基于梯度平均的人工智能图像识别对抗攻击方法及系统技术方案

本发明专利技术涉及图像识别技术领域，特别涉及一种基于梯度平均的人工智能图像识别对抗攻击方法及系统，通过在迭代优化中对原始输入样本进行多次图像变换并获取多个图像变换后的图像样本；利用预训练的模型获取对变换后图像样本的模型输出，并基于目标损失函数得到模型输出与原始样本集中样本输入真实标签两者的交叉熵，利用交叉熵损失求解变换后图像样本的梯度，并计算多个变换后图像样本梯度的平均值，利用该梯度平均值求解对抗扰动，并在下一轮迭代优化中将对抗扰动添加至原始输入样本，以通过迭代优化来生成用于对模型进行对抗攻击的对抗样本

【技术实现步骤摘要】
基于梯度平均的人工智能图像识别对抗攻击方法及系统


[0001]本专利技术涉及图像识别
，特别涉及一种基于梯度平均的人工智能图像识别对抗攻击方法及系统
。

技术介绍

[0002]深度神经网络
(Deep Neural Networks,DNNs)
已广泛应用于现实世界，如自动驾驶
、
目标检测
、
人脸验证等
。
然而，深度神经网络容易受到对抗样本的攻击，对抗样本是通过在良性示例中添加人类难以察觉的扰动而制作的
。
对抗样本会误导模型产生错误的预测，对深度神经网络及其应用的安全性构成巨大威胁
。
对抗样本的生成，又称对抗攻击，已经引起了人们的极大关注，因为它可以增强对深度神经网络模型工作机制的理解，评估和提高不同模型的鲁棒性
。
一般来说，对抗样本通常在深度学习模型之间表现出可迁移性，这意味着在代理模型上生成的对抗样本也可能误导受害者模型
。
通过利用对抗样本的可迁移性，攻击者可以在不知道目标模型的任何信息的情况下攻击真实世界的人工智能应用，使得基于迁移性的攻击在许多真实世界的场景中更加实用
。
因此，基于迁移性的攻击已经成为一种非常重要的黑盒攻击类型
。
[0003]然而，值得注意的是，随着对抗性防御的发展，现有方法的可迁移性受到了很大的影响
。
对抗样本在白盒和黑盒设置下的攻击能力差异类似于神经网络在训练集与测试集上的表现差异，即对抗样本的可迁移性自然类似于神经网络的泛化性
。
因此，现有方案中有通过设计先进的优化算法来避免不理想的极值，或者利用模型增强方式来增强对抗样本生成过程
。
同时，采用数据增强策略，在原始样本输入到模型之前，对原始样本做随机变换，让模型认识到更多的模式以此来提高对抗样本的迁移性
。
作为采用数据增强策略来提高对抗样本迁移性的典型方法，多样化输入方法对输入样本做随机变换的同时，引入概率
p
来控制原始图像和变换图像之间的平衡，但其概率
p
带来的随机性会对对抗样本可迁移性产生消极影响
。

技术实现思路

[0004]为此，本专利技术提供一种基于梯度平均的人工智能图像识别对抗攻击方法及系统，解决现有因概率
p
带来的随机性影响对抗样本可迁移性的问题，通过降低随机性过大的影响来生成更具迁移性的对抗样本
。
[0005]按照本专利技术所提供的设计方案，一方面，提供一种基于梯度平均的人工智能图像识别对抗攻击方法，包含：
[0006]获取预训练的图像识别深度神经网络模型及模型预训练中的原始样本输入，并设置对抗攻击中迭代优化终止条件及迭代优化目标损失函数；
[0007]在每次迭代优化中，对原始输入样本进行多次图像变换并获取多个图像变换后的图像样本；利用预训练的模型获取对变换后图像样本的模型输出，并基于目标损失函数得到模型输出与原始样本集中样本输入真实标签两者的交叉熵，利用交叉熵损失求解变换后
图像样本的梯度，并计算多个变换后图像样本梯度的平均值，利用该梯度平均值求解对抗扰动，并在下一轮迭代优化中将对抗扰动添加至原始输入样本；
[0008]基于迭代终止条件获取最后迭代轮次下的梯度平均值，并利用该梯度平均值生成对抗攻击中的对抗样本，以利用该对抗样本对预训练的图像识别深度神经网络模型进行对抗攻击测试
。
[0009]作为本专利技术基于梯度平均的人工智能图像识别对抗攻击方法，进一步地，设置的迭代优化终止条件为最大迭代优化轮次或迭代优化时间阈值
。
[0010]作为本专利技术基于梯度平均的人工智能图像识别对抗攻击方法，进一步地，设置对抗攻击中迭代优化目标损失函数的过程，包含：
[0011]首先，基于原始输入样本及对应的真实标签和预训练的图像识别深度神经网络模型参数构建模型交叉熵损失函数；
[0012]然后，将对抗样本生成转化为模型交叉熵损失函数的条件约束优化问题，其中，模型交叉熵损失函数的条件约束包括：通过最大化模型交叉熵损失函数来生成与原始输入样本视觉上不可区分的对抗样本，并利用该对抗样本误导预训练的图像识别深度神经网络模型输出与对应真实标签不一致的错误类别
。
[0013]作为本专利技术基于梯度平均的人工智能图像识别对抗攻击方法，进一步地，迭代优化目标损失函数表示为：
[0014]其中，
x
和
y
分别为原始输入样本和对应的真实标签，
θ
为预训练的图像识别深度神经网络模型模型参数，
J(
θ
,x,y)
为模型交叉熵损失函数，
x
adv
为对抗样本，
m
表示每次迭代过程中随机变换图像的采样数，
T
i
(x
adv
,p)
为迭代过程中第
i
次采样时以给定概率
p
对
x
adv
进行随机变换的随机变换函数
。
[0015]作为本专利技术基于梯度平均的人工智能图像识别对抗攻击方法，进一步地，每次迭代优化中，还包含：
[0016]依据随机变换图像的采样数设置迭代优化过程中的图像变换次数，依据图像变换次数获取相同变换条件下采样的多张变换后图像的梯度平均值，以利用梯度平均值求解对抗扰动
。
[0017]作为本专利技术基于梯度平均的人工智能图像识别对抗攻击方法，进一步地，迭代优化目标损失函数表示为：
[0018]其中，
x
和
y
分别为原始样本输入和对应的真实标签，
θ
为预训练的图像识别深度神经网络模型模型参数，
J(
θ
,x,y)
为模型交叉熵损失函数，
x
adv
为对抗样本，
m
表示每次迭代过程中随机变换图像的采样数，
T
i
(x
adv
,
σ
i
)
为迭代过程中第
i
次采样时以随机变换幅度参数
σ
i
对
x
adv
进行随机变换的随机变换函数
。
[0019]作为本专利技术基于梯度平均的人工智能图像识别对抗攻击方法，进一步地，每次迭代优化中，还包含：
[0020]依据随机变换图像的采样数设置迭代优化过程中的图像变换次数，并均匀设置多次图像变换的变换幅度，依据图像变换次数及变换幅度获取从小到大均匀设置图像变换幅度的多张变换后图像的梯度平均值，以利用梯度平均值求解对抗扰动
。
[0021]进一步地，本专利技术还提供一种基于梯度平均的人工智能图像识别对抗攻击系统，包含：数据获取模块本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于梯度平均的人工智能图像识别对抗攻击方法，其特征在于，包含：获取预训练的图像识别深度神经网络模型及模型预训练中的原始输入样本，并设置对抗攻击中迭代优化终止条件及迭代优化目标损失函数；每次迭代优化中，对原始输入样本进行多次图像变换并获取多个图像变换后的图像样本；利用预训练的模型获取对变换后图像样本的模型输出，并基于目标损失函数得到模型输出与原始样本集中样本输入真实标签两者的交叉熵，利用交叉熵损失求解变换后图像样本的梯度，并计算多个变换后图像样本梯度的平均值，利用该梯度平均值求解对抗扰动，并在下一轮迭代优化中将对抗扰动添加至原始输入样本；基于迭代终止条件获取最后迭代轮次下的梯度平均值，并利用该梯度平均值生成对抗攻击中的对抗样本，以利用该对抗样本对预训练的图像识别深度神经网络模型进行对抗攻击测试
。2.
根据权利要求1所述的基于梯度平均的人工智能图像识别对抗攻击方法，其特征在于，设置的迭代优化终止条件为最大迭代优化轮次或迭代优化时间阈值
。3.
根据权利要求1所述的基于梯度平均的人工智能图像识别对抗攻击方法，其特征在于，设置对抗攻击中迭代优化目标损失函数的过程，包含：首先，基于原始输入样本及对应的真实标签和预训练的图像识别深度神经网络模型参数构建模型交叉熵损失函数；然后，将对抗样本生成转化为模型交叉熵损失函数的条件约束优化问题，其中，模型交叉熵损失函数的条件约束包括：通过最大化模型交叉熵损失函数来生成与原始样本输入视觉上不可区分的对抗样本，并利用该对抗样本误导预训练的图像识别深度神经网络模型输出与对应真实标签不一致的错误类别
。4.
根据权利要求1或3所述的基于梯度平均的人工智能图像识别对抗攻击方法，其特征在于，迭代优化目标损失函数表示为：其中，
x
和
y
分别为原始样本输入和对应的真实标签，
θ
为预训练的图像识别深度神经网络模型模型参数，
J(
θ
,x,y)
为模型交叉熵损失函数，
x
adv
为对抗样本，
m
表示每次迭代过程中随机变换图像的采样数，
T(x
adv
,p),
为以给定概率
p
对
x
adv
进行随机变换的随机变换函数
。5.
根据权利要求4所述的基于梯度平均的人工智能图像识别对抗攻击方法，其特征在于，每次迭代优化中，还包含：依据随机变换图像的采样数设置迭代优化过程中的图像变换次数，依据图像变换次数获取相同变换条件下采样的多张变换后图像的梯度平均值，以利用梯度平均值求解对抗扰动
。6.
根据权利要求1或3所述的基于梯度平均的人工智能图像识别对抗攻击方法，其特征在于，迭代优化目标损失函数表示为：其中，
x
和
y<...

【专利技术属性】
技术研发人员：张恒巍，杨博，尹衡，李晨蔚，耿致远，王晋东，蔡国明，徐开勇，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：