本發(fā)明涉及深度學(xué)習(xí)安全的，尤其涉及一種基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法。

背景技術(shù)：

1、深度學(xué)習(xí)的成功使得其在各種應(yīng)用場景上有著令人驚訝的表現(xiàn)，尤其是在計(jì)算機(jī)視覺領(lǐng)域取得了巨大的成功。而隨著深度學(xué)習(xí)模型性能的大幅提高，那些能夠使得模型發(fā)生錯(cuò)誤的問題也就變的具有價(jià)值起來，最近的研究表明，深度學(xué)習(xí)正面臨著后門攻擊、數(shù)據(jù)投毒攻擊和對抗攻擊等的威脅，其中，對抗攻擊是最為靈活且不易察覺的攻擊方式之一。具體來說，對抗樣本是通過對原始樣本添加精心設(shè)計(jì)的擾動(dòng)來制作出來的，而這些擾動(dòng)是人類通過肉眼難以察覺的，但是深度神經(jīng)網(wǎng)絡(luò)卻極易受到這些微小擾動(dòng)的影響，進(jìn)而導(dǎo)致模型判斷出錯(cuò)。另外，有趣的是，對抗樣本具有可遷移性，也就是說，為一個(gè)模型制作的對抗樣本，也能夠用來欺騙其它模型，這使得在不了解目標(biāo)模型的結(jié)構(gòu)和參數(shù)的情況下也能夠進(jìn)行攻擊。

2、目前對抗攻擊領(lǐng)域中的各種方法，存在無法保留白盒攻擊性能、黑盒攻擊性能不理想、容易被防御等問題。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于克服現(xiàn)有技術(shù)中存在的上述不足，而提供一種基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，在保留了優(yōu)秀的白盒攻擊性能的同時(shí)，有效地提高了黑盒攻擊性，并且不易被現(xiàn)有的一些對抗攻擊防御方法防御，使對抗攻擊的威脅性大大增加了。

2、本發(fā)明的技術(shù)方案：一種基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，包括以下步驟：

3、步驟1，采用輸入變換池s對受害者模型f進(jìn)行模型增強(qiáng)，得到增強(qiáng)模型集合f，并通過k次迭代計(jì)算增強(qiáng)模型集合f的集成梯度gens；

4、步驟2，通過輸入變換池s得到一個(gè)新的增強(qiáng)模型f′，并依據(jù)這個(gè)新的增強(qiáng)模型f′計(jì)算內(nèi)部對抗樣本的內(nèi)部梯度gm以及外部對抗樣本的內(nèi)部梯度

5、步驟3，對于用來更新內(nèi)部對抗樣本的累積梯度gm+1，通過以下公式得到：μ為衰減因子，使用累積梯度gm+1來更新內(nèi)部對抗樣本；

6、步驟4，步驟2和步驟3需要重復(fù)m次，并利用最后一個(gè)內(nèi)部的累積梯度gm+1來更新外部梯度gt+1，公式如下：gt+1＝μ·gt+gm+1，最后利用這個(gè)外部梯度gt+1來更新外部對抗樣本；

7、步驟5，重復(fù)以上步驟t次；一旦迭代完成，即可成功生成對抗樣本xadv。

8、本發(fā)明所述步驟1中的輸入變換池s中的變換方法包括隨機(jī)水平翻轉(zhuǎn)、隨機(jī)旋轉(zhuǎn)、隨機(jī)扭曲、隨機(jī)平移和隨機(jī)縮放。

9、本發(fā)明步驟1中，所述的增強(qiáng)模型集合f與受害者模型f，兩者的關(guān)系為：f＝{f′|f′＝e(f)}，式中f′表示增強(qiáng)模型集合中的一個(gè)增強(qiáng)模型，e(·)表示一個(gè)從自定義的輸入變換池s中提取得到的輸入層。

10、本發(fā)明步驟1中，所述的通過k次迭代計(jì)算增強(qiáng)模型集合f的集成梯度gens的公式為：式中表示第t次迭代的集成梯度，表示第t次迭代的對抗樣本，y表示原始樣本的干凈標(biāo)簽，j()表示目標(biāo)損失函數(shù)，具體為交叉熵?fù)p失函數(shù)。

11、本發(fā)明所述步驟1中的迭代次數(shù)k為5。

12、本發(fā)明步驟2中，所述的內(nèi)部對抗樣本的內(nèi)部梯度gm以及外部對抗樣本的內(nèi)部梯度的公式分別為：和xm指代在第m輪迭代時(shí)的對抗樣本。

13、本發(fā)明步驟3中，所述的使用累積梯度gm+1來更新內(nèi)部對抗樣本的公式為：式中表示裁剪函數(shù)，α表示步長，sign()表示符號函數(shù)，x指代初始化狀態(tài)的對抗樣本，xm、xm+1分別指代在第m輪、m+1輪迭代時(shí)的對抗樣本。

14、本發(fā)明步驟4中，利用這個(gè)外部梯度gt+1來更新外部對抗樣本的公式為：式中表示裁剪函數(shù)，α表示步長，sign()表示符號函數(shù)，x指代初始化狀態(tài)的對抗樣本，xt、xt+1分別指代在第t輪、t+1輪迭代時(shí)的對抗樣本。

15、本發(fā)明所述步驟3和步驟4中的衰減因子μ為1.0，所述步驟4中的內(nèi)部迭代次數(shù)m為20。

16、本發(fā)明所述步驟5中的外部迭代次數(shù)t為10。

17、本發(fā)明與現(xiàn)有技術(shù)相比，具有以下優(yōu)點(diǎn)和效果：本發(fā)明結(jié)合深度學(xué)習(xí)模型特點(diǎn)，在模型增強(qiáng)法的基礎(chǔ)上，提出了方差縮減增強(qiáng)對抗樣本方法，充分利用了增強(qiáng)模型集合的多樣性，減少了梯度方差，以此穩(wěn)定對抗樣本的更新方向，這使得本發(fā)明能夠在保證白盒攻擊成功率的情況下，有效提高生成的對抗樣本的可遷移性，為深度學(xué)習(xí)安全的對抗攻擊領(lǐng)域提供了新的思路。

技術(shù)特征：

1.一種基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，所述步驟1中的輸入變換池s中的變換方法包括隨機(jī)水平翻轉(zhuǎn)、隨機(jī)旋轉(zhuǎn)、隨機(jī)扭曲、隨機(jī)平移和隨機(jī)縮放。

3.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，步驟1中，所述的增強(qiáng)模型集合f與受害者模型f，兩者的關(guān)系為：f＝{f′|f′＝e(f)}，式中f′表示增強(qiáng)模型集合中的一個(gè)增強(qiáng)模型，e(·)表示一個(gè)從自定義的輸入變換池s中提取得到的輸入層。

4.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，步驟1中，所述的通過k次迭代計(jì)算增強(qiáng)模型集合f的集成梯度gens的公式為：式中表示第t次迭代的集成梯度，表示第t次迭代的對抗樣本，y表示原始樣本的干凈標(biāo)簽，j()表示目標(biāo)損失函數(shù)，具體為交叉熵?fù)p失函數(shù)。

5.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，步驟2中，所述的內(nèi)部對抗樣本的內(nèi)部梯度gm以及外部對抗樣本的內(nèi)部梯度的公式分別為：和xm指代在第m輪迭代時(shí)的對抗樣本。

6.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，步驟3中，所述的使用累積梯度gm+1來更新內(nèi)部對抗樣本的公式為：式中表示裁剪函數(shù)，α表示步長，sign()表示符號函數(shù)，x指代初始化狀態(tài)的對抗樣本，xm、xm+1分別指代在第m輪、m+1輪迭代時(shí)的對抗樣本。

7.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，步驟4中，利用這個(gè)外部梯度gt+1來更新外部對抗樣本的公式為：式中表示裁剪函數(shù)，α表示步長，sign()表示符號函數(shù)，x指代初始化狀態(tài)的對抗樣本，xt、xt+1分別指代在第t輪、t+1輪迭代時(shí)的對抗樣本。

8.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，所述步驟1中的迭代次數(shù)k為5。

9.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，所述步驟3和步驟4中的衰減因子μ為1.0，所述步驟4中的內(nèi)部迭代次數(shù)m為20。

10.根據(jù)權(quán)利要求1所述的基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，其特征在于，所述步驟5中的外部迭代次數(shù)t為10。

技術(shù)總結(jié)
本發(fā)明提供一種基于模型增強(qiáng)的方差縮減增強(qiáng)對抗樣本生成方法，在保留了優(yōu)秀的白盒攻擊性能的同時(shí)，有效地提高了黑盒攻擊性，并且不易被現(xiàn)有的一些對抗攻擊防御方法防御。本發(fā)明包括以下步驟：采用輸入變換池對受害者模型進(jìn)行模型增強(qiáng)，得到增強(qiáng)模型集合，并通過K次迭代計(jì)算增強(qiáng)模型集合的集成梯度；通過輸入變換池得到一個(gè)新的增強(qiáng)模型，并依據(jù)這個(gè)新的增強(qiáng)模型計(jì)算內(nèi)部對抗樣本的內(nèi)部梯度以及外部對抗樣本的內(nèi)部梯度；得到用來更新內(nèi)部對抗樣本的累積梯度，使用該累積梯度來更新內(nèi)部對抗樣本；利用最后一個(gè)內(nèi)部的累積梯度來更新外部梯度，最后利用這個(gè)外部梯度來更新外部對抗樣本；重復(fù)以上步驟T次，一旦迭代完成，即可成功生成對抗樣本。

技術(shù)研發(fā)人員：張森森,洪海波
受保護(hù)的技術(shù)使用者：浙江工商大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/17