一种高迁移性对抗样本生成方法、设备及介质技术

技术编号：40328204 阅读：16 留言：0更新日期：2024-02-09 14:21

本发明专利技术公开了一种高迁移性对抗样本生成方法、设备及介质，首先使用现有的特征级攻击方式进行攻击后生成对抗样本，该对抗样本在原模型上获得新特征作为强化方向。通过在干扰原始特征的同时，进一步强化新生成的特征，来达到提升对抗样本迁移性的目的。本发明专利技术相比于其他只干扰原始特征的特征级方法，本发明专利技术通过聚合原始特征梯度和新生成特征梯度来构建的损失函数。在干扰图像的原始特征的同时去强化新生成的特征。在迁移攻击其他模型时更加容易被攻击成为新生成的特征类别，这样可以生成更高迁移性的对抗样本。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及一种高迁移性对抗样本生成方法、设备及介质，属于图像处理。

技术介绍

1、近年来，随着深度神经网络的快速发展，深度学习被应用于物体检测、图像分类、语意分割等诸多计算机图像领域并且取得了令人瞩目进展。与此同时，由于深度神经网络的脆弱性和不稳定性导致其容易受到攻击，人工智能安全性问题逐渐受到了研究人员的广泛关注。大量研究表明，通过给原始良性样本添加一些不会引起人警觉的细微扰动便可以生成对抗样本，对抗样本可以来误导深度学习模型产生错误结果。例如，在图像识别场景下，原来被图像识别模型识别为猫的图片，在加入一点细微的甚至人眼无法察觉的扰动后，被误分类为鱼。这使得深度学习模型在实际部署后会产生安全隐患。

2、对抗样本的使用场景主要有两类，一类是利用对抗样本的特性作为检验深度学习模型分类精度与深度学习模型安全性的手段，这样有助于避免模型在实际部署后产生安全隐患。另一类，为了应对攻击和提升模型分类准确度，需要提前利用现有图像分类模型生成具备高迁移性的对抗样本。并用这些对抗样本训练各种类型的图像分类模型，使模型能够对这些对抗样本进行正确分类，从而抵御外界攻击。在这两种场景下，都要求研究人员能够去生成迁移性更强的对抗样本。

3、目前，已有许多方法用于生成具有高迁移性的对抗样本，如：基于特征级方法，通过扰乱原始图像在网络中间层的输出，减少本地代理模型特定特征的影响。进一步提高对抗样本的迁移性。例如特征重要性感知方法（fia）利用聚合梯度找到图像重要特征进行破坏。

4、现有的特征级生成对抗样本的方法，是通

技术实现思路

1、目的：为了克服现有技术中存在的不足，本专利技术提供一种高迁移性对抗样本生成方法、设备及介质，首次提出了一种基于强化新生成特征的高迁移性对抗样本生成方法，首先使用现有的特征级攻击方式进行攻击后生成对抗样本，该对抗样本在原模型上获得新特征作为强化方向。通过在干扰原始特征的同时，进一步强化新生成的特征，来达到提升对抗样本迁移性的目的。

2、技术方案：为解决上述技术问题，本专利技术采用的技术方案为：

3、第一方面，一种高迁移性对抗样本生成方法，包括如下步骤：

4、步骤1：将原始图像输入分类模型，获取分类模型第层中间层输出的特征图。

5、步骤 2：将原始图像的随机像素点替换成随机噪音得到随机噪音扰动图像。

6、步骤 3：将随机噪音扰动图像输入分类模型中，分别得到图像原始特征类别标签的输出和特征攻击后新生成特征类别标签的输出。根据、分别进行梯度反向传播到第层中间层得到图像原始特征梯度和新生成特征梯度。其中，表示分类模型输出的类别置信率，表示随机扰动图像输入分类模型后从第层卷积层输出的特征图，表示求导。

7、步骤4：重复步骤２到步骤３，直到预设次数n次，将得到的n个图像原始特征梯度聚合得到，将得到的n个新生成特征梯度聚合得到。其中，表示对的结果求2-范数的值。表示对的结果求2-范数的值。

8、步骤5：构建损失函数。其中，表示对应点的乘积，表示影响因子，表示待确定的对抗样本，表示将输入分类模型后从第层卷积层输出的特征图。

9、步骤6：根据损失函数构建优化损失函数模型，对优化损失函数模型进行求解，得到最终对抗样本。

10、作为优选方案，所述优化损失函数模型，具体包括：

11、

12、其中，表示损失函数最小值时的。

13、表示是在范围内改动原始图像的像素点的值得到的对抗样本。表示无穷范数，表示超参数。

14、作为优选方案，所述对优化损失函数模型进行求解，得到最终对抗样本，具体包括：

15、步骤6.1：获取第j轮的牛顿加速样本，计算公式如下：

16、

17、其中：j初始化设置为0时，梯度，为原始图像。表示第j轮的梯度，表示第j轮的牛顿加速样本，表示第j轮的对抗样本，表示牛顿加速控制因子。

18、步骤6.2：将输入分类模型后从第层卷积层输出的特征图。

19、步骤6.3：将代入损失函数，得到。

20、步骤6.4：将从中间层反向传播到输入层得到梯度。

21、步骤6.5：根据梯度计算，计算公式如下：

22、

23、式中：

24、表示1-范数运算，表示梯度累积控制因子。

25、步骤6.6：根据、计算j+1轮的对抗样本，计算公式如下：

26、

27、表示迭代攻击的步长。表示对元素值进行裁剪。其中，计算公式如下：

28、

29、步骤6.7：重复上述迭代步骤6.1-步骤6.6，判断迭代次数是否达到预设次数。如果是，则生成最终对抗样本。如果否，则返回步骤6.1。

30、作为优选方案，所述步骤4中每次重复步骤2中所添加的噪音、和原始图像中所选取的随机像素点都是不同的。

31、第二方面，一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，实现如第一方面中任一所述的一种高迁移性对抗样本生成方法。

32、第三方面，一种计算机设备，包括：

33、存储器，用于存储指令。

34、处理器，用于执行所述指令，使得所述计算机设备执行如第一方面中任一所述的一种高迁移性对抗样本生成方法的操作。

35、有益效果：本专利技术提供的一种高迁移性对抗样本生成方法、设备及介质，相比于其他只干扰原始特征的特征级方法，本专利技术通过聚合原始特征梯度和新生成特征梯度来构建的损失函数。在干扰图像的原始特征的同时去强化新生成的特征。在迁移攻击其他模型时更加容易被攻击成为新生成的特征类别，这样可以生成更高迁移性的对抗样本。

本文档来自技高网...

【技术保护点】

1.一种高迁移性对抗样本生成方法，其特征在于：包括如下步骤：

2.根据权利要求1所述的一种高迁移性对抗样本生成方法，其特征在于：所述优化损失函数模型，具体包括：

3.根据权利要求2所述的一种高迁移性对抗样本生成方法，其特征在于：所述对优化损失函数模型进行求解，得到最终对抗样本，具体包括：

4.根据权利要求1所述的一种高迁移性对抗样本生成方法，其特征在于：所述步骤4中每次重复步骤2中所添加的噪音、和原始图像中所选取的随机像素点都是不同的。

5.一种计算机可读存储介质，其特征在于：其上存储有计算机程序，该计算机程序被处理器执行时，实现如权利要求1-4中任一所述的一种高迁移性对抗样本生成方法。

6.一种计算机设备，其特征在于：包括：

【技术特征摘要】

1.一种高迁移性对抗样本生成方法，其特征在于：包括如下步骤：

2.根据权利要求1所述的一种高迁移性对抗样本生成方法，其特征在于：所述优化损失函数模型，具体包括：

3.根据权利要求2所述的一种高迁移性对抗样本生成方法，其特征在于：所述对优化损失函数模型进行求解，得到最终对抗样本，具体包括：

4.根据权利要求1所述...

【专利技术属性】
技术研发人员：许林峰，陈先意，
申请(专利权)人：南京信息工程大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人