一种迁移性对抗样本的生成方法及黑盒攻击方法技术

本发明专利技术公开了一种迁移性对抗样本的生成方法及黑盒攻击方法，涉及人工智能安全领域；所述对抗样本的生成方法如下：首先进行频谱变换模拟模型增强，然后在特征空间的中间层破坏那些对模型预测影响大的重要特征；此外，为限制对抗扰动的大小，引入平滑损失函数去除频谱变换后图像中扰动的高频信息，保持相邻像素的连续性，进而指导对抗扰动的搜索，实现高错误率的黑盒传输；本发明专利技术方法通过在频域进行变换调整频谱显著图模拟多样化的替代模型，达到了模型增强的效果，提升了对抗样本的迁移性。

【技术实现步骤摘要】

本专利技术涉及人工智能安全领域，特别是涉及迁移性对抗样本的生成方法及黑盒攻击方法。

技术介绍

1、深度神经网络在图像处理、语音识别、自然语言处理等各个领域表现出卓越的性能，成为解决复杂问题和推动人工智能发展的核心技术之一。随着其广泛应用，逐渐出现了一种严重的安全威胁-对抗攻击，即恶意攻击者通过添加微小扰动的对抗样本来欺骗模型，使其产生错误预测；例如，干扰自动驾驶系统的决策。为了提高模型的鲁棒性，有必要制作对抗样本来覆盖尽可能多的dnn盲点。现有的对抗攻击可以根据攻击者了解模型的信息量多少分为白盒攻击和黑盒攻击。通常来说，白盒攻击的内部结构是可访问的，因此更容易实施且攻击成功率也较高；而黑盒攻击更具有挑战性，因为攻击者只能通过有限的信息推断被攻击模型的内部结构和工作方式，这种攻击更符合真实场景。

2、黑盒攻击方法可以归为两类，一类是通过查询模型的输入输出逐步观察和了解模型，如果被攻击模型非常复杂，具有深层结构和大量参数，攻击者需要更多的查询和计算才能成功进行攻击，这是十分耗时的，也容易被防御模型所发现。由于对抗样本具有迁移性，在一个模型上生成的对本文档来自技高网...

【技术保护点】

1.一种迁移性对抗样本的生成方法，其特征在于，所述方法包括：

2.根据权利要求1所述的迁移性对抗样本的生成方法，其特征在于，步骤一中，频谱变换用如下公式1表示：

3.根据权利要求2所述的迁移性对抗样本的生成方法，其特征在于，步骤二中，源模型选用Inc-v3，Inc-v4，IncRes-v2，ResNet-v2，VGG-16，VGG-19中任意一个。

4.根据权利要求3所述的迁移性对抗样本的生成方法，其特征在于，步骤三中，聚合梯度用如下公式3表示：

5.根据权利要求4所述的迁移性对抗样本的生成方法，其特征在于，步骤四中，构造特征重要性损失函数...

【技术特征摘要】

1.一种迁移性对抗样本的生成方法，其特征在于，所述方法包括：

2.根据权利要求1所述的迁移性对抗样本的生成方法，其特征在于，步骤一中，频谱变换用如下公式1表示：

3.根据权利要求2所述的迁移性对抗样本的生成方法，其特征在于，步骤二中，源模型选用inc-v3，inc-v4，incres-v2，resnet-v2，vgg-16，vgg-19中任意一个。

4.根据权利要求3所述的迁移性对抗样本的生成方法，其特征在于，步骤三中，聚合梯度用如下公式3表示：<...

【专利技术属性】
技术研发人员：张晓琳，石静，王永平，王静宇，顾瑞春，高鹭，
申请(专利权)人：内蒙古科技大学，
类型：发明
国别省市：