本發明公開了一種基于訓練集數據的對抗攻擊方法，步驟1、使用VOC2007圖像數據集訓練檢測模型；步驟2、對訓練集中圖像進行篩選尋找單類別訓練集圖像Y；步驟3、使用圖像集Y構建KD?tree進行存儲；步驟4、對要攻擊的圖片，首先通過KD?tree查詢在Y中和它距離最近的非同類別訓練圖像步驟5、構造初始徑向噪聲z^*；步驟6、構造擾動空間，并通過對擾動空間隨機取樣得到η；步驟7、調整圖像檢測框內的擾動量，根據η生成新的對抗樣本x′；步驟8、對新的對抗樣本x′進行查詢；步驟9、重復步驟5、6，7、8直到攻擊成功，得到最終對抗樣本x′，并將對抗樣本輸入到目標模型中進行分類，得出分類結果F(x′)。本發明可以在最快速度下達到攻擊效果，且產生的擾動也非常小。

技術領域

本發明涉及機器學習安全技術領域，尤其涉及一種面向深度圖像識別系統的灰盒對抗決策攻擊的方法。

背景技術

對于許多沒有防御措施的深度學習模型被認為很容易受到對抗性攻擊，向原圖像增加小的擾動就可以惡意誤導模型，使模型錯分。研究者對設計不同的對抗性攻擊方法來欺騙最先進的深度卷積網絡做了大量研究。攻擊大致可以分三類：①基于梯度的迭代攻擊，比如FGSM、I-FGSM、VR-IGSM等一系列FGSM的變體；②基于優化的迭代攻擊，比如CW(CarliniWagner)；③基于決策邊界的攻擊，比如boundary attack。

Tanay和Griffin提供了一種邊界傾斜視角，對深度神經網絡的對抗樣本的存在進行了研究。他們認為，一般來說，當一個單類數據被抽樣來學習和評估一個分類器時，存在一個類的子簇，當分類邊界靠近這個子簇時，就存在這個類的對抗樣本。他們將分類器的對抗性強度的概念形式化，并將其簡化為考慮分類器邊界與最近的質心分類器之間的偏差角。結果表明，分類器的對抗強度可以隨決策邊界的傾斜而變化。作者還認為分類器的對抗穩定性與正則化有關。在Tanay和Griffin的觀點中，關于對抗樣本存在的線性假設是無法令人信服的。

發明內容

本發明旨在提出一種基于訓練集數據的對抗攻擊方法，通過分析檢測模型的訓練集數據分布，使圖像沿著離他最近的訓練集圖像的方向靠近，同時結合檢測模型的分類框所在位置，以達到構建攻擊能力更強的對抗樣本的目的。基于修正邊界攻擊

本發明的一種基于訓練集數據的對抗攻擊方法，具體包括以下步驟：

步驟1，使用VOC大規模圖像分類數據集構成的圖像集合Img訓練檢測模型：

Img＝{x₁,x_i,…,x_Nd}，i＝{1,2,…,N_d}

其中，x_i表示一張圖像，N_d表示圖像集合Img中的圖像總數；

構建圖像集合的集合IMG，其中每個圖像x_k對應的檢測框T_k：

T_k＝{(q₁₁,p₁₁,q₂₁,p₂₁,l₁)…(q_1i,p_1i,q_2i,p_2i,l_i)}，i＝1,2,…,R_n

其中，(q₁₁,p₁₁,q₂₁,p₂₁)表示每一個圖像檢測框所對應的左上角坐標和右下角坐標，R_n表示該圖像中檢測框的數量，l_i表示第i個檢測框內圖像的類別；

由圖像集合Img以及每個圖像對應的圖像描述集合Result組成最終的數據集并訓練檢測模型：