[发明专利]一种基于权重谱生成对抗样本的点攻击方法

权利要求书

1.一种基于权重谱生成对抗样本的点攻击方法，步骤如下：

S1、区分包含奇异点的对抗样本；

S2、设计基于点的攻击方法生成具有抗感知能力以及抗检测性能的对抗样本，新生成的对抗样本需要满足：不可被人眼感知同时被现有的检测方法检测为正常样本；

步骤S2具体步骤如下：

S2.1、设计优化函数来提高抗检测性能；

S2.1.1、使用L₁范数控制攻击干净图像整体的篡改程度；

loss₁＝L₁(x,x') (1)

其中：loss₁表示损失函数，L₁表示L1正则，x表示原始样本，x'表示对抗样本；

S2.1.2、引入下列约束防止奇异点的产生：

其中min表示最小化，P'_i,j表示生成对抗样本在位置(i，j)处的值，Ω表示图像的像素集，P_i,j表示原始样本在(i，j)处的值，P_i-1,j，P_i,j+1，等表示示原始样本在(i，j)处四邻域的值；

S2.2、修改优化步骤以实现基于点的攻击：

S2.2.1、计算原始样本的位置谱选择前k个点中最大的进行修改；表示损失函数的回传梯度；

S2.2.2、通过计算获得新样本，其中表示第i次至第i+1次迭代攻击中生成的中间状态的对抗样本，Δx_i表示新生成的扰动；

S2.2.3、通过生成当前的对抗样本，其中表示第i+1次迭代生成的对抗样本，表示位置谱，即生成对抗样本说需要攻击的点的位置，x表示原始样本；

S2.3、解决显著性谱存在的问题：

可分为权重图和值图，权重图和值图分别生成，其中位置图是的二值化谱图，G_i+1表示第i+1次更新中的网络权重参数，G_i+0.5表示中间状态；

S3、引入新的约束权衡篡改点的数量和篡改程度；

步骤S3具体步骤如下：

相较于稳定区域处，我们采用公司约束的形式对不稳定区域设置更多的篡改，

V表示值谱，即对于不同的位置修改值的大小，V具有与权重图相同的形状，并且可以控制不同位置的约束范围，β表示超参数，β用于控制整体优化区域，当β取正无穷大时，仅通过干扰一个像素点即可生成对抗样本；standard表示标准化取值范围；表示第i次迭代生成的权重谱；clip表示裁剪，用于约束生成图像的取值范围；

采用下述方式生成对抗性样本：

(1)固定像素点攻击

篡改固定个数的像素点从而对任何给定图像生成对抗样本；

(2)最小像素点攻击

采用以上方法设置生成对抗性样本，并将ε设置为0.2，Top_k中的k以自动递增的方式更改，如果攻击没有成功，则令k＝k+1；k^th迭代中的网络权重用作k+1^th迭代的初始值；

其中表示第k次epoch下第i+1次迭代生成的对抗样本，表示当前迭代工程中学习到的扰动，添加到第i次迭代生成的对抗样本中生成表示第k+1次epoch的初始状态，表示第k次epoch结束时的最终状态，G_k+1,0，G_k,N表示相似；

设置适当的步进值s，如果攻击没有成功，则k＝k+s。

2.如权利要求1所述的基于权重谱生成对抗样本的点攻击方法，其特征在于，步骤S1具体步骤如下：

S1.1、计算奇异点及其邻近点之间的平均距离作为评估指标，当评估值大于阈值γ时，该点及其邻近点之间的平均距离的评估值被看作是奇异值，通过下列优化函数获得γ，

其中max表示最大化，i表示对任意的值索引，Ω表示所有值的集合，sign表示sign函数，y_i表示i^th图像的评估索引，label_i为1或-1；

S1.2、选取包含所有可能区域中的奇异值的前K个块生成对抗样本篡改的备选区域，其中K基于已知攻击点的个数进行选取；

S1.3、使用数据集训练的通用二进制分类网络对提取的块进行分类，从而获得准确性。