[发明专利]一种基于生成对抗网络的通用扰动生成方法

权利要求书

1.一种基于生成对抗网络的通用扰动生成方法，其特征在于，包括以下步骤：

步骤1：使用生成网络生成通用扰动，将扰动与任意图片数据集结合得到对抗样本；

步骤2：将数据集中原始样本与步骤1中得到的对抗样本输入判别网络得到输入样本为真实样本的概率值，根据判别网络目标函数计算损失值，并进行反向传播，优化判别网络判别对抗样本能力；

步骤3：将步骤1中得到的对抗样本输入被攻击模型得到样本分类概率值，输入判别网络得到对抗样本概率值，根据生成网络目标函数计算损失值，并进行反向传播，优化生成网络生成通用扰动能力；

其中，计算生成网络类别约束损失值L_c、判别网络损失值L_GAN、像素级约束损失值L_pix，得到生成网络损失值L_g＝L_c+βL_GAN+γL_pix，其中β、γ为权重值；

L_c根据目标攻击和非目标攻击可选择不同目标函数；非目标攻击下，对于数据集X中的样本x，被攻击模型f(x)的预测结果标签为c₀，对抗样本只需被分类为非原始标签即可，其目标就是使除c₀外任意标签的置信度大于c₀，此时类别约束的损失函数定义为L_nt；目标攻击下，先选定攻击标签c，通用扰动的目的是使标签c的置信度大于其他标签，此时类别约束损失函数定义为L_t；则类别约束损失值L_c取目标攻击下的L_c＝L_t+L_s，或非目标攻击下的L_c＝L_nt+L_s；L_s为基于攻击成功对抗样本计算的损失值；

像素级约束损失值L_pix根据攻击扰动测量方式不同选择不同目标函数；

步骤4：重复步骤1到步骤3预定次数后，生成网络即可生成攻击成功率达到预定要求的通用扰动攻击被攻击模型。

2.根据权利要求1所述的基于生成对抗网络的通用扰动生成方法，其特征在于，步骤1的具体实现包括以下子步骤：

步骤1.1：获取任意图片样本数据集X_raw并进行数据扩充，随机选择其中部分样本进行翻转、0值填充生成新的图片加入数据集中，再将X_raw中的样本随机裁剪为深度学习模型输入大小，得到样本数为m的训练数据集X；

步骤1.2：使用卷积层、反卷积层构建通用扰动生成网络G，网络中上采样部分每一层的输入都为下采样的特征加上一层特征输出，网络参数为表1；

表1

步骤1.3：生成与训练数据集X相同像素大小的噪声图片数据集Z，噪声图片每一像素的数值为符合N(0,0.5)正态分布的随机数，将数据集输入生成网络，得到样本数为m的通用扰动选择噪声系数α，将通用扰动与图片样本得到对抗样本其结合公式如下：

x′＝α×μ+x。

3.根据权利要求2所述的基于生成对抗网络的通用扰动生成方法，其特征在于，步骤2的具体实现包括以下子步骤：

步骤2.1：构建判别网络D，判别网络D将样本分为N×N块，预测每一块为真实样本的概率值，网络参数为表2；

表2

步骤2.2：将图片样本与对抗样本输入判别网络计算损失函数L_d；

其中，D(x^(j))表示判别网络输出结果，G(z^(j))表示生成网络输出结果；

步骤2.3：反向传播更新判别网络权重其中，表示ω_d的梯度。