面向水声智能伪装的对抗样本可解释性研究方法及系统技术方案

本发明专利技术公开了一种面向水声智能伪装的对抗样本可解释性研究方法及系统，属于数字图像处理技术和水声信号处理技术领域，其中，该方法包括：从分析输入样本和输出标签在多维空间的分布方式入手，给出超平面对样本空间的分割设定；基于对抗样本与原始样本之间的l0距离和l2距离分别证明对抗样本的存在方式和构成原理,提高对抗样本工作机制的透明度，确保能进行可信的人机交互、功能改进和参数调优。该方法为声学智能伪装技术实现逻辑闭环，保障我方设计者或操作者利用可解释的对抗攻击方法应对敌方的防御手段。对敌方的防御手段。对敌方的防御手段。

【技术实现步骤摘要】
面向水声智能伪装的对抗样本可解释性研究方法及系统


[0001]本专利技术涉及数字图像处理技术和水声信号处理
，特别涉及一种面向水声智能伪装的对抗样本可解释性研究方法及系统。

技术介绍

[0002]水声智能伪装技术将在未来海战攻防中发挥重要作用，该领域的基础理论和应用技术极有可能成为新的研究热点。针对机器学习模型的漏洞攻击在人工智能和信息安全领域一直是研究热点。这种针对机器学习模型完整性及其分类精度的攻击通常称为“对抗攻击”。2013年，Szegedy等学者首先正式定义了对抗样本，其利用深度神经网络的映射不连续性设计了一种优化方法来搜索扰动。该方法是在原始数据上加一个小扰动误导分类模型产生错误的类别判定，且扰动量小到人几乎不会感知其存在。
[0003]在对抗样本的设计上，国内外学者曾提出一系列设计方法，例如L
‑
FGSM、FGSM、 DeepFool、C&W attacks、UPSET、MI
‑
FGSM、JSMA、PS
‑
GAN等等。这些方法所制作的对抗样本与原始数据的距离度量(即差异)通常采用l0、l2和l
∞
三个度量指标，l0是扰动量各维度中非零维的数量、l2是指原始数据与对抗样本的欧氏距离、l
∞
表示对抗扰动的最大改变强度。显然，从设计上希望这三个距离越小越好，但如何找到这个最小的扰动，不同方法有着不同的定义和解释。早期研究中，Szegedy等学者认为对抗样本位于数据流形的低概率空间中，很难在数据点周围随机采样得到对抗样本。因此，提出利用三种范数的距离最小化方程跨越输入空间来搜索。松下硅谷实验室的研究人员认为对抗样本的敏感性与选择错误的目标函数或训练方法的缺陷有关，而不是模型拓扑的问题，其设计了一种能够最小化网络输出方差的防御措施，并在小扰动和小数据集方面取得成功。Goodfellow等人则反对数据流形空间的解释，认为应将神经网络模型理解为高维线性模型，对高维输入样本各维度所做的小幅调整就会迫使模型做出错误分类。Tanay和Griffin则质疑这种线性假设，并提出了“边界倾斜”的解释，其认为可以通过从数据流形到分类边界的扰动点找到对抗样本。在数据分布上认为对抗样本很可能沿着数据中低方差的方向出现，因此对抗样本属于模型过拟合的结果。Moosavi
‑
Dezfooli等人则从空间几何相关性的视角研究了决策边界对对抗样本产生的影响。Rozsa等人也认为大多数训练数据都位于决策边界附近，并且微小的扰动就能够将其推过边界，认为这种边界跨越的起因是训练中的梯度消失。对抗样本的设计和解释方法大家各执一词，原因是深度学习的高复杂性牺牲了模型可解释性。

技术实现思路

[0004]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。
[0005]为此，本专利技术的一个目的在于提出一种面向水声智能伪装的对抗样本可解释性研究方法，该方法实现逻辑闭环，保障我方设计者或操作者利用可解释的对抗攻击方法应对敌方的防御手段。
[0006]本专利技术的另一个目的在于提出一种面向水声智能伪装的对抗样本可解释性研究
系统。
[0007]为达到上述目的，本专利技术一方面实施例提出了面向水声智能伪装的对抗样本可解释性研究方法，包括以下步骤：步骤S1，分析输入样本和输出标签在多维空间的分布方式，以超平面对样本空间分割设定；步骤S2，基于对抗样本与原始样本之间的l0距离对对抗样本的存在性进行解释；步骤S3，基于对抗样本与原始样本之间的l2距离证明对抗样本的构成原理。
[0008]本专利技术实施例的面向水声智能伪装的对抗样本可解释性研究方法，以深度神经网络为对象，研究数据空间、网络结构和输出空间的映射关系；从非线性判别边界与其近似线性边界之间挖掘对抗样本的存在空间和构成机理，在对抗样本的存在性和构成性两方面展开研究。为声学智能伪装技术实现逻辑闭环，保障我方设计者或操作者利用可解释的对抗攻击方法应对敌方的防御手段。
[0009]另外，根据本专利技术上述实施例的面向水声智能伪装的对抗样本可解释性研究方法还可以具有以下附加的技术特征：
[0010]进一步地，在本专利技术的一个实施例中，所述步骤S1具体包括：
[0011]定义采样数据为n维样本x＝{x1,x2,
…
,x
n
}，其所在的样本空间可被任意形式的p 个超平面分割为最多个子空间C
t
，每个子空间C
t
内的样本点属于同一类
[0012]进一步地，在本专利技术的一个实施例中，每个子空间之间可能属于同一类，也可能属于不同类，隶属于同一类的子空间可以任意组合。
[0013]进一步地，在本专利技术的一个实施例中，所述步骤S2具体包括：
[0014]步骤S201，在预设深度神经网络的输入端，给定任意两个子空间C1和C2，且输出标签的样本点x、y分别属于两个子空间C1和C2，设d为一n维向量，其中包含z个非零元素，则x和y的关系表示为y＝x+cd，其中c为常系数，以在输入端实现对抗样本的扰动变化；
[0015]步骤S202，设预设深度神经网络有r个激活函数，激活函数为每个输入输出一个m维的实向量，将预设深度神经网络看作一个的分段线性映射，对于分属两个不同类和的输入量x和y，有微调x中部分维度的值，使且与y在网络中有相同的置信度，作为对抗样本被网络分类为
[0016]步骤S203，设输入样本x中允许z个分量做调整，其他分量保持原始值，将输入维数从n降到z，将预设深度神经网络理解为一个从z维输入空间到m维输出空间的分段线性映射，使用局部逆映射去查找折线所对应的输入空间中唯一的像，即找到对抗样本
[0017]进一步地，在本专利技术的一个实施例中，所述步骤S3具体包括：
[0018]步骤S301，分段线性化分类边界，得到分界面，具体地，令扰动量则最小扰动min||∈||2的约束条件为：分类边界的连续函数且 i≠j，x∈C
i
，其中，为预设深度神经网络输出属于类的置信度，为对抗样本
输出的置信度最高类，即l(x+∈)>0表示x+∈与x属于同一类，反之l(x+∈)<0 表示x+∈与x属于不同类；
[0019]步骤S302，在分段线性化的分界面搜索局部最优解，完成对抗样本的构成性解释，具体地，对于任意的x∈C
i
、分别有l(x)>0和l(x
*
)<0，l(
·
)为连续函数，阴影区域内的对抗样本满足预设一个为对抗样本的初始值，将扰动初始化为逐步优化扰动∈的过程描述为找到||∈
i
||2<||∈0||2且满足l(x+∈
i
)≈0的迭代过程，再设∈
g
为∈0沿着分类边界在梯度方向上的投影，∈
c
为∈0在分类边界上的投影。∈
g
和本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向水声智能伪装的对抗样本可解释性研究方法，其特征在于，包括以下步骤：步骤S1，分析输入样本和输出标签在多维空间的分布方式，以超平面对样本空间分割设定；步骤S2，基于对抗样本与原始样本之间的l0距离对对抗样本的存在性进行解释；步骤S3，基于对抗样本与原始样本之间的l2距离证明对抗样本的构成原理。2.根据权利要求1所述的面向水声智能伪装的对抗样本可解释性研究方法，其特征在于，所述步骤S1具体包括：定义采样数据为n维样本x＝{x1,x2,
…
,x
n
}，其所在的样本空间可被任意形式的p个超平面分割为最多个子空间C
t
，每个子空间C
t
内的样本点属于同一类3.根据权利要求2所述的面向水声智能伪装的对抗样本可解释性研究方法，其特征在于，每个子空间之间可能属于同一类，也可能属于不同类，隶属于同一类的子空间可以任意组合。4.根据权利要求1所述的面向水声智能伪装的对抗样本可解释性研究方法，其特征在于，所述步骤S2具体包括：步骤S201，在预设深度神经网络的输入端，给定任意两个子空间C1和C2，且输出标签的有目标≠无目标样本点x、y分别属于两个子空间C1和C2，设d为一n维向量，其中包含z个非零元素，则x和y的关系表示为y＝x+cd，其中c为常系数，以在输入端实现对抗样本的扰动变化；步骤S202，设预设深度神经网络有r个激活函数，激活函数为每个输入输出一个m维的实向量，将预设深度神经网络看作一个的分段线性映射，对于分属两个不同类和的输入量x和y，有微调x中部分维度的值，使且与y在网络中有相同的置信度，作为对抗样本被网络分类为步骤S203，设输入样本x中允许z个分量做调整，其他分量保持原始值，将输入维数从n降到z，将预设深度神经网络理解为一个从z维输入空间到m维输出空间的分段线性映射，使用局部逆映射去查找折线所对应的输入空间中唯一的像，即找到对抗样本5.根据权利要求1所述的面向水声智能伪装的对抗样本可解释性研究方法，其特征在于，所述步骤S3具体包括：步骤S301，分段线性化分类边界，得到分界面，具体地，令扰动量则最小扰动min||∈||2的约束条件为：分类边界的连续函数且i≠j，x∈C
i
，其中，为预设深度神经网络输出属于类的置信度，为对抗样本输出的置信度最高类，即l(x+∈)>0表示x+∈与x属于同一类，反之l(x+∈)<0表示x+∈与x属于不同类；步骤S302，在分段线性化的分界面搜索局部最优解，完成对抗样本的构成性解释，具体地，对于任意的x∈C
i
、分别有l(x)>0和l(x
*
)<0，l(
·
)为连续函数，阴影区域内的对
抗样本满足预设一个为对抗样本的初始值，将扰动初始化为逐步优化扰动∈的过程描述为找到||∈
i
||2<||∈0||2且满足l(x+∈
i
)≈0的迭代过程，再设∈
g
为∈0沿着分类边界在梯度方向上的投影，∈
c
为∈0在分类边界上的投影。∈
g
和∈
c
相互正交，因此有ρ∈[0，1]，调整∈
i
的计算公式得局部最优解的迭代方程：其中∈的上角标T为转置，w为分段边界函数l(x)＝w
T
x+b的权重系数，(1
‑
ρ)作为迭代优化过程的学习率；当扰动量∈的l2范数满足收敛条件||∈
i
||2‑
||∈
i
‑1||2<σ时且l(x+∈
i
)≈0，获得其局部最优解，完成对抗样本的构建。6.一种面向水声智能伪装的对抗样...

【专利技术属性】
技术研发人员：张立国，田梓琳，尹晗琦，戚朋媛，
申请(专利权)人：哈尔滨工程大学，
类型：发明
国别省市：