本发明专利技术公布了一种基于离散小波变换的对抗样本生成方法,现有的黑盒攻击方法需要通过大量地向模型进行查询来获取优化信息。本发明专利技术以原始图片作为输入,通过梯度估计方法与梯度下降方法相结合,迭代地在清晰样本中添加扰动,最终生成能够误导模型的对抗样本。为了提高攻击的效率,本方法使用离散小波变换分离样本的高频分量与低频分量,仅在低频分量中添加扰动,并且在估计低频分量梯度的过程中,动态地调整采样点数,降低生成对抗样本所需要的模型查询次数。本发明专利技术能够有效降低查询向目标DNN模型查询的次数。
【技术实现步骤摘要】
一种基于离散小波变换的对抗样本生成方法
本专利技术属于计算机数字图像处理领域,具体涉及一种基于离散小波变换的对抗样本生成方法。
技术介绍
机器学习及深度学习相关技术在近些年获得了极大的关注,由于优异的性能,它在计算机视觉领域中得到了广泛的应用,应用的范围包括图像识别、目标检测、图像分割、超分辨率等多种任务,应用场景涵盖如人脸检测、姿态检测、自动驾驶等多种场景。随着机器学习相关技术的逐步应用,这些系统的安全性成为一个重要的研究领域。尽管目前最先进的图像分类模型在ImageNet等数据集上的识别准确率已经超越人类,但有研究发现,仅在测试样本中添加一些精心设计的微小扰动,就有可能导致模型产生错误的分类,而这些扰动不足以干扰人类视觉系统。这种可以改变DNN分类器预测结果的被扰动图片被称为对抗样本。对抗攻击可分为白盒威胁模型(又称白盒攻击)与黑盒威胁模型(又称黑盒攻击)。在白盒威胁模型中,假设攻击者拥有目标模型的全部知识,并且利用这些知识构建对抗样本。例如,FGSM计算目标模型的梯度信息,在每个像素值上添加一个相同大小的小扰动构建对抗样本,BIM针对神经网络模型高度非线性的特点,迭代地往梯度符号方向执行k步搜索来构建对抗样本,C&W通过使用构建损失函数,将寻找对抗攻击问题转化为优化问题,通过解非线性优化问题构建对抗样本。白盒攻击的优势在于计算速度比较快,但是需要用到目标网络的梯度信息。在黑盒威胁模型中,攻击者只能向目标模型输入数据,得到相应的输出,无法获知模型内部信息。例如,SimpleBA在单个维度的正、负两个方向上试验添加扰动,选择使得分类确定性下降的方向上添加扰动,重复该过程直至找到对抗样本,ZOOAttack利用有限差分法估计单个维度上的梯度,迭代地在单个维度上执行梯度下降,直到找到有效的对抗样本。然而,由于缺乏梯度信息,带来了高额的评估代价,比如SimpleBA的成功率较低,且攻击时间较长,原因是不能确定最有效的扰动维度。ZOOAttack基于坐标的梯度估计每次仅能扰动一个维度,攻击所需的模型查询次数高达数十万次。
技术实现思路
本专利技术针对现有的黑盒攻击方法带来大量查询开销的问题,提出一种基于离散小波变换的对抗样本生成方法。本方法通过梯度估计方法与梯度下降方法相结合,迭代地在原始图像中添加扰动,最终生成能够误导模型的对抗样本。为了提高攻击的效率,本方法使用离散小波变换分离样本的高频分量与低频分量,仅在低频分量中添加扰动,并且在估计低频分量梯度的过程中,动态地调整采样点数,降低生成对抗样本所需要的模型查询次数。本专利技术一种基于离散小波变换的对抗样本生成方法,包括如下步骤:步骤一、获取原始图像xc的真实类别yc及其概率向量pH(·|xc)令H表示DNN分类器,以原始图像向量xc作为目标DNN分类器的输入,获得原始图像的概率输出向量pH(·|xc);取概率输出向量中最大值对应的类别作为原始图像的类别预测yc,yc=argmax(pH(·|xc));步骤二、使用离散小波变换对原始图像向量xc进行分解使用离散小波变换对原始图像向量xc进行M级小波分解得到初始低频分量LF0与高频分量HF,M与原始图像向量xc的大小具有正相关关系;离散小波变换用公式表示为:LF0,HF←DWT(xc);其中DWT(·)表示离散小波变换,LF0在后续迭代过程中将会被扰动,而HF在后续迭代过程中保持不变;步骤三、确定待优化的目标函数按照目标类别进行分类,对抗攻击分为无目标攻击和目标攻击;在无目标攻击中,对抗攻击的目标是使得对抗样本被DNN分类器分类为除原类别外的任意类别;在目标攻击中,对抗攻击的目标是使得对抗样本被DNN分类器分类为特定的类别;令ya表示对抗样本的类别,δ表示对抗扰动,xc+δ表示对抗样本;当DNN分类器能对对抗样本做出正确分类预测时,ya和yc相同;对抗攻击的目的是寻找到能误导DNN分类器的对抗扰动δ,即这里||·||p表示向量的Lp范数;然而精确计算公式(1)通常不可行,因此更常用的方法是求(1)的近似解;将其公式化如下:ρ用来限制对抗扰动的大小,T(·)是转换函数,用于将DNN分类器的输出向量转换为便于优化的标量值;在目标攻击中,转换函数的具体形式为:其中,yt表示目标类别,pH(yt|x)表示样本x被分类为yt的概率,maxi≠tpH(yi|x)表示除了目标类别之外最大的概率值;当目标类别的概率值最大时,分类器对输入图像的分类结果为目标类别;在无目标攻击中,转换函数表达式为:其中,pH(yc|x)表示样本x被分类为yc的概率,maxj≠tpH(yj|x)表示除了清晰样本类别之外最大的概率值;为了便于表示,在方法中使用v表示低频分量LF,令f表示目标函数,低频分量v是目标函数的输入值,f的具体表达式为:f(v)=T(IDWT(v,HF))由低频分量v与高频分量HF恢复一个样本,用公式表示为:x←IDWT(v,HF)其中IDWT(·)表示逆离散小波变换;优化的目标是f(v)≤0,从而改变目标DNN分类器对被扰动图像的分类结果;步骤四、执行迭代优化采用迭代的方式生成对抗样本,在进行迭代优化之前,需要定义两个初始变量:x0←xc用于初始化对抗样本,d0←0用于初始化累计梯度信息;1)使用累计梯度信息更新低频分量:vt←vt-1-αβdt-1其中,vt-1表示第t-1次迭代中的低频分量,dt-1表示第t-1次迭代中的累计梯度信息,α与β表示两个步长参数,vt表示第t次迭代中低频分量;迭代次数t从1开始计数;2)使用自然进化策略估计vt处的梯度:在迭代过程中,使用动态采样策略动态确定估计梯度所需要的采样点数量:当迭代过程启动时,采样点数量n=2;随着迭代过程的进行,在第t次迭代中,n=min(2k,N),N表示最大采样点限制;当搜索进程缓慢时,即在连续m次迭代过程中以对抗样本为输入的目标函数的值没有减少,将采样点数量n减半;其中k的初始值为0,每次迭代k值加1,当搜索进程缓慢时,k恢复初始值;确定采样点数量之后,估计vt处的梯度gt;3)更新累计梯度信息:dt←βdt-1+gt4)利用新的累计梯度信息更新低频分量:vt←vt-1-αdt5)结合新的低频分量vt与高频分量HF,经过逆离散小波变换,得到新的对抗样本xt:xt←clip(IDWT(vt,HF))其中,clip(·)函数用于对新的对抗样本进行剪切,确保xt位于有效的图像空间内,且确保扰动||xt-xc||p≤ρ;6)判断xt是否是有效的对抗样本,若xt是有效的对抗样本,则输出xt,结束迭代过程,否则继续执行迭代过程,转步骤四-1)。作为优选,所述的确定采样点数量之后,估计vt处的梯度gt;具体为:其中,人高斯分布中采样得本文档来自技高网...
【技术保护点】
1.一种基于离散小波变换的对抗样本生成方法,其特征在于,该方法包括如下步骤:/n步骤一、获取原始图像x
【技术特征摘要】
1.一种基于离散小波变换的对抗样本生成方法,其特征在于,该方法包括如下步骤:
步骤一、获取原始图像xc的真实类别yc及其概率向量pH(·|xc)
令H表示DNN分类器,以原始图像向量xc作为目标DNN分类器的输入,获得原始图像的概率输出向量pH(·|xc);取概率输出向量中最大值对应的类别作为原始图像的类别预测yc,yc=argmax(pH(·|xc));
步骤二、使用离散小波变换对原始图像向量xc进行分解
使用离散小波变换对原始图像向量xc进行M级小波分解得到初始低频分量LF0与高频分量HF,M与原始图像向量x0的大小具有正相关关系;离散小波变换用公式表示为:
LF0,HF←DWT(xc);
其中DWT(·)表示离散小波变换,LF0在后续迭代过程中将会被扰动,而HF在后续迭代过程中保持不变;
步骤三、确定待优化的目标函数
按照目标类别进行分类,对抗攻击分为无目标攻击和目标攻击;在无目标攻击中,对抗攻击的目标是使得对抗样本被DNN分类器分类为除原类别外的任意类别;在目标攻击中,对抗攻击的目标是使得对抗样本被DNN分类器分类为特定的类别;
令ya表示对抗样本的类别,δ表示对抗扰动,xc+δ表示对抗样本;当DNN分类器能对对抗样本做出正确分类预测时,ya和yc相同;对抗攻击的目的是寻找到能误导DNN分类器的对抗扰动δ,即
这里‖·‖p表示向量的Lp范数;然而精确计算公式(1)通常不可行,因此更常用的方法是求(1)的近似解;将其公式化如下:
ρ用来限制对抗扰动的大小,T(·)是转换函数,用于将DNN分类器的输出向量转换为便于优化的标量值;
在目标攻击中,转换函数的具体形式为:
其中,yt表示目标类别,pH(yt|x)表示样本x被分类为yt的概率,maxi≠tpH(yi|x)表示除了目标类别之外最大的概率值;当目标类别的概率值最大时,分类器对输入图像的分类结果为目标类别;
在无目标攻击中,转换函数表达式为:
其中,pH(yc|x)表示样本x被分类为yc的概率,maxj≠tpH(yj|x)表示除了清晰样本类别之外最大的概率值;
为了便于表示,在方法中使用v表示低频分量LF,令f表示目标函数,低频分量v是目标函数的输入值,f的具体表达式为:
f(v...
【专利技术属性】
技术研发人员:冯建文,刘林兴,
申请(专利权)人:杭州电子科技大学,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。