本發明公開了一種面向深度神經網絡的高隱蔽性的對抗性圖像攻擊方法，對抗性圖像是一種向原始圖像中引入惡意噪聲使得神經網絡模型錯誤分類的一種攻擊手段。相較以往的攻擊方法利用Lp范式距離來衡量噪聲大小，會產生可見噪點，本方法根據人眼對圖像局部刺激的敏感程度來自適應地引入噪聲，使得對抗性圖像與原始圖人眼不可區分，提高了攻擊方法的隱蔽性。此外，本方法介紹了一種人眼感知模型來刻畫人眼對圖像像素值的感知冗余。為了更好的衡量人眼對對抗性圖像的感知能力，本方法介紹了一種引入噪聲大小的衡量指標，并作為正則項加入到優化目標中，自適應地調整噪聲的分布。

技術領域

本發明涉及一種面向深度神經網絡的高隱蔽性對抗性圖像攻擊方法，屬于人工智能安全領域。

背景技術

近年來，深度神經網絡在多個領域展現出卓越的性能，例如圖像處理、自然語言處理、語音識別等等。尤其深度神經網絡能在圖像分類領域超過人類。然而，近來的研究表明深度學習容易受到對抗性攻擊，即攻擊能能夠在不引起注意的情況下，通過向原始圖像加入精心設計的噪聲，使得加噪后的圖像能夠欺騙神經網絡，尤其是圖像分類模型。這樣的攻擊能夠嚴重的威脅那些對安全要求較高的應用，如人臉識別系統、惡意軟件檢測、自動駕駛等等。

通常，對抗性圖像的合成可以表示為一個帶約束的優化問題，即利用盡可能小的感知損失去誤導神經網絡模型，其中感知損失表現為對抗性圖像相比于原始圖像的不可分辨性。現有的攻擊方法大多采用Lp范式距離來衡量感知損失，并作為優化目標。然而，Lp范式對每個像素平等對待，使得其對噪聲的空間分布不敏感。例如，將同樣大小但不同分布的噪聲加入原始圖像中，會求得完全相同的Lp范式距離，但這兩個加噪后的圖像會有完全不同的感知損失，尤其在淺色區域。因此，如果利用Lp范式作為合成對抗性圖像的正則項，容易在一些易被察覺的區域產生相對較大的噪聲，使得人眼可以容易地察覺到攻擊，攻擊隱蔽性差。

本發明認為衡量對抗性圖像的感知損失不應該將每個像素同等對待，而是應該根據圖像的局部特征，利用紋理掩蓋、亮度掩蓋等效應合理地對不同像素設置感知冗余，使得更好地掩蓋對抗性噪聲，提高攻擊隱蔽性。

發明內容

本發明的目的是克服現有技術的不足，提供一種面向深度神經網絡的自適應感知冗余的高隱蔽性對抗性圖像攻擊方法。

面向深度神經網絡的自適應感知冗余的高隱蔽性對抗性圖像攻擊方法包含如下步驟：

1)給定一個目標分類神經網絡，假定攻擊者擁有對目標模型的白盒訪問權限，并設定目標類別t。

2)為了衡量人眼對圖像中不同像素點的感知冗余，引入一種新的感知模型，根據圖像的亮度掩蓋、紋理掩蓋效應來刻畫，計算出圖像中單個像素值在RGB三個通道中的感知冗余。

3)為了衡量對抗性圖像的感知誤差，提出一種帶權重的誤差測量方法，首先計算每個像素的感知冗余，其倒數為每個像素的權重，然后計算噪聲矩陣帶權重的Lp范式距離，得到感知誤差。這個距離越大，感知誤差就越大。

4)基于目標函數：

min JND_p(δ)+c·loss(x+δ,t)

構建合成對抗性圖像的目標函數，以感知誤差作為正則項，最終合成對抗性圖像。JND_p(δ)表示噪聲的感知誤差，loss(x+δ,t)表示噪聲圖x+δ的分類結果與分類目標的差異，c為權重參數。

所述的一種自適應感知冗余的高隱蔽性對抗性圖像攻擊方法，攻擊者以一個預訓練好的分類神經網絡為攻擊目標，并擁有對目標模型的白盒訪問權限，設定目標類別為t。目標神經網絡可以形式化為F(x,θ)＝y，網絡模型可以表示為

F(x)＝softmax(Z(x))＝y

其中Z表示logits層，softmax表示將模型輸出映射到[0,1]，y表示模型的最終輸出。