本發明公開了一種面向黑盒攻擊的替代模型自動選取方法、存儲介質及終端，屬于深度學習技術領域，方法包括：根據原始樣本屬性信息在神經網絡模型中選取替代模型，和/或，根據攻擊反饋信息更新當前使用替代模型。本發明根據與黑盒模型復雜度呈相關性的原始樣本屬性信息選取與當前黑盒模型匹配度高的替代模型，和/或通過攻擊反饋信息更新當前使用替代模型，以此保證選取或更新后的替代模型能夠發揮優異替代性能，產生的對抗樣本在黑盒攻擊中攻擊成功率高，利于推進當前神經網絡模型安全研究工作。

技術領域

本發明涉及深度學習技術領域，尤其涉及一種面向黑盒攻擊的替代模型自動選取方法、存儲介質及終端。

背景技術

近年來，深度學習模型在各個領域都得到了廣泛應用，雖然模型的精度越來越高，但也更加容易遭受惡意攻擊，其中對抗攻擊是最常見的攻擊方式，通過向原始樣本中添加人眼無法察覺的微小擾動，使目標模型輸出錯誤預測結果甚至攻擊者期望的預測結果。自從現有技術提出在輸入數據上添加微小擾動可以影響模型分類結果開始，眾多學者加入到模型對抗攻擊的研究中，隨之也誕生了許多攻擊算法。

通過對攻擊算法的研究，能夠有效提升神經網絡模型的防御力，即根據高攻擊成功率攻擊算法產生的對抗樣本對黑盒模型進行重新訓練，使黑盒模型能夠學習對抗樣本的特征進而提高其分類準確率，以此提升黑盒模型的防御力，保證神經網絡模型的安全性，基于此對于攻擊算法的研究就顯得很有必要。

根據攻擊者對于目標模型信息的了解，可以將對抗攻擊分為白盒攻擊和黑盒攻擊，在白盒攻擊中攻擊者可以獲取到目標模型所有相關信息。根據是否指定特定的攻擊目標，可以將對抗攻擊分為無目標攻擊和目標攻擊，未指定特定攻擊目標的對抗攻擊屬于無目標攻擊。在現實攻擊場景中，由于目標模型往往不會對外公布且大多輸出預測概率最大的類別結果，攻擊者難以獲取到目標模型的相關信息，因此，對于黑盒攻擊的研究具有重要的應用價值。然而在黑盒攻擊場景中，由于人為選取的替代模型替代作用差且當前攻擊算法產生的對抗樣本遷移性也較差，導致黑盒攻擊成功率低，不利于當前神經網絡模型安全研究工作的開展，因此，如何快速、準確選取能夠產生高攻擊力對抗樣本的替代模型是本領域亟需解決的問題。

發明內容

本發明的目的在于克服現有技術選取的替代模型產生的攻擊樣本的攻擊成功率低，不利于當前神經網絡模型安全研究工作的開展的問題，提供了一種面向黑盒攻擊的替代模型自動選取方法、存儲介質及終端。

本發明的目的是通過以下技術方案來實現的：一種面向黑盒攻擊的替代模型自動選取方法，所述方法包括：

根據原始樣本屬性信息在現有神經網絡模型中選取替代模型，和/或，

根據攻擊反饋信息更新當前使用替代模型。其中，替代模型即為與待攻擊目標模型分類性能近似的神經網絡模型。

在一示例中，所述選取替代模型步驟前還包括：

根據神經網絡模型的網絡復雜度信息、分類精確度信息劃分神經網絡模型的等級，神經網絡模型等級越高面對復雜樣本的分類精確度越高。

在一示例中，所述根據原始樣本屬性信息在神經網絡模型中選取替代模型包括：

根據原始樣本屬性信息計算原始樣本分數；

根據原始樣本分數確定對應等級的神經網絡模型進而確定替代模型。

在一示例中，所述根據原始樣本屬性信息計算原始樣本分數包括：

根據原始樣本不同屬性值對分類精準度的影響設置不同屬性的等級閾值，根據等級閾值對原始樣本對應屬性進行打分，進而獲取原始樣本的各屬性得分；

對原始樣本的各屬性得分進行權重計算得到原始樣本分數。

在一示例中，所述根據原始樣本分數確定對應等級的神經網絡模型進而確定替代模型包括：