通过截断比例最大化提高通用对抗攻击迁移性的方法技术

本发明专利技术涉及一种通过截断比例最大化提高通用对抗攻击迁移性的方法，包括如下步骤：通过课程优化方法生成人工图像，将人工图像与随机初始化的扰动图片进行线性叠加后作为输入数据；将输入数据输入到标准的CNN模型中进行训练；提取CNN模型中所选多个层的输出值，将所有输出值进行人工激活；计算目标损失函数，根据损失值更新扰动值，每次更新扰动值之后都会对扰动图片进行裁剪，当训练UAP的迭代次数达到最大迭代次数T或者用代理数据验证的欺骗率达到收敛阈值F

【技术实现步骤摘要】
通过截断比例最大化提高通用对抗攻击迁移性的方法


[0001]本专利技术涉及云计算
，特别涉及一种通过截断比例最大化提高通用对抗攻击迁移性的方法。

技术介绍

[0002]早期的研究表明，微小的和难以察觉的扰动会严重干扰深度神经网络(DNNs)的预测结果，特别是对于图像识别任务。对抗性例子(Adversarial Examples,AEs)是通过故意向良性样本添加微小的扰动而制作的，不仅在计算机视觉任务中难以察觉，而且容易在DNN模型之间转移。因此，自深度学习的发展以来，AEs一直被认为是对DNN模型的严重威胁。
[0003]为了探究AEs的影响，提出了许多方法来设计高度可高度转移到各种DNN模型(即对其他DNN模型的高欺骗率)。然而，由这些工作生成的AEs是明确地为某些特定的样本设计的，并且通常不能干扰甚至来自同一数据集的其他样本。与上述特定图像攻击不同，现有技术提出了一种新的产生图像不可知的通用对抗扰动(UAP)的通用攻击。通用攻击中的UAP是根据一些先验知识进行训练的，如替代数据、代理模型等。通过将UAP添加到良性样本中，通用攻击可以在短时间内产生大量的不良事件。此外，研究还表明，通用攻击可以欺骗大多数从相似数据集训练的DNN模型，并可以大大降低制作DNN的成本，使对手比特定图像的攻击更适用于真实场景。
[0004]然而，无论是特定于图像的攻击还是通用攻击，都需要注释良好的训练数据或替代数据来生成AEs。在实践中，获取一个标记良好的大规模数据集是具有挑战性和昂贵的，特别是对于一些具有关键安全需求的应用程序，这些应用程序的先验知识较少。研究人员研究了无数据的通用攻击方法，其中AEs是直接由随机噪声而不是数据之前产生的。目前的无数据通用攻击方法探索基于特征的对抗性扰动，试图使卷积神经网络最大限度地提高卷积神经网络(CNN)特征的激活(即ReLU激活)。结果表明，基于特征的UAP方法在不使用任何数据先验的情况下，实现了高效和适用的通用攻击。然而，这些无数据的UAP方法只考虑了正激活，并同样考虑了所有CNN特征层的。因此，由代理模型制作的UAP很难转移到目标模型上。

技术实现思路

[0005]针对现有技术存在的上述问题，本专利技术要解决的技术问题是：如何无数据通用对抗攻击制作的UAP的迁移性。
[0006]为解决上述技术问题，本专利技术采用如下技术方案：一种通过截断比例最大化提高通用对抗攻击迁移性的方法，包括如下步骤：
[0007]S1:通过课程优化方法生成人工图像，将人工图像与随机初始化的扰动图片进行线性叠加后作为输入数据；
[0008]S2:将输入数据输入到标准的CNN模型中进行训练；
[0009]S3:提取CNN模型中所选多个层的输出值，将所有输出值进行人工激活；
[0010]S4:计算目标损失函数，根据损失值更新扰动值，每次更新扰动值之后都会对扰动图片的扰动值进行裁剪，以满足无穷范数的约束条件，设置超参数α来调整截断的输出正负值激活比例，当训练UAP的迭代次数达到最大迭代次数T或者用代理数据验证的欺骗率达到收敛阈值F
max
时认为UAP收敛。
[0011]作为优选，所述S1中通过课程优化方法生成人工图片的步骤如下：
[0012]人工图像的生成过程由具体分布的参数和扰动迭代次数控制，定义如下：
[0013]D
a
＜D
b
＜
…
＜D
n
[0014]D
t
＝{x|x～P(θ0,t)}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)
[0015]其中D
t
是第t轮迭代时的人工图像x的集合，O是带有默认参数θ0的人工图像分布，D
a
＜D
b
表示集合D
b
中的人工图像的图案比集合D
a
中的复杂，随着训练迭代次数t的增加，分布参数θ0也逐渐增加高斯分布制作的人工图像的集合D
t
定义为：
[0016][0017]其中μ0和σ0分别表示高斯分布初始的均值和标准差，γ表示增长步长，t表示迭代训练轮数，t0表示预定义的阈值来决定标准差的增长，即训练中每t0轮标准差增长一次，增量大小为γ。当人工图像由拼图图像生成时，其样本集合D
t
定义为：
[0018][0019]其中是拼图图像分布的初始频率，γ
′
和t
′0表示当人工图像由拼图图像生成时的增长步长和预定义的阈值来决定标准差的增长。
[0020]作为优选，所述S3将所有输出值进行人工激活即将输出值最大化，步骤如下：
[0021][0022]s.t.‖v‖
∞
≤δ
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(4)
[0023]其中扰动图像v受到无穷范数和其常数值δ限制，l
′
表示正值激活所选的激活层，l
″
表示负值激活所选的激活层，表示正值激活，表示负值激活。
[0024]作为优选，所述S4中目标损失函数如下：
[0025][0026]其中|D
t
|是集合D
t
中人工图像的数量，表示第t次迭代正负激活值之和，分别表示第第i层卷积层的正激活值、负激活值。
[0027]相对于现有技术，本专利技术至少具有如下优点：
[0028]在本专利技术提供了一种新的无数据通用攻击，称为TRM
‑
UAP，以将UAP生成任务重新表述为一个截断比率优化问题。与以往的通用攻击相比，TRM
‑
UAP方法结合了正激活最大化和负激活最小化。为了进一步提高UAP的可转移性，我们提出了一种截断策略，它只计算来自低级卷积的正激活和负激活的大小。在ImageNet和Cifar10上的实验结果验证了我们的攻击比其他对不同CNN模型的无数据通用攻击具有更好的可移植性。
附图说明
[0029]图1为最大化激活与比例最大化激活示意图。
[0030]图2为截断比例最大化激活方法训练流程。
[0031]图3为不同正负截断设置的激活损失示例。
[0032]图4为不同截断设置下的神经网络中间层神经元平均激活值。
[0033]图5为不同标准差的高斯分布设置下的人工图像。
[0034]图6为不同频率的拼图图像分布设置下的人工图像。
[0035]图7为各模型上与其他方法的logit损失函数对比(ImageNet)。
[0036]图8为部分模型上的正负激活消融实验。
[0037]图9为截断策略消融实验。
[0038]图10为Cifar10上TRM
‑
UAP与其他通用攻击方法的logit值柱状图。
[0039]图11为各模型上与其他方法的logit损失函数对比(Cifar10)。
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通过截断比例最大化提高通用对抗攻击迁移性的方法，其特征在于：包括如下步骤：S1:通过课程优化方法生成人工图像，将人工图像与随机初始化的扰动图片进行线性叠加后作为输入数据；S2:将输入数据输入到标准的CNN模型中进行训练；S3:提取CNN模型中所选多个层的输出值，将所有输出值进行人工激活；S4:计算目标损失函数，根据损失值更新扰动值，每次更新扰动值之后都会对扰动图片的扰动值进行裁剪，以满足无穷范数的约束条件，设置超参数α来调整截断的输出正负值激活比例，当训练UAP的迭代次数达到最大迭代次数T或者用代理数据验证的欺骗率达到收敛阈值F
max
时认为UAP收敛。2.如权利要求1所述的通过截断比例最大化提高通用对抗攻击迁移性的方法，其特征在于：所述S1中通过课程优化方法生成人工图片的步骤如下：人工图像的生成过程由具体分布的参数和扰动迭代次数控制，定义如下：D
a
＜D
b
＜
…
＜D
n
D
t
＝{x|x～P(θ0,t)}
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(1)其中D
t
是第t轮迭代时的人工图像x的集合，P是带有默认参数θ0的人工图像分布，D
a
＜D
b
表示集合D
b
中的人工图像的图案比集合D
...

【专利技术属性】
技术研发人员：明镝，任鹏，刘依然，冯欣，
申请(专利权)人：重庆理工大学，
类型：发明
国别省市：