一种基于模型抽取的步长自适应的对抗攻击方法技术

本发明专利技术公开了一种基于模型抽取的步长自适应的对抗攻击方法，步骤1、构建图像数据集；步骤2、对图像集合IMG训练卷积神经网络，作为待攻击目标模型，步骤3、计算交叉熵损失函数，实现对卷积神经网络的模型抽取，初始化迭代攻击的梯度值与步长g1；步骤4、形成新的对抗样本x1；步骤5、重新计算交叉熵损失函数，利用新的梯度值更新下一步添加对抗噪声的步长；步骤6、重复输入图像‑计算交叉熵损失函数‑计算步长‑更新对抗样本的过程；将步骤5重复操作T‑1次，得到最终的迭代攻击对抗样本x′i，并将对抗样本输入到目标模型中进行分类，得出分类结果N(x′i)。与现有技术相比，本发明专利技术可以实现更好的攻击效果，这种相比当前的迭代方法具备更强的非黑盒攻击能力。

【技术实现步骤摘要】
一种基于模型抽取的步长自适应的对抗攻击方法
本专利技术涉及机器学习安全
，尤其涉及一种面向深度图像识别系统的非黑盒对抗迭代攻击的方法。
技术介绍
近年来，随着机器学习理论和技术的不断进步与发展，尤其是在计算机视觉和多媒体领域的突破性进展，医疗图像处理、生物图像识别、人脸识别等技术得到了广泛的应用。然而，机器学习领域火速发展也带来了许多安全问题。在自动驾驶、健康系统、财政系统等与安全与隐私密切相关的系统中，机器学习的安全性对人们的切身利益甚至生活构成了潜在的威胁。因此，如何维护机器学习系统的安全以及如何保护用户隐私成为机器学习发展的基础。已有人提出深度神经网络易受对抗样本攻击的特性，即通过对输入进行不可察觉的细微的噪声，可以使得深度神经网络以较高的信任度输出任意想要的分类，这样的输入称为对抗样本，这对基于深度学习的应用领域安全性构成了一定威胁。对抗攻击的类型可分为黑盒攻击和非黑盒攻击。其中，黑盒攻击指攻击者得不到目标模型的内部结构和参数，但是可以访问和查询目标模型；而非黑盒攻击指攻击者已知目标模型的结构和参数，攻击者可以通过分析目标模型结构来构造对抗样本进行对抗攻击。根据添加对抗本文档来自技高网...

【技术保护点】
1.一种基于模型抽取的步长自适应的对抗攻击方法，其特征在于，该方法包括以下步骤：步骤1、将收集的图片及标签信息形成<图像，类别>对，这里的类别为0～n‑1，即所有图像总共有n个类别，具体包括以下处理：使用ImageNet大规模图像分类数据集构成图像集合IMG：

【技术特征摘要】
1.一种基于模型抽取的步长自适应的对抗攻击方法，其特征在于，该方法包括以下步骤：步骤1、将收集的图片及标签信息形成<图像，类别>对，这里的类别为0～n-1，即所有图像总共有n个类别，具体包括以下处理：使用ImageNet大规模图像分类数据集构成图像集合IMG：其中，xi表示一张图像，Nd表示图像集合IMG中的图像总数；构建图像集合IMG中每个图像对应的图像描述集合GroundTruth：其中，yi表示每一个图像所对应的类别编号，Nd表示图像集合IMG中的图像总数；由图像集合IMG以及每个图像对应的图像描述集合GroundTruth组成最终的数据集DataSet＝{IMG,GroundTruth}；步骤2、以图像分类作为任务对图像集合IMG训练卷积神经网络，作为待攻击的目标模型，具体包括以下处理：选择Inception-v3深度神经模型作为目标模型；经过以下五个步骤完成图像分类器卷积神经网络的训练：加载并归一化ImageNet训练和测试数据集、定义卷积神经网络作为待攻击的目标模型、定义损失函数、利用训练数据来训练网络、利用测试数据来测试网络；步骤3、将数据集DataSet中原始图像输入到步骤2训练好的卷积神经网络中，得到原始图像的网络输出分类结果，并将分类结果与图像描述比对，计算交叉熵损失函数，利用复合函数的求导法则进行反向传播，以实现上述对卷积神经网络的模型抽取过程；接着初始化迭代攻击的第一步的步长s1和第一步的梯度值g1，步长s...

【专利技术属性】
技术研发人员：韩亚洪，石育澄，
申请(专利权)人：天津大学，
类型：发明
国别省市：天津,12