[发明专利]一种图像对抗样本生成方法

说明书

本发明实例涉及一种图像对抗样本生成方法，属于机器学习和AI安全领域。包括：训练生成对抗网络模型，该模型包括两个生成器(样本生成器G1,扰动生成器G2)，其中G1的输入为高维随机噪声，输出为图像样本，采用卷积网络搭建，在第一次被调用时被训练，用于扩充原始数据集；G2的输入为图像样本，输出为该图像数据针对某一攻击目标的扰动；对抗样本由图像和其对应的扰动相加得到。本发明创新的运用了双生成器的生成对抗网络，提高了利用生成对抗网络构造对抗样本的效率，使生成对抗样本的数量不再受限制，增大了对抗样本之间的差异性。

技术领域

本发明涉及机器学习和AI安全领域，具体地，涉及一种神经网络模型图像对抗样本的生成方法。

背景技术

神经网络系统如今被广泛应用于诸多方面，其安全性和稳定性也越来越受到重视。神经网络的对抗样本是指在原数据集中添加肉眼不可见或不影响整体观感的扰动(噪音)，所形成的一类样本。对抗样本可以使得神经网络模型以较高的置信度给出与原样本不同的分类结果。

自SzegedyC等提出对抗样本的概念，到GoodfellowI等证明了神经网络的高维线性是导致对抗样本产生的根本原因，逐渐产生了一系列对抗样本生成方法。GoodfellowI提出的FGSM(快速梯度符号法)通过再梯度方向上添加增量来诱导网络对生成的图片进行误分类。AlexeyKurakin等提出了基础迭代法(I-FGSM),其基本思想是通过多个小步增大损失函数的处理，来优化一大步运算增大损失函数从而生成图像的扰动。Seyed-Mohsen等人提出的DeepFool，对深度网络也有很强的对抗性和鲁棒性。ChaoweiXiao等人提出了一种利用生成对抗网络来构造对抗样本的方法，这种网络架构可以学习和模拟出真实的图像分布。一旦网络架构中的生成器训练完毕，对于任何的图像输入都可以高效的生成带有扰动的对抗样本。该方法生成的对抗样本更加自然真实且有极高的攻击成功率且能够同时应用于白盒攻击和黑盒攻击，但是这种方法针对每一个原始样本只能生成一个对抗样本，大大限制了对抗样本的数量，导致对抗样本缺乏多样性，揭错能力不足。

发明内容

为解决上述问题，本发明提供一种图像对抗样本生成方法，用于解决现有利用生成对抗网络法生成图像对抗样本时数量受限、样本多样性差、揭错能力不足的问题。

本发明的技术方案如下：

(1)训练双生成器的生成对抗网络模型；

具体实施过程为：

首先输入原始样本类型、攻击样本类型和扰动系数；

判断样本生成器G1(以下称G1)是否已经训练完毕，若G1没被训练过(不可用)，则使用原始样本训练G1；

具体地，G1的作用是生成符合原始样本类型的数据样本，其中G1的输入是高维随机噪音数据和原始样本类型，输出是符合原始样本类型的图像，将G1的输出作为输入，输入到判别器D，判别器D的作用是验证G1的输出是否与源数据集一致,以保证G1的输出能够以假乱真，当判别器D的输出接近纳什均衡，G1训练完毕；

若G1已被训练(可用)，则将G1生成的图像数据作为训练数据，训练一个攻击样本类型所对应的扰动生成器G2(以下称G2)，G2通过对目标模型的黑盒查询访问，得到由数据图像计算所得的、符合攻击样本类型的扰动；

(2)生成目标对抗样本

输入原始类别、目标攻击类别和要生成的样本数量；

将原始类别和随机生成的高维噪音输入G1，生成与所需样本数量一致的原始样本；

将原始样本和目标攻击类别输入G2,生成所对应的扰动；

将扰动规格化，使其范围在扰动系数范围之内(±扰动系数)；

然后将图像数据与扰动相加，得到对抗样本；