[发明专利]一种基于训练集数据的对抗攻击方法

说明书

本发明公开了一种基于训练集数据的对抗攻击方法，步骤1、使用VOC2007图像数据集训练检测模型；步骤2、对训练集中图像进行筛选寻找单类别训练集图像Y；步骤3、使用图像集Y构建KD‑tree进行存储；步骤4、对要攻击的图片，首先通过KD‑tree查询在Y中和它距离最近的非同类别训练图像步骤5、构造初始径向噪声z^*；步骤6、构造扰动空间，并通过对扰动空间随机取样得到η；步骤7、调整图像检测框内的扰动量，根据η生成新的对抗样本x′；步骤8、对新的对抗样本x′进行查询；步骤9、重复步骤5、6，7、8直到攻击成功，得到最终对抗样本x′，并将对抗样本输入到目标模型中进行分类，得出分类结果F(x′)。本发明可以在最快速度下达到攻击效果，且产生的扰动也非常小。

技术领域

本发明涉及机器学习安全技术领域，尤其涉及一种面向深度图像识别系统的灰盒对抗决策攻击的方法。

背景技术

对于许多没有防御措施的深度学习模型被认为很容易受到对抗性攻击，向原图像增加小的扰动就可以恶意误导模型，使模型错分。研究者对设计不同的对抗性攻击方法来欺骗最先进的深度卷积网络做了大量研究。攻击大致可以分三类：①基于梯度的迭代攻击，比如FGSM、I-FGSM、VR-IGSM等一系列FGSM的变体；②基于优化的迭代攻击，比如CW(CarliniWagner)；③基于决策边界的攻击，比如boundary attack。

Tanay和Griffin提供了一种边界倾斜视角，对深度神经网络的对抗样本的存在进行了研究。他们认为，一般来说，当一个单类数据被抽样来学习和评估一个分类器时，存在一个类的子簇，当分类边界靠近这个子簇时，就存在这个类的对抗样本。他们将分类器的对抗性强度的概念形式化，并将其简化为考虑分类器边界与最近的质心分类器之间的偏差角。结果表明，分类器的对抗强度可以随决策边界的倾斜而变化。作者还认为分类器的对抗稳定性与正则化有关。在Tanay和Griffin的观点中，关于对抗样本存在的线性假设是无法令人信服的。

发明内容

本发明旨在提出一种基于训练集数据的对抗攻击方法，通过分析检测模型的训练集数据分布，使图像沿着离他最近的训练集图像的方向靠近，同时结合检测模型的分类框所在位置，以达到构建攻击能力更强的对抗样本的目的。基于修正边界攻击

本发明的一种基于训练集数据的对抗攻击方法，具体包括以下步骤：

步骤1，使用VOC大规模图像分类数据集构成的图像集合Img训练检测模型：

Img＝{x₁,x_i,…,x_Nd}，i＝{1,2,…,N_d}

其中，x_i表示一张图像，N_d表示图像集合Img中的图像总数；

构建图像集合的集合IMG，其中每个图像x_k对应的检测框T_k：

T_k＝{(q₁₁,p₁₁,q₂₁,p₂₁,l₁)…(q_1i,p_1i,q_2i,p_2i,l_i)}，i＝1,2,…,R_n

其中，(q₁₁,p₁₁,q₂₁,p₂₁)表示每一个图像检测框所对应的左上角坐标和右下角坐标，R_n表示该图像中检测框的数量，l_i表示第i个检测框内图像的类别；

由图像集合Img以及每个图像对应的图像描述集合Result组成最终的数据集并训练检测模型：