雙極網絡腐蝕增強對抗樣本遷移性的方法，涉及計算機視覺的技術領域。本發明對源深度網絡的內部參數進行實時的雙級腐蝕，使得信息流的前后傳播發生改變，并生成多個具有相似決策邊界的虛擬模型；然后在迭代過程中通過縱向集成的方法將各個虛擬模型進行融合，以緩解迭代攻擊的過擬合問題，從而使生成的對抗樣本更具有遷移性能。本發明對網絡模型進行雙級腐蝕，實驗結果表明能大大提升所得對抗樣本的遷移性。通過提升對抗樣本圖像跨模型遷移攻擊能力，顯著提升了對抗樣本的黑盒攻擊成功率。

技術領域

本發明涉及計算機視覺的技術領域，尤其涉及雙極網絡腐蝕增強對抗樣本遷移性方法的技術領域。

背景技術

深度神經網絡(DNNs)在視覺任務領域表現出驚人的準確性。然而，人們發現DNNs容易受到對抗樣本的影響，對抗樣本是指添加了不易察覺的對抗噪聲的輸入樣本，能夠使得DNNs得到錯誤預測結果。

對抗樣本可以由白盒或黑盒攻擊方式生成。由于現實中目標模型的內部信息通常是不可訪問的，因此研究黑盒攻擊更具有現實意義。黑盒攻擊方法主要有兩種:基于查詢的方法和基于對抗樣本遷移性的方法。基于查詢的方法由于需要大量的查詢，這在實際應用中是不切實際的。研究發現對抗樣本具有遷移性，即白盒攻擊一個深度模型生成的對抗樣本可以成功地攻擊其他未知的模型，這種遷移性可以用來實現黑盒攻擊。

生成對抗樣本按攻擊迭代數可分為單步法和多步迭代法，通常迭代方法比單步方法能得到更強的對抗樣本，但迭代方法得到的對抗樣本容易過擬合到所攻擊的白盒模型，導致對抗樣本擴模型遷移性低。許多技術被提出來提高對抗樣本的遷移性，如動量法(Momentum Iterative Fast Gradient Sign Method(MI))、多樣化輸入法(Diverse Input(DI))和平移不變法(Translation-Invariant Method(TI))，這些方法都不考慮模型的內部結構特征，通過優化攻擊算法或輸入變換來提高對抗樣本轉移性。基于模型集成的方法也是提高對抗樣本轉移性的重要手段，但計算成本較高。Ghost Networks(GN)研究了改變網絡內部結構和參數提升對抗樣本遷移性，提出了通過網絡腐蝕增強對抗樣本遷移性的方法，并對生成的虛擬模型采用縱向集成，這可以在不犧牲計算效率的情況下提高對抗樣本的遷移性。然而，由Ghost Networks采用的是單級腐蝕方法，生成的對抗樣本表現相對較弱的遷移性能提升，并且沒有對腐蝕度進行定量分析，而如何設置網絡參數的腐蝕度是極為重要的。

發明內容

本發明提供了一種雙極網絡腐蝕增強對抗樣本遷移性的方法，改進了網絡腐蝕方法，并且對網絡腐蝕度進行了實驗分析，大大提升了對抗樣本的遷移性。通過提升計算機視覺領域對抗樣本圖像跨模型遷移攻擊能力的方法，顯著提升對抗樣本的黑盒攻擊成功率。

雙極網絡腐蝕增強對抗樣本遷移性的方法，對源深度網絡的內部參數進行實時的雙級腐蝕，使得信息流的前后傳播發生改變，每迭代步均對原模型參數進行腐蝕，得到多個與原模型參數具有一定差異但保持相似決策邊界的虛擬模型，即模型分類結果準確率保持相似；然后在迭代過程中通過縱向集成的方法將各個虛擬模型進行融合，即每迭代步均計算虛擬模型而不是原模型的分類結果與目標標簽的交叉熵損失函數值，可以緩解迭代攻擊的過擬合問題，從而使生成的對抗樣本具有遷移性能。

對源深度網絡的內部參數進行實時的雙級腐蝕，具體過程為：

1.1.對于經過預訓練的非殘差網絡，為了使得網絡參數更加多樣化，所提的雙級網絡腐蝕方法對基礎網絡的每一層應用dropout和均勻分布腐蝕；令z_l表示第l層的輸入，f_l表示滿足z_l+1＝f_l(z_l)映射關系的函數，經過雙級腐蝕，第l層的輸出表示為