本發(fā)明實(shí)例涉及一種圖像對(duì)抗樣本生成方法，屬于機(jī)器學(xué)習(xí)和AI安全領(lǐng)域。包括：訓(xùn)練生成對(duì)抗網(wǎng)絡(luò)模型，該模型包括兩個(gè)生成器(樣本生成器G1,擾動(dòng)生成器G2)，其中G1的輸入為高維隨機(jī)噪聲，輸出為圖像樣本，采用卷積網(wǎng)絡(luò)搭建，在第一次被調(diào)用時(shí)被訓(xùn)練，用于擴(kuò)充原始數(shù)據(jù)集；G2的輸入為圖像樣本，輸出為該圖像數(shù)據(jù)針對(duì)某一攻擊目標(biāo)的擾動(dòng)；對(duì)抗樣本由圖像和其對(duì)應(yīng)的擾動(dòng)相加得到。本發(fā)明創(chuàng)新的運(yùn)用了雙生成器的生成對(duì)抗網(wǎng)絡(luò)，提高了利用生成對(duì)抗網(wǎng)絡(luò)構(gòu)造對(duì)抗樣本的效率，使生成對(duì)抗樣本的數(shù)量不再受限制，增大了對(duì)抗樣本之間的差異性。

技術(shù)領(lǐng)域

本發(fā)明涉及機(jī)器學(xué)習(xí)和AI安全領(lǐng)域，具體地，涉及一種神經(jīng)網(wǎng)絡(luò)模型圖像對(duì)抗樣本的生成方法。

背景技術(shù)

神經(jīng)網(wǎng)絡(luò)系統(tǒng)如今被廣泛應(yīng)用于諸多方面，其安全性和穩(wěn)定性也越來越受到重視。神經(jīng)網(wǎng)絡(luò)的對(duì)抗樣本是指在原數(shù)據(jù)集中添加肉眼不可見或不影響整體觀感的擾動(dòng)(噪音)，所形成的一類樣本。對(duì)抗樣本可以使得神經(jīng)網(wǎng)絡(luò)模型以較高的置信度給出與原樣本不同的分類結(jié)果。

自SzegedyC等提出對(duì)抗樣本的概念，到GoodfellowI等證明了神經(jīng)網(wǎng)絡(luò)的高維線性是導(dǎo)致對(duì)抗樣本產(chǎn)生的根本原因，逐漸產(chǎn)生了一系列對(duì)抗樣本生成方法。GoodfellowI提出的FGSM(快速梯度符號(hào)法)通過再梯度方向上添加增量來誘導(dǎo)網(wǎng)絡(luò)對(duì)生成的圖片進(jìn)行誤分類。AlexeyKurakin等提出了基礎(chǔ)迭代法(I-FGSM),其基本思想是通過多個(gè)小步增大損失函數(shù)的處理，來優(yōu)化一大步運(yùn)算增大損失函數(shù)從而生成圖像的擾動(dòng)。Seyed-Mohsen等人提出的DeepFool，對(duì)深度網(wǎng)絡(luò)也有很強(qiáng)的對(duì)抗性和魯棒性。ChaoweiXiao等人提出了一種利用生成對(duì)抗網(wǎng)絡(luò)來構(gòu)造對(duì)抗樣本的方法，這種網(wǎng)絡(luò)架構(gòu)可以學(xué)習(xí)和模擬出真實(shí)的圖像分布。一旦網(wǎng)絡(luò)架構(gòu)中的生成器訓(xùn)練完畢，對(duì)于任何的圖像輸入都可以高效的生成帶有擾動(dòng)的對(duì)抗樣本。該方法生成的對(duì)抗樣本更加自然真實(shí)且有極高的攻擊成功率且能夠同時(shí)應(yīng)用于白盒攻擊和黑盒攻擊，但是這種方法針對(duì)每一個(gè)原始樣本只能生成一個(gè)對(duì)抗樣本，大大限制了對(duì)抗樣本的數(shù)量，導(dǎo)致對(duì)抗樣本缺乏多樣性，揭錯(cuò)能力不足。

發(fā)明內(nèi)容

為解決上述問題，本發(fā)明提供一種圖像對(duì)抗樣本生成方法，用于解決現(xiàn)有利用生成對(duì)抗網(wǎng)絡(luò)法生成圖像對(duì)抗樣本時(shí)數(shù)量受限、樣本多樣性差、揭錯(cuò)能力不足的問題。

本發(fā)明的技術(shù)方案如下：

(1)訓(xùn)練雙生成器的生成對(duì)抗網(wǎng)絡(luò)模型；

具體實(shí)施過程為：

首先輸入原始樣本類型、攻擊樣本類型和擾動(dòng)系數(shù)；

判斷樣本生成器G1(以下稱G1)是否已經(jīng)訓(xùn)練完畢，若G1沒被訓(xùn)練過(不可用)，則使用原始樣本訓(xùn)練G1；

具體地，G1的作用是生成符合原始樣本類型的數(shù)據(jù)樣本，其中G1的輸入是高維隨機(jī)噪音數(shù)據(jù)和原始樣本類型，輸出是符合原始樣本類型的圖像，將G1的輸出作為輸入，輸入到判別器D，判別器D的作用是驗(yàn)證G1的輸出是否與源數(shù)據(jù)集一致,以保證G1的輸出能夠以假亂真，當(dāng)判別器D的輸出接近納什均衡，G1訓(xùn)練完畢；

若G1已被訓(xùn)練(可用)，則將G1生成的圖像數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，訓(xùn)練一個(gè)攻擊樣本類型所對(duì)應(yīng)的擾動(dòng)生成器G2(以下稱G2)，G2通過對(duì)目標(biāo)模型的黑盒查詢?cè)L問，得到由數(shù)據(jù)圖像計(jì)算所得的、符合攻擊樣本類型的擾動(dòng)；

(2)生成目標(biāo)對(duì)抗樣本

輸入原始類別、目標(biāo)攻擊類別和要生成的樣本數(shù)量；

將原始類別和隨機(jī)生成的高維噪音輸入G1，生成與所需樣本數(shù)量一致的原始樣本；

將原始樣本和目標(biāo)攻擊類別輸入G2,生成所對(duì)應(yīng)的擾動(dòng)；

將擾動(dòng)規(guī)格化，使其范圍在擾動(dòng)系數(shù)范圍之內(nèi)(±擾動(dòng)系數(shù))；

然后將圖像數(shù)據(jù)與擾動(dòng)相加，得到對(duì)抗樣本；