本发明专利技术公开了一种针对深度神经网络图像分类器的对抗攻击方法,该方法包括:通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算,构建平均梯度;基于平均梯度对输入样本进行添加扰动处理,生成对抗样本;基于生成样本对深度神经网络分类器模型进行循环迭代训练,直至满足预设迭代次数,得到训练后的深度神经网络分类器模型。通过使用本发明专利技术,能够实现更高的攻击成功率与降低模型分类的准确率进一步提升深度神经网络分类器的鲁棒性。本发明专利技术作为一种针对深度神经网络图像分类器的对抗攻击方法,可广泛应用于深度神经网络应用技术领域。应用技术领域。应用技术领域。
【技术实现步骤摘要】
一种针对深度神经网络图像分类器的对抗攻击方法
[0001]本专利技术涉及深度神经网络应用
,尤其涉及一种针对深度神经网络图像分类器的对抗攻击方法。
技术介绍
[0002]近年来,深度神经网络在图像处理、自然语言处理、语音识别等诸多领域都取得了显著的成果,甚至已经超越了人类。然而,最近的研究表明,几乎所有的深度神经网络模型都存在着安全隐患。通过在原始样本中添加一些微小的扰动可以得到对抗样本,添加扰动后的对抗样本与原始样本在观察者看来具有相同的类别或属性,但会误导深度神经网络模型产生错误的输出(注:样本是指深度神经网络模型的输入信号,如数字图像、数字音频、文本数据等;深度神经网络模型可以用于图像分类、目标检测、恶意程序检测等多个任务)。这种在原始样本中添加微弱噪声误导分类器的操作称之为对抗攻击,其核心思想是最大化网络模型的损失函数,生成可以误导神经网络分类器的对抗样本。对抗样本的存在给深度神经网络的实际应用带来了严重的挑战,研究对抗样本有助于分析现有深度神经网络模型存在的安全漏洞,并建立相应的防范机制,基于梯度的对抗攻击算法具有较低的计算成本和较好的性能,是目前最流行的对抗攻击方法之一。在基于梯度的对抗攻击中,生成的对抗样本中所添加的扰动主要是由损失函数对输入样本的梯度确定的。由于不同的模型具有相似的决策边界,这就导致攻击一个给定模型生成的对抗样本可以以较高的概率欺骗另一个不同的模型,也就是说,对抗样本具有跨模型的迁移性。实际上,对抗攻击不仅能误导正常训练的深度神经网络模型,同时也能攻击各种防御模型。从另一方面来讲,对于对抗攻击研究可以发现深度神经网络模型存在的缺陷,利用对抗攻击方法生成的对抗样本对深度神经网络模型实施对抗性训练是一种常用的防御方法,可以有效地提升模型的鲁棒性,抵御各种各样的对抗攻击。为了提升对抗样本的攻击成功率,学者们提出了各种技术,例如高级梯度计算、模型融合、数据增广和模型结构调整。在这些方法中,高级梯度计算和数据增广策略是两种常用的方法。基于高级梯度计算的攻击通过引入一个新的高级梯度项,尽可能地预防生成的对抗样本陷入较差的局部极值。数据增广策略是在梯度计算过程中对输入样本执行一系列转换操作,以防止生成的对抗样本过度拟合模型。虽然现有的基于梯度的攻击方法取得了较好的效果,但这些方法在面对经过对抗训练的防御模型的时候,迁移性通常会大幅度地降低。
技术实现思路
[0003]为了解决上述技术问题,本专利技术的目的是提供一种针对深度神经网络图像分类器的对抗攻击方法,能够实现更高的攻击成功率与降低模型分类的准确率进一步提升深度神经网络分类器的鲁棒性。
[0004]本专利技术所采用的第一技术方案是:一种针对深度神经网络图像分类器的对抗攻击方法,包括以下步骤:
[0005]通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算,构建平均梯度;
[0006]基于平均梯度对输入样本进行添加扰动处理,生成对抗样本;
[0007]基于生成样本对深度神经网络分类器模型进行循环迭代训练,直至满足预设迭代次数,得到训练后的深度神经网络分类器模型。
[0008]进一步,所述通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算,构建平均梯度这一步骤,其具体包括:
[0009]获取带有真实标签的输入样本与深度神经网络分类器模型;
[0010]对输入样本进行迭代添加最大扰动处理,得到初步的对抗样本;
[0011]对迭代添加次数进行判断;
[0012]判断到迭代添加次数小于预设总迭代次数,将初步的对抗样本输入至深度神经网络分类器模型;
[0013]基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算,得到初步的平均梯度;
[0014]根据初步的平均梯度循环对初步的对抗样本进行梯度计算步骤,直至迭代添加次数满足预设阈值,输出平均梯度。
[0015]进一步,所述基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算,得到初步的平均梯度这一步骤,其具体包括:
[0016]基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算,得到对应的梯度信息;
[0017]根据梯度信息构建临时样本;
[0018]对每一次迭代添加与梯度计算后所构建的临时样本进行组合,构建动态样本集;
[0019]基于深度神经网络分类器模型的损失函数对动态样本集进行损失计算,得到初步的平均梯度。
[0020]进一步,所述基于平均梯度对输入样本进行添加扰动处理,生成对抗样本这一步骤,其具体包括:
[0021]基于平均梯度对上一迭代添加与梯度计算后的梯度信息进行更新处理,得到更新后的梯度信息;
[0022]根据更新后的梯度信息对输入样本进行添加扰动处理,生成对抗样本。
[0023]进一步,所述平均梯度的计算公式具体如下所示:
[0024][0025]上式中,表示平均梯度,y表示当前对抗样本的真实标签,表示损失函数对于当前对抗样本的梯度,表示初步的对抗样本中的预测标签与真实标签所对应的梯度信息,表示损失函数对于动态样本集中所有临时样本的梯度的累加,t表示当前的迭代次数,J表示深度神经网络分类器模型的损
失函数,y表示带有真实标签的输入样本,表示临时样本。
[0026]进一步,所述基于平均梯度对输入样本进行添加扰动处理的表达式具体如下所示:
[0027][0028][0029]上式中,sign(
·
)分别表示裁剪函数和符号函数,μ表示衰减系数,g
t+1
表示更新后的梯度信息,g
t
表示上一迭代添加与梯度计算后的梯度信息,表示对抗样本,a表示每次迭代时添加的扰动步长,∈表示最大扰动幅度。
[0030]本专利技术方法的有益效果是:本专利技术使用在过去迭代中获得的平均梯度来对输入样本进行变换操作,从而形成对抗空间以增强算法的泛化能力,采用过去的梯度构建一系列临时样本,进而形成一个动态样本集,计算损失函数对于当前样本和动态样本集中所有样本的梯度的平均值,根据得到的梯度的平均值在当前样本中添加扰动生成对抗样本,保证在相同的扰动约束限制下,生成的对抗样本在黑盒模型和防御模型中都能实现更高的攻击成功率并降低模型分类的准确率,可以用来评估深度神经网络图像分类器的性能以及对抗防御方法的有效性。
附图说明
[0031]图1是本专利技术一种针对深度神经网络图像分类器的对抗攻击方法的步骤流程图;
[0032]图2是本专利技术方法进行对抗攻击的流程示意图;
[0033]图3是本专利技术方法攻击Inc
‑
v3模型生成的对抗样本与常用的四种模型(Inc
‑
v3、Inc
‑
v4、IncRes
‑
v2和Res
‑
152)的攻击成功率的对比示意图。
具体实施方式
[0034]下面结合附图和具体实施例对本专利技术做进一步的详细说明。对于以下实本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对深度神经网络图像分类器的对抗攻击方法,其特征在于,包括以下步骤:通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算,构建平均梯度;基于平均梯度对输入样本进行添加扰动处理,生成对抗样本;基于生成样本对深度神经网络分类器模型进行循环迭代训练,直至满足预设迭代次数,得到训练后的深度神经网络分类器模型。2.根据权利要求1所述一种针对深度神经网络图像分类器的对抗攻击方法,其特征在于,所述通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算,构建平均梯度这一步骤,其具体包括:获取带有真实标签的输入样本与深度神经网络分类器模型;对输入样本进行迭代添加最大扰动处理,得到初步的对抗样本;对迭代添加次数进行判断;判断到迭代添加次数小于预设总迭代次数,将初步的对抗样本输入至深度神经网络分类器模型;基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算,得到初步的平均梯度;根据初步的平均梯度循环对初步的对抗样本进行梯度计算步骤,直至迭代添加次数满足预设阈值,输出平均梯度。3.根据权利要求2所述一种针对深度神经网络图像分类器的对抗攻击方法,其特征在于,所述基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算,得到初步的平均梯度这一步骤,其具体包括:基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算,得到对应的梯度信息;根据梯度信息构建临时样本;对每一次迭代添加与梯度计算后所构建的临时样本进行组合,构建动态样本集;基于深度神经网络分类器模型的损失函...
【专利技术属性】
技术研发人员:黄方军,万晨,陈思,万丽,
申请(专利权)人:郑州信大先进技术研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。