一种改进的符号优化对抗攻击方法技术

本发明专利技术公开了一种改进的符号优化对抗攻击方法，包括初始化搜索方向，估计目标函数梯度和更新搜索方向，对于非定向攻击，随机采样N个服从的扰动来得到初始搜索方向；利用回溯线性查找方法来找到最佳的搜索方向，在线性查找的每一次迭代中，仅使用一个单次查询即可判断新搜索方向是否正确，如果该方向不正确将不会使用二分查找方法计算边界对抗样本。该改进的符号优化对抗攻击方法，减少了大量的查询次数；不在决策边界上随机游走，有引导方向进行指引；对抗样本的失真收敛速度快；且不需要目标模型暴露置信分数，只需要模型的top

【技术实现步骤摘要】
一种改进的符号优化对抗攻击方法


[0001]本专利技术涉及对抗样本
，具体为一种改进的符号优化对抗攻击方法。

技术介绍

[0002]随着人工智能技术的不断提高，深度神经网络的安全性问题也在不断被关注。在一些现实应用场景中，如自动驾驶等，往往会要求深度神经网络具有高度的安全性和鲁棒性。已有大量的研究表明深度神经网络容易受到对抗样本的威胁，对抗样本也成为人工智能安全研究的一个热点。对抗样本是由原始图像叠加一个微小的扰动构成的。在人眼无法感知到这个微小扰动的情况下，分类模型会对该样本进行错误的判断。生成对抗样本的过程即称之为对抗攻击。根据攻击者是否能获得目标模型的具体结构及参数设置，对抗攻击分为白盒攻击和黑盒攻击。白盒攻击是指目标模型完全暴露给攻击者，攻击者已知模型的结构以及参数设置；黑盒攻击则是攻击者对目标模型的内部信息完全未知。其中，黑盒攻击又分为两类：基于迁移的黑盒攻击和基于查询的黑盒攻击。基于迁移的黑盒攻击要求攻击者能够获得目标模型的训练数据并且通过使用这些训练数据来训练出一个本地的替代模型，攻击者在这个替代模型上对原始图像进行白盒攻击本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种改进的符号优化对抗攻击方法，其特征在于，包括以下步骤：S1：初始化搜索方向；S2：估计目标函数梯度；S3：更新搜索方向。2.根据权利要求1所述的一种改进的符号优化对抗攻击方法，其特征在于：所述S1中对于非定向攻击，随机采样N个服从的扰动，通过调用模型找到其中具有对抗性的扰动。3.根据权利要求1所述的一种改进的符号优化对抗攻击方法，其特征在于：所述S1中通过二分查找法计算出沿各个对抗扰动方向的边界对抗样本。4.根据权利要求1所述的一种...

【专利技术属性】
技术研发人员：王员根，冉钰，
申请(专利权)人：广州大学，
类型：发明
国别省市：