硬标签黑盒深度模型对抗样本的生成方法、存储介质技术

本发明专利技术提供硬标签黑盒深度模型对抗样本的生成方法、存储介质，方法包括：输入原图像和目标图像；初始化对抗图像为目标图像；采用双方向的随机游走优化算法在保证对抗图像的分类为目标图像对应的目标类别的前提下进行迭代优化计算，以使所述对抗图像逼近所述原图像；其中，所述双方向包括随机方向和确定方向；所述迭代优化计算过程中，依据对抗图像与原图像距离缩小的实际值与期望值的比例动态调整所述双方向之间的权重系数，并且将历史查询信息作为先验知识指导当前采样。本发明专利技术能够有效地减少对模型的查询次数,同时显著提高攻击成功率。功率。功率。

【技术实现步骤摘要】
硬标签黑盒深度模型对抗样本的生成方法、存储介质


[0001]本专利技术涉及黑盒攻击
，特别涉及一种硬标签黑盒深度模型对抗样本的生成方法、存储介质。

技术介绍

[0002]随着技术的发展，机器学习特别是深度神经网络展现出巨大的性能优势，已经在包括括语音识别、图像识别、视频跟踪、自然语音处理等在内的图、文、视频等多个领域得到部署和应用。然而深度神经网络也有其脆弱性，研究证实通过对输入添加微小的扰动能有效干扰深度神经网络的输出结果。这给诸如自动驾驶、人脸验证等许多安全相关领域的带来忧患。
[0003]研究攻击方法可以帮助提高模型的鲁棒性。根据攻击者对被攻击模型的了解程度可以将攻击分为白盒攻击与黑盒攻击。黑盒攻击场景下，攻击者不清楚被攻击模型包括网络结构、模型参数等内部信息，只能通过输入样本获取对应输出来做判断。一些攻击尝试通过在已有的模型上进行白盒攻击生成对抗噪声，然后迁移到目标模型上的方式来进行黑盒攻击。这种攻击方式可以很快地生成对抗样本，但是攻击成功率较低。还有一些基于查询的方式通过反复输入图片，得到反馈，来更新对抗噪声。这类方式通本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种硬标签黑盒深度模型对抗样本的生成方法，其特征在于，包括以下步骤：输入原图像和目标图像；初始化对抗图像为目标图像；采用双方向的随机游走优化算法在保证对抗图像的分类为目标图像对应的目标类别的前提下进行迭代优化计算，以使所述对抗图像逼近所述原图像；其中，所述双方向包括随机方向和确定方向；所述迭代优化计算过程中，依据对抗图像与原图像距离缩小的实际值与期望值的比例动态调整所述双方向之间的权重系数，并且将历史查询信息作为先验知识指导当前采样。2.如权利要求1所述的一种硬标签黑盒深度模型对抗样本的生成方法，其特征在于，所述采用双方向的随机游走优化算法在保证对抗图像的分类为目标图像对应的目标类别的前提下进行迭代优化计算，以使所述对抗图像逼近所述原图像，包括：使用公式：进行迭代优化计算；式中，x
k+1
为当前计算得到的对抗图像；x
k
为第K次迭代得到的对抗图像；x
s
为原图像；η～N(μ，I)为随机高斯采样向量，其中，N表示高斯分布，μ为高斯分布均值，I为单位矩阵；(x
s
‑
x
k
)为一个确定方向；η为一个随机方向；α为确定方向的系数；β为随机方向的系数；若计算得到的对抗图像x
k+1
的分类为目标图像对应的目标类别，则累计迭代次数，更新所述公式的参数，继续进行迭代优化计算；若计算得到的对抗图像x
k+1
的分类非目标图像对应的目标类别，则赋值对抗图像x
k+1
为上一次迭代优化计算得到的对抗图像x
k
，更新所述公式的参数，继续进行迭代优化计算。3.如权利要求2所述的一种硬标签黑盒深度模型对抗样本的生成方法，其特征在于，所述将历史查询信息作为先验知识指导当前采集，包括：所述初始化对抗图像为目标图像的同时，还包括：初始化随机高斯采样向量中的高斯分布均值μ＝0；所述若计算得到的对抗图像x
k+1
的分类为目标图像对应的目标类别，则更新所述公式的参数，之后...

【专利技术属性】
技术研发人员：卢志勇，周毅，余光泽，吴振楠，陈来传，郭伟，
申请(专利权)人：厦门路桥信息股份有限公司，
类型：发明
国别省市：