本发明属于黑盒攻击对抗样本生成领域,本发明生成的对抗样本可以用来测试分类模型的可靠性。更具体地,涉及一种基于高斯同伦优化的黑盒攻击对抗样本生成方法及系统。
背景技术:
1、深度学习在图像分类、文本识别、智慧交通等多个领域得到了广泛应用。深度学习模型在各领域的应用涉及信息安全、交通安全、国防安全等多个方面,其相关的安全和隐私问题日渐增多并引起了高度关注。尽管深度学习在许多领域带来了巨大进展,但对抗样本的出现揭示了深度学习模型的脆弱性。这些对抗样本可能不仅仅是攻击者有意篡改的结果,还可能来自自然界中的各种噪声干扰。这为深度学习模型的部署和实际应用提出了严峻挑战。
2、黑盒攻击对抗样本生成是指在不了解目标系统的情况下,从原始数据端入手,在原始样本中加入扰动,使目标系统对合成样本的预测出错,对后续提高深度学习模型的适应性、鲁棒性具有重要意义。黑盒攻击对抗样本生成对目标系统的先验信息需求较少,符合现实应用,因此在计算机视觉领域具有极大的研究价值。
3、在黑盒攻击样本生成任务中,目标函数通常被设计为一个多目标的非凸优化,在引入扰动的同时,确保生成样本与原始样本的距离较小。梯度下降寻优策略通常采用小步长、多迭代的方式寻优。非凸函数存在多个局部最小值,致使梯度下降寻优方案容易陷入局部最优,无法高效地生成对抗样本。传统的用于黑盒攻击对抗样本生成的方法忽略了该任务的非凸特性。高斯同伦方法是一种解决非凸优化和非线性优化问题的经典方法。然而,现有的高斯同伦方案采用零阶优化处理高维问题,零阶优化通过一维函数估计多维特征空间的梯度,无法有效表示多维特征空间特性,导致无法有效的实现对抗样本生成。此外,现有的高斯同伦采用串行工作方式或使用固定的平滑因子寻优。串行方式效率较低。固定的平滑因子往往依赖额外的解析分析,这在黑盒攻击对抗样本生成等高维任务上难以实现。
技术实现思路
1、针对现有技术的缺陷和改进需求,本发明提供了一种基于高斯同伦优化的黑盒攻击对抗样本生成方法及系统,其目的在于解决图像黑盒攻击中的非凸目标函数寻优容易陷入局部最优的问题,从而更加高效地生成对抗样本。
2、为实现上述目的,按照本发明的一个方面,提供了一种基于高斯同伦优化的黑盒攻击对抗样本生成方法,包括:构建平滑因子调节模型,初始化所述平滑因子调节模型和连续路径学习模型;所述平滑因子调节模型的输入为(0,1)上均匀分布的n维张量输出为一个n维的平滑因子s=sψ(t)=ψ(1-t);所述连续路径学习模型的输入与所述平滑因子调节模型的输入相同,输出为样本扰动其中,ti为第i维元素,n为正整数,ψ为平滑因子调节模型的网络参数,sψ()为平滑因子调节模型的映射函数,为连续路径学习模型的映射函数,为连续路径学习模型的网络参数;利用所述平滑因子s对原始对抗样本生成目标函数并行地进行高斯平滑处理,得到n维并行的高斯同伦函数,每一维对应一个同伦层,该同伦层的高斯函数为训练阶段,对于所有在均匀分布u(0,1)上的同伦层t,以最小化其高斯函数关于的t的期望为目标,联合训练所述平滑因子调节模型和所述连续路径学习模型,直至攻击损失小于设定值或达到迭代上限;训练完成后所述连续路径学习模型输出最优样本扰动,将所述最优样本扰动添加至原始图像,得到对抗样本图像。
3、更进一步地,所述联合训练所述平滑因子调节模型和所述连续路径学习模型,具体包括:每更新所述连续路径学习模型q次时,更新一次所述平滑因子调节模型,直至更新所述平滑因子调节模型p次或攻击损失小于设定值,其中,q为第一设定次数,p为第二设定次数,q≥1,p≥1。
4、更进一步地,当q=1时,同时更新所述平滑因子调节模型和所述连续路径学习模型。
5、更进一步地,更新所述连续路径学习模型的具体方式为:sa1,利用多个独立分布的标准正态向量{u(1),u(2),...,u(k)}作为模型输入,根据所述连续路径学习模型的输出x和所述平滑因子调节模型的输出s,通过蒙特卡洛采样估计高斯同伦函数g(x,s):
6、
7、其中,k为多个独立分布的标准正态向量的数量,u(k)为第k个独立分布的标准正态向量,f(·)为原始对抗样本生成目标函数;sa2,对g(x,s)反向传播,以更新所述连续路径学习模型的网络参数;或者,根据x和s计算g(x,s)对样本扰动x的零阶梯度对所述连续路径学习模型的输出反向传播,利用链式法则求得目标函数对连续路径学习模型网络参数的梯度以更新所述连续路径学习模型的网络参数。
8、更进一步地,和分别为:
9、
10、
11、更进一步地,更新所述平滑因子调节模型的具体方式为:sa1',利用多个独立分布的标准正态向量{u(1),u(2),...,u(k)}作为模型输入,根据所述连续路径学习模型的输出x和所述平滑因子调节模型的输出s,通过蒙特卡洛采样估计高斯同伦函数g(x,s):
12、
13、其中,k为多个独立分布的标准正态向量的数量,u(k)为第k个独立分布的标准正态向量,f(·)为原始对抗样本生成目标函数;sa2',对g(x,s)反向传播,以更新所述平滑因子调节模型的网络参数;或者,计算g(x,s)对平滑因子s的零阶梯度对所述平滑因子调节模型的输出反向传播,利用链式法则求得目标函数对平滑因子调节模型网络参数的梯度以更新所述平滑因子调节模型的网络参数。
14、更进一步地,和分别为:
15、
16、
17、其中,d为向量u(k)的维度。
18、更进一步地,所述平滑因子调节模型输出的张量维度与其输入的张量维度相同;当张量维度为1时,所述平滑因子调节模型为串行同伦架构;当张量维度大于1时,所述平滑因子调节模型为并行同伦架构。
19、按照本发明的另一个方面,提供了一种基于高斯同伦优化的黑盒攻击对抗样本生成系统,包括:处理器;存储器,其存储有计算机可执行程序,所述程序在被所述处理器执行时,使得所述处理器执行如上所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法。
20、按照本发明的另一个方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法。
21、总体而言,通过本发明所构思的以上技术方案,能够取得以下有益效果:
22、(1)提供了一种基于高斯同伦优化的黑盒攻击对抗样本生成方法,利用高斯同伦思想,使用全连接网络构建一个线性模型,即自适应的平滑因子调节模型,它通过自适应的平滑因子使目标函数具有凸性,使非凸问题逼近渐进凸,从而便于寻优,解决了图像黑盒攻击中的非凸目标函数寻优易陷入局部最优的问题,能够更加高效的生成对抗样本,实现深度学习模型的可信性测试;本发明生成的样本也可以用来对训练样本进行增强,使训练数据集更加完备,更加符合实际应用场景,解决小样本深度学习模型中适应性不足问题;
23、(2)提供了两种梯度更新方案,其中,全自动更新方式通过估计高斯同伦函数和网络自动求导,有效地避免了零阶优化估计中使用一维函数空间的差值表示d维特征空间梯度的过程,保留了各维度上的梯度信息,可以更好地处理高维问题,具备更好的性能;
24、(3)提供了串行同伦架构和并行同伦架构两种平滑因子调节模型,其中,并行同伦架构利用张量的并行运算特性,同时计算不同平滑因子对应的高斯同伦函数或零阶梯度,通过反向传播调节平滑因子,为连续路径学习模型的同伦函数提供并行的自适应的平滑因子,进而优化连续路径学习模型的路径拟合过程,实现更高效的对抗样本生成。
1.一种基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,包括:
2.如权利要求1所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,所述联合训练所述平滑因子调节模型和所述连续路径学习模型,具体包括:
3.如权利要求2所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,当q=1时,同时更新所述平滑因子调节模型和所述连续路径学习模型。
4.如权利要求2或3所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,更新所述连续路径学习模型的具体方式为:
5.如权利要求4所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,和分别为:
6.如权利要求2或3所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,更新所述平滑因子调节模型的具体方式为:
7.如权利要求6所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,和分别为:
8.如权利要求1所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法,其特征在于,所述平滑因子调节模型输出的张量维度与其输入的张量维度相同;
9.一种基于高斯同伦优化的黑盒攻击对抗样本生成系统,其特征在于,包括:
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-8中任一项所述的基于高斯同伦优化的黑盒攻击对抗样本生成方法。
