本發明涉及人工智能安全領域，且公開了一種聲紋識別對抗樣本生成方法，通過集成多個已有的聲紋識別模型來生成一個替代模型，來代替目標黑盒聲紋識別模型，通過攻擊替代模型生成對抗樣本，進而對目標黑盒模型產生攻擊效果，以此客服黑盒模型無法獲取模型信息這一難點，改善攻擊成功率低的問題；在生成對抗樣本的方式上，采用了基于Nesterov加速梯度法的生成方法，能夠更快的找到攻擊效果更好的對抗樣本；生成對抗樣本的過程中，對目標黑盒模型進行少量(個位數)次數的查詢，來修正對抗樣本的生成方向，這樣能夠提高攻擊的成功率。

技術領域

本發明涉及人工智能安全領域，具體為一種聲紋識別對抗樣本生成方法。

背景技術

聲紋識別，也被稱為說話人識別，是身份識別領域的重要分支，聲紋識別任務是通過來自說話人的語音音頻識別說話人身份的任務。近年，深度神經網絡(Deep NeuralNetworks,DNNs)為首的人工智能技術已經十分成熟，包括人臉識別、指紋識別、虹膜識別以及聲紋識別等身份識別方式的識別成功率都能夠達到90％以上，并且可以有效的、便捷的商業化落地實現。并且由于音頻相比于人臉、指紋、虹膜更以獲取和傳遞，所以聲紋識別系統在遠程身份認證、語音操控聲紋鎖以及案件嫌疑人甄別等領域應用越來越廣泛。因此，聲紋識別系統的安全性是十分重要的。

針對基于深度神經網絡的聲紋識別系統的攻擊通常包括以下幾種。1.偷取模型，黑客通過各種先進手段，將部署在服務器中的模型文件竊取。2.數據投毒，針對深度學習的數據投毒主要是指向深度學習的訓練樣本中加入異常數據，導致模型在遇到某些條件時候會產生分類錯誤，比如后門攻擊算法就是在中毒數據中添加一個后門標記，使得模型中毒。3.對抗樣本，對抗樣本是指在數據集中通過故意添加細微的干擾所形成的輸入樣本，這種樣本導致模型以高置信度給出一個錯誤的輸出。簡單的講，對抗樣本通過在元素數據上疊加精心構造的人類難以察覺的擾動，使深度學習模型產生分類錯誤。其中對抗樣本是所需代價最小的攻擊手段。

對抗樣本的攻擊場景可以分為三類：了解詳細模型信息的白盒下的對抗攻擊、了解少量模型信息(如輸出的各個類別的置信度分數)的灰盒下的對抗攻擊和不了解模型信息的黑盒下的對抗攻擊。白盒下和灰盒下的對抗攻擊受限于目標模型的信息，在大多數真實世界的場景中都不可用，黑盒下的對抗攻擊技術雖然更具有現實意義，但目前還不成熟，攻擊成功率較低，生成的對抗樣本也很容易被察覺到添加了擾動。所以提高黑盒下的對抗樣本的攻擊效率和隱蔽性，降低生成對抗樣本的成本是重要且具有挑戰性的。

目前的一些解決方案，例如專利《一種基于邊界攻擊的聲紋識別對抗樣本生成方法》提出的方法，不需要獲得目標模型的信息，選擇一個初始的樣本點，循環迭代下面的步驟：加入標準高斯分布中的隨機擾動；然后再加入一個能夠使對抗樣本接近原始樣本的擾動。循環的過程中調整加入擾動的超參數，最終得到一個對抗樣本。該方法的優勢在于是完全黑盒下的對抗攻擊。

論文《Black-box Attacks on Spoofing Countermeasures UsingTransferability of Adversarial Examples》提出了一種依次攻擊多個聲紋識別模型來生成對抗樣本的方法，通過白盒下對多個模型的攻擊，生成一種能夠攻擊目標黑盒模型的方法，該方法完全不需要與目標模型進行交互。

專利CN113571067A提出一種基于規則的文本生成方法，該方法不利用模型的內部結構，只是在可能存在對抗樣本的空間里搜索，這樣生成的對抗樣本擾動會比較大，最重要的是這種方法需要不斷的訪問目標模型，很容易被目標模型的多次訪問檢測機制防御，這一方法不易應用到現實世界中。論文《Black-box Attacks on Spoofing CountermeasuresUsing Transferability of Adversarial Examples》一種依次攻擊多個聲紋識別模型來生成對抗樣本的方法，這種依次攻擊收集到的白盒模型進而遷移攻擊到目標模型的方式是可行的，但是其完全拋棄了目標模型的作用，并且其攻擊白盒模型的方式(MI-FGSM)比較古老了，攻擊效率并不是很高，最終導致其攻擊成功率并不是非常高。