[发明专利]一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法

说明书

本发明公开了一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法，包括：使用白盒攻击构造EEG脑机信号的白盒对抗样本，使用灰盒攻击构造EEG脑机信号的灰盒对抗样本，使用黑盒攻击构造EEG脑机信号的黑盒对抗样本；分别使用EEG脑机信号的白盒对抗样本、灰盒对抗样本、黑盒对抗样本攻击EEG脑机接口的卷积神经网络。本发明针对不同的攻击情形提供了三种的攻击方法，三种攻击方式都不需要提前知道EEG脑电样本的真值标签，更加适用于脑机接口的应用场景，弥补了脑机接口针对对抗样本缺乏安全性测试的空白，保证了其有效性与实用性，使得其能够成为一种较好的测试EEG脑机接口系统鲁棒性的方法。

技术领域

本发明属于脑机接口安全技术领域，更具体地，涉及一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法。

背景技术

脑机接口是一种人脑与外界(计算机或其他外部装置)直接进行通信的系统。而脑电图(electroencephalogram，EEG)脑机接口系统是指通过脑电帽上的电极采集人大脑皮层的脑电信号，然后对脑电信号进行解析，从而判断出大脑的状态或意念，进而通过脑电信号控制外部设备的系统。卷积神经网络是深度学习中的一种基础模型，近年来被广泛应用于图像、语音、自然语言处理等多个领域。鉴于卷积神经网络不依赖于手工特征的特性以及在任务中展现出的较好性能，研究人员开发出了多种针对EEG脑机接口系统的卷积神经网络模型，并且验证了其在多个任务中均具有良好的表现。

目前，卷积神经网络应用中遇到的主要挑战之一便是对抗样本的存在，即在原始样本上加上精心设计的微小噪声便可使得神经网络结果产生巨大的变化，这极大限制了卷积神经网络的应用。所以，使用更加具有威胁性的对抗攻击方式(即产生对抗样本的方法)攻击卷积神经网络模型从而测试模型系统的鲁棒性便显得尤其重要。C.Szegedy等人提出了一种基于优化的对抗攻击方法，通过将原始样本与对抗样本的距离以及模型输出正确的误差作为目标函数进行最小化优化，从而找到使得模型输出错误的最小噪声扰动。其采取了优化的方式产生对抗样本，具有较高的攻击成功率，然而以此产生的对抗样本具有较弱的迁移性，即很难使得另一个不同的模型产生同样的分类错误，并且该攻击方法由于需要优化算法进行优化从而具有较低的效率，同时该方法在攻击过程中需要知道样本的真实标签，这在实际情况中很难满足。I.J.Goodfellow等人提出了一种基于误差梯度的对抗攻击方法，在对卷积神经网络模型的误差函数进行一阶近似的情况下，通过沿着误差梯度的符号方向对输入样本进行微小的扰动，使得模型输出结果发生巨大变化。其攻击效率极高，然而也需要原始标签的支持从而使得不能较好应用于实际情形。N.Papernot等人提出了一种黑盒攻击的方法，即在模型结构参数未知的情况下通过训练一个替代模型来产生对抗样本从而对原始模型进行攻击。其能够进行黑盒攻击，然而该方法并没有针对EEG脑机接口进行特性化设计，从而不能很好的应用于EEG脑机接口系统中。

发明内容

针对现有技术的缺陷，本发明的目的在于解决当前EEG脑机接口系统中没有一个较好的攻击方法来测试不同情况下其内部的卷积神经网络鲁棒性的技术问题。

为实现上述目的，第一方面，本发明实施例提供了一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法，该方法包括以下步骤：

S1.使用白盒攻击构造EEG脑机信号的白盒对抗样本，使用灰盒攻击构造EEG脑机信号的灰盒对抗样本，使用黑盒攻击构造EEG脑机信号的黑盒对抗样本；

S2.分别使用EEG脑机信号的白盒对抗样本、灰盒对抗样本、黑盒对抗样本攻击EEG脑机接口的卷积神经网络。

具体地，所述使用白盒攻击构造EEG脑机信号的白盒对抗样本，包括以下子步骤：

(1)输入真值标签y未知的EEG脑机信号测试样本x；

(2)将测试样本x输入目标模型f中，得到测试样本x对应的预测标签y′＝f(x)；

(3)使用预测标签y′代替真值标签y；