一种兼顾L2损失与L0损失的对抗攻击方法技术

本发明专利技术涉及图像深度学习领域，且公开了一种兼顾L2损失与L0损失的对抗攻击方法，包括以下步骤：第一步：首先使用Sign

【技术实现步骤摘要】
一种兼顾L2损失与L0损失的对抗攻击方法


[0001]本专利技术涉及图像深度学习领域，具体为一种兼顾L2损失与L0损失的对抗攻击方法。

技术介绍

[0002]随着深度学习在各个领域的广泛应用，其安全问题也逐渐引起人们的关注。深度学习卷积神经网络(CNN)会对添加扰动的输入样本产生误判，这些被添加扰动的样本称为对抗样本，近年来成为研究者关注的热点。由于对抗样本对深度学习系统的安全性存在威胁，尤其以攻击方在不需要模型参数情况下实施的黑盒攻击更为严重，因此研究对抗样本对防御策略的提出和模型鲁棒性的增强是很有必要的。
[0003]现阶段对黑盒攻击的研究众多，但大多数黑盒攻击通过梯度估计的方式产生全局扰动来愚弄目标模型。众所周知，对于黑盒模型，尤其是硬标签黑盒模型，攻击者难以获得模型的梯度信息。攻击者往往通过搭建替代模型或将寻找对抗样本转化为优化问题等方式来估计梯度信息，然而这种方式估计出来的梯度信息往往不够准确。因此，通过梯度估计方式生成的对抗样本往往产生较大的失真，且改动像素涉及全图像，从而影响对抗样本的视觉效果。
[0004]现有
技术实现思路
如下：
[0005]现有技术方案1：一种多通路聚合的对抗样本生成方法、系统及终端，2022。
[0006]该专利技术公开了一种多通路聚合的对抗样本生成方法、系统及终端，属于深度学习
，建立多条模型通路；在原始图像上分别添加随机的扰动信息，得到多张第一扰动图像；将原始图像输入第一条模型通路，同时将多张第一扰动图像分别输入其他模型通路，计算各神经网络模型的梯度，对各神经网络模型的梯度进行自适应权重聚合处理，并根据自适应权重聚合处理得到的梯度更新各神经网络模型生成的图像样本，多次循环本步骤，输出最终对抗样本。该专利技术第一扰动图像综合了外界扰动因素，泛化性强；通过自适应权重聚合处理，使图像多种扰动因素得以拟合，提升对抗样本的泛化性。
[0007]现有技术方案2：对抗样本生成方法、装置、电子设备及存储介质，2022。
[0008]该专利技术涉及人工智能
，提供了一种对抗样本生成方法、装置、电子设备及存储介质，所述方法包括:获取原始图像；对原始图像添加基于多维高斯分布生成的扰动噪声，得到原始图像的对抗样本，对抗样本给出预设图像识别模型不被期望的输出，且原始图像能够给出预设图像识别模型正确的输出。本专利技术通过为原始图像添加基于多维高斯分布生成的扰动噪声，得到原始图像的对抗样本，可更高效、更快捷地得到对抗样本，进而提升了预设图像识别模型的鲁棒性验证效率。
[0009]现有技术方案3：基于图像亮度随机变化的对抗攻击生成方法及系统，2021。
[0010]该专利技术公开了一种基于图像亮度随机变换的对抗样本生成方法及系统，收集用于视觉图像分类识别的样本数据，包含输入图像以及与输入图像对应的标签数据；构建用于生成对抗样本的深度神经网络模型；通过对抗样本数据输入图像亮度随机变换进行数据增
强，利用动量迭代FGSM图像对抗算法对网络模型求解，在目标损失函数关于输入梯度方向上寻找对抗扰动，并对对抗扰动进行无穷范数限制，通过最大化样本数据在网络模型上的目标损失函数来生成对抗样本。该专利技术将图像亮度随机变换引入到对抗攻击中，有效消除对抗样本生成过程过拟合，提高对抗样本攻击成功率和可迁移性。
[0011]现有技术的缺点：
[0012]对于现有技术方案1，该方案存在的缺点是：1)图像需要重复多次输入多个模型通路，并计算概率值与权重，增加了内存占用，并耗费了大量计算资源。2)模型数量无法覆盖现有的所有常用模型，且通过计算权重，得到的集成模型的概率值与真实目标模型的概率值之间存在一定误差。3)生成的噪声覆盖全图像，修改像素多。
[0013]对于现有技术方案2，该方案存在的缺点是：1)初始的基于多维高斯分布的扰动噪声将影响最后对抗样本视觉效果的好坏。2)生成的噪声覆盖全图像，修改像素多。
[0014]对于现有技术方案3，该方案存在的缺点是：1)替代模型与具体的目标模型之间存在一定的差异，记性基于迁移的黑盒攻击并不理想。2)该方法产生全局对抗扰动，容易在图像平滑的背景区域产生噪声，降低视觉效果，为此我们提出了一种兼顾L2损失与L0损失的对抗攻击方法。

技术实现思路

[0015](一)解决的技术问题
[0016]针对现有技术的不足，本专利技术提供了一种兼顾L2损失与L0损失的对抗攻击方法，解决了上述的问题。
[0017](二)技术方案
[0018]为实现上述所述目的，本专利技术提供如下技术方案：一种兼顾L2损失与L0损失的对抗攻击方法，包括以下步骤：
[0019]第一步：首先使用Sign
‑
OPT攻击产生初始对抗噪声方向θ0和距离λ0；
[0020]第二步：计算噪声维度不重要度矩阵β；
[0021]第三步：使用二分搜索寻找一个阈值t，使得将β中高于t的值置0，低于t的值置1后，依然满足f(x0+λ0θ0·
β)！＝y0，其中x0表示原始图像，y0表示神经网络对x0的正确分类类别，对初始对抗噪声方向θ0进行维度优化得到最终噪声方向θ'＝β
·
θ0。
[0022]优选的，所述第一步的具体步骤如下：
[0023]S1：随机生成大量的方向向量θ，然后分别计算在每个方向上得到对抗样本所需的最短距离g(θ)。g(θ)最小时对应的θ即为一个初始的噪声方向，g(θ)即为初始距离λ0，θ求取方法如下所示：
[0024][0025]S2：求取θ的更新方向使得在新方向上得到的对抗样本有向量的求取采用符号梯度估计方式，如下所示：
[0026][0027]其中Q表示随机高斯采样次数，μ
q
表示每次高斯采样向量，sign(g(θ+εμ)
‑
g(θ))表示符号梯度，计算方法如下：
[0028][0029]重复过程S2，得初始噪声方向θ0和对应的距离λ0。
[0030]优选的，所述第二步中的具体步骤如下：
[0031]S1：随机置零θ0的一部分维度得到θ
0*
，θ
0*
求取方法如下所示：
[0032][0033]ω
i
为随机分布的0\1矩阵，然后计算x0+λ0θ
0*
是否为对抗样本，得到符号矩阵S
i
：
[0034][0035]其中R(
·
)表示将0\1矩阵中的元素翻转，即将0元素变为1，将1元素变为0；
[0036]S2：计算符号矩阵权重α
i
，符号矩阵乘以一个相应的权值，权值计算内容如下：
[0037][0038]L2(
·
)表示求L2距离，其中γ
i
反映每次θ0被置零的维度的信息，计算方法如下：
[0039]γ
i
＝R(ω
i
)
·
θ0；
[0040]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种兼顾L2损失与L0损失的对抗攻击方法，其特征在于，包括以下步骤：第一步：首先使用Sign
‑
OPT攻击产生初始对抗噪声方向θ0和距离λ0；第二步：计算噪声维度不重要度矩阵β；第三步：使用二分搜索寻找一个阈值t，使得将β中高于t的值置0，低于t的值置1后，依然满足f(x0+λ0θ0·
β)！＝y0，其中x0表示原始图像，y0表示神经网络对x0的正确分类类别，对初始对抗噪声方向θ0进行维度优化得到最终噪声方向θ'＝β
·
θ0。2.根据权利要求1所述的一种兼顾L2损失与L0损失的对抗攻击方法，其特征在于：所述第一步的具体步骤如下：S1：随机生成大量的方向向量θ，然后分别计算在每个方向上得到对抗样本所需的最短距离g(θ)。g(θ)最小时对应的θ即为一个初始的噪声方向，g(θ)即为初始距离λ0，θ求取方法如下所示：S2：求取θ的更新方向使得在新方向上得到的对抗样本有向量的求取采用符号梯度估计方式，如下所示：其中Q表示随机高斯采样次数，μ
q
表示每次高斯采样向量，sign(g(θ+εμ)
‑
g(θ))表示符号梯度，计算方法如下：重复过程S2，得初始噪声方向θ0和对应的距离λ0。3.根据权利要求1所述的一种兼顾L2损失与L0损失的对抗攻击方法，其特征在于：所述第二步中的具体步骤如下：S1：随机置零θ0的一部分维度得到θ
0*
，θ
0*
求...

【专利技术属性】
技术研发人员：王员根，周超，
申请(专利权)人：广州大学，
类型：发明
国别省市：