以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统技术方案

本发明专利技术涉及一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法，包括：对数据集进行预处理，通过泊松编码转换成对应的脉冲序列，接着构建对应数据集的替代网络，将该网络作为一个原始分类器；然后将原始分类器编码生成的脉冲序列和原始样本输入到筛选器中筛选出最佳脉冲；接着将所选择的脉冲和原始图像输入到对抗样本生成网络，该对抗样本生成网络是基于原始分类器，通过以脉冲为概率，生成服从均匀分布的噪声，从而生成初始的对抗样本；再将对抗样本不断迭代优化，最终对抗性样本。本发明专利技术能够为安全防御的研究人员提供针对脉冲神经网络生成低成本的对抗性攻击工具。网络生成低成本的对抗性攻击工具。网络生成低成本的对抗性攻击工具。

【技术实现步骤摘要】
以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统


[0001]本专利技术涉及计算机图像识别及恶意攻击领域，具体涉及一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统。

技术介绍

[0002]脉冲神经网络(SNN)作为第三代神经网络，其不仅在模拟类脑方面具有广阔的前景，并且应用于神经形态计算系统中低功耗，高效能等优点。SNN在图像识别领域已经展示了不亚于深度神经网络(DNN)的图像识别性能，并且由于其模拟的是人脑的处理方式，因此其能耗方面远远低于DNN的能耗需求。然而，一些研究表明虽然SNN比起DNN具有更好的鲁棒性，但通过在原始图像中添加不可见的扰动来精心构建的对抗性样本，能够让人眼看不出其于原始图像的差异，但会被已经具有良好性能的脉冲神经网络分类器错误分类，类似的攻击也能用于无人驾驶、医疗诊断、人脸识别等领域，严重影响到了数据重要领域的安全性。
[0003]由于SNN是近几年刚刚兴起，在该领域的对抗性攻击研究还比较少。研究目前相关的工作发现，现有的对抗性攻击方法包括利用传统的PGD攻击、FGSM攻击等，还有对脉冲序列进行增加、减本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，包括以下步骤：步骤S1：对输入的图像X进行预处理，在脉冲神经网络的自编译器F
enc
中利用泊松编码转换将其转换成脉冲数据格式的序列γ＝(γ1，γ2，
…
，γ
T
)，其中T为仿真时间步长；步骤B：基于脉冲神经网络，利用所收集的标注数据集迭代更新网络参数直至收敛，完成模型的训练，得到训练好的若干数据集的脉冲神经网络分类器；步骤C：将对抗性样本的生成转化为具有约束的优化问题，在进行攻击时，首先为生成的扰动进行对应的问题描述；步骤D：基于原始图像X和相对应的脉冲序列γ中选择出的脉冲γ
c
，通过转换函数g(X,γ
c
)和目标函数J(f(X
adv
),y)生成初始的对抗性样本；步骤E：通过构建筛选器从脉冲序列γ筛选出最佳脉冲γ
c
；步骤F：基于动量迭代的随机梯度下降算法SGD进行N次迭代更新，优化目标函数，生成对抗性样本X
adv
；步骤G：利用当前迭代生成的对抗性样本X
adv
输入到搭建好的脉冲神经网络模型f和未知的黑盒模型f
′
评估攻击是否有效。2.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述的步骤A，具体包括以下步骤：步骤A1：将输入脉冲神经网络的数据X进行最大最小归一化，即针对每一个原像素像素点值取值归一化为x∈[0,1]；步骤A2：设置一个时间步长T，令在一个时间步长T的脉冲发放概率p＝x，由此生成了时间步长为T的脉冲序列γ。3.根据权利要求2所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述步骤B，具体包括以下步骤：步骤B1：利用以及预设的模型参数来对模型进行初始化；步骤B2：设置脉冲仿真时间T，生成标注数据集的脉冲序列其中i＝(0,1,
…
,N)为标注数据集为N的大小；步骤B3：确定输入分类器的结果和标签值之间的均方损失函数为本方法的损失函数：L(f(X),y)＝MSE(f(X),y)其中输入为标签数据集干净的样本X，y为样本所对应的标签；步骤B4：以梯度下降算法，以优化最小化损失函数为目标，利用反向传播机制来更新神经网络内部参数；步骤B5：得到训练好的若干数据集的脉冲神经网络分类器f。4.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述将对抗性样本的生成转化为具有约束的优化问题，在进行攻击时，首先为生成的扰动进行对应的问题描述，具体为：步骤C1：进行对抗性攻击时可以将攻击问题分成两类，一类为有目标攻击，另一类为无目标攻击；其中无目标攻击可将问题转化为最大化如下优化问题：
其中K是类别数，f
K
(X)是分类器将输入的X预测为K；有目标攻击将问题转为最小化如下优化问题：其中有目标攻击需要所生成的对抗样本输出的结果是攻击者期望的结果，因此需要最小化X与期望样本X
*
之间的距离；步骤C2：将优化问题转换到优化脉冲神经网络可替换目标函数，无目标攻击转化为求最大化可替换损失函数：arg min
‑
J(f(X
adv
),y)有目标攻击转化为求最小化可替换函数：arg minJ(f(X
adv
),y
*
)通过优化不同类型的目标函数从而生成攻击者所需要的对抗样本X
adv
；步骤C3：对所产生的扰动进行限制，利用p范数作为约束条件||X
‑
X
adv
||
p
≤ε。5.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述步骤D，具体包括如下步骤：步骤D1：导入训练好脉冲神经网络分类器；步骤D2：基于原始图像脉冲序列，构建扰动生成函数：g(X,γ
c
)＝Clip(X+η*γ
c
，0，1)其中常数η是用于加速迭代中收敛的预设常量，生成的扰动...

【专利技术属性】
技术研发人员：刘西蒙，林璇威，董晨，程栋，
申请(专利权)人：福州大学，
类型：发明
国别省市：