本發明涉及對抗樣本生成技術領域，公開了一種黑盒場景下的定向對抗音頻生成方法及系統。其中方法包括：(1)選擇目標黑盒語音識別模型作為音頻識別模型，選擇源音頻并設定攻擊目標；(2)根據音頻識別模型對輸入音頻采樣率的要求，對源音頻進行重采樣；(3)提取重采樣后源音頻的MFCC特征；(4)采用音頻識別模型對所述的MFCC特征進行識別，得到識別結果；(5)設定目標函數，利用粒子群算法尋找使目標函數值最小的最佳噪聲，將最佳噪聲與源音頻疊加，獲得識別結果為攻擊目標的定向對抗音頻。該方法可以通過在源音頻上添加微小的擾動以達到讓語音識別模型識別成特定的內容。

技術領域

本發明涉及對抗樣本生成技術領域，尤其涉及一種黑盒場景下的定向對抗音頻生成方法及系統。

背景技術

語音識別正以磅礴之勢占據著一個智能時代的高點。美國谷歌公司發布的一項調查報告顯示，13歲到18歲之間的青少年中，每天都要使用語音搜索的人數比率約為55％。隨著大數據、機器學習、云計算、人工智能等技術的發展，語音識別在一步步解放用戶的雙手，語音輸入框也大有取代鼠標、鍵盤之勢。伴隨著智能移動設備的普及，語音交互作為一種新型的人機交互方式，正越來越引起整個IT業界的重視。

雖然人工智能技術的發展極大程度上提升了語音識別模型準確率，但是人工智能神秘莫測的內部機制也為實際應用埋下了許多安全隱患。通常在設計機器學習系統時，為了保證設計的系統是安全的、可信賴的并且結果能達到預期效果，我們通常會考慮特定的威脅模型，這些模型是對那些企圖使我們的機器學習系統出錯的攻擊者的攻擊能力和攻擊目標的假設。迄今為止，現有大多數的機器學習模型都是針對一個非常弱的威脅模型設計實現的，沒有過多地考慮攻擊者。盡管在面對自然的輸入時，這些模型能有非常完美的表現，但最近的研究發現，即使性能優良的模型也容易遭受對抗樣本攻擊——在樣本中添加人眼察覺不到的微小擾動后，樣本會以很高的置信度被分類錯誤。如果對抗樣本被分類為攻擊者指定的類別，那么就稱之為定向對抗樣本。

目前已有的工作大多數考慮的是對抗圖像的生成，對抗音頻少有人研究，尤其是黑盒場景下的定向對抗音頻。在黑盒場景下，攻擊者不知道要攻擊的模型的內部架構和參數，只能獲取輸入數據被分類為每個類別的概率。由于這種場景下攻擊者知道的信息非常有限，目前還沒有人研究過黑盒場景下的定向對抗音頻生成方法。考慮到語音識別模型在實際生活中應用時通常處于黑盒場景下，因此研究黑盒對抗音頻樣本的生成機理對于研究相應的防御方法以增強實際應用中的語音識別模型的魯棒性是十分必要的。

發明內容

本發明提供了一種黑盒場景下的定向對抗音頻生成方法，該方法可以通過在源音頻上添加微小的擾動以達到讓語音識別模型識別成特定的內容的目的。

具體技術方案如下：

一種黑盒場景下的定向對抗音頻生成方法，包括以下步驟：

(1)選擇目標黑盒語音識別模型作為音頻識別模型，選擇源音頻并設定攻擊目標；

(2)根據音頻識別模型對輸入音頻采樣率的要求，對源音頻進行重采樣；

(3)提取重采樣后源音頻的MFCC特征；

(4)采用音頻識別模型對所述的MFCC特征進行識別，得到識別結果；

(5)設定目標函數，利用粒子群算法尋找使目標函數值最小的最佳噪聲，將最佳噪聲與源音頻疊加，獲得識別結果為攻擊目標的定向對抗音頻。

所述的黑盒語音識別模型是指參數未知的語音識別模型。本發明的黑盒語音識別模型為對語音進行分類且輸出類別固定的模型，如命令詞識別模型。攻擊目標是指黑盒語音識別模型對定向對抗音頻的預期識別結果，例如，定向對抗音頻在人耳聽起來是“no”，而黑盒語音識別模型的識別結果為“yes”，“yes”即為其攻擊目標。