[发明专利]一种基于权重谱生成对抗样本的点攻击方法

说明书

一种基于权重谱生成对抗样本的点攻击方法,属于计算机图像处理技术领域。技术方案：计算奇异点及其邻近点(4或8个点)之间的平均距离作为评估指标区分包含奇异点的对抗样本；设计优化函数来提高抗检测性能，修改优化步骤以实现基于点的攻击，解决显著性谱存在的问题,最终实现设计新的基于点的攻击方法生成抗感知能力以及抗检测性能较好的对抗样本；选择直接对不稳定区域(权重较大的区域)设置更多的篡改，为方便权衡篡改点的数量、篡改程度以及攻击成功率引入新的约束。有益效果是:本发明用生成的权重谱决定需要篡改点的位置以及篡改程度，同时在指定篡改程度的前提下，可以采用固定点数或最少像素点攻击方法生成对抗样本。

技术领域

本发明属于计算机图像处理技术领域，尤其涉及一种基于权重谱生成对抗样本的点攻击方法。

背景技术

近年来，对抗样本的出现使得调查人员对深度学习的应用产生了质疑，尽管这种情况不仅存在于深度学习中。由于强大的学习能力，深度学习被广泛用于各个图像领域。某些领域与真实的物理场景相关，例如自动驾驶汽车。Szegedy等人指出，微小的干扰可能会导致分类错误。由于有限数量的训练集无法适应所有物理世界场景，因此对抗样本将始终存在。调查人员提出了许多方法来攻击先前的分类器生成对抗样本或防御对抗性样本。所有这些都将有助于研究人员近一步理解深度学习。但是，研究人员通常将重点放在攻击成功率上，而不是更好的抗检测和不可察觉的性能。

基于篡改点的数量，我们将类型分为全局图像攻击和局部图像攻击。单像素攻击使用差分进化技术来生成对抗性样本。新的对抗性样本是通过遗传突变和交叉继承产生的。该方法依赖于目标函数的弱选择能力。Papernot等人使用Jocabian函数构造显著图并逐步实现基于该图的攻击。但是这种方法不适合点攻击，并且不能很好地考虑多点的相关性。Goodfellow等人提出了通过篡改整个图像的快速梯度符号方法(FGSM)。

在这里，我们说明了几种产生对抗性样本的代表性方法。除了攻击分类器之外，这些方法的存在还可以提高深度学习的鲁棒性。FGSM仅采用一步更新即可生成对抗性样本。扰动是从反向传播获得的。kurakin等人将对抗性样本应用于现实世界。基本迭代方法(BIM)在每次迭代中裁剪像素值，并在多次迭代中生成对抗样本。szegedy等人指出，为特殊分类网络设计的精心制作的对抗性样本仍然可以推广到其他网络。这种可移植性意味着攻击者无需访问未知模型即可实现攻击目标，也称为黑盒攻击。

\tramer等人表明，在对抗训练过程中，FGSM在白盒攻击中的表现要优于黑盒攻击。因此，提出了将随机值添加到更新过程的RAND-FGSM。Liu等人提出了块攻击方法来生成对抗性样本。同样，sharif等人使用眼镜扰动来实施攻击。Carlini和Wagner显示，他们的攻击对大多数现有的对抗检测防御都是有效的。Papernot等人引入了Jacobian矩阵来构建显著性图。这样，他们可以逐渐更新对抗性样本。但是，该方法使用扩展的像素对搜索方法找到最佳值很费时。DeepFool采用较少的扰动来生成对抗性样本，并以迭代攻击的方式实现线性逼近。Dezfooli等人并非通过提取特殊的扰动来攻击一个图像，而是开发了可以同时攻击一组样本的通用扰动。尽管如此，毫无疑问，普遍的扰动需要修改原始图像更多的像素点以及单个像素点的程度。sarkar等人提出了UPSET和ANGRI网络来提高黑盒攻击的性能。他们旨在通过攻击多个分类网络来产生普遍的扰动。因此，这两种方法都需要在整体篡改程度和成功攻击率之间取得平衡。