本發明公開了一種基于條件標準流模型的黑盒對抗樣本生成方法，首先使用白盒攻擊方法生成原始圖像對應的對抗樣本，得到訓練數據集，構建包括卷積神經網絡和條件GLOW模型的條件標準流模型，其中卷積神經網絡對原始樣本提取圖像特征作為條件變量，條件GLOW模型根據條件變量以及原始圖像對應的對抗樣本編碼得到對應的隱空間表示；使用訓練數據集對條件標準流模型進行訓練，得到訓練樣本集隱空間表示的分布，然后以干凈圖像提取到的特征作為條件變量對隱空間表示的分布進行采樣得到對抗樣本輸出，再進行裁剪后得到最終的對抗樣本。本發明解決了黑盒攻擊場景下，查詢次數大、計算資源和時間消耗極其嚴重、不能批量生成對抗樣本等問題。

技術領域

本發明屬于人工智能技術領域，更為具體地講，涉及一種基于條件標準流模型的黑盒對抗樣本生成方法。

背景技術

隨著人工智能的快速發展，深度神經網絡被廣泛地應用于各個領域(例如：計算機視覺、自然語言處理、自動駕駛、信息安全等)，取得了巨大的成功。深度神經網絡的廣泛應用使得深度神經網絡自身的安全性日益受到關注。目前已經有研究者提出針對深度神經網絡的對抗攻擊方法，即：針對識別對象添加惡意的擾動，這些細微的擾動雖然人的視覺或聽覺無法感知，但足以欺騙深度神經網絡，使正常訓練的模型輸出置信度很高的錯誤預測結果，從而導致深度神經網絡識別錯誤。這樣的攻擊，對于深度學習模型帶來了巨大的威脅。

關于深度神經網絡安全研究工作剛剛起步，雖然已經有了前人的前期探索工作，但還有一些地方有待深入研究。主要表現在：1)現在的大部分對抗攻擊方法都是基于目標模型梯度的白盒攻擊，而白盒攻擊方法在現實世界中很難實現；2)盡管有一些黑盒攻擊方法被提出，它們往往也是基于對抗樣本的可轉移性或者是對目標模型的梯度估計，而另外一類基于查詢的黑盒攻擊方法則需要對目標模型(系統)進行大量的查詢和迭代優化操作來獲取對抗樣本，這需要大量計算資源和時間消耗；3)雖然基于查詢的黑盒攻擊方法在物理世界中可以實現，但仍面臨在大量查詢期間被目標系統所感知的風險，且不能快速、批量的生成對抗樣本。

發明內容

本發明的目的在于克服現有技術的不足，提供一種基于條件標準流模型的黑盒對抗樣本生成方法，設計了新的條件標準流模型，解決了黑盒攻擊場景下，查詢次數大、計算資源和時間消耗極其嚴重、不能批量生成對抗樣本等問題，為人工智能安全性、魯棒性研究提供一種快速、高效生成對抗樣本的方法。

為了實現上述發明目的，本發明基于條件標準流模型的黑盒對抗樣本生成方法包括以下步驟：

S1：根據實際需要獲取若干圖像以及對應標簽，并將各圖像歸一化至預設尺寸作為原始樣本，從而得到原始樣本集合X；

采用收集到的原始樣本集X對目標攻擊模型進行訓練，然后使用白盒攻擊方法獲取原始樣本圖像集X中每幅樣本圖像x的對抗樣本x′，得到對抗樣本集合X′；

最終，將原始樣本集合X與對抗樣本集合X′作為條件標準流模型的訓練數據集；

S2：構建條件標準流模型，包括卷積神經網絡和條件GLOW模型，其中：

卷積神經網絡用于對輸入圖像提取圖像特征，將得到的特征作為條件變量輸入條件GLOW模型；

條件GLOW模型用于根據卷積神經網絡的條件變量對輸入圖像的對抗樣本進行編碼，得到對應的隱空間表示；條件GLOW模型由L-1個流組件、squeeze層和K個流塊堆疊構成，其中流組件由一個squeeze層、K個流塊以及一個split層堆疊構成，L和K的值根據需要確定；流塊為條件流塊，包括Actnorm層、1×1卷積層和仿射耦合層，其中：

Actnorm層用于對輸入的特征進行激活標準化，將得到的特征輸入1×1卷積層；

1×1卷積層用于對輸入的特征進行1×1卷積處理，將得到的特征輸入仿射耦合層；