[发明专利]一种基于生成对抗网络的通用扰动生成方法

说明书

本发明公开了一种基于生成对抗网络的通用扰动生成方法，首先生成网络生成通用扰动得到对抗样本；然后判别网络判别对抗样本与原始样本，并计算判别网络目标函数并反向传播进行优化；最后深度学习模型预测对抗样本分类，判别网络判别对抗样本，并计算生成网络目标函数并反向传播进行优化；本发明所提供的基于GAN的通用扰动生成方法能够在计算机视觉及深度学习等领域，为使用者提供机器学习模型安全性研究的思路。

技术领域

本发明属于深度学习技术领域，具体涉及一种基于生成对抗网络的黑盒场景下的通用扰动生成方法。

背景技术

2012年，在ImageNet大规模视觉识别挑战赛中，深度神经网络(Deep NeuralNetworks，DNNs)获得当时最好的图像分类结果，开始获得工业界的广泛关注。近年来，随着大数据技术和计算性能提升，深度学习发展迅速，现实生活中越来越多的应用开始使用深度学习模型应用。例如，自动驾驶技术使用深度学习来完成物体检测、增强学习、多模态学习等；苹果公司使用深度学习完成基于面部识别的生物认证技术；基于行为的恶意软件检测使用深度学习发现语义特征。

在深度学习模型代替人类完成多项任务的同时，人们逐渐开始关注模型带来的安全问题，对抗样本(Adversarial Examples)就是针对模型抗干扰能力研究。对于一个分类正确的原始图片样本，在加入人类难以识别的扰动之后，神经网络会以极高的置信度得出错误的分类结果。这些被错误分类的样本被称为对抗样本。对抗样本扰动是根据某种算法生成得针对特定模型、特定数据集的特殊噪声。现有的深度学习模型非常容易受到对抗样本影响，他可以使深度学习模型分类错误，甚至导致各种基于深度模型的异常检测系统失效，给深度学习在实际应用领域带来了很大的安全性挑战。

目前，对抗样本从对抗攻击所需知识(Adversary’s Knowledge)可分为白盒攻击和黑盒攻击：白盒攻击假设攻击者知道模型的所有知识，例如训练数据集、模型架构、训练超参数、层数、激活函数、模型权重值等，对抗样本通过计算模型梯度生成；黑盒攻击假设攻击者无权访问模型内部结构，攻击者和其他模型使用者一样，只具备模型输出(标签和置信度)访问权限。目前大多数对抗样本的研究都集中在白盒攻击的应用场景下：少数黑盒攻击的研究也普遍基于对抗样本的可迁移性，无法攻击鲁棒性较高的模型。

另一方面，对抗样本从扰动范围(Perturbation Scope)亦可分为个体攻击和通用攻击：个体攻击针对单一输入生成特定的对抗样本扰动，对不同的输入样本都需要生成新的扰动以欺骗模型；通用攻击对数据集生成通用的对抗样本扰动，数据集内任意输入加上改扰动后都可导致深度模型输出结果错误。大多数对抗样本研究方案都基于单个样本生成攻击扰动，对于不同的样本需要重新训练优化扰动。而通用扰动(Universalperturbation)则省去了对抗样本生成阶段的训练过程，可以直接得到样本攻击深度学习模型，减少了对抗样本的攻击时间。目前通用扰动的生成方式都要求攻击者具有模型的白盒访问权限，而在现实场景中，攻击者往往权限受限，仅能访问深度学习模型最终的输出值。因此，具有黑盒攻击能力的通用扰动是更适合于现实场景的深度模型攻击策略，这类种场景下的通用扰动问题是亟待解决的。

发明内容

鉴于以上提及的黑盒场景下的通用攻击方法研究的不足，本发明提供了一种在黑盒攻击场景下的通用扰动生成方案。

本发明所采用的技术方案是：一种基于生成对抗网络的通用扰动生成方法，其特征在于，包括以下步骤：

步骤1：使用生成网络生成通用扰动，将扰动与任意图片数据集结合得到对抗样本；

步骤2：将数据集中原始样本与步骤1中得到的对抗样本输入判别网络得到输入样本为真实样本的概率值，根据判别网络目标函数计算损失值，并进行反向传播，优化判别网络判别对抗样本能力；

步骤3：将步骤1中得到的对抗样本输入被攻击模型和判别网络，分别得到分类概率值和对抗样本概率值，根据生成网络目标函数计算损失值，并进行反向传播，优化生成网络生成通用扰动能力；