明生成的对抗样本与原始训练集融合，可以有效提高模型的综合性能。同时，本发明为神经网络模型在应用场景下的安全性提供了更有效的评估方法。

本发明采用的技术方案具体如下：

一种基于Transformer模型的黑盒对抗样本生成方法，该方法针对Transformer中不同的编码块属性，采用两种策略联合生成对抗样本，针对鲁棒编码块，使用交叉熵损失策略，针对非鲁棒编码块，使用基于自注意力特征损失策略，该方法能够避免模型信息的冗余，提高了对抗样本的迁移能力，其特征在于该方法包括以下步骤：

步骤1：获取原始图像及对应的标签，形成原始数据集，并初始化与原始图像尺寸相同的对抗扰动；

步骤2：生成多张与所述原始图像尺寸相同的噪声图像，形成负样本数据集；

步骤3：根据所述原始图像和负样本数据集，将视觉Transformer，即ViT模型中的编码块划分为鲁棒编码块和非鲁棒编码块；其中所述ViT模型为预训练模型，包含多个编码块，每个编码块均可提取分类信息用于计算目标损失值；