【技术实现步骤摘要】
本专利技术属于视觉模型安全性评测领域,涉及一种白盒攻击方法,具体涉及一种针对视觉模型的对抗攻击方法及装置。
技术介绍
1、随着人工智能(ai)技术的迅速发展,深度学习模型在图像识别、自然语言处理和自动驾驶等领域得到了广泛应用。然而,深度学习模型的安全性和鲁棒性问题也日益凸显,对抗攻击adversarialattack作为其中的重要研究方向,引起了广泛关注。对抗攻击通过对输入数据进行微小扰动,生成对抗样本,导致模型输出错误的预测结果,从而揭示了深度学习模型的脆弱性。
2、深度神经网络deep neural network即dnn的对抗脆弱性首次由szegedy等人发现,这是dnn的一种特性。对抗现象本身是反直觉的:虽然dnn在许多具有挑战性的任务中表现出色且具有很强的鲁棒性,但它们对由微小、人类不可察觉的对抗性噪声极其敏感,这些噪声通过轻微扰动测试样本以最大化预测错误来生成。这种现象引发了对深度神经网络工作机制的质疑,因为它与人类感知的鲁棒性存在根本性差异,后者对各种不可察觉的噪声天然具有抗性。
3、对抗脆弱性很快被公认为深度神经网络的主要安全弱点之一,因为攻击者可以利用这一点对现实世界中的应用生成隐蔽的对抗攻击,同时轻松避开人工审查。沿着这个方向,许多对抗攻击方法被提出,以在白盒设置即攻击者知道目标模型的参数中检验深度神经网络的对抗鲁棒性。在这种设置下,生成对抗性噪声所需的对抗梯度是直接可计算的,评估结果反应了深度神经网络在最坏即面对攻击者情况下的鲁棒性与安全性。
4、白盒对抗攻击针对图像分类
5、投影梯度下降projected gradient descent即pgd和autoattack即aa是两种常用的白盒对抗鲁棒性评估攻击方法。pgd被认为是最强的一阶攻击算法,而aa是最强的集成攻击,由四种不同的攻击组成。pgd方法通过在每一步优化过程中将扰动投影回合法允许的范围内,能够生成更强的对抗样本,使得攻击更为有效和难以防御。aa虽然在攻击效果上优于pgd,但其涉及四种攻击所以计算成本极高,攻击效率低下。效能和效率是白盒鲁棒性评估的两个关键考虑因素,然而,pgd和aa均不能同时实现这两个目标,即pgd对模糊梯度敏感,而aa计算成本高。
6、总之,现有的白盒攻击方法还无法实现效能和效率的兼顾。
技术实现思路
1、本专利技术是为了解决上述问题而进行的,目的在于提供一种针对视觉模型的对抗攻击方法及装置。
2、本专利技术提供了一种针对视觉模型的对抗攻击方法,用于根据干净样本及对应的标签,生成指定视觉模型对应的最终对抗样本,具有这样的特征,包括以下步骤:步骤s1,设置第一阶段步数为k',当前迭代步数为1,当前重启次数为1,并将干净样本作为最终对抗样本;步骤s2,对干净样本添加噪声,得到对抗样本;步骤s3,根据当前迭代步数和第一阶段步数,计算得到当前迭代步数对应的步长;步骤s4,根据当前迭代步数、第一阶段步数和当前重启次数选取对应的损失函数;步骤s5,根据步长、对抗样本、标签、损失函数和指定视觉模型,通过pgd算法更新对抗样本;步骤s6,将对抗样本输入指定视觉模型生成对应的输出,并将当前迭代步数加1;步骤s7,判断输出是否与标签不同,若是,则将对抗样本作为最终对抗样本,若否,则执行步骤s8;步骤s8,判断当前迭代步数是否大于预设的总步数,若是,则将当前重启次数加1,并将当前迭代步数设置为1,执行步骤s9,若否,则执行步骤s3;步骤s9,判断当前重启次数是否大于预设的重启总数,若是,则最终对抗样本为空,若否,则执行步骤s2。
3、在本专利技术提供的针对视觉模型的对抗攻击方法中,还可以具有这样的特征:其中,在步骤s2中,噪声为均匀分布的噪声。
4、在本专利技术提供的针对视觉模型的对抗攻击方法中,还可以具有这样的特征:其中,在步骤s3中,步长的计算表达式为:式中α为步长,k为当前迭代步数,k为总步数,∈为8/255。
5、在本专利技术提供的针对视觉模型的对抗攻击方法中,还可以具有这样的特征:其中,在步骤s4中,损失函数的表达式为:式中为当前迭代步数为k且当前重启次数为r时样本xk的损失计算结果,样本xk为对抗样本或最终对抗样本,y为标签,k为总步数,pmax为除标签y对应的类别以外其他类别的最大输出概率,py为标签y的输出概率。
6、在本专利技术提供的针对视觉模型的对抗攻击方法中,还可以具有这样的特征:其中,pmax的计算表达式为:式中n为总类别数,zmax为除标签对应的类别以外其他类别的最大模型输出值,zi为第i个类别的模型输出值,py的计算表达式为:式中zy为标签对应的类别的模型输出值。
7、在本专利技术提供的针对视觉模型的对抗攻击方法中,还可以具有这样的特征:其中,在步骤s5中,更新对抗样本的表达式为:式中xk为当前迭代步数为k时更新后的对抗样本,clipx,ε为把输入值投影到以x为中心,以ε为半径的球面上的操作,η为步长,sign为取符号操作,为计算梯度操作。
8、本专利技术还提供了一种针对视觉模型的对抗攻击装置,用于根据干净样本及对应的标签,生成指定视觉模型对应的最终对抗样本,具有这样的特征,包括:初始化模块、加噪模块、步长计算模块、损失函数选择模块、对抗样本更新模块、输出生成模块、对抗样本判断模块、迭代控制模块和重启控制模块,其中,初始化模块用于设置第一阶段步数为k',当前迭代步数为1,当前重启次数为1,并将干净样本作为最终对抗样本,加噪模块用于对干净样本添加噪声,得到对抗样本,步长计算模块用于根据当前迭代步数和第一阶段步数,计算得到当前迭代步数对应的步长,损失函数选择模块用于根据当前迭代步数、第一阶段步数和当前重启次数选取对应的损失函数,对抗样本更新模块用于根据步长、对抗样本、标签、损失函数和指定视觉模型,通过pgd算法更新对抗样本,输出生成模块用于将对抗样本输入指定视觉模型生成对应的输出,并将当前迭代步数加1,对抗样本判断模块,用于判断输出是否与标签不同,若是,则将对抗样本作为最终对抗样本,若否,则控制迭代控制模块运行,迭代控制模块用于判断当前迭代步数是否大于预设的总步数,若是,则将当前重启次数加1,并将当前迭代步数设置为1,若否,则控制步长计算模块运行,重启控制模块用于判断当前重启次数是否大于预设的重启总数,若是,则最终对抗样本为空,若否,则控制加噪模块运行。
9、专利技术的作用与效果
10、根据本专利技术所涉及的针对视觉模型的对抗攻击方法及装置,根据重启次数和迭本文档来自技高网...
【技术保护点】
1.一种针对视觉模型的对抗攻击方法,用于根据干净样本及对应的标签,生成指定视觉模型对应的最终对抗样本,其特征在于,包括以下步骤:
2.根据权利要求1所述的针对视觉模型的对抗攻击方法,其特征在于:
3.根据权利要求1所述的针对视觉模型的对抗攻击方法,其特征在于:
4.根据权利要求1所述的针对视觉模型的对抗攻击方法,其特征在于:
5.根据权利要求4所述的针对视觉模型的对抗攻击方法,其特征在于:
6.根据权利要求4所述的针对视觉模型的对抗攻击方法,其特征在于:
7.一种针对视觉模型的对抗攻击装置,用于根据干净样本及对应的标签,生成指定视觉模型对应的最终对抗样本,其特征在于,包括:
【技术特征摘要】
1.一种针对视觉模型的对抗攻击方法,用于根据干净样本及对应的标签,生成指定视觉模型对应的最终对抗样本,其特征在于,包括以下步骤:
2.根据权利要求1所述的针对视觉模型的对抗攻击方法,其特征在于:
3.根据权利要求1所述的针对视觉模型的对抗攻击方法,其特征在于:
4.根据权利要求1所述的针对...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。