【技术实现步骤摘要】
本专利技术涉及图像处理,尤其涉及一种应用球性质结合决策边界的黑盒对抗攻击方法、系统及终端。
技术介绍
1、卷积神经网络(convolutional neural networks,简称cnns)已经取得了显著的进展,广泛应用于现代计算机视觉、自然语言处理、语音识别等领域,成为推动人工智能领域发展的重要力量。伴随着这一成功的应用,对抗攻击问题也逐渐浮出水面。对抗攻击通过对输入数据引入微小的、经过精心设计的扰动进而欺骗深度神经网络,使深度神经网络产生误分类结果的问题。这些扰动通常在人眼难以察觉,但对模型的输出结果产生了显著影响。通过研究对抗攻击,生成攻击成功率高的对抗样本,能够推进当前神经网络模型安全研究工作,即能够训练得到具有高防护能力的神经网路模型。
2、对抗攻击可以分为两种主要类型,即白盒攻击和黑盒攻击。在白盒攻击中,攻击者具有完整的目标模型信息,可以直接使用梯度信息优化对抗样本。而在黑盒攻击中,攻击者只能通过模型的输出结果进行访问,无法获得模型内部的详细信息,这使得攻击更加具有挑战性。在实际应用中,模型的内部信息通常是保密的,攻击者难以获取完整的模型细节,因此黑盒攻击更具实际可行性。基于决策边界的对抗攻击是黑盒攻击的一种,攻击者只能得知模型的预测硬标签,信息获取要求最低,因此最具实际挑战性。这种攻击通常先设置一个大的对抗性扰动,然后通过访问模型获取硬标签使扰动最小化。近期研究将决策边界视为一个超平面,基于此应用几何性质确定攻击方向,成功让基于决策边界的对抗攻击所需的查询次数大幅减少。但现有的方法仍然存在不足之处:
3、(1)现有基于决策边界的对抗攻击方法,扰动减小速度不够快,高效性不足;
4、(2)同样应用几何性质的方法仅在2d子空间上进行迭代攻击,每次迭代攻击不充分。
5、(3)同样应用几何性质的方法迭代轮数较多,每次迭代重新选择子空间,随机性大,攻击效果不稳定。
技术实现思路
1、本专利技术的目的在于克服现有技术的问题,提供一种应用球性质结合决策边界的黑盒对抗攻击方法、系统及终端。
2、本专利技术的目的是通过以下技术方案来实现的:一种应用球性质结合决策边界的黑盒对抗攻击方法,攻击方法包括以下步骤:
3、在待攻击图像上添加扰动,得到使模型错误识别的对抗性示例;
4、将待攻击图像、对抗示例进行离散余弦变换,得到频率空间中的待攻击图像和对抗性示例;
5、基于决策边界对频率空间中对抗性示例的扰动进行优化;
6、对对抗性示例应用球迭代攻击,包括以下子步骤:
7、以对抗性示例、待攻击图像的向量为一条基矢,在频率空间中随机采样一对正交且均与该基矢正交的向量作为另外两条基矢,三条基矢构成3d子空间;
8、以待攻击图像为反演中心,初始对抗性示例和待攻击图像的距离为反演半径,对3d子空间进行反演变换,进而将轨迹球变换为过初始对抗性示例且与初始对抗性示例和待攻击图像的连线垂直的平面,决策边界平面变换为过初始对抗性示例、待攻击图像和下一个对抗性示例的反演点的球面;
9、变换后的轨迹面和决策面的交线形成一个以初始对抗性示例和下一个对抗性示例的反演点连线为直径的圆p,从初始对抗性示例出发,通过多步迭代搜索得到下一个对抗性示例的反演点;
10、进行逆反演变换得到下一个对抗性示例,完成一次迭代,重复上述球迭代攻击过程直至查询次数上限,输出待转换的最终对抗示例;
11、将待转换的最终对抗示例进行反离散余弦变换,得到最终对抗示例。
12、在一示例中,所述在待攻击图像上添加扰动前还包括:
13、对待攻击图像进行预处理,再输入模型获取待攻击图像标签。
14、在一示例中,所述在待攻击图像上添加扰动包括:
15、对代攻击图像进行几何变换处理和/或颜色处理和/或图像融合处理和/或滤波处理,得到使模型错误识别的对抗性示例。
16、在一示例中,所述离散余弦变换的表达式为:
17、
18、其中,f(u1,u2)表示离散余弦变换系数;(u1,u2)表示变换的频率图像的像素点位置;(x1,x2)表示输入图像的像素点位置;f(x1,x2)表示输入图像的原始像素点信号;c(u1)、c(u2)为补偿系数;n为输入图像像素点信号的点数。
19、在一示例中,所述基于决策边界对频率空间中对抗性示例的扰动进行优化,扰动优化表达式为:
20、
21、通过设定初始扰动值δ以及步长λ,将初始对抗性示例代入扰动优化表达式,得到新对抗性示例
22、将新对抗示例输入模型进行查询,判断是否能使模型产生错误识别,若是,则继续上述优化过程;否则令重新运算并进行一次查询以判断;当λ达到阈值,得到扰动优化后的对抗性示例。
23、在一示例中,所述反演变换包括:
24、以o为反演中心,r为反演半径做反演变换,a反演后的点为a′,称为反演点,满足关系:
25、
26、下一个对抗性示例为决策边界面上与待攻击图像xo距离最小的点,则xo到的向量垂直于决策边界面,xo、初始对抗性示例和构成直角三角形;随决策边界面的法向量变化,的轨迹构成一个球面。
27、在一示例中,所述得到下一个对抗性示例的反演点包括:
28、以为原点,对基矢基矢四个方向分别进行一次搜索并进行一次查询以判断;
29、以为反演中心,为反演半径再次进行反演变换,p反演为过xp的直线,xp为圆p上一点;
30、按下式搜索下一个对抗示例反演点的反演点
31、
32、其中,为到xp向量;表示在轨迹平面与向量正交的向量;θ初始值为初始步长若模型输出不等于待攻击图像标签,则θ=θ+θ0;否则,重新上一步搜索;当θ0达到阈值,停止搜索,返回反演点
33、需要进一步说明的是,上述方法各示例对应的技术特征可以相互组合或替换构成新的技术方案。
34、本专利技术还包括一种应用球性质结合决策边界的黑盒对抗攻击系统,与上述任一示例或多个示例组成的攻击方法具有相同的专利技术构思,该系统包括:
35、图像处理模块,用于在待攻击图像上添加扰动进而得到使模型错误识别的对抗性示例;
36、dct模块,用于将待攻击图像、对抗示例进行离散余弦变换,得到频率空间中的待攻击图像和对抗性示例;
37、初步优化模块,用于基于决策边界对频率空间中对抗性示例的扰动进行优化;
38、球攻击模块,用于对对抗性示例应用球迭代攻击,包括:
39、以对抗性示例、待攻击图像的向量为一条基矢,在频率空间中随机采样一对正交且均与该基矢正交的向量作为另外两条基矢,三条基矢构成3d子空间;
40、以待攻击图像为反演中心,初始对抗性示例和待攻击图像的距离为反演半径,对3d子空间进行反演变换,进而将轨迹球变换为过初始对抗性示例本文档来自技高网...
【技术保护点】
1.一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述在待攻击图像上添加扰动前还包括:
3.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述在待攻击图像上添加扰动包括:
4.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述离散余弦变换的表达式为:
5.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述基于决策边界对频率空间中对抗性示例的扰动进行优化,扰动优化表达式为:
6.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述反演变换包括:
7.根据权利要求6所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述得到下一个对抗性示例的反演点包括:
8.一种应用球性质结合决策边界的黑盒对抗攻击系统,其特征在于:包括:
9.根据权利要求8所述
10.一种终端,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机指令,其特征在于:所述处理器运行所述计算机指令时执行权利要求1-8任意一项所述的一种应用球性质结合决策边界的黑盒对抗攻击方法的步骤。
...【技术特征摘要】
1.一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述在待攻击图像上添加扰动前还包括:
3.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述在待攻击图像上添加扰动包括:
4.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述离散余弦变换的表达式为:
5.根据权利要求1所述的一种应用球性质结合决策边界的黑盒对抗攻击方法,其特征在于:所述基于决策边界对频率空间中对抗性示例的扰动进行优化,扰动优化表达式为:
6.根据权利要求1所述的一种应用球性质结合...
【专利技术属性】
技术研发人员:朱钦圣,殷浩,李晓瑜,柯武平,郑舜天,郑德生,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。