一种特定于大规模图像的黑盒攻击方法技术

本发明专利技术提出了一种特定于大规模图像的黑盒攻击方法，属于人工智能领域，方法包括：根据攻击场景在ImageNet数据集选取图像生成初始化图像，使初始化图像具有对抗性，将图像置于决策边界处；根据模型的输出硬标签，对梯度方向进行估计；沿梯度方向前向移动算法；投影回边界处。本发明专利技术在估计梯度时，考虑用离散小波变换分解出样本的低频分量，并估计这部分的梯度。这极大地降低待估计梯度的维度为原始空间的1/4；当采样一定数量的高斯噪声时，可以比原始全空间采样更准确地估计梯度；在进行无目标攻击时，本发明专利技术用随机均匀噪声替换原始图像的低频分量，并结合原始高频分量重建回原始空间，可以比全空间随机采样作为初始化的做法具有更小的失真。有更小的失真。有更小的失真。

【技术实现步骤摘要】
一种特定于大规模图像的黑盒攻击方法


[0001]本专利技术属于人工智能领域，尤其涉及一种特定于大规模图像的黑盒攻击方法。

技术介绍

[0002]随着人工智能时代的到来，深度学习在图像理解、语音识别、自然语言处理等各种模式识别任务中表现出卓越的性能。深度学习模型也广泛应用于现实世界的众多应用中，其中包括很多对安全敏感的应用场景，例如自动驾驶中的视觉智能系统、CT影像分类、金融支付中的人脸识别系统等。深度学习模型能够以接近人眼的准确率识别图像，但其容易受到对抗样本攻击，做出错误判断。因此，研究对抗样本的生成方法对于了解机器学习算法的局限性、提供模型鲁棒性的度量、研究潜在风险以及提出提高模型鲁棒性的方法来说是非常必要的。
[0003]近年来，研究者在对抗样本生成算法的设计方面进行了大量研究。主要将对抗攻击分为两种主要类型:白盒攻击和黑盒攻击。在白盒设置中，攻击者可以获取关于模型的所有信息，包括它的结构和权重等。在黑盒设置中，攻击者只能访问目标模型的输出，包括它的分类概率和硬标签。根据攻击者可访问到的模型信息，黑盒攻击进一步分为了基于分数(分类本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种特定于大规模图像的黑盒攻击方法，其特征在于，所述方法包括：S1、根据攻击场景在ImageNet数据集选取图像生成初始化图像，使初始化图像具有对抗性成为初始对抗样本，将初始对抗样本置于决策边界处；S2、根据模型的输出硬标签，对梯度方向进行估计；S3、沿梯度方向前向移动算法；S4、投影回边界处。2.根据权利要求1所述的一种特定于大规模图像的黑盒攻击方法，其特征在于，所述攻击场景包括非目标攻击场景和目标攻击场景。3.根据权利要求2所述的一种特定于大规模图像的黑盒攻击方法，其特征在于，所述ImageNet数据集为一个大规模带标签图像数据集，划分为训练集、验证集和测试集；所述测试集包括原始图像和初始化图像；所述原始图像的类标签为原始类标签所述初始化图像的所属类别为非原始类标签类别。4.根据权利要求3所述的一种特定于大规模图像的黑盒攻击方法，其特征在于，在所述S1中，所述初始对抗样本根据攻击场景有两种生成方法：在所述非目标攻击场景，对所述原始图像进行离散小波分解，将所述原始图像的低频分量重置为均匀分布噪声，结合原高频分量经过逆离散小波变换重构后通过二分搜索算法将此处理完的原始图像投影回边界处，作为初始对抗样本；在所述目标攻击场景，随机选取一个非原始类标签类别视作目标类，再随机抽取一张所述目标类的图像作为初始化图像，通过二分搜索算法将此样本置于边界处，作为初始对抗样本。5.根据权利要求1所述的一种特定于大规模图像的黑盒攻击方法，其特征在于，所述S2中，所述对梯度方向进行估计的任务是利用模型的输出硬标签，进行...

【专利技术属性】
技术研发人员：王员根，王丹，
申请(专利权)人：广州大学，
类型：发明
国别省市：