本發明公開了一種基于注意力機制的可遷移的對抗樣本攻擊方法，該方法包括選擇一個本地替代網絡模型，并構建特征庫將原始圖片映射到特征空間中；采用基于動量累積的迭代快速梯度符號攻擊方法將原始圖片的特征遠離原始類別區域，同時使其靠近目標類別區域；將攻擊得到的對抗樣本輸入到黑盒分類模型中，誤導模型輸出目標類別。本發明通過利用三元組損失函數破壞被攻擊模型特征空間中信息豐富的、模型主要關注的區域，解決在復雜數據集的分類任務中現有攻擊方法存在的白盒目標攻擊成功率低以及黑盒目標遷移率低的問題，在兼顧白盒與黑盒場景的情況下有效地實現誤導分類模型。

技術領域

本發明屬于對抗攻擊技術領域，具體涉及一種基于注意力機制的可遷移的對抗樣本攻擊方法。

背景技術

隨著深度學習的飛速發展，使得研究人員能夠解決諸如圖像分類、分割等很多計算機視覺任務。然而，由于對抗樣本的出現，人們對于卷積神經網絡的缺點投入了更加廣泛的關注。對抗樣本指的是通過在原始輸入圖片上加入一些人眼無法感知的、細微的擾動，使得卷積神經網絡無法正確預測該圖片。目前生成對抗樣本的方法可通過攻擊的目標或者期望分為非目標攻擊和目標攻擊，前者指的是攻擊者的目標僅僅是使得分類模型給出錯誤預測即可，而后者是攻擊方想要將預測結果改變為某些預先指定的目標標簽。其次，通過攻擊者對模型的了解程度可分為白盒攻擊和黑盒攻擊，在前者情況下攻擊者擁有被攻擊模型所有的信息，包括模型參數、結構等；而后者是攻擊者無法獲取模型的所有信息，僅僅能獲取模型對應輸入的預測結果。因此，對抗樣本的遷移性成為了黑盒攻擊的關鍵，遷移性指的是通過攻擊某類模型生成的對抗樣本可能能讓其他模型也預測錯誤。

一般來說，對抗攻擊通常是通過破壞分類模型的Softmax輸出空間來生成對抗樣本，由于這類方法的遷移性有限，后面越來越多研究提出了基于破壞模型特征空間的對抗攻擊，然而這類方法在復雜數據集分類任務中要么存在著白盒目標攻擊成功率低的問題，要么存在著黑盒目標遷移率低的問題。

發明內容

針對現有技術中的上述不足，本發明提供了一種基于注意力機制的可遷移的對抗樣本攻擊方法，通過利用三元組損失函數(Triplet Loss)破壞被攻擊模型特征空間中信息豐富的、模型主要關注的區域，解決在復雜數據集的分類任務中現有攻擊方法存在的白盒目標攻擊成功率低以及黑盒目標遷移率低的問題，在兼顧白盒與黑盒場景的情況下有效地實現誤導分類模型。

為了達到上述發明目的，本發明采用的技術方案為：

一種基于注意力機制的可遷移的對抗樣本攻擊方法，包括以下步驟：

S1、選擇一個本地替代網絡模型，并構建特征庫將原始圖片映射到特征空間中；

S2、采用基于動量累積的迭代快速梯度符號攻擊方法將原始圖片的特征遠離原始類別區域，同時使其靠近目標類別區域；

S3、將步驟S2攻擊得到的對抗樣本輸入到黑盒分類模型中，誤導模型輸出目標類別。

進一步地，所述步驟S1中選擇一個本地替代網絡模型具體為：

選擇一個用于圖片分類的本地替代網絡模型，選擇分類網絡的中間層作為淺層，選擇分類網絡的Softmax的前一層作為深層。

進一步地，所述步驟S1中構建特征庫將原始圖片映射到特征空間中具體為：

對本地替代網絡模型的驗證集中每個類別，分別在選擇的分類網絡的淺層和深層中計算所有被本地替代網絡模型分類成功的圖片的質心，構建不同層的特征庫。

進一步地，所述計算所有被本地替代網絡模型分類成功的圖片的質心的計算公式為：