本发明专利技术提供一种基于有目标数据增强的对抗攻击方法,属于深度学习与计算机视觉领域。技术方案为:首先,生成深度神经网络(Deep Neural Network,DNN)在输出特定分类下对输入图片的类激活图(Class Activation Map,CAM)矩阵,并按照不同比例将CAM矩阵中数值较大的部分元素进行掩盖。然后,分别将掩盖后的CAM矩阵与输入图片进行融合来对输入图片进行增强。之后,将每个融合后的图片各复制多份,并将所复制的每一份图片的像素值按照不同比例缩放。随后,计算所有生成的图片的平均梯度信息并更新动量信息。最后,根据动量信息计算对抗扰动并更新对抗样本。重复以上步骤T次直至生成最终的对抗样本。与其他发明专利技术技术相比,本发明专利技术基于输入图片中不同区域对于DNN输出结果的贡献程度对输入图片进行有目标数据增强,在不降低白盒攻击成功率的前提下,可以显著提升所生成对抗样本的迁移性。对抗样本的迁移性。对抗样本的迁移性。
【技术实现步骤摘要】
一种基于有目标数据增强的对抗攻击方法
[0001]本专利技术涉及一种针对深度神经网络的对抗攻击方法,特别涉及一种基于有目标数据增强的对抗攻击方法。
技术介绍
[0002]深度神经网络(Deep Neural Network,DNN)已经在自然语言处理、计算机视觉、推荐系统等诸多领域取得了广泛的应用。然而,不可忽略的是DNN容易遭受对抗样本的攻击,即在原始数据中添加人眼不可察觉的扰动后可以让模型以高置信度做出错误的预测。此外,相关研究表明对抗样本具有迁移性,即针对一个模型生成的对抗样本在很大程度上同样可以欺骗相同训练任务下的其他模型。基于对抗样本地迁移性,攻击者可以首先基于替代模型生成对抗样本,然后将所生成的对抗样本迁移到目标模型上,从而对目标模型实施黑盒攻击。在该场景下,提升所生成的对抗样本的迁移性即可提升黑盒攻击的成功率。数据增强是提升所生成的对抗样本的迁移性的一种常用手段。然而,现有的如Admix(Xiaosen Wang,Xuanran He,Jingdong Wang,and Kun He.Admix:Enhancing the transferability of adversarial attacks.In proceedings of the IEEE/CVF International Conference on Computer Vision.2021:16158
‑
16167)、SCM
‑
P(Donggon Jang,Sanghyeok Son,and Dae<br/>‑
Shik Kim.Strengthening the Transferability of Adversarial Examples Using Advanced Looking Ahead and Self
‑
CutMix.In proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition.2022:148
‑
155)等基于数据增强的对抗攻击方法通常采用随机将输入图片与自身或者其他类别的图片进行融合的方式对输入图片进行增强,这类方法忽略了图片中的不同区域对于模型预测结果的重要程度不同,且对数据的增强过程带有一定随机性,因而其所生成的对抗样本的迁移性对部分经鲁棒训练加固后的DNN表现较差。
技术实现思路
[0003]为了克服现有对抗攻击方法所生成的对抗样本迁移性不足的问题,本专利技术提供了一种基于有目标数据增强的对抗攻击方法。该方法首先构造DNN对于输入图片在指定类别下的类激活图(Class Activation Map,CAM)矩阵,综合评估输入图片中各个像素对于DNN预测结果的贡献程度;然后,将CAM矩阵中对DNN模型输出结果贡献较大的部分像素掩盖后与输入图片融合来对输入图片进行有目标数据增强;之后,分别将有目标数据增强后的图片复制多份,并将每份的像素值按照不同比例进行缩放;最后,基于所有增强后的图片的平均梯度信息计算对抗扰动,从而生成对抗样本。本专利技术基于输入图片不同像素对DNN输出结果的重要程度来对输入图片进行有目标数据增强,从影响DNN对输入图片的关注区域的角度生成对抗样本,可以显著提高所生成对抗样本的迁移性。
[0004]本专利技术解决其技术问题所采用的技术方案:一种基于有目标数据增强的对抗样本生成方法,其特点是包括下述步骤:
[0005]步骤一、初始化参数g0=0;x
′0=x;α=∈/T,其中,x为原始图片;x
′0为初始对抗样本;α为扰动步长,其值为固定常数;∈为最大扰动值;T为迭代次数;g0为初始动量,其值为原始图片形状相同的零矩阵。
[0006]步骤二、在第t轮迭代计算对抗扰动过程中,对于输入图片x
′
t
,计算DNN模型对其在指定类别下的CAM矩阵:
[0007][0008]式中,为分类器f对于输入图片x
′
t
在类别c下的CAM矩阵;A为分类器f的最后一个卷积层输出的特征图;A
n
为特征层A中第n个通道的数据;H(
·
)为双线性插值函数,用于将针对特征层A的处理结果转换为和输入图片x
′
t
相同的形状;为特征层A
n
的权重,其计算公式如下:
[0009][0010]式中,y
c
表示DNN对于类别c的预测分数;表示特征层A第n个通道中坐标(i,j)对应的值;Z等于特征层A的高度与宽度的乘积。
[0011]步骤三、生成百分位数集合Q:
[0012][0013]式中,q
i
表示第i个百分位数值,其计算方式如下所示:
[0014][0015]其中,σ为一个正整数。
[0016]步骤四、根据集合Q中的不同百分位数q
i
,将获得CAM矩阵中对DNN预测结果影响较高的部分像素进行掩盖,生成多个掩盖后的CAM矩阵其中,计算方式如下:
[0017][0018]式中,表示与其输入z形状相同的矩阵,且该矩阵的所有元素值均等于矩阵z所有元素值的q
i
百分位数;Sign为符号函数;Min(z,0)表示将矩阵z中所有比0大的元素替换为0。
[0019]步骤五、分别将生成的多个掩盖后的CAM矩阵与输入图片x
′
t
按一定比例融合,从而生成多张增强后的图片其中,的计算方式如下:
[0020][0021]式中,γ为融合系数;ξ为随机扰动,且满足ξ∈[
‑
∈,∈],∈为常数,其值等于所生成对抗样本的最大扰动值。
[0022]步骤六、将多张增强后的图片分别复制m2份,并其中第j(j∈[1,m2])份的所有图片像素值缩放为原来的1/2
j
‑1倍,并计算当前所生成所有增强后图片的平均梯度信息
[0023][0024]式中,m1为百分位数集合Q的大小;m2为融合后图片的复制个数;J(
·
)为交叉熵损失函数;x
′
t
为输入图片;y为图片对应标签值;θ为分类器f的参数。
[0025]步骤七、更新动量信息g
t+1
:
[0026][0027]其中,μ为常数;g
t
为上一轮迭代中的动量信息。
[0028]步骤八、计算对抗扰动,并更新对抗样本x
′
t+1
:
[0029]x
′
t+1
=x
′
t
+α
·
Sign(g
t+1
)
ꢀꢀꢀꢀ
(9)
[0030]其中,α为常数;Sign为符号函数。
[0031]步骤九、重复执行步骤二至步骤八共计T次,获得针对原始图片x的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于有目标数据增强的对抗攻击方法,其特征在于包括以下步骤:步骤一、初始化参数g0=0;x
′0=x;α=∈/T,其中,x为原始图片;x
′0为初始对抗样本;α为扰动步长,其值为固定常数;∈为最大扰动值;T为迭代次数;g0为初始动量,其值为原始图片形状相同的零矩阵。步骤二、在第t轮迭代计算对抗扰动过程中,对于输入图片x
′
t
,计算DNN模型对其在指定类别下的类激活图(Class Activation Map,CAM)矩阵:式中,为分类器f对于输入图片x
′
t
在类别c下的CAM矩阵;A为分类器f的最后一个卷积层输出的特征图;A
n
为特征层A中第n个通道的数据;H(
·
)为双线性插值函数,用于将针对特征层A的处理结果转换为和输入图片x
′
t
相同的形状;为特征层A
n
的权重,其计算公式如下:式中,y
c
表示DNN对于类别c的预测分数;表示特征层A第n个通道中坐标(i,j)对应的值;Z等于特征层A的高度与宽度的乘积。步骤三、生成百分位数集合Q:式中,q
i
表示第i个百分位数值,其计算方式如下所示:其中,σ为一个正整数。步骤四、根据集合Q中的不同百分位数q
i
,将获得CAM矩阵中对DNN预测结果影响较高的部分像素进行掩盖,生成多个掩盖后的CAM矩阵其中,计算方式如下:式中,表示与其输入z形状相同的矩阵,且该矩阵的所有元素值均等于矩阵z所有元素值的q
i
...
【专利技术属性】
技术研发人员:郭森森,李晓宇,朱培灿,慕志颖,赵金雄,
申请(专利权)人:西北工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。