[发明专利]一种基于离散小波变换的对抗样本生成方法

权利要求书

1.一种基于离散小波变换的对抗样本生成方法，其特征在于，该方法包括如下步骤：

步骤一、获取原始图像x_c的真实类别y_c及其概率向量p_H(·|x_c)

令H表示DNN分类器，以原始图像向量x_c作为目标DNN分类器的输入，获得原始图像的概率输出向量p_H(·|x_c)；取概率输出向量中最大值对应的类别作为原始图像的类别预测y_c，y_c＝argmax(p_H(·|x_c))；

步骤二、使用离散小波变换对原始图像向量x_c进行分解

使用离散小波变换对原始图像向量x_c进行M级小波分解得到初始低频分量LF₀与高频分量HF，M与原始图像向量x_c的大小具有正相关关系；离散小波变换用公式表示为：

LF₀，HF←DWT(x_c)；

其中DWT(·)表示离散小波变换，LF₀在后续迭代过程中将会被扰动，而HF在后续迭代过程中保持不变；

步骤三、确定待优化的目标函数

按照目标类别进行分类，对抗攻击分为无目标攻击和目标攻击；在无目标攻击中，对抗攻击的目标是使得对抗样本被DNN分类器分类为除原类别外的任意类别；在目标攻击中，对抗攻击的目标是使得对抗样本被DNN分类器分类为特定的类别；

令y_a表示对抗样本的类别，δ表示对抗扰动，x_c+δ表示对抗样本；当DNN分类器能对对抗样本做出正确分类预测时，y_a和y_c相同；对抗攻击的目的是寻找到能误导DNN分类器的对抗扰动δ，即

这里||·||_p表示向量的L_p范数；然而精确计算公式(1)通常不可行，因此更常用的方法是求(1)的近似解；将其公式化如下：

ρ用来限制对抗扰动的大小，T(·)是转换函数，用于将DNN分类器的输出向量转换为便于优化的标量值；

在目标攻击中，转换函数的具体形式为：

其中，y_t表示目标类别，p_H(y_t|x)表示样本x被分类为y_t的概率，表示除了目标类别之外最大的概率值；当目标类别的概率值最大时，分类器对输入图像的分类结果为目标类别；

在无目标攻击中，转换函数表达式为：

T(x)＝p_H(y_c|x)-max_j≠tp_H(y_j|x)

其中，p_H(y_c|x)表示样本x被分类为y_c的概率，max_j≠tp_H(y_j|x)表示除了清晰样本类别之外最大的概率值；

为了便于表示，在方法中使用v表示低频分量LF，令f表示目标函数，低频分量v是目标函数的输入值，f的具体表达式为：

f(v)＝T(IDWT(v，HF))

由低频分量v与高频分量HF恢复一个样本，用公式表示为：

x←IDWT(v，HF)

其中IDWT(·)表示逆离散小波变换；

优化的目标是f(v)≤0，从而改变目标DNN分类器对被扰动图像的分类结果；

步骤四、执行迭代优化

采用迭代的方式生成对抗样本，在进行迭代优化之前，需要定义两个初始变量：x₀←x_c用于初始化对抗样本，d₀←0用于初始化累计梯度信息；

1)使用累计梯度信息更新低频分量：

v_t←v_t-1-αβd_t-1

其中，v_t-1表示第t-1次迭代中的低频分量，d_t-1表示第t-1次迭代中的累计梯度信息，α与β表示两个步长参数，v_t表示第t次迭代中低频分量；迭代次数t从1开始计数；

2)使用自然进化策略估计v_t处的梯度：

在迭代过程中，使用动态采样策略动态确定估计梯度所需要的采样点数量：当迭代过程启动时，采样点数量n＝2；随着迭代过程的进行，在第t次迭代中，n＝min(2k，N)，N表示最大采样点限制；当搜索进程缓慢时，即在连续m次迭代过程中以对抗样本为输入的目标函数的值没有减少，将采样点数量n减半；其中k的初始值为0，每次迭代k值加1，当搜索进程缓慢时，k恢复初始值；

确定采样点数量之后，估计v_t处的梯度g_t；

3)更新累计梯度信息：

d_t←βd_t-1+g_t

4)利用新的累计梯度信息更新低频分量：

v_t←v_t-1-αd_t

5)结合新的低频分量v_t与高频分量HF，经过逆离散小波变换，得到新的对抗样本x_t：

x_t←clip(IDWT(v_t，HF))

其中，clip(·)函数用于对新的对抗样本进行剪切，确保x_t位于有效的图像空间内，且确保扰动||x_t-x_c||_p≤ρ；

6)判断x_t是否是有效的对抗样本，若x_t是有效的对抗样本，则输出x_t，结束迭代过程，否则继续执行迭代过程，转步骤四-1)。

2.根据权利要求1所述的一种基于离散小波变换的对抗样本生成方法，其特征在于：所述的确定采样点数量之后，估计v_t处的梯度g_t；具体为：

其中，从高斯分布中采样得到，在为了提升梯度估计的准确性，通过对称采样的方式生成ε_i：{ε₁，...，ε_n/2}从高斯分布中采样得到，而当i∈{(n/2)+1，...，n}时，其中n为偶数，ε_t＝-ε_n-i+1，σ用于控制偏差大小。