本發(fā)明屬于工業(yè)軟測量與工業(yè)信息安全，具體屬于一種針對深度學習工業(yè)軟測量模型的生成式對抗攻擊方法。

背景技術：

1、在復雜工業(yè)過程中，由于高溫、腐蝕和強磁場等復雜環(huán)境的影響，對工業(yè)過程中關鍵目標變量的測量常常面臨挑戰(zhàn)。而使用硬件傳感器通常難以在復雜工業(yè)過程中穩(wěn)定地進行測量，因此，軟測量方法得到了廣泛的研究和應用。軟測量方法即利用易于測量的工業(yè)過程變量(簡稱為：輔助變量)與難以測量的關鍵質量變量(簡稱為：主導變量)之間的數學映射關系建立模型。這類軟測量模型能夠充分模擬硬件傳感器的功能，對主導變量進行預測時，不受工業(yè)過程復雜環(huán)境的影響，在通用性、靈活性和成本等方面均天然地具備優(yōu)勢。

2、軟測量方法通常分為數據驅動方法和機理知識驅動的方法。由于機理知識驅動的軟測量方法難以在復雜工業(yè)過程中建立準確的機理知識模型，因此數據驅動的軟測量方法已成為當前的主流。與傳統的基于機器學習的數據驅動軟測量方法相比，基于深度學習的軟測量方法能夠在大多數應用場景下實現更高的軟測量精度。然而，這樣一種高精度的軟測量模型在當前并未得到廣泛部署和應用，這是因為其安全性和可靠性正在受到對抗攻擊的嚴重威脅。

3、已經有研究證實，深度神經網絡易遭受不可察覺的對抗攻擊的影響，從而以高置信度給出錯誤的輸出結果。深度學習軟測量模型(dlss)基于深度神經網絡建立，其天然地容易受到對抗攻擊的影響。同時，當前越來越多的復雜工業(yè)過程現場的控制系統與企業(yè)和公共網絡高度互聯，攻擊者很容易利用各類軟硬件漏洞入侵工業(yè)控制系統，然后對部署在其中的dlss進行惡意對抗攻擊。[small?perturbations?are?enough:adversarialattacks?on?time?series?prediction·information?sciences,2022(03):794-812]的文獻中提出了一種時間序列生成器來實現對dlss的對抗性攻擊，但由于該方法需要實際測試樣本的真實標簽，因此無法真正用于dlss的在線攻擊。針對這一缺點，[adversarialattacks?on?neural-network-based?soft?sensors:directly?attack?output·ieeetransactions?on?industrial?informatics,2022(04):2443-2451]的文獻中提出了一種直接攻擊輸出型的對抗攻擊方法(idao)來對dlss開展對抗攻擊，該方法通過重構優(yōu)化問題巧妙地避免了對真實標簽的使用，從而實現了對dlss的在線攻擊，然而，idao方法受優(yōu)化目標的限制，所生成的虛假輸出將每一個樣本的預測值都在數值上都進行了提升，且在初始攻擊時刻，所產生的虛假輸出值與正常輸出值相比會有一個明顯的跳變，這些現象導致idao的輸出不具備合理性，從而使idao方法很容易被經驗豐富的操作人員檢測出來，導致攻擊失敗。

4、為了克服idao方法的不足，[when?deep?learning-based?soft?sensorsencounter?reliability?challenges:apractical?knowledge-guided?adversarialattack?and?its?defense·ieee?transactions?on?industrial?informatics,2024(02):2702-2714]的文獻中提出了一種機理知識引導的對抗攻擊方法(kgaa)來實現對dlss的攻擊，相比于idao方法，該方法避免了初始攻擊時刻虛假輸出值的跳變，且其他攻擊時刻的虛假輸出均在機理值(該機理值即指與dlss相對應的機理知識驅動的軟測量模型的輸出)的附近，這樣的虛假輸出滿足了操作人員對過程的認識，因此，kgaa具有較強的隱蔽性和合理性，很難被發(fā)現。然而，在一些復雜工業(yè)過程中，機理知識驅動的軟測量模型通常難以建立，這將導致kgaa方法的普適性受到限制，進而現有對抗攻擊方法仍存在普適性不足、虛假輸出和合理性差等缺點，導致測量出工業(yè)過程中的關鍵目標變量出現很大的偏差，導致對抗攻擊失敗。

技術實現思路

1、為了解決現有復雜工業(yè)過程中所采用的對抗攻擊方法存在缺陷，導致測量關鍵目標變量出現極大的偏差，使得對抗攻擊失敗的問題，本發(fā)明提供了一種針對深度學習工業(yè)軟測量模型的生成式對抗攻擊方法。

2、為實現上述目的，本發(fā)明提供如下技術方案：

3、本發(fā)明提供了一種針對深度學習工業(yè)軟測量模型的生成式對抗攻擊方法，包括以下步驟：

4、基于構建的觀測數據集2中的標簽數據自尋峰得到虛假輸出；

5、基于構建的觀測數據集1訓練代理深度學習工業(yè)軟測量模型，構建生成式模型，將所述虛假輸出作為所述生成式模型的輸入，訓練得到對抗樣本生成器；

6、基于劫持到的查詢數據輸入所述對抗樣本生成器，得到虛假輸出值。

7、優(yōu)選地，所述基于構建的觀測數據集2中的標簽數據自尋峰得到虛假輸出，包括：

8、基于構建的所述觀測數據集2中的標簽數據得到標簽數據曲線；

9、基于所述觀測數據集2中的標簽數據在自動尋峰，得到所述標簽數據曲線的凸峰數據點與凹峰數據點；

10、分別對所述凸峰數據點與所述凹峰數據點進行膨脹，得到放大凸峰數據點和放大凹峰數據點；

11、基于所述放大凸峰數據點和所述放大凹峰數據點分別替換所述觀測數據集2中的凸峰數據點和凹峰數據點，得到峰值放大觀測數據集；

12、基于所述峰值放大觀測數據集2中的標簽數據得到所述虛假輸出

13、優(yōu)選地，所述觀測數據集2中的標簽數據在自動尋峰，包括：

14、計算所述標簽數據y的均值；

15、基于所述均值與預設的峰值參數對所述觀測數據集2中的每一個標簽數據y進行判斷，得到標簽數據曲線的凸峰起始點和凸峰結束點，凹峰起始點和凹峰終止點；

16、基于所述凸峰結束點和所述凸峰起始點，確定所述標簽數據曲線上的所有的凸峰區(qū)域，并獲取所述觀測數據集2中對應所述凸峰區(qū)域的標簽數據，得到凸峰數據點；

17、基于所述凹峰結束點和所述凹峰起始點，確定標簽數據曲線上的所有凹峰區(qū)域，獲取所述觀測數據集2中對應所述凹峰區(qū)域的標簽數據，得到所述凹峰數據點。

18、優(yōu)選地，所述凸峰數據點與所述凹峰數據點進行膨脹，包括：

19、對所述凸峰數據點按照凸峰放大系數進行膨脹，得到所述放大凸峰數據點；

20、對所述凹峰數據點按照凹峰放大系數進行膨脹，得到所述放大凹峰數據點。

21、優(yōu)選地，所述構建所述觀測數據集1和所述觀測數據集2，包括：

22、劫持得到第一觀測樣本x1，

23、將所述第一觀測樣本x1輸入到原始的深度學習工業(yè)軟測量模型，所述深度學習工業(yè)軟測量模型輸出得到第一標簽數據y1；

24、將所述第一標簽數據y1和所述第一觀測樣本x1組合，得到所述觀測數據集1；

25、基于所述觀測數據集1訓練構建的深度神經網絡，得到代理軟測量模型；

26、劫持得到第二觀測樣本x2，將所述第二觀測樣本x2輸入到代理軟測量模型，所述代理軟測量模型輸出得到第二標簽數據y2；

27、將所述第二標簽數據y2和所述第二觀測樣本x2組合，得到所述觀測數據集2。

28、優(yōu)選地，所述基于所述觀測數據集1訓練代理深度學習工業(yè)軟測量模型，構建生成式模型，將所述虛假輸出作為所述生成式模型的輸入，訓練得到對抗樣本生成器，包括：

29、基于獲得的觀測數據集1訓練出代理深度學習工業(yè)軟測量模型；

30、將所述代理深度學習工業(yè)軟測量模型引入標準生成式對抗網絡結構中，構建出生成式模型；

31、將所述虛假輸出輸入到所述生成式模型中進行訓練至模型收斂后，提取出所述生成式模型中的生成器，得到所述對抗樣本生成器。

32、優(yōu)選地，所述生成式模型進行訓練，包括：

33、初始化所述生成式模型中的生成器g的第一參數θg和判別器d的第二參數θd；

34、固定所述第一參數θd，使用梯度優(yōu)化算法去最大化并更新所述第二參數θd；

35、固定所述第二參數θd，使用梯度優(yōu)化算法去最小化并更新所述第一參數θd；

36、交替訓練所述判別器d和所述生成器g，直至所述生成式模型收斂后，結束訓練，提取出所述生成式模型的所述判別器d和所述生成器g，得到對抗樣本生成器。

37、優(yōu)選地，所述梯度優(yōu)化算法去最大化為：

38、

39、其中，θd為判別器d中的第二參數，m為觀測數據集中的數據總數，θg為生成器g的第一參數，x(i)為觀測數據集中的數據值。

40、優(yōu)選地，所述梯度優(yōu)化算法去最小化為：

41、

42、其中，θd為判別器d中的第二參數，m為觀測數據集中的數據總數，θg為生成器g的第一參數，x(i)為觀測數據集中的數據值，l表示該生成式模型的軟測量損失，函數f表示代理軟測量模型，θ表示該軟測量模型的已知參數，max函數項表示對抗攻擊的隱蔽性損失，即該項用來確保所生成對抗樣本的隱蔽性，ε表示與y之間被允許的最大距離。

43、優(yōu)選地，所述攻擊者基于劫持到的查詢數據輸入對抗樣本生成器，得到虛假輸出值，包括：

44、基于劫持得到查詢樣本x′輸入所述對抗樣本生成器中，得到對抗樣本x′attacked；

45、基于所述對抗樣本x′attacked輸入原始的所述深度學習工業(yè)軟測量模型輸出得到虛假輸出值，實現對抗攻擊。

46、與現有技術相比，本發(fā)明具有以下有益的技術效果：

47、本發(fā)明提出了一種針對深度學習工業(yè)軟測量模型的生成式對抗攻擊方法，本方法能夠避免現有攻擊方法普適性差、虛假輸出合理性不足等缺點，首先，該攻擊方法不需要能夠建立出復雜工業(yè)過程的機理知識模型，使用訓練好的對抗攻擊生成器就能夠直接生成出對抗樣本，使此方法對各類復雜工業(yè)過程均具備較強的適用性；其次，通過所提出的自動尋峰，能夠生成具備合理性的虛假輸出，使最終的攻擊結果在真實值附近合理浮動，利用了數據本身的特性，有效模擬了潛在的異?；蚬裟Ｊ?，避免攻擊結果明顯地偏離正常取值，從而使對抗攻擊結果相較其他攻擊方法更具合理性。然后利用這些虛假輸出訓練代理深度學習工業(yè)軟測量模型，并構建生成式模型作為對抗樣本生成器，提升了對抗樣本的生成效率，還確保了生成樣本的多樣性和針對性，對抗樣本生成器能夠學習并模仿真實數據的分布，同時僅引入微小的擾動，使生成的樣本在保持外觀真實性的同時，能夠誤導目標模型產生錯誤的預測。最后，通過劫持到的查詢數據輸入對抗樣本生成器，得到虛假輸出值，實現了對工業(yè)軟測量模型的隱蔽攻擊，為工業(yè)界的實際應用提供了有效的安全評估工具和防御策略。

48、進一步地，本方法中通過精心構建的觀測數據集，確保了數據的全面性和代表性，基于觀測數據集中的標簽數據繪制出標簽數據曲線，直觀地展示了數據的變化趨勢和特征，然后利用自動尋峰技術，準確地識別出曲線上的凸峰數據點與凹峰數據點，然后分別對凸峰數據點與凹峰數據點進行膨脹處理，得到放大凸峰數據點和放大凹峰數據點，通過放大數據中的極端值，使得生成的虛假輸出更加顯著和具有欺騙性。最后，基于放大凸峰數據點和放大凹峰數據點替換觀測數據集2中的凸峰數據點和凹峰數據點，得到峰值放大觀測數據集，基于峰值放大觀測數據集中的標簽數據得到峰值放大標簽數據曲線，峰值放大標簽數據曲線上對應的所有數據點為虛假輸出這一虛假輸出不僅保留了原始數據的基本特征，還融入了人為設計的異常模式，能夠有效地誤導深度學習工業(yè)軟測量模型。提高了虛假輸出的生成精度和欺騙性，使得攻擊者能夠更準確地模擬和預測目標模型的反應，通過不斷優(yōu)化和改進虛假輸出的生成方法，為工業(yè)過程監(jiān)控與質量控制提供更加可靠和安全的保障。

49、更進一步地，本方法中通過計算標簽數據y的均值，簡化了峰值識別的復雜度，使得識別過程更加客觀和可重復，基于均值與預設的峰值參數對觀測數據集中的每一個標簽數據y進行逐一判斷，通過比較數據點與均值及峰值參數的關系，準確地識別出凸峰和凹峰的起始點與結束點，確保了峰值識別的準確性和魯棒性，然后根據凸峰和凹峰的起始點與結束點，分別確定了標簽數據曲線上的所有凸峰區(qū)域和凹峰區(qū)域，顯著提高了自動尋峰的準確性和效率，能夠更準確地識別出標簽數據曲線上的凸峰和凹峰，增強了虛假輸出的欺騙性，還使得整個攻擊過程更加隱蔽和難以被檢測。

50、更進一步地，本方法中通過基于獲得的觀測數據集訓練出代理深度學習工業(yè)軟測量模型，確保了模型能夠準確反映工業(yè)過程的數據特征。隨后，將該模型引入gan結構中，與生成器和判別器共同構建生成式模型。通過將虛假輸出輸入生成式模型進行訓練，在訓練過程中，交替地最大化判別器d的識別能力和最小化生成器g的生成誤差，促進了生成器和判別器能力的不斷提升，直到生成式模型收斂，不僅充分利用了gan在生成高質量樣本方面的優(yōu)勢，還通過虛假輸出增強了生成樣本的針對性和欺騙性。

51、更進一步地，本方法中通過攻擊者首先劫持到目標系統的查詢樣本x'，將這些查詢樣本輸入到之前訓練好的對抗樣本生成器中，通過生成器的變換和擾動，得到對抗樣本。這些對抗樣本在保持與原始查詢樣本相似性的同時，嵌入了能夠誤導深度學習模型的微小擾動，將對抗樣本輸入到原始的深度學習工業(yè)軟測量模型中，模型在接收到這些對抗樣本后，由于無法有效識別其中的擾動，會產生錯誤的預測結果，即虛假輸出值，不僅有助于工業(yè)界更加全面地了解深度學習模型的安全風險，還使得攻擊者能夠精確地控制攻擊過程和結果。