一种针对图像识别模型分类边界敏感的对抗样本生成方法,属于神经网络安全,机器对抗领域。包括如下步骤:步骤一、初始参数设定;步骤二、生成初始基因种群;步骤三、基因交叉;步骤四、基因变异;步骤五、基因选择;步骤六、基因进化迭代;步骤七、减少对抗样本与原始样本不同像素点的个数;步骤八、减少对抗样本与原始样本不同RGB channels的个数;步骤九、缩小对抗样本与原始图片的像素值差异。本发明专利技术提出的黑盒攻击方法不依赖于模型返回的置信度,只需要一个最终的分类标签即可;针对于大型图片生成对抗样本具有很好的效果;在参数调节恰当的情况下,比一般的基于决策边界的攻击方法所需要的查询次数更少。
A Method of Anti-Sample Generation for Classification Boundary Sensitivity of Image Recognition Model
【技术实现步骤摘要】
一种针对图像识别模型分类边界敏感的对抗样本生成方法
本专利技术涉及一种针对图像识别模型分类边界敏感的对抗样本生成方法,属于机器学习以及图像识别
技术背景自从深度神经网络被提出以来,深度神经网络得到了长足的发展。目前,深度神经网络已经应用在了自然语言处理,文本挖掘,恶意软件检测,语音识别,图像识别等领域。特别是在图像识别领域,深度神经网络已经显示出比传统图像识别算法更大的优势。因为深度神经网络在对图像进行识别标注的时候不需要抽取图片的特征,它只需要大量的图片作为训练数据进行训练,让神经网络自己学习经验和知识达到准确识别图片的效果。目前的研究表明,神经网络能够达到很高的准确率。尽管神经网络能够在图像识别领域表现得十分优秀,但是有研究表明神经网络同时也对扰动十分敏感。当一些微小的白噪声被添加到一张正常的图片上的时候,神经网络可能会对图片产生错误的分类,但是不影响人类视觉的正确识别。神经网络的这一特性导致了其在现实领域中应用需要十分谨慎。目前根据对抗样本的生成方法,按照对被攻击对象信息的了解程度可以分为白盒攻击,灰盒攻击和黑盒攻击。白盒攻击可以获取被攻击模型的全部信息,包括内部参数,模型结构,梯度信息,训练数据集等。而黑盒模型则不知道关于模型的任何信息,只能对模型进行图片查询操作。灰盒攻击则是知道部分的模型信息。
技术实现思路
本专利技术的目的在于针对现有对抗样本生成方法在不知道神经网络模型的相关信息的情况下,对模型进行黑盒攻击,生成能让模型产生靶向错误的技术缺陷,设计了一种针对图像识别模型分类边界敏感的对抗样本生成方法。本专利技术的核心思想为:针对前提条件:已有一个黑盒模型作为被攻击的目标模型,且目标模型对于查询图片只返回不包括置信度的分类标签,除此之外,关于模型的任何信息都不可获取;对模型进行不断的查询探测出不同类别的决策边界,利用进化以及二分方法找到合适的靶向对抗样本。所述对抗样本生成方法,包括以下步骤:步骤一:选择源-目标图片对,经查询得到目标标签并确定基因种群大小;具体包括如下子步骤:步骤1.1:选择目标图片;其中,目标图片,即targetimage,记为TI;步骤1.2:选择原始图片;其中,原始图片,即sourceimage,记为SI;其中,步骤1.1中的目标图片和步骤1.2中的原始图片组成了源-目标图片对;步骤1.3:根据目标图片查询被攻击模型,得到目标标签;其中,目标标签,即targetlabel,TL;步骤1.4:确定基因种群大小,即种群中个体的数目n;步骤二:生成原始基因种群,具体包括如下子步骤:步骤2.1:设定基因初始化概率值,初始化概率值标定了基因中值为1的元素所占的最大百分比;初始化概率值,即initialprobability,IP;步骤2.2:根据IP生成n个基因,要求这n个基因对应的对抗样本得标签依旧被目标模型识别为TL;其中,步骤2.2中根据IP生成的n个基因组成了原始基因种群;原始基因种群中的基因是一个二维数组,二维数组中每个元素的值为0或1,二维数组的大小即是要生成的对抗样本的大小,也即是步骤1.1和步骤1.2中目标图片和原始图片的大小;步骤三:对基因进行两两交叉,具体包括如下子步骤:步骤3.1:将原始基因种群中的基因全部复制到新的基因种群中;步骤3.2:设定基因交叉概率值,新的基因种群中的基因中值为1的元素以这个概率继续保持为1;其中,交叉概率值,即crossoverprobability,CP;步骤3.3:从原始基因种群中选择“在此之前没有被配对和被选择过的”两个不同的基因a和基因b;步骤3.4:将选定的基因a和基因b进行或操作生成新的基因c;步骤3.5:根据CP对基因c中的值为1的元素进行值保留或者翻转为0的操作,具体为:当随机概率值小于CP时进行翻转,当随机值大于或等于CP时保留原值;步骤3.6:将基因c表达为对抗样本,用目标模型判断该对抗样本的标签,如果标签为TL,那么将基因c加入到新的基因种群;否则,舍弃基因c;步骤3.7:重复上述步骤3.3到步骤3.6直到原始基因种群中所有的基因都已经两两配对;步骤3.8:舍弃原始基因种群,将新的基因种群代替原始基因种群;步骤四:针对基因种群中的每个基因进行基因变异操作,具体包括如下子步骤:步骤4.1:将原始基因种群中的基因全部复制到新的基因种群中去;步骤4.2:设定基因变异概率,基因中为0的元素将以这个概率进行值翻转,由0变成1,即当随机概率值小于MP时将0变为1,否则仍旧保持值为0;变异概率,即mutationprobability,MP;步骤4.3:从原始基因种群中选择一个未被选择过的基因,按照MP对选择的基因进行值翻转生成新的基因a;步骤4.4:将基因a表达为对抗样本,用目标模型判断该对抗样本的标签,如果标签为TL,那么将基因a加入到新的基因种群;否则,舍弃基因a;步骤4.5:重复上述步骤4.3和步骤4.4直到原始基因种群中的基因全都遍历;步骤4.6:舍弃原始基因种群,将新的基因种群代替原始基因种群;步骤五:针对基因种群进行基因选择操作,具体包括如下子步骤:步骤5.1:计算基因种群中每个基因中值为1的元素的个数,并将所有的基因按照此由高到低进行排序;步骤5.2:按照排序截取前n个基因作为新的基因种群,替代原始基因种群;步骤六:基因进化迭代,具体包括如下子步骤:步骤6.1:重复步骤三到步骤五直到重复的次数达到某个限定值或者已生成了一个值为1的元素的百分占比达到了某个限定值的基因;步骤6.2:从基因种群中将含有值为1的元素最多的基因选出,作为后续操作的基础;步骤七:减少对抗样本与原始图片的不同像素点的个数,即减少基因中0的数目,具体包括如下子步骤:步骤7.1:针对步骤六中选定的基因,遍历其中所有值为0的元素;步骤7.2:将元素的值由0改为1;步骤7.3:将基因表达成对抗样本,用目标模型判断该对抗样本的标签;如果标签为TL,那么保留本次元素的修改,否则将元素值由1回滚为0;步骤7.4:重复上述步骤7.2和步骤7.3直到所有值为0的元素全部遍历一遍;步骤7.5:重复步骤7.4直到没有元素的值被修改,从而生成了最新的基因;步骤八:减少对抗样本与原始图片的不同RGBchannels的个数,具体包括如下子步骤:步骤8.1:将二维的基因扩展到三维,即新增第三维表示RGBchannels,原始基因元素值为0的,增加的第三维值全为0,原始基因元素值为1的,增加的第三维值全为1;在像素层面的操作转移到了RGBchannels层面的操作;步骤8.2:遍历三维基因中所有值为0的元素;步骤8.3:将元素值由0变为1;步骤8.4:将基因表达成对抗样本,用目标模型判断该对抗样本的标签;如果标签为TL,那么保留本次元素的修改,否则将元素值由1回滚为0;步骤8.5:重复上述步骤8.3和步骤8.4直到所有值为0的元素全部遍历一遍;步骤8.6:重复步骤8.5直到没有元素的值被修改,从而生成了最新的基因;步骤九:缩小对抗样本与原始图片的像素值差异,即用二分法逐渐将当前对抗样本的像素值向原始图片靠近,具体包括如下子步骤:步骤9.1:将步骤8.6生成的基因表达为对抗样本;步骤9.2:计算步骤9.1中生成的对抗样本与原始图片的差距,两者的差生成三维向量d本文档来自技高网...
【技术保护点】
1.一种针对图像识别模型分类边界敏感的对抗样本生成方法,其特征在于:包括以下步骤:步骤一:选择源‑目标图片对,经查询得到目标标签并确定基因种群大小;具体包括如下子步骤:步骤1.1:选择目标图片;其中,目标图片,即target image,记为TI;步骤1.2:选择原始图片;其中,原始图片,即source image,记为SI;其中,步骤1.1中的目标图片和步骤1.2中的原始图片组成了源‑目标图片对;步骤1.3:根据目标图片查询被攻击模型,得到目标标签;其中,目标标签,即target label,TL;步骤1.4:确定基因种群大小,即种群中个体的数目n;步骤二:生成原始基因种群,具体包括如下子步骤:步骤2.1:设定基因初始化概率值,IP标定了基因中值为1的元素所占的最大百分比;初始化概率值,即initial probability,IP;步骤2.2:根据IP生成n个基因,要求这n个基因对应的对抗样本得标签依旧被目标模型识别为TL;其中,步骤2.2中根据IP生成的n个基因组成了原始基因种群;原始基因种群中的基因是一个二维数组,二维数组中每个元素的值为0或1,二维数组的大小即是要生成的对抗样本的大小,也即是步骤1.1和步骤1.2中目标图片和原始图片的大小;步骤三:对基因进行两两交叉,具体包括如下子步骤:步骤3.1:将原始基因种群中的基因全部复制到新的基因种群中;步骤3.2:设定基因交叉概率值,新的基因种群中的基因中值为1的元素以这个概率继续保持为1;交叉概率值,即crossover probability,CP;步骤3.3:从原始基因种群中选择“在此之前没有被配对和被选择过的”两个不同的基因a和基因b;步骤3.4:将选定的基因a和基因b进行或操作生成新的基因c;步骤3.5:根据CP对基因c中的值为1的元素进行值保留或者翻转为0的操作,具体为:当随机概率值小于CP时进行翻转,当随机值大于或等于CP时保留原值;步骤3.6:将基因c表达为对抗样本,用目标模型判断该对抗样本的标签,如果标签为TL,那么将基因c加入到新的基因种群;否则,舍弃基因c;步骤3.7:重复上述步骤3.3到步骤3.6直到原始基因种群中所有的基因都已经两两配对;步骤3.8:舍弃原始基因种群,将新的基因种群代替原始基因种群;步骤四:针对基因种群中的每个基因进行基因变异操作,具体包括如下子步骤:步骤4.1:将原始基因种群中的基因全部复制到新的基因种群中去;步骤4.2:设定基因变异概率,基因中为0的元素将以这个概率进行值翻转,由0变成1,即当随机概率值小于MP时将0变为1,否则仍旧保持值为0;变异概率,即mutation probability,MP;步骤4.3:从原始基因种群中选择一个未被选择过的基因,按照MP对选择的基因进行值翻转生成新的基因a;步骤4.4:将基因a表达为对抗样本,用目标模型判断该对抗样本的标签,如果标签为TL,那么将基因a加入到新的基因种群;否则,舍弃基因a;步骤4.5:重复上述步骤4.3和步骤4.4直到原始基因种群中的基因全都遍历;步骤4.6:舍弃原始基因种群,将新的基因种群代替原始基因种群;步骤五:针对基因种群进行基因选择操作,具体包括如下子步骤:步骤5.1:计算基因种群中每个基因中值为1的元素的个数,并将所有的基因按照此由高到低进行排序;步骤5.2:按照排序截取前n个基因作为新的基因种群,替代原始基因种群;步骤六:基因进化迭代,具体包括如下子步骤:步骤6.1:重复步骤三到步骤五直到重复的次数达到某个限定值或者已生成了一个值为1的元素的百分占比达到了某个限定值的基因;步骤6.2:从基因种群中将含有值为1的元素最多的基因选出,作为后续操作的基础;步骤七:减少对抗样本与原始图片的不同像素点的个数,即减少基因中0的数目,具体包括如下子步骤:步骤7.1:针对步骤六中选定的基因,遍历其中所有值为0的元素;步骤7.2:将元素的值由0改为1;步骤7.3:将基因表达成对抗样本,用目标模型判断该对抗样本的标签;如果标签为TL,那么保留本次元素的修改,否则将元素值由1回滚为0;步骤7.4:重复上述步骤7.2和步骤7.3直到所有值为0的元素全部遍历一遍;步骤7.5:重复步骤7.4直到没有元素的值被修改,从而生成了最新的基因;步骤八:减少对抗样本与原始图片的不同RGB channels的个数,具体包括如下子步骤:步骤8.1:将二维的基因扩展到三维,即新增第三维表示RGB channels,原始基因元素值为0的,增加的第三维值全为0,原始基因元素值为1的,增加的第三维值全为1;在像素层面的操作转移到了RGB channels层面的操作;步骤8.2:遍历三维基因中所有值为0的元素;步骤8.3:将元素值由0变为1;步骤8.4:将基因表达成对抗样本,用目标模型判断该对抗样本的标签;如...
【技术特征摘要】
2018.12.21 CN 20181157325511.一种针对图像识别模型分类边界敏感的对抗样本生成方法,其特征在于:包括以下步骤:步骤一:选择源-目标图片对,经查询得到目标标签并确定基因种群大小;具体包括如下子步骤:步骤1.1:选择目标图片;其中,目标图片,即targetimage,记为TI;步骤1.2:选择原始图片;其中,原始图片,即sourceimage,记为SI;其中,步骤1.1中的目标图片和步骤1.2中的原始图片组成了源-目标图片对;步骤1.3:根据目标图片查询被攻击模型,得到目标标签;其中,目标标签,即targetlabel,TL;步骤1.4:确定基因种群大小,即种群中个体的数目n;步骤二:生成原始基因种群,具体包括如下子步骤:步骤2.1:设定基因初始化概率值,IP标定了基因中值为1的元素所占的最大百分比;初始化概率值,即initialprobability,IP;步骤2.2:根据IP生成n个基因,要求这n个基因对应的对抗样本得标签依旧被目标模型识别为TL;其中,步骤2.2中根据IP生成的n个基因组成了原始基因种群;原始基因种群中的基因是一个二维数组,二维数组中每个元素的值为0或1,二维数组的大小即是要生成的对抗样本的大小,也即是步骤1.1和步骤1.2中目标图片和原始图片的大小;步骤三:对基因进行两两交叉,具体包括如下子步骤:步骤3.1:将原始基因种群中的基因全部复制到新的基因种群中;步骤3.2:设定基因交叉概率值,新的基因种群中的基因中值为1的元素以这个概率继续保持为1;交叉概率值,即crossoverprobability,CP;步骤3.3:从原始基因种群中选择“在此之前没有被配对和被选择过的”两个不同的基因a和基因b;步骤3.4:将选定的基因a和基因b进行或操作生成新的基因c;步骤3.5:根据CP对基因c中的值为1的元素进行值保留或者翻转为0的操作,具体为:当随机概率值小于CP时进行翻转,当随机值大于或等于CP时保留原值;步骤3.6:将基因c表达为对抗样本,用目标模型判断该对抗样本的标签,如果标签为TL,那么将基因c加入到新的基因种群;否则,舍弃基因c;步骤3.7:重复上述步骤3.3到步骤3.6直到原始基因种群中所有的基因都已经两两配对;步骤3.8:舍弃原始基因种群,将新的基因种群代替原始基因种群;步骤四:针对基因种群中的每个基因进行基因变异操作,具体包括如下子步骤:步骤4.1:将原始基因种群中的基因全部复制到新的基因种群中去;步骤4.2:设定基因变异概率,基因中为0的元素将以这个概率进行值翻转,由0变成1,即当随机概率值小于MP时将0变为1,否则仍旧保持值为0;变异概率,即mutationprobability,MP;步骤4.3:从原始基因种群中选择一个未被选择过的基因,按照MP对选择的基因进行值翻转生成新的基因a;步骤4.4:将基因a表达为对抗样本,用目标模型判断该对抗样本的标签,如果标签为TL,那么将基因a加入到新的基因种群;否...
【专利技术属性】
技术研发人员:张全新,周宇田,郭烽,王坤庆,李沛桐,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。