本發明提供了基于分離正負擾動生成對抗圖像機器識別的方法，包括：步驟1，計算在L_∞距離的限定下，圖像像素的修改范圍；步驟2，在原始圖像像素的基礎上，結合步驟1中確定的擾動限制，構建搜素算法來搜尋合適的擾動；步驟3，引入正負擾動來簡化擾動的限制，并修改優化的損失，采取梯度下降的方法搜尋目標擾動；步驟4，固定網絡的參數，只迭代地訓練修改正負擾動；步驟5，為了滿足以上限制，避免直接優化正負擾動的困難，引入無限制的變量z來代替正負擾動；步驟6，得到圖片對應的輸入擾動和對抗樣本；步驟7，將生成的對抗樣本作為要識別的圖片驗證碼。

技術領域

本發明涉及一種基于分離正負擾動攻擊圖像分類網絡，生成難以被主流深度學習方法有效識別的對抗樣本。并結合圖片驗證碼等實際應用，進一步提出了基于分離正負擾動生成對抗圖像機器識別的方法。

背景技術

近年來，深度學習模型在圖像，文字和語音上都比傳統方法有著巨大的提升，這一系列方法不僅僅只在研究實驗中獲得了最好的結果，也在實際應用中展現出良好的可用性。然而，最近有研究標明，將網絡模型正確分類的圖像樣本添加上某些特定的噪聲會使得分類模型判斷出錯，但是偽造的樣本不影響人的判斷。將這些成功攻擊網絡模型的樣本稱為對抗樣本。這在國內外得到了廣泛的研究。研究高效產生對抗樣本的方法有利于對于研究如何防御攻擊神經網絡受到惡意攻擊的研究。

首先，在Goodfellow等人提出的FGSM方法提出并高效生成了對抗樣本。對抗樣本的簡單描述為，對于圖片分類網絡而言，在原始的圖片上人為的添加不被察覺的擾動，即添加的擾動并不會使人對于分類該圖片產生錯誤的判斷，但是對于已經訓練良好的分類網絡而言，卻無法作出正確地判斷。在后續的研究中也提出了多種基于不同評價擾動限制的方法，如CW，PGD等方法。因為無法精確的描述人的感官差異，有基于不同評價擾動的方法，大體可以分為基于L₀，L₁和L_∞距離的擾動方案，這三種距離用來衡量擾動大小。不同限制下的擾動方案無法簡單地做比較。基于L_∞限制下存在以下不足，第一，無法簡單地在此限制下優化對應的擾動。許多方法都采取截斷的方式來滿足此條件。這會導致優化不夠平滑出現梯度消失的問題。第二，采用迭代地方法來逼近最優解時，往往會陷入局部極小值，在優化過程中難以避免該方法的出現。

并且，針對不同的模型，對抗樣本往往表現出良好的可遷移性。即在模型A生成的且有效的對抗樣本，攻擊模型B也會有大概率攻擊成功。這極大地威脅了深度神經模型在現實中的應用。

發明內容

發明目的：其一，當前對于神經網絡模型的解釋還很不完善，但是有許多基于此的實際應用，涉及到許多的領域，如金融，軍事，醫療等。亟需要一種手段來評估或者發現網絡模型的缺點，研究其抗惡意攻擊的能力。其二，有效攻擊分類網絡模型是有正面意義的，如圖片驗證碼，可以確保圖片人所識別，防止被機器自動識別。這對于需要具體人的行動來實施的操作是至關重要的，防止被機器自動替代。其三，針對現有生成對抗樣本技術的問題，本發明提供了基于分離正負擾動生成對抗圖像機器識別的方法，包括以下步驟：

步驟1，確定生成的對抗樣本所滿足的L_∞距離限制；

步驟2，依據L_∞距離，計算每個圖像像素值的正、負擾動的范圍限制；

步驟3，通過變量替換，對正、負擾動進行替換；

步驟4，將優化目標函數取反，直接利用梯度下降法迭代優化z_n和z_p；

步驟5，當達到訓練輪數或下降穩定時，停止訓練；

步驟6，總體擾動為正負擾動p_n和p_p的相加，對抗樣本為總體擾動和原始圖像的相加；