[发明专利]一种基于敏感度实现清晰决策树与模糊决策树的攻击方法

说明书

本发明公开了一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，包括：获取数据并进行数据处理；将处理后的数据划分为训练集和测试集，通过从训练样本中学习，测试集上验证，获得清晰决策树和模糊决策树；利用学习到的清晰决策树和模糊决策树的模型信息，计算样本被分为真实类别的置信度，计算特征的敏感度；选择有最大敏感度的特征进行修改；迭代获得伪造的攻击样本；将伪造的攻击样本集攻击学习到的决策树，比较决策树在测试集和伪造的样本集上的准确率，进而对攻击进行评估。本发明基于特征敏感度信息，减少对攻击目标的模型信息了解量；开辟了研究模糊系统在恶意环境中的鲁棒性的道路，发现数据模糊化对机器学习模型的鲁棒性的提升。

技术领域

本发明涉及机器学习和对抗学习的技术领域，尤其是指一种基于敏感度实现清晰决策树与模糊决策树的攻击方法。

背景技术

人工智能在电商、农业、医疗、教育、医疗零售、金融、汽车、广告等领域的应用，各种机器学习系统被部署在人们的生活中，如何保证机器学习模型的安全性显得越来越重要。决策树，一种在数据挖掘中被广泛使用的机器学习模型之一，对它的安全性研究也显得十分必要。

目前攻击清晰决策树的方法按照攻击者对目标模型的了解程度有以下两种方法：1、白盒攻击：攻击者了解清晰决策树的所有信息，包括处理的任务信息，清晰决策树的结构信息，攻击者根据决策树的参数与结构信息，首先定位到清晰决策树对原样本的分类路径与分类结果，然后寻找临近的有不同分类结果的路径，根据路径中的条件，来修改样本，进而实现伪造样本的目的。2、黑盒攻击：每次通过询问攻击目标清晰决策树对构造的样本的分类结果，获取目标决策树的结构信息，即分支条件，然后递归地进行样本特征的修改与询问攻击目标清晰决策树的过程，最后根据获取的关于攻击目标的所有结构信息，构建一个替代清晰决策树模型，然后再基于替代清晰决策树，伪造恶意样本攻击目标清晰决策树。总体而言，两种攻击方法都非常依赖于攻击目标清晰决策树的结构信息,这意味着一方面攻击者必须获取攻击目标清晰决策树的所有信息；另一方面，由于模糊决策树与清晰决策树的结构差异，目前攻击清晰决策树的方法难以应用到攻击模糊决策树。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提出了一基于敏感度实现清晰决策树与模糊决策树的攻击方法，减少攻击者对攻击目标清晰决策树的结构信息量，让攻击者无需获取攻击目标的所有内部结构信息；利用样本输入的改动对决策树输出的影响计算特征的敏感度，进一步实现对模糊决策树的攻击，填补目前没有针对模糊决策树的攻击方法的空白。

为实现上述目的，本发明所提供的技术方案为：一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，包括以下步骤：

1)获取数据并进行数据处理；

2)将处理后的数据划分为训练集和测试集，通过从训练样本中学习，测试集上验证，获得清晰决策树和模糊决策树；

3)利用学习到的清晰决策树和模糊决策树的模型信息，计算样本被分为真实类别的置信度，进一步计算特征的敏感度；

4)根据特征的敏感度，选择有最大敏感度的特征进行修改；

5)迭代执行步骤3)和4)，直到满足终止条件，获得伪造的攻击样本集；

6)将伪造的攻击样本集攻击学习到的清晰决策树和模糊决策树，然后比较清晰决策树和模糊决策树在测试集和伪造的样本集上的准确率，进而对攻击进行评估。

在步骤1)中，所述数据是指从网上获取的公开数据集；所述数据处理是指对数据集的数据量、维度大小进行处理，以及特征标准化和特征模糊化。

在步骤2)中，将处理后的数据分层划分为训练集和测试集，其中训练集占70％,测试集占30％；然后用训练集训练清晰决策树和模糊决策树，用测试集来评估训练后的清晰决策树和模糊决策树的泛化能力；最后重复训练和测试清晰决策树和模糊决策树5次，然后用5次测试结果的平均值衡量清晰决策树和模糊决策树的泛化能力。