[發明專利]基于神經網絡模型的自適應黑盒對抗攻擊方法在審
| 申請號: | 202010812915.8 | 申請日: | 2020-08-13 |
| 公開(公告)號: | CN111967006A | 公開(公告)日: | 2020-11-20 |
| 發明(設計)人: | 徐行;李思遠;肖金輝;沈復民;申恒濤 | 申請(專利權)人: | 成都考拉悠然科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06N3/04;G06N3/08 |
| 代理公司: | 成都弘毅天承知識產權代理有限公司 51230 | 代理人: | 馬林中 |
| 地址: | 610094 四川省成都市高*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 神經網絡 模型 自適應 黑盒 對抗 攻擊 方法 | ||
1.基于神經網絡模型的自適應黑盒對抗攻擊方法,其特征在于,包括如下步驟:
步驟1、選取適應性分布并初始化其參數;
步驟2、在適應性分布中采樣,并根據采樣結果構造對抗樣本;
步驟3、將所述對抗樣本輸入神經網絡模型中,獲取與該對抗樣本對應的預測類別,并判斷是否攻擊成功,若攻擊失敗,則進入步驟4,若攻擊成功,則判斷對抗樣本對神經網絡模型進行攻擊的次數是否在規定次數范圍內,若在,則攻擊有效,否則,攻擊無效;
對于無目標攻擊,攻擊成功是指對抗樣本的預測類別與原圖片所屬類別不同,對于有目標攻擊,攻擊成功是指對抗樣本的預測類別為預先指定的目標類別;
步驟4、計算所述對抗樣本的對抗損失,并計算適應性分布下對抗損失的數學期望對適應性分布參數的梯度,并利用其更新適應性分布的參數,然后返回步驟2。
2.根據權利要求1所述的基于神經網絡模型的自適應黑盒對抗攻擊方法,其特征在于,步驟1具體包括如下步驟:
步驟101、選取一種帶有可學習參數的二維連續型概率分布作為適應性分布;
步驟102、為適應性分布的參數設置合適的初始值,使采樣結果能夠處于合理的區間內。
3.根據權利要求2所述的基于神經網絡模型的自適應黑盒對抗攻擊方法,其特征在于,步驟101中,所述二維連續型概率分布包括二維獨立正態分布和二維獨立拉普拉斯分布;所述二維獨立正態分布的概率密度函數為:
其中,x,σ,下標i表示相應向量的第i個分量,x表示輸入變量,μ表示該分布的均值,且μ是可學習的,σ表示方差,且σ是固定的,μ設置的初始值為(0,0),σ設置的初始值為(0.5,0.5);
所述二維獨立拉普拉斯分布的概率密度函數為:
其中,x,σ′,μ′表示該分布的均值,且μ′是可學習的,σ′表示方差,且σ′是固定的,μ′設置的初始值為(0,0),σ′設置的初始值為(0.6,0.6)。
4.根據權利要求1所述的基于神經網絡模型的自適應黑盒對抗攻擊方法,其特征在于,步驟2中,所述適應性分布能夠為搜索空間中不同位置分配不同的采樣概率,使采樣結果更有可能取得較大的對抗損失;
步驟2具體包括如下步驟:
步驟201、建立二維直角坐標系,該坐標系中,以圖片的左上角作為原點,以圖片的上側邊所在直線向右作為橫軸的正半軸,以圖片的左側邊所在直線向下作為縱軸的正半軸;
步驟202、從適應性分布中采樣得到圖片上的某處位置,并將其轉換為像素坐標(w,h),其中,w為像素的橫坐標,h為像素的縱坐標,且w和h均為整數;
其中,所述采樣結果為(-1,1)區間內的浮點數,記采樣結果為l=(l1,l2),圖片的寬度和高度分別為W和H,則采樣結果通過如下公式轉換為像素的位置(w,h):
其中,l1表示采樣結果的橫坐標,l2表示采樣結果的縱坐標;
步驟203、在采樣位置上構造新的擾動rnew以生成對抗樣本
其中,所述新的擾動在上一輪迭代中擾動的基礎上構造,構造新的擾動時確保其幅值等于可允許的最大擾動幅值∈。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于成都考拉悠然科技有限公司,未經成都考拉悠然科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010812915.8/1.html,轉載請聲明來源鉆瓜專利網。
