一种基于元学习对抗扰动的黑盒攻击方法及系统技术方案

本发明专利技术公开了一种基于元学习对抗扰动的黑盒攻击方法及系统，将元学习训练数据集D输入至黑盒模型的替代模型，根据替代模型的输出结果和预先设定的目标标签计算替代模型的损失函数，根据损失函数对初始化扰动v进行梯度下降更新获得元对抗扰动v

A method and system of black box attack against disturbance based on meta learning

【技术实现步骤摘要】
一种基于元学习对抗扰动的黑盒攻击方法及系统


[0001]本专利技术涉及图像识别
，具体涉及一种基于元学习对抗扰动的黑盒攻击方法及系统。

技术介绍

[0002]随着深度学习技术的飞速发展，图像识别领域在研究与应用层面连续取得重大突破，深度卷积神经网络对物体的精准识别能力甚至已经超越了人类的表现。越来越多的深度模型投入应用，如人脸识别、自动驾驶、行人监测等。可以说，深度学习技术为计算机视觉和机器学习带来了革命性的进步，深度神经网络也在方方面面影响着人们的日常生活。
[0003]然而，深度神经网络在诸多任务中大放异彩的同时，其自身也暴露出了严重的安全隐患。大量研究表明，深度神经网络很容易受到对抗样本的攻击，从而导致其产生错误的预测结果，这在一些对安全性能要求很高的任务中，是非常致命的。执行攻击的对抗样本是指在原始输入样本上通过添加人类难以分辨的微小扰动，而使神经网络产生错误分类的样本。根据攻击者是否了解深度模型的网络结构及参数，对抗攻击可分为白盒攻击与黑盒攻击。Goodfellow等人在文献(Explaining and harness本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于元学习对抗扰动的黑盒攻击方法，其特征在于，包括：将元学习训练数据集D输入至黑盒模型的替代模型，根据所述替代模型的输出结果和预先设定的目标标签计算替代模型的损失函数，根据所述损失函数对初始化扰动v进行梯度下降更新获得元对抗扰动v
*
；将所述元对抗扰动v
*
与待进行目标攻击的图像样本叠加并输入至黑盒模型进行黑盒攻击，若黑盒模型对所述图像样本的分类结果为预先设定的目标标签，则攻击完成；若黑盒模型对所述图像样本的分类结果不是预先设定的目标标签，则对所述图像样本进行更新，利用更新后的图像样本继续进行黑盒攻击，直至黑盒模型对所述图像样本的分类结果为预先设定的目标标签。2.如权利要求1所述的黑盒攻击方法，其特征在于，所述初始化扰动v进行梯度下降更新获得元对抗扰动v
*
为：a1、从所述元学习训练数据集D中选取数据集B，将初始化扰动v与数据集B叠加并输入至替代模型，根据所述替代模型的输出结果和预先设定的目标标签计算替代模型的损失函数，根据所述损失函数对所述初始化扰动v进行梯度下降更新，获得适应扰动v'；a2、从所述元学习训练数据集D中选取数据集B'，将适应扰动v'和数据集B'叠加并再次输入至替代模型，根据所述替代模型的输出结果和预先设定的目标标签计算替代模型的损失函数，根据所述损失函数对所述适应扰动v'进行梯度下降更新，获得初始元对抗扰动v1；a3、利用所述初始元对抗扰动v1替换所述初始化扰动v，重复a1和a2直至迭代次数等于预设的训练代数epoch时，结束训练，获得元对抗扰动v
*
。3.如权利要求2所述的黑盒攻击方法，其特征在于，对所述初始元对抗扰动v1进行投影，利用投影之后获得的投影元对抗扰动v2替换所述初始化扰动v。4.如权利要求1所述的黑盒攻击方法，其特征在于，所述对图像样本进行更新为：b1、采用零阶优化算法RGF算法对黑盒模型进行梯度估计，获得黑盒模型的梯度估计值b2、采用符号函数对所述梯度估计值进行处理，获得符号函数处理后的梯度估计值b3、根据所述梯度估计值设置学习率lr，同时以当前图像样本与前一次图像样本之差作为动量项，对图像样本进行更新，更新后的图像样本为：其中，x
i
表示当前的图像样本，x
i+1
表示更新后的图像样本，x
i－1
表示前一次图像样本，η表示动量项系数。5.如权利要求4所述的黑盒攻击方法，其特征在于，在对所述图像样本进行更新之前，对当前的图像样本x
i
进行投影，利用投影后当前的图像样本对所述图像样本进行更新。6.一种基于元学习对抗扰动的黑盒攻击系统，其特征在于，包括扰动训练模块、攻击模块和迭代更新模块；所述扰动训练模...

【专利技术属性】
技术研发人员：孙健，付俊傑，王钢，陈杰，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：