一种含基础样本筛选过程的梯度对齐投毒攻击方法技术

本发明专利技术设计一种含基础样本筛选过程的梯度对齐投毒攻击方法；集中在制作毒化样本阶段，包括：使用梯度对齐的方法制作毒化样本，同时最小化目标样本与毒化样本损失函数梯度之间的负余弦相似度以及基础样本与毒化样本损失函数梯度之间的余弦相似度，使得毒化样本在梯度空间中与具有攻击目标标签的目标样本具有一致的梯度方向，同时使得毒化样本与制作毒化样本的原始样本在梯度空间中梯度方向背离，使用Adam优化器执行优化得到最优的毒化样本；在优化步骤的前期通过动态剔除候选基础样本集中的样本，来选择具有更强动力向目标样本靠近的的基础样本作为最终选定的基础样本，以避免随机选择带来的对攻击效果的损害。免随机选择带来的对攻击效果的损害。

【技术实现步骤摘要】
一种含基础样本筛选过程的梯度对齐投毒攻击方法


[0001]本专利技术涉及数据投毒攻击方法，具体涉及一种含基础样本筛选过程的梯度对齐投毒攻击方法。

技术介绍

[0002]深度学习的过程由数据提供者、深度模型训练和模型使用者三方共同参与，当数据提供者既提供数据又训练和使用模型时，模型和数据安全能够得到一定保障，但是在现实的生产生活中，深度学习的参与方是分离的，因而深度模型的安全性往往受到多方面的威胁。目前大量的研究集中于在测试阶段对模型进行攻击，而数据投毒攻击则是少数的关注在模型训练阶段的攻击方法，数据投毒攻击不需要攻击者在测试阶段控制模型的输入，只需要在训练集中注入少量的被操纵制作而成的毒化样本即可实现攻击，在现实场景中，这种攻击方法更加容易实现，例如：攻击者可以将毒化样本插入一些常用的数据集中如CIFAR10、ImageNet、CIFAR100等等，再将这些数据集上传到网络上如DropBox、GoogleDrive、百度网盘等等，提供给模型训练者们下载，或者将制作好的毒化样本直接上传到网络，如社交媒体、百度百科等等，模型训练者们采用爬虫收集数据集时将无意识的采集到毒化样本，攻击者即可实现投毒。
[0003]早期的数据投毒攻击使用的是标签反转方法，即敌手将少量带有错误标签的样本输入到受害者拥有的模型中，经过训练之后使得模型对于这些样本的识别结果发生偏移，同时不影响模型对于训练集中其他样本的测试准确率。但由于标签反转方法隐蔽性差，模型拥有者在训练前对训练集进行检查即可排除被投毒的风险。因此，近期的研究工作集中在干净标签的数据投毒攻击上。即敌手需要保证向受害者训练集注入的样本具有正确的标签。干净标签的数据投毒攻击主要采用在图像上添加扰动的方法，使得毒化样本在特征空间或梯度空间中靠近敌手的攻击目标，以此构造正确标记的毒化样本。
[0004]目前的研究中，数据投毒攻击主要包括特征碰撞和双层优化两种解决思路，基于双层优化思路发展出来的梯度对齐攻击方法在端到端场景下实现了对大规模数据集的投毒攻击。在现有的数据投毒攻击方法中，敌手使用优化的方式在随机选择的基础样本上添加扰动，使得添加扰动后的基础样本在受害者拥有的目标模型的特征空间或梯度空间中靠近敌手的攻击目标样本。但目前的方法忽视了一个关键的问题，不同的基础样本具有不同的攻击能力，仅有一部分基础样本能够使用添加扰动的方式在特征空间或梯度空间中靠近攻击目标。因此如果随机选择到了那些无法被优化到攻击目标附近的基础样本进行攻击，则会大大降低攻击的效率，同时影响研究人员对于优化方法有效性的判断。

技术实现思路

[0005]针对现有技术的不足，本专利技术设计一种含基础样本筛选过程的梯度对齐投毒攻击方法；利用基础样本在目标模型的倒数第二层梯度空间中的位置变化，将基础样本筛选嵌入优化过程之中，在优化过程中动态剔除不利于攻击的候选基础样本，旨在选择具有更强
向目标样本靠近的动力的基础样本来进行毒化样本的制作，从而提高数据投毒攻击方法的有效性。
[0006]一种含基础样本筛选过程的梯度对齐投毒攻击方法，包括如下步骤：
[0007]步骤1：构建用于敌手制作毒化样本的替代模型和用于攻击的目标模型，并获取用于训练替代模型的训练实例以及用于训练和测试目标模型的实例；
[0008]所述构建替代模型具体为：使用与目标模型相同的模型结构，使用与目标模型训练实例具有相同分布的数据集进行训练，得到敌手制作毒化模型时使用的替代模型；
[0009]所述获取用于训练替代模型的训练实例的方法为：和目标模型训练测试使用同一个数据集，并将数据集进行划分为有重叠或无重叠的两部分，无重叠对半划分，有重叠则按照重叠比例划分；
[0010]步骤2：随机选择敌手攻击的目标标签和目标样本，规定投毒时可注入的毒化样本数量；
[0011]所述毒化样本数量一般不超过目标模型训练集样本总数1％，根据具体场景调整，在保证攻击效果的前提下投毒样本的数量越少越好；
[0012]步骤3：根据选择的目标标签从具有此标签的目标样本中获取一组基础样本作为候选基础样本，候选基础样本的个数大于规定投毒样本数量，至少是投毒样本数量的十倍；
[0013]所述获取候选基础样本的方法为：从替代模型的训练集中划分一部分具有目标标签的干净样本作为候选基础样本；基础样本的数量不超过目标模型训练集样本数量的10％；至少是投毒样本数量的十倍；
[0014]步骤4：规定制作毒化样本时向候选基础样本添加扰动的扰动边界，规定制作毒化样本时优化的迭代次数，规定迭代重启轮数；一般通过在优化算法中添加约束条件，即基础样本与毒化样本之间的L2距离尽可能小，根据不同场景进行调整，默认设置为0.1；
[0015]步骤5：随机初始化一个扰动，添加到所有候选基础样本上；所述随机初始化的扰动为一个在扰动边界内部的高斯扰动；
[0016]步骤6：对所有候选基础样本进行k步优化，获得k步后生成的毒化样本；
[0017]所述进行的k步优化仅占完整优化迭代次数的5％；
[0018]步骤6具体包括如下步骤：将随机初始化的扰动添加到所有的候选基础样本上，对所有添加了初始化扰动的候选基础样本进行数据增强，对每一个候选基础样本计算其与目标样本在目标模型的梯度空间中的余弦相似度，使用Adam优化器对每一个基础样本的扰动进行更新，将更新后的扰动添加到基础样本上，如此往复一共更新k次；
[0019]使用基于余弦相似度的梯度对齐方法，优化问题的目标函数如下：
[0020][0021]其中：
[0022][0023][0024]其中x
i
为候选基础样本，Δ
i
为添加的扰动，y
i
为基础样本标签，x
t
为攻击目标样本，y
adv
为攻击目标标签，F为干净的替代模型，θ为替代模型的参数，替代模型在步骤1中已
训练完毕，因此此时θ是固定的；
[0025]式(2)是毒化样本与具有攻击目标标签的目标样本在梯度空间中的负余弦相似度，当毒化样本与具有攻击目标标签的目标样本在梯度空间中的余弦相似度最大时，毒化样本与目标样本梯度方向一致，式(2)接近最小值；
[0026]式(3)是毒化样本与未添加扰动的候选基础样本在梯度空间中的余弦相似度；当毒化样本与未添加扰动的候选基础样本在梯度空间中的余弦相似度最小时，毒化样本与其对应的基础样本梯度方向不一致，式(3)接近最小值，优化的目标函数是最小化二者之和，即同时将毒化样本在梯度空间中偏离原始方向并与目标样本的方向保持一致；
[0027]使用Adam优化器优化目标函数即式(1)，并使用步长衰减，在每一步优化结束后将结果映射到空间C中；对于初始选中的所有候选基础样本，使用上述梯度对齐每优化20步计算一次毒化样本与目标样本在特征空间中的欧氏距离的平方后，根据计算结果升序排序，并从候选基础样本集中剔除掉后10％的候选基础样本，对剩余的样本继续优化，直到候选基础样本集中的样本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种含基础样本筛选过程的梯度对齐投毒攻击方法，其特征在于，包括如下步骤：步骤1：构建用于敌手制作毒化样本的替代模型和用于攻击的目标模型，并获取用于训练替代模型的训练实例以及用于训练和测试目标模型的实例；步骤2：随机选择敌手攻击的目标标签和目标样本，规定投毒时可注入的毒化样本数量；步骤3：根据选择的目标标签从具有此标签的目标样本中获取一组基础样本作为候选基础样本，候选基础样本的个数大于规定投毒样本数量，至少是投毒样本数量的十倍；步骤4：规定制作毒化样本时向候选基础样本添加扰动的扰动边界，规定制作毒化样本时优化的迭代次数，规定迭代重启轮数；步骤5：随机初始化一个扰动，添加到所有候选基础样本上；所述随机初始化的扰动为一个在扰动边界内部的高斯扰动；步骤6：对所有候选基础样本进行k步优化，获得k步后生成的毒化样本；步骤7：对剩余的候选基础样本重复步骤6直至剩余候选基础样本数量等于规定投毒时可注入的毒化样本数量，作为选定的基础样本；步骤8：对选定的基础样本进行优化直到完成规定的迭代次数，得到最终生成的毒化样本；步骤9：使用生成的毒化样本对目标模型进行微调；步骤10：在微调后的目标模型上使用目标样本进行测试，使用测试集样本进行测试。2.根据权利要求1所述的一种含基础样本筛选过程的梯度对齐投毒攻击方法，其特征在于，步骤1所述构建替代模型具体为：使用与目标模型相同的模型结构，使用与目标模型训练实例具有相同分布的数据集进行训练，得到敌手制作毒化模型时使用的替代模型。3.根据权利要求1所述的一种含基础样本筛选过程的梯度对齐投毒攻击方法，其特征在于，步骤1所述获取用于训练替代模型的训练实例的方法为：和目标模型训练测试使用同一个数据集，并将数据集进行划分为有重叠或无重叠的两部分，无重叠对半划分，有重叠则按照重叠比例划分。4.根据权利要求1所述的一种含基础样本筛选过程的梯度对齐投毒攻击方法，其特征在于，步骤3所述获取候选基础样本的方法为：从替代模型的训练集中划分一部分具有目标标签的干净样本作为候选基础样本；基础样本的数量不超过目标模型训练集样本数量的10％；至少是投毒样本数量的十倍。5.根据权利要求1所述的一种含基础样本筛选过程的梯度对齐投毒攻击方法，其特征在于，步骤6所述进行的k步优化仅占完整优化迭代次数的5％。6.根据权利要求1所述的一种含基础样本筛选过程的梯度对...

【专利技术属性】
技术研发人员：杨晓春，靳耀宇，隋志锐，王斌，翟莹莹，
申请(专利权)人：东北大学，
类型：发明
国别省市：