本发明专利技术提供了一种基于元学习的图像稀疏对抗样本生成方法,包括以下步骤:步骤1,在图像分类模型组成的白盒模型集合中随机采样n个模型;步骤2,元训练阶段;步骤3,元测试阶段;步骤4,对于当前的对抗样本,采样投影策略将全局扰动稀疏化,得到具有稀疏性的对抗样本;步骤5,重复步骤1~步骤4T次,直到对抗样本的更新次数达到预定的迭代次数,使用得到的对抗样本攻击目标黑盒模型。本发明专利技术能够将元学习与基于梯度的稀疏攻击方法相结合,将多个模型的梯度信息融合,并且在元测试阶段进行模拟黑盒攻击约束梯度的更新方向与白盒攻击相似,使得更新的对抗样本不会过拟合于单个模型,有效的提高了对抗样本对黑盒模型攻击的成功率。了对抗样本对黑盒模型攻击的成功率。了对抗样本对黑盒模型攻击的成功率。
【技术实现步骤摘要】
一种基于元学习的图像稀疏对抗样本生成方法
[0001]本专利技术涉及一种基于元学习的图像稀疏对抗样本生成方法。
技术介绍
[0002]随着深度神经网络(Deep Neural Network)技术的发展,深度神经网络在图像分类得到广泛应用并取得了重大突破。但自Szegedy等人在2014年首次在图像分类任务中成功构造对抗样本以来,深度神经网络的脆弱性和安全性问题得到了广泛的关注,对抗样本生成方法的研究也一直是深度神经网络安全领域研究的热点。图像对抗样本是一种在原始图像样本上人为故意添加细微扰动生成的一种对抗性样本,该样本能够使图像分类模型输出错误标签,但人眼却无法察觉其与原始样本的差异性。
[0003]由于神经网络的工作原理缺乏可解释性,对于对抗样本的研究便具有显著意义,一方面对抗样本的存在揭示了深度神经网络的弱点,为探索深度神经网络的可解释研究提供了方向;另一方面对抗样本的存在为进一步提升深度神经网络的鲁棒性研究提供了理论基础,促进了深度神经网络安全攻防技术的发展。因此,基于上述理由,对抗攻击领域发展迅速,众多对抗攻击方法相继提出。
[0004]按对抗扰动大小进行分类,对抗攻击可以分为稀疏攻击和全局攻击。其中,稀疏攻击是指攻击者通过对抗攻击方法构造的图像对抗样本只能在部分像素点上添加扰动,即扰动添加的位置受到约束。通常稀疏攻击为了取得较好的稀疏效果,需要权衡各个像素点的扰动优先级,因此稀疏攻击相比全局攻击的攻击难度更大,但生成的图像对抗样本与原始图像样本的相似度更高,因此更具有研究价值。此外,按获得模型信息多少可以分为白盒攻击和黑盒攻击。黑盒攻击是指攻击者对目标模型无法获取任何信息,只能得到模型对输入样本的输出标签。与白盒攻击相比,由于可用信息更少,因此黑盒攻击更贴近现实场景,成为研究热点。
[0005]黑盒攻击主要分为基于迁移的黑盒攻击和基于查询的黑盒攻击。基于迁移的黑盒攻击利用图像对抗样本的迁移性,即在源模型上生成的图像对抗样本不仅可以攻击自身模型,同时还可以攻击其他模型。研究发现对抗攻击在源模型上的攻击性和在目标模型上的攻击性存在trade
‑
off,尤其对于稀疏攻击,因为稀疏性的对抗扰动一般会严重过拟合于源模型,从而导致迁移性不佳,因此提高图像对抗样本的迁移性成了研究重点。MI
‑
FGSM方法提出利用动量项来积累迭代计算得到的梯度从而稳定更新方向,从而缓解过拟合现象,增强迁移性。中间层攻击方法提出在源模型中间层的特征图上计算损失并利用相应的梯度信息生成对抗样本。DIM方法利用数据增强操作和MI
‑
FGSM相结合,希望通过增加输入的复杂度从而得到更多样化的梯度信息。上述方法对迁移性具有一些提升作用,但无法兼具稀疏性,因此需要提供一种新的方法,同时提升图像对抗样本的稀疏性和迁移性,能够达到对图像分类中的黑盒模型攻击成功率高并且对抗样本图像质量好的效果。
[0006]元学习(Meta
‑
learning),又被称为“学会学习”(Learning to learn),即通过利用过往的知识经验来指导当前新任务的学习,使网络拥有学会学习的能力,是小样本问题
(Few
‑
shot Learning)为了解决问题常用的解决方法之一。在机器学习中,为了得到稳定且具有较强泛化性能的模型,一般需要大量的训练数据来对模型进行训练,但小样本学习问题由于只有较少的训练数据便使其成为了一个难点。因此,如何利用其他相似任务的学习过程,如何通过知识迁移来增加学习器在多任务间的泛化能力便是问题的关键。元学习便提供了一种新的学习模式,通过自动学习其他任务知识,在新任务中使用少量训练数据便可快速学习新任务的知识。利用元学习的知识迁移能力,在生成对抗样本时便可提高其迁移性。
技术实现思路
[0007]专利技术目的:本专利技术所要解决的技术问题是针对现有技术的不足,提供一种基于元学习的图像稀疏对抗样本生成方法,该方法能够达到对黑盒模型攻击成功率高、对抗样本稀疏性好和图像质量高的效果。
[0008]专利技术步骤:本专利技术的步骤主要分为四大部分:(1)模型采样。(2)元训练阶段,对给定的图像,采用白盒模型进行攻击。(3)元测试阶段,模拟黑盒攻击。(4)将当前对抗样本的全局对抗扰动通过投影得到稀疏化后的对抗样本。具体包括以下步骤:
[0009]步骤1,在图像分类模型组成的白盒模型集合中随机采样n个模型,其中前n
‑
1个模型用于元训练阶段,第n个模型用于元测试阶段;
[0010]步骤2,元训练阶段:在采样得到的前n
‑
1个模型上进行白盒攻击生成具有迁移性的对抗样本,将待输入分类模型获取分类标签的原始图像样本x输入前n
‑
1个白盒分类模型,得到模型输出logits值,并进行加权融合,根据加权融合后的logit值计算当前图像的交叉熵损失函数值,并采取基于梯度的攻击方法利用交叉熵损失函数的梯度值更新对抗攻击样本;logits值表示输出类别概率值;
[0011]步骤3,元测试阶段:利用第n个模型进行一次模拟黑盒攻击,并更新对抗样本;计算模型对当前对抗样本的交叉熵损失函数值,并根据梯度更新对抗样本;
[0012]步骤4,对于当前的对抗样本,采样投影策略将全局扰动稀疏化,得到具有稀疏性的对抗样本;
[0013]步骤5,重复步骤1~步骤4T次,直到对抗样本的更新次数达到预定的迭代次数,使用得到的对抗样本攻击目标黑盒模型。
[0014]步骤1包括:在具有N个模型的白盒模型集合M1,M2,
…
,M
N
中,随机采样得到n个模型前n
‑
1个模型在步骤2中作为白盒模型进行白盒攻击,第n个模型在步骤3中作为黑盒模型模拟黑盒攻击,M
N
表示第N个模型,表示第n个模型。
[0015]步骤2包括:
[0016]步骤2
‑
1:对于待输入分类模型获取分类标签的原始图像样本x,设定对抗样本更新迭代过程的起点为x
i,j
,其中下角标i表示外循环中步骤2执行次数,下角标j表示步骤2内部循环次数;对于随机采样得到的n
‑
1个模型计算当前对抗样本经模型输出得到的logits输出值,并加权融合:
[0017][0018]其中表示第s个模型对于当前对抗样本x
i,j
的logits输出值,l(x
i,j
)表示n
‑
1个模型加权融合后的输出logits值,w
s
表示每个模型的加权系数,并且w
s
≥0,
[0019]步骤2
‑
2:根据步骤2
‑
1计算得到的融合logits输出值,通过交叉熵损失函数计算当前对抗样本的损失函数值:
[0020][0021]其中y为原始样本的真实标签,表示对真实标签的one
‑
h本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于元学习的图像稀疏对抗样本生成方法,其特征在于,包括以下步骤:步骤1,在图像分类模型组成的白盒模型集合中随机采样n个模型,其中前n
‑
1个分类模型用于元训练阶段,第n个分类模型用于元测试阶段;步骤2,元训练阶段:在采样得到的前n
‑
1个模型上进行白盒攻击生成具有迁移性的对抗样本,将待输入分类模型获取分类标签的原始图像样本x输入前n
‑
1个白盒分类模型,得到模型输出logits值,并进行加权融合,根据加权融合后的logit值计算当前图像的交叉熵损失函数值,并采取基于梯度的攻击方法利用交叉熵损失函数的梯度值更新对抗攻击样本;logits值表示输出类别概率值;步骤3,元测试阶段:利用第n个模型进行一次模拟黑盒攻击,并更新对抗样本;计算模型对当前对抗样本的交叉熵损失函数值,并根据梯度更新对抗样本;步骤4,对于当前的对抗样本,采样投影策略将全局扰动稀疏化,得到具有稀疏性的对抗样本;步骤5,重复步骤1~步骤4T次,直到对抗样本的更新次数达到预定的迭代次数,使用得到的对抗样本攻击目标黑盒模型。2.根据权利要求1所述的方法,其特征在于,步骤1包括:在具有N个模型的白盒模型集合M1,M2,
…
,M
N
中,随机采样得到n个模型前n
‑
1个模型在步骤2中作为白盒模型进行白盒攻击,第n个模型在步骤3中作为黑盒模型模拟黑盒攻击,M
N
表示第N个模型,表示第n个模型。3.根据权利要求2所述的方法,其特征在于,步骤2包括:步骤2
‑
1:对于待输入分类模型获取分类标签的原始图像样本x,设定对抗样本更新迭代过程的起点为x
i,j
,其中下角标i表示外循环中步骤2执行次数,下角标j表示步骤2内部循环次数;对于随机采样得到的n
‑
1个模型计算当前对抗样本经模型输出得到的logits输出值,并加权融合:其中表示第s个模型对于当前对抗样本x
i,j
的logits输出值,l(x
i,j
)表示n
‑
1个模型加权融合后的输出logits值,w
s
表示每个模型的加权系数,并且w
s
≥0,步骤2
‑
2:根据步骤2
‑
1计算得到的融合logits输出值,通过交叉熵损失函数计算当前对抗样本的损失函数值:其中y为原始样本的真实标签,表示对真实标签的one
‑
hot(独热码)编码,softmax是归一化函数,表示当前对抗样本在前n
‑
1个模型上的交叉熵损失函数值;步骤2
‑
3:根据损失函数值计算对当前对抗样本的梯度,并根据快速梯度符号法来更新当前对抗样本:
其中sign为符号函数,α为每次更新对抗样本的步长,x
i,j+1
表示一次迭代更新后的对抗样本;步骤2
‑
4:重复步骤2
‑
1~步骤2
‑
3K次,K为超参数,得到步骤2阶段最终的对抗样本...
【专利技术属性】
技术研发人员:李伟涛,商琳,
申请(专利权)人:南京大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。