【技术实现步骤摘要】
本专利技术涉及一种用于语音识别系统的后门安全性评估方法、装置及介质,属于人工智能。
技术介绍
1、语音是人机交互中最重要的通信手段之一。当前,鉴于深度神经网络(deepneural networks,dnn)强大的特征提取能力,人们相继提出了许多基于深度学习的语音识别方法,将声纹识别技术水平提高到了一个新的层次。在最先进的深度学习模型的驱动下,例如 google assistant、tesla voice command、apple siri在内的许多语音助手工具皆能够准确识别语音内容,并作出相应的指令。
2、由于深度学习需要基于庞大的训练数据、强大的算力以及硬件开销,用户往往会选择将模型训练任务外包给机器学习服务器商(machine-learningas-a-service, mlaasprovider)或是直接采用下载第三方的数据集来进行标准模型训练。然而,由于相关目标模型可能存在被植入后门的安全威胁,这也因此导致了相关训练模型时常易遭受到不同类型的攻击,如:对抗攻击、数据投毒攻击以及后门攻击等。其中,后门攻击(backdoor attack)作为新兴的攻击方式,引起了人们的高度关注。
3、后门攻击通常是向目标模型的训练数据中设置一些包含触发器(trigger)的数据后,利用这些训练数据对目标模型进行训练,训练通过后的目标模型即被植入后门。通常来说,被植入后门的目标模型对于输入的正常数据,仍然可以较为准确地输出正确结果;但当攻击者向目标模型输入带有触发器的数据时,则会激活目标模型中的后门,使目标模型输
4、目前,在对现有音频后门攻击测试方法的研究和实践过程中,测试者大都致力于追求的有效性和触发器设计的隐匿性。具体来说,他们的流程为在训练集样本中选择一些良性的语音样本,然后采用添加噪声的方式投毒生成中毒样本,并把相应的标签设置修改为目标标签。尽管这些攻击非常有效,然而在现实的攻击场景中,他攻击者可能无法获取训练集中的良性样本;其次,由于上述方式生成的中毒样本通常被明显地错误标记,如经过人工检查,这种明显错误的标签将会被认为是可疑的,这可能会暴露出攻击。
技术实现思路
1、本专利技术的目的在于提供一种用于语音识别系统的后门安全性评估方法、装置及介质,旨在解决训练样本无法轻易获取以及中毒样本因明显错误标记导致的易暴露的安全隐患,进而更加有效地评估相关音频模型的安全性问题。
2、为解决上述技术问题,本专利技术是采用下述技术方案实现的:
3、一方面,本专利技术提供了一种后门安全性评估方法,其包括:
4、根据预先获取的语音合成模型计算得到优化损失函数;
5、根据所述优化损失函数优化生成宿主样本及所述宿主样本的语音风格参数,并将所述宿主样本及所述语音发生参数组合生成宿主样本集;
6、将触发器注入所述宿主样本集中,组合生成中毒样本集,并将所述中毒样本集与预先获取的原始训练样本集组合生成混合训练样本集;
7、将待评估的干净语音模型在所述混合训练样本集中进行标准化训练,生成受害者模型;
8、将预先获取的干净测试样本以及带有隐形触发器的测试样本分别输入到所述受害者模型,进行精度测试及后门攻击;
9、根据所述精度测试及后门攻击的结果对所述受害者模型进行安全性评估。
10、可选的,所述语音合成模型为条件变分自编码模型,表示为:
11、;
12、其中,表示为输出的音频样本,为优化前的语音风格参数,是合成音频的语义内容,表示为语音合成函数;
13、设定表示为音频样本的语义内容为,且利用上述合成的音频文件满足,表示为音频样本中的语音内容。
14、可选的,所述优化损失函数,表示为:
15、;
16、其中,表示为优化损失函数,表示为干净语音训练模型的损失函数,表示为绝对值函数,和分别表示为优化前的语言风格参数的均值和方差,表示为调控正则化项的幅度调控参数;
17、经所述优化损失函数优化得到的优化后的语音风格参数,表示为:
18、;
19、其中,表示为优化后的语音风格参数,表示为取极大值。
20、可选的,根据干净语音训练模型的基本任务类型构建并维护触发池,所述触发池内设有由音频片段构建生成的触发器;
21、根据触发器置信度计算得到触发器,所述触发器表示为:
22、;
23、其中,表示为触发器,表示触发器置信度取极大值,表示为触发器置信度;
24、所述触发器置信度,表示为:
25、;
26、其中,表示为将触发器分类到第 i个转录类别的可能性,表示为第 i个类别的置信度计算权重。
27、可选的,经触发器注入所述宿主样本集中组合生成中毒样本集,所述中毒样本集中的样本表示为:
28、;
29、其中,表示为中毒样本,表示为宿主样本,表示为触发器。
30、可选的,所述带有隐形触发器的测试样本为干净测试样本通过输入触发器而获得的相对应样本,表示为:
31、;
32、其中,表示为带有隐形触发器的测试样本,表示为干净测试样本,表示为触发器。
33、可选的,所述将预先获取的干净测试样本以及带有隐形触发器的测试样本分别输入到所述受害者模型,进行精度测试及后门攻击,包括:
34、获取干净样本测试集,将其中的干净测试样本利用所述受害者模型进行预测分类,得到分类正确次数,若一次分类结果为干净分类标签,则视为分类正确一次;
35、将带有隐形触发器的测试样本输入所述受害者模型进行预测分类,得到后门攻击成功次数,若一次分类结果为恶意分类,则视为后门攻击成功一次。
36、可选的,所述根据所述精度测试及后门攻击的结果对所述受害者模型进行安全性评估,包括:
37、根据所述干净测试样本的预测分类结果中分类正确的次数计算干净样本分类精度;
38、且根据所述带有隐形触发器的测试样本的预测分类结果中后门攻击成功的次数计算攻击成功率;
39、其中,若所述干净样本分类精度与相对应模型的预设分类精度相差不超过5%,且后门攻击的成功率高于95%,待评估模型的安全性能不达标;相反,待评估模型的安全性能则达标。
40、第二方面,本专利技术提供一种用于语音识别系统的后门安全性评估装置,包括:
41、宿主样本合成模块,被配置用于,根据语音合成模型计算得到优化本文档来自技高网...
【技术保护点】
1.一种用于语音识别系统的后门安全性评估方法,其特征在于,包括:
2.根据权利要求1所述的用于语音识别系统的后门安全性评估方法,其特征在于,所述语音合成模型为条件变分自编码模型,表示为:
3.根据权利要求2所述的用于语音识别系统的后门安全性评估方法,其特征在于,所述优化损失函数,表示为:
4.根据权利要求1所述的用于语音识别系统的后门安全性评估方法,其特征在于,根据干净语音训练模型的基本任务类型构建并维护触发池,所述触发池内设有由音频片段构建生成的触发器;
5.根据权利要求4所述的用于语音识别系统的后门安全性评估方法,其特征在于,经触发器注入所述宿主样本集中组合生成中毒样本集,所述中毒样本集中的样本表示为:
6.根据权利要求1所述的用于语音识别系统的后门安全性评估方法,其特征在于,所述带有隐形触发器的测试样本为干净测试样本通过输入触发器而获得的相对应样本,表示为:
7.根据权利要求6所述的用于语音识别系统的后门安全性评估方法,其特征在于,所述将预先获取的干净测试样本以及带有隐形触发器的测试样本分别输入到所述受
8.根据权利要求7所述的用于语音识别系统的后门安全性评估方法,其特征在于,所述根据所述精度测试及后门攻击的结果对所述受害者模型进行安全性评估,包括:
9.一种用于语音识别系统的后门安全性评估装置,其特征在于,包括:
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时,执行如权利要求1~8中任一项所述用于语音识别系统的后门安全性评估方法的步骤。
...【技术特征摘要】
1.一种用于语音识别系统的后门安全性评估方法,其特征在于,包括:
2.根据权利要求1所述的用于语音识别系统的后门安全性评估方法,其特征在于,所述语音合成模型为条件变分自编码模型,表示为:
3.根据权利要求2所述的用于语音识别系统的后门安全性评估方法,其特征在于,所述优化损失函数,表示为:
4.根据权利要求1所述的用于语音识别系统的后门安全性评估方法,其特征在于,根据干净语音训练模型的基本任务类型构建并维护触发池,所述触发池内设有由音频片段构建生成的触发器;
5.根据权利要求4所述的用于语音识别系统的后门安全性评估方法,其特征在于,经触发器注入所述宿主样本集中组合生成中毒样本集,所述中毒样本集中的样本表示为:
6.根据权利要求1所述的用于语音识别系统的后门安全性...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。