一种基于重构数据和替代模型的对抗攻击方法技术

本发明专利技术公开了一种基于重构数据和替代模型的对抗攻击方法，包括如下步骤：1）构建生成模型：提升生成模型的性能；2)选取替代模型；3）随机噪声与伪标签的生成与初始化；4）构建更新生成模型的损失函数：将交叉熵损失函数和信息熵损失函数相结合构建新的组合损失函数；5）构建蒸馏过程损失函数：将蒸馏损失函数和边界损失函数相结合构建B‑D组合损失函数；6)协同替代模型训练生成模型；7）协同生成模型对替代模型进行知识蒸馏训练；8)生成模型和替代模型协同迭代更新；9）对目标模型进行攻击。本发明专利技术能够有效的提升重构数据的质量，以较低的查询成本更好的提升对抗攻击的成功率，为对抗攻击、模型安全性评估等领域提供有效方案。

【技术实现步骤摘要】

本专利技术涉及对抗攻击，具体涉及一种基于重构数据和替代模型的对抗攻击方法。

技术介绍

1、深度神经网络模型在面对对抗攻击时通常是脆弱的，通过研究对抗攻击不仅能够揭示模型的性能，也为系统整体安全性分析提供新的视角。通过理解模型在面对对抗性输入时的反应，能够有助于构建更有效、具有更高安全性的系统。因此，对抗攻击已成为研究模型性能的主要手段。

2、基于替代模型的攻击方法是一种迁移攻击方法，通过学生模型（替代模型）学习黑盒目标模型的知识，进而将黑盒攻击问题转化为了已知模型结构的白盒攻击问题。papernot等首先使用黑盒模型的训练集训练学生模型，并且成功实现了对黑盒模型的攻击；truong等首次利用生成器生成合成数据来训练替代模型，降低了替代模型对于目标数据集的依赖性；wang等人提出动态代理模型搜索策略，更加深入的学习目标模型特征；kariyappa等通过估计黑盒模型的梯度来调整生成样本，实现模型窃取功能；zhang等改变了替代模型与生成模型之间的博弈，将生成器的目标设置为合成与目标训练数据分布相似的重构数据，将替代模型的目标设置为利用重构数据有效的本文档来自技高网...

【技术保护点】

1.一种基于重构数据和替代模型的对抗攻击方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于重构数据和替代模型的对抗攻击方法，其特征在于：

3.根据权利要求1所述的一种基于重构数据和替代模型的对抗攻击方法，其特征在于，所述步骤4中的组合损失函数，数学公式如下：，其中，表示为调整正则化值的超参数，CE(*)表示交叉熵损失函数，S(*)为重构数据经过替代模型S后的输出预测结果,Y为在目标模型中随机挑选的一个输出标签,z表示随机输入的噪声向量，k表示类别数量，H(*)表示信息熵损失，G(*)表示生成的数据。

4.根据权利要求1所述的一种基于重构...

【技术特征摘要】

1.一种基于重构数据和替代模型的对抗攻击方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于重构数据和替代模型的对抗攻击方法，其特征在于：

3.根据权利要求1所述的一种基于重构数据和替代模型的对抗攻击方法，其特征在于，所述步骤4中的组合损失函数，数学公式如下：，其中，表示为调整正则化值的超参数，ce(*)表示交叉熵损失函数，s(*)为重构数据经过替代模型s后的输出预测结果,y为在目标模型中随机挑选的一个输出标签,z表示随机输入的噪声向量，k表示类别数量，h(*)表示信息熵损失，g(*)表示生成的数据。

4.根据权利要求1所述的一种基于重构数据和替代模型的对抗攻击方法，其特征在于，所述...

【专利技术属性】
技术研发人员：卢佩，陈现洋，刘效勇，卢熙，邱斌，
申请(专利权)人：桂林理工大学，
类型：发明
国别省市：