本發明屬于計算機軟件領域，公開了一種基于遷移性的圖像對抗樣本生成裝置及方法，針對上述黑盒攻擊需要大量問詢，或者遷移性不高的問題，實現在少量問詢的條件下，提高了對抗樣本的攻擊成功率。主要方案為1)輸入正常圖像樣本；2)圖像樣本經過自編碼器處理得到降維后的數據D；3)依次傳入經過篩選的本地圖像分類器中并使用PGD對抗樣本生成算法得到不同的擾動r_i；4)根據權重系數將這些擾動線性集成得到最終的擾動f(D)；5)將降維后的數據D添加上擾動f(D)后經自編碼器解碼得到最終的對抗樣本。

技術領域

本發明屬于計算機軟件領域，具體為一種基于遷移性的對抗樣本生成框架及方法，能通過少量問詢目標模型提高一定的遷移性。

背景技術

近年來，深度的神經網絡在各方面已經得到了廣泛的應用，其在圖像識別上甚至可匹配人類的性能，例如圖片分類系統，人臉識別等，已經可以達到99％以上的識別率。然而，大多數研究者更關心模型的性能(如正確率)，卻忽略了模型的脆弱性和魯棒性。現有的模型很容易受到“對抗樣本”的攻擊，它可以使模型產生誤判，進而使攻擊者達到繞過模型檢測的目的，例如在圖像分類系統中，通過給原始圖像添加一個微小的擾動信息(所需的擾動可能很小，以至于肉眼無法區別)，就能夠以很高的概率達到改變圖像分類結果的目的，甚至能按照攻擊者的想法讓圖片被分類為一個任意指定的標簽(不是圖片的正確分類標簽)。

國外Szegedy等人通過給圖像添加肉眼難以分辨的擾動，使得最終模型無法得到正確的分類結果，進而提出了對抗樣本。現在方法主要分為白盒攻擊和黑盒攻擊，白盒攻擊需要目標模型的全部信息，包括參數，已經模型結構等，主要的方法有FGSM，PGD，BIM，CW等，白盒攻擊的優點是攻擊成功率高，但是在實際對抗樣本生成場景中往往不太能滿足白盒攻擊的要求。第二種為黑盒攻擊，指的是只需要知道部分模型的信息比如數據集，便可以進行攻擊，黑盒攻擊更有難度，但是需要的信息少，同時也更接近實際的攻擊場景。當前黑盒攻擊主要分為兩類，第一類基于梯度估計的方法，通過大量訪問目標模型來估計其梯度從而生成對抗樣本，該方法的缺點是需要大量的訪問目標模型，容易被攻擊者發現。第二類方法就是基于對抗樣的遷移性--即對一個模型攻擊成功的對抗樣本對其它模型也能攻擊成功，利用遷移性的攻擊方法不需要大量的問詢，但是攻擊成功率不高。

發明內容

針對上述黑盒攻擊需要大量問詢，或者遷移性不高的問題，實現在少量問詢的條件下，提高了對抗樣本的攻擊成功率。

為了達到上述目的，本發明采用如下技術方案：

一種基于遷移性的圖像對抗樣本生成裝置，包括以下模塊：

自編碼訓練模塊：利用圖像訓練數據集進行無監督訓練得到一個自編碼器；

圖像分類器訓練模塊：利用訓練好的自編碼器對圖像訓練數據集進行編碼降維，并使用降維后的數據訓練多個本地圖像分類器；

分類器權重系數更新模塊：利用本地圖像分類器生成的對抗樣本對目標模型進行攻擊，根據得到的結果動態更新本地圖像分類器權重；

分類器參數更新模塊：利用沒有攻擊成功的樣本對本地圖像分類器參數進行更新。

上述技術方案中，所述自編碼訓練模塊，采用稀疏性自編碼網絡，同時采用損失函數如下：

其中：