[發明專利]一種可遷移黑盒對抗攻擊樣本生成方法、系統及電子設備有效
| 申請號: | 202211518012.4 | 申請日: | 2022-11-30 |
| 公開(公告)號: | CN115544499B | 公開(公告)日: | 2023-04-07 |
| 發明(設計)人: | 王中元;方硯;程季康;王騫;邵振峰;鄒勤 | 申請(專利權)人: | 武漢大學 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55;G06F21/56;G06N3/0475 |
| 代理公司: | 武漢科皓知識產權代理事務所(特殊普通合伙) 42222 | 代理人: | 肖明洲 |
| 地址: | 430072 湖北省武*** | 國省代碼: | 湖北;42 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 遷移 黑盒 對抗 攻擊 樣本 生成 方法 系統 電子設備 | ||
1.一種可遷移黑盒對抗攻擊樣本生成方法,其特征在于,包括以下步驟:
步驟1:對給定的圖像,采用白盒替代模型進行攻擊,預測下一步更新的對抗攻擊樣本,在預測得到的對抗攻擊樣本的鄰域內進行采樣,并計算受攻擊的白盒替代模型的損失函數在采樣點和預測的對抗攻擊樣本點的梯度的之和;
步驟1的具體實現包括以下子步驟:
步驟1.1:選擇一種深度學習模型作為白盒替代模型進行攻擊,對于一個作為圖像識別深度神經網絡輸入的任意尺寸的圖像x,設定對抗攻擊樣本更新迭代過程的起點為xadv=x,其中xaav為當前的對抗攻擊樣本;設定超前預測迭代過程的起點為xpred=xadv,其中xpred為當前預測的對抗攻擊樣本;初始化累加的梯度gacc=0;
計算白盒替代模型損失函數在當前預測樣本處的梯度,并累加:
gacc=gacc+gpred;
其中gpred是計算得到用于預測的梯度,J()為白盒替代模型的損失函數,x為輸入的圖像,y為原輸入的標簽,θ為白盒替代模型的參數,表示損失函數J在當前預測的對抗樣本點xpred處的梯度;
步驟1.2:根據計算得到的梯度,使用快速梯度符號法預測下一步更新的對抗攻擊樣本:
xpred=xpred+γ*α*sign(gpred);
其中α=∈/T為每次更新對抗樣本的步長,γ為描述預測步長相對于更新步長倍數的一個預設參數,∈為加入擾動的L∞范數,用于限制對抗攻擊樣本與原圖的差異,T為預設的對抗攻擊樣本更新迭代次數,sign()為符號函數;
步驟1.3:在預測點的鄰域內進行采樣,并計算白盒替代模型損失函數在采樣點的梯度,并與預測對抗樣本點的梯度進行累計求和:
xi=xpred+ri;
ri∈U[-(β∈)d,(β∈)d];
其中,i代表在該預測樣本鄰域的第i次采樣,ri是采樣點與預測樣本的差距,U為均勻分布,β為一個用于規定鄰域半徑大小的預設參數,d為輸入樣本的維度;
步驟1.4:根據一個預設的采樣次數Nj重復步驟1.3進行Nj次采樣與梯度累加,Nj表示在第j步超前預測的對抗攻擊樣本鄰域內采樣的次數;
步驟2:循環執行步驟1,使對抗攻擊樣本更新路徑的預測進行更多步,直到達到預設的超前預測步數,累加每一輪循環得到的梯度和;
步驟3:使用步驟2中得到的累計梯度更新對抗攻擊樣本;
步驟4:循環執行步驟1-步驟3,直到對抗攻擊樣本的更新次數達到預設的迭代次數,使用得到的對抗攻擊樣本攻擊目標黑盒模型。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于武漢大學,未經武漢大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211518012.4/1.html,轉載請聲明來源鉆瓜專利網。
