本發明涉及人工智能安全領域，具體是基于神經網絡中間層正則化的黑盒攻擊型防御系統，包括第一源模型、第二源模型和第三源模型；基于神經網絡中間層正則化的黑盒攻擊型防御方法，包括S1、將圖片輸入第一源模型進行白盒攻擊，輸出第一對抗樣本序列，S2、將第一對抗樣本序列輸入到第二源模型中，輸出第二對抗樣本序列，S3、將第二對抗樣本序列輸入到第三源模型中進行黑盒攻擊，輸出第三識別樣本序列，S4、將第三識別樣本序列輸入第三源模型進行對抗訓練，更新第三源模型；利用該算法生成的對抗樣本具有對目標模型高遷移性的特性，也可以有效的通過對抗訓練防御目標模型被攻擊。

技術領域

本發明涉及人工智能安全領域，具體是指基于神經網絡中間層正則化的黑盒攻擊型防御系統及方法。

背景技術

當對圖像信號添加微小擾動，被添加擾動的圖像信號輸入用于分類任務的卷積神經網絡時，會被該網絡識別錯誤，該技術應用廣泛，在車輛檢測系統中，通過對車牌號圖像進行微小擾動的方式欺騙車輛檢測系統，有助于提升車輛檢測系統魯棒性和穩健性；在人臉識別檢測系統中，通過對人臉圖像進行微小擾動的方式欺騙人臉識別檢測系統，有助于檢驗人臉識別網絡的魯棒性和安全性；在無人駕駛系統中，通過對路標圖像進行微小擾動的方式欺騙自動駕駛系統，有助于檢驗機器視覺中物體分類和目標檢測網絡的穩健性和安全性，隨著5G時代的到來，圖像視頻數據將成為主流網絡數據，神經網絡攻擊生成圖像對抗樣本技術，在網絡對抗領域扮演關鍵角色，對防御算法性能的提升有著重要作用。

現在比較常見的攻擊方式為黑盒攻擊和白盒攻擊，其中黑盒攻擊分為基于遷移性的訓練替代模型攻擊方式，以及基于決策的多次查詢估計梯度攻擊方式，二者在生成接近黑盒模型的替代模型后和估計接近黑盒模型梯度后，利用主流的白盒攻擊的方法來進行攻擊，前者在訓練替代模型時多數需要得知被攻擊模型的訓練數據集，以及輸入輸出等除模型內部參數以外的眾多信息，而這些信息特別是訓練數據集在實際應用中是很難得知的，或者是被限制獲取數量的，所以通過以上方式生成替代模型的方法在很多情況下是有所限制的，后者通過對對抗模型多次進行查詢輸入輸出并且估計梯度，當查詢次數足夠多時估計得到的梯度將接近對抗模型的真實梯度以獲得決策邊界，但是該方法的問題是當多次查詢帶來的計算復雜度，同時在限制查詢次數的黑盒模型中無法得到進展，從而嚴重影響了黑盒攻擊的效率。

發明內容

基于以上問題，本發明提供了基于神經網絡中間層正則化的黑盒攻擊型防御系統及方法，該攻擊算法不需生成替代模型，也無需獲取查詢黑盒模型的數據集及對應標簽，便可對黑盒模型進行攻擊，在圖像分類任務中，利用該算法生成的對抗樣本具有對目標模型高遷移性的特性，也可以有效的通過對抗訓練防御目標模型被攻擊。

為解決以上技術問題，本發明采用的技術方案如下：

基于神經網絡中間層正則化的黑盒攻擊型防御系統，包括

第一源模型，用于輸出第一對抗樣本序列；

第二源模型，用于輸出第二對抗樣本序列；

第三源模型，用于輸出第三識別樣本序列，并將第三識別樣本序列輸入第三源模型進行對抗訓練，更新第三源模型。

進一步，所述第一源模型和第二源模型采用以殘差模塊為基礎的ResNet網絡，第三源模型采用DenseNet網絡，所述第二源模型劃分不同的神經網絡結構層，所述第二源模型的每一層均加入正則化損失函數。

基于神經網絡中間層正則化的黑盒攻擊型防御方法，采用基于神經網絡中間層正則化的黑盒攻擊型防御系統，包括

S1、將圖片輸入第一源模型進行白盒攻擊，輸出第一對抗樣本序列；

S2、將第一對抗樣本序列輸入到第二源模型中，在第二源模型的每一層均利用正則化損失函數對第一對抗樣本序列進行攻擊，輸出第二對抗樣本序列；

S3、將第二對抗樣本序列輸入到第三源模型中進行黑盒攻擊，輸出第三識別樣本序列；