一种基于生成式对抗网络的对抗样本生成方法技术

本发明专利技术公开了一种基于生成式对抗网络的对抗样本生成方法，包括生成器G、鉴别器D、空间变换模块ST和目标分类网络F，生成器G生成扰动，将扰动叠加到原样本中产生对抗样本，再根据鉴别器D和目标分类网络F的损失函数对生成器G进行训练，最后得到训练好的生成器G，利用训练好的生成器G为不同输入样本产生自适应的对抗样本。本发明专利技术利用生成式对抗网络，嵌入基于空间变换的增强模块，采用无监督方式进行对抗训练，提高攻击模型的泛化能力和鲁棒性，进而增强对抗样本的迁移性和鲁棒性。

A method of generating countermeasure samples based on generative countermeasure network

【技术实现步骤摘要】
一种基于生成式对抗网络的对抗样本生成方法
本专利技术涉及机器学习领域，更具体地，涉及一种基于生成式对抗网络的对抗样本生成方法。
技术介绍
对抗攻击是当前机器学习领域研究的一个热点问题。对抗攻击的原理是通过对抗样本(向原数据样本中添加经过精心训练的人眼不易察觉的微小扰动得到的新样本)来欺骗深度神经网络，使其做出错误判定。目前大多数基于深度神经网络的攻击算法(如基于梯度和基于优化的方法)都是针对测试过程或测试数据集的，且需要一直对模型的体系结构和参数进行白盒访问(如获取与输入相关的梯度就需要知道目标网络的权重)。但是，当前的深度学习系统通常出于安全原因不允许对模型进行白盒访问，只允许对模型进行查询访问，即将模型视作黑盒。针对这种情况的攻击被称为黑盒攻击，但当前大多数黑盒攻击的成功率都不高，因为大部分黑盒攻击方法都是基于对抗样本的可迁移性(Transferability)。可迁移性是对抗样本的一个常见属性，指依据有限样本生成的对抗样本对其他变量域也有良好的攻击效果。在无法获取目标网络结构和训练数据集的黑盒攻击中，可迁移性至关重要。如何高效地生成可迁移性强、攻击性能稳定的对抗样本，是一个极有本文档来自技高网...

【技术保护点】
1.一种基于生成式对抗网络的对抗样本生成方法，其特征在于，包括以下步骤：S1：将原样本x输入生成器G中，所述生成器G输出扰动G(x)，生成器G的损失函数为LG，扰动G(x)叠加到原样本x中得到对抗样本x′＝x+G(x)；S2：将S1得到的对抗样本x′输入鉴别器D中，所述鉴别器D区分对抗样本x′和原样本x，得到鉴别器D的损失函数LD；S3：将S1得到的对抗样本x′输入到增强模块ST中，所述增强模块ST基于空间变换，对对抗样本x′进行空间变换操作，增强模块ST输出经过仿射变换处理后的对抗样本x′st＝Tθ(x+G(x))，式中Tθ为变换函数；S4：将经过仿射变换处理后的对抗样本x′st输入目标分类...

【技术特征摘要】
1.一种基于生成式对抗网络的对抗样本生成方法，其特征在于，包括以下步骤：S1：将原样本x输入生成器G中，所述生成器G输出扰动G(x)，生成器G的损失函数为LG，扰动G(x)叠加到原样本x中得到对抗样本x′＝x+G(x)；S2：将S1得到的对抗样本x′输入鉴别器D中，所述鉴别器D区分对抗样本x′和原样本x，得到鉴别器D的损失函数LD；S3：将S1得到的对抗样本x′输入到增强模块ST中，所述增强模块ST基于空间变换，对对抗样本x′进行空间变换操作，增强模块ST输出经过仿射变换处理后的对抗样本x′st＝Tθ(x+G(x))，式中Tθ为变换函数；S4：将经过仿射变换处理后的对抗样本x′st输入目标分类模型F，得到目标分类模型F的损失函数LF；S5：根据生成器G的损失函数为LG、鉴别器D的损失函数LD和目标分类模型F的损失函数LF构建目标函数LGAN用于训练攻击模型GAN，得到训练好的生成器G；S6：利用训练好的生成器G为不同输入样本产生自适应的对抗样本。2.根据权利要求1所述的基于生成式对抗网络的对抗样本生成方法，其特征在于，生成器G的损失函数使用L2范数作为距离度量损失，具体表示如下：LG＝max(0,||G(x)||2-c)其中，c是自定义的常数。3.根据权利要求2所述的基于生成式网络的对抗样本生成方法，其特征在于，所述鉴别器D为二元神经网络分...

【专利技术属性】
技术研发人员：贾西平，陈桂君，方刚，陈道鑫，
申请(专利权)人：广东技术师范大学，
类型：发明
国别省市：广东,44