一种基于嵌入空间分散采样的黑盒对抗样本生成方法技术

本发明专利技术提出的一种基于嵌入空间分散采样的黑盒对抗样本生成方法，属于神经网络图像处理技术领域。其包括：设置候选样本的扰动约束，在尽可能使得候选对抗样本扰动较小的同时保证其具有较高的迁移性；在本地多个替代模型中选择其中一个模型用于生成候选对抗样本，使得分散采样的范围是多个替代模型的对抗区域的并集；在嵌入空间中的分散采样，生成一个候选对抗样本；本发明专利技术提出图像增强使得在本地替代模型上经过白盒攻击生成的候选对抗样本具有不同的迁移性；以候选对抗样本作为输入来查询目标模型，并根据目标模型的输出更新方案参数。其可以提高对抗样本攻击的成功率，降低对目标模型的查询数量，并且能够适用于商用的DNN服务。

【技术实现步骤摘要】

本专利技术涉及一种基于嵌入空间分散采样的黑盒对抗样本生成方法，具体涉及一种查询高效的对抗样本生成方法，用于生成基于决策场景下的黑盒对抗样本，属于神经网络图像处理。

技术介绍

1、近年来，以深度神经网络(deep neural network，dnn)为代表的人工智能技术取得了长足的进步，已被广泛用于交通和金融等多个领域。然而人工智能的安全性问题也日益凸显，其中对抗样本攻击作为针对模型推理阶段的攻击方法受到了越来越多的关注。对抗样本攻击是指在输入数据上增加微小的扰动使神经网络模型做出错误的判断，这对于现实世界中的dnn应用构成了严重威胁。例如，在图像上添加一些微小的扰动可以使得语义通信传达错误信息。因此探索对抗样本的生成方法，是检测模型脆弱性的关键任务，而其中基于决策的黑盒对抗攻击仅仅依赖于模型输出的决策信息，具有重要的现实意义。

2、目前，已有的黑盒对抗样本攻击主要分为基于迁移的方法，基于查询的方法和基于融合的方法。基于迁移的方法利用了执行相同分类任务的不同模型具有相似决策边界的思路，提出不同模型可能共享相同的对抗样本。因此基于迁移的方法通过在本文档来自技高网...

【技术保护点】

1.一种基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，包括以下步骤：

2.如权利要求1所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，步骤1的具体步骤如下：

3.如权利要求1所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，步骤2的具体步骤如下：

4.如权利要求1至3任一所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，步骤3的具体步骤如下：

5.如权利要求4所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，所述图像增强可以是在图片上添加高斯噪声，对图片进行平移，旋转，裁剪等操作。...

【技术特征摘要】

1.一种基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，包括以下步骤：

2.如权利要求1所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，步骤1的具体步骤如下：

3.如权利要求1所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，步骤2的具体步骤如下：

4.如权利要求1至3任一所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，步骤3的具体步骤如下：

5.如权利要求4所述的基于嵌入空间分散采样的黑盒对抗样本生成方法，其特征在于，所述图像增强可以是在图片上添加高斯噪声，对图片进行平移，旋转，裁剪等操作。

6.如权利要求4所述的基于嵌入空间分散采样的黑盒对抗样本生...

【专利技术属性】
技术研发人员：沈蒙，李昌跃，卢昊，王伟，赵乙，祝烈煌，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：