【技术实现步骤摘要】
本专利技术属于软件测试,涉及一种黑盒攻击方法,具体涉及一种基于集成搜索的黑盒攻击方法,可用于对深度学习模型鲁棒性的检测中。
技术介绍
1、对抗攻击中攻击者最常用的攻击手段是通过向正常样例中添加精细设计的、人类无法感知的噪音来构造对抗样本,从而达到不干扰人类认知而促使机器学习模型对精心构造的对抗样本做出错误判断的目的。对抗攻击可以用于检测深度学习模型的鲁棒性,帮助模型在实际部署中提高安全性。在对抗样本的构造过程中,根据攻击者所获取到的目标模型具体信息的多少,对抗攻击可以分类为白盒对抗攻击和黑盒对抗攻击。黑盒攻击假设攻击者既无法得知黑盒目标模型采用的训练数据和模型结构,也无法获取模型的具体参数,只能获取模型的最终预测结果。在这种情况下,待攻击目标模型对于攻击者而言犹如一个黑箱,攻击者只能通过操纵模型的输入和利用最终预测结果来探测黑盒目标模型的敏感性或对模型的梯度信息进行数值估计,以进而指导对抗样本的构造过程。黑盒攻击方法可以分为基于迁移的黑盒攻击、基于查询的黑盒攻击和基于迁移和查询的黑盒攻击等方法。基于迁移的黑盒攻击方法假设代理模型与黑盒目...
【技术保护点】
1.一种面向深度学习模型鲁棒性检测的集成搜索黑盒攻击方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的方法,其特征在于,步骤(1)中所述的对每幅原始图像中的K个像素进行低噪声扰动,是指对每幅原始图像Th中满足以下公式的K个像素进行低噪声扰动,其中对位置为G的像素进行低噪声扰动的公式为:
3.根据权利要求1所述的方法,其特征在于,步骤(1)中所述的Th对应的低噪声扰动图像xh,其表达式为:
4.根据权利要求1所述的方法,其特征在于,步骤(2)中所述的集成搜索模型,其中:
5.根据权利要求1所述的方法,其特征在于,步...
【技术特征摘要】
1.一种面向深度学习模型鲁棒性检测的集成搜索黑盒攻击方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的方法,其特征在于,步骤(1)中所述的对每幅原始图像中的k个像素进行低噪声扰动,是指对每幅原始图像th中满足以下公式的k个像素进行低噪声扰动,其中对位置为g的像素进行低噪声扰动的公式为:
3.根据权利要求1所述的方法,其特征在于,步骤(1)中所述的th对应的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。