本發明公開了一種基于神經網絡模型的自適應黑盒對抗攻擊方法，屬于對抗攻擊領域。本發明包括：選取適應性分布并初始化其參數；在適應性分布中采樣，并根據采樣結果構造對抗樣本；將對抗樣本輸入神經網絡模型中，獲取與該對抗樣本對應的預測類別，并判斷是否攻擊成功，若失敗，則計算對抗樣本的對抗損失，并計算適應性分布下對抗損失的數學期望對適應性分布參數的梯度，并利用其更新適應性分布的參數，然后重新采樣，若成功，則判斷對抗樣本對神經網絡模型進行攻擊的次數是否在規定次數范圍內，若在，則攻擊有效，否則，攻擊無效。

技術領域

本發明涉及對抗攻擊領域，尤其涉及一種基于神經網絡模型的自適應黑盒對抗攻擊方法。

背景技術

近年來，深度學習的快速發展使得深度神經網絡模型在多種視覺識別任務上都取得了顯著的成果，比如圖像分類、目標檢測和語義分割等。但在對抗攻擊領域中的研究表明，通過向圖片中的部分像素添加微小的擾動，就能讓強大的神經網絡模型產生錯誤的預測結果，這樣的圖片被稱作對抗樣本。對抗樣本的存在嚴重限制了深度學習技術的應用。根據攻擊者對目標模型的了解程度，現有的對抗攻擊方法可分為如下兩類：

1)白盒攻擊方法：白盒攻擊方法假設攻擊者能夠獲取到目標模型的全部信息，包括模型結構、模型參數和訓練數據等。在白盒攻擊情景下，攻擊者可在目標模型上執行反向傳播并利用獲得的梯度信息生成對抗樣本。較有代表性的白盒攻擊方法包括FGSM、JSMA和CW等。

2)黑盒攻擊方法：黑盒攻擊方法假設攻擊者不能獲取到目標模型的內部信息，僅能向目標模型發起有限次查詢并得到相應的查詢結果。由于黑盒攻擊情景下攻擊者無法獲取模型梯度信息，因此黑盒攻擊方法一般借助對抗樣本的遷移性、梯度估計或無梯度優化算法實現。

由于自動駕駛系統需要以多種視覺識別任務為支撐，而這些視覺識別任務通常采用深度學習技術實現，因此自動駕駛系統也容易受到對抗樣本的攻擊。自動駕駛系統作為一種安全關鍵應用，其對健壯性和可靠性的要求十分嚴格，這意味著研究針對自動駕駛系統的對抗攻擊方法有著極為重要的應用價值。現有的針對自動駕駛系統的攻擊方法主要關注白盒攻擊情景，其假設攻擊者了解目標模型的結構和參數，然而實際上這些模型內部信息往往無從獲取。

發明內容

本發明的目的是提供一種基于神經網絡模型的自適應黑盒對抗攻擊方法，能夠在未知目標模型實現細節的條件下完成對抗攻擊。

本發明解決其技術問題，采用的技術方案是：基于神經網絡模型的自適應黑盒對抗攻擊方法，包括如下步驟：

步驟1、選取適應性分布并初始化其參數；

步驟2、在適應性分布中采樣，并根據采樣結果構造對抗樣本；

步驟3、將所述對抗樣本輸入神經網絡模型中，獲取與該對抗樣本對應的預測類別，并判斷是否攻擊成功，若攻擊失敗，則進入步驟4，若攻擊成功，則判斷對抗樣本對神經網絡模型進行攻擊的次數是否在規定次數范圍內，若在，則攻擊有效，否則，攻擊無效；

對于無目標攻擊，攻擊成功是指對抗樣本的預測類別與原圖片所屬類別不同，對于有目標攻擊，攻擊成功是指對抗樣本的預測類別為預先指定的目標類別；

步驟4、計算所述對抗樣本的對抗損失，并計算適應性分布下對抗損失的數學期望對適應性分布參數的梯度，并利用其更新適應性分布的參數，然后返回步驟2。

進一步的是，步驟1具體包括如下步驟：

步驟101、選取一種帶有可學習參數的二維連續型概率分布作為適應性分布；

步驟102、為適應性分布的參數設置合適的初始值，使采樣結果能夠處于合理的區間內。

進一步的是，步驟101中，所述二維連續型概率分布包括二維獨立正態分布和二維獨立拉普拉斯分布；所述二維獨立正態分布的概率密度函數為：