[发明专利]一种基于离散小波变换的对抗样本生成方法

说明书

本发明公布了一种基于离散小波变换的对抗样本生成方法，现有的黑盒攻击方法需要通过大量地向模型进行查询来获取优化信息。本发明以原始图片作为输入，通过梯度估计方法与梯度下降方法相结合，迭代地在清晰样本中添加扰动，最终生成能够误导模型的对抗样本。为了提高攻击的效率，本方法使用离散小波变换分离样本的高频分量与低频分量，仅在低频分量中添加扰动，并且在估计低频分量梯度的过程中，动态地调整采样点数，降低生成对抗样本所需要的模型查询次数。本发明能够有效降低查询向目标DNN模型查询的次数。

技术领域

本发明属于计算机数字图像处理领域，具体涉及一种基于离散小波变换的对抗样本生成方法。

背景技术

机器学习及深度学习相关技术在近些年获得了极大的关注，由于优异的性能，它在计算机视觉领域中得到了广泛的应用，应用的范围包括图像识别、目标检测、图像分割、超分辨率等多种任务，应用场景涵盖如人脸检测、姿态检测、自动驾驶等多种场景。随着机器学习相关技术的逐步应用，这些系统的安全性成为一个重要的研究领域。

尽管目前最先进的图像分类模型在ImageNet等数据集上的识别准确率已经超越人类，但有研究发现，仅在测试样本中添加一些精心设计的微小扰动，就有可能导致模型产生错误的分类，而这些扰动不足以干扰人类视觉系统。这种可以改变DNN分类器预测结果的被扰动图片被称为对抗样本。

对抗攻击可分为白盒威胁模型(又称白盒攻击)与黑盒威胁模型(又称黑盒攻击)。在白盒威胁模型中，假设攻击者拥有目标模型的全部知识，并且利用这些知识构建对抗样本。例如，FGSM计算目标模型的梯度信息，在每个像素值上添加一个相同大小的小扰动构建对抗样本，BIM针对神经网络模型高度非线性的特点，迭代地往梯度符号方向执行k步搜索来构建对抗样本，CW通过使用构建损失函数，将寻找对抗攻击问题转化为优化问题，通过解非线性优化问题构建对抗样本。白盒攻击的优势在于计算速度比较快，但是需要用到目标网络的梯度信息。在黑盒威胁模型中，攻击者只能向目标模型输入数据，得到相应的输出，无法获知模型内部信息。例如，SimpleBA在单个维度的正、负两个方向上试验添加扰动，选择使得分类确定性下降的方向上添加扰动，重复该过程直至找到对抗样本，ZOO Attack利用有限差分法估计单个维度上的梯度，迭代地在单个维度上执行梯度下降，直到找到有效的对抗样本。然而，由于缺乏梯度信息，带来了高额的评估代价，比如SimpleBA的成功率较低，且攻击时间较长，原因是不能确定最有效的扰动维度。ZOO Attack基于坐标的梯度估计每次仅能扰动一个维度，攻击所需的模型查询次数高达数十万次。

发明内容

本发明针对现有的黑盒攻击方法带来大量查询开销的问题，提出一种基于离散小波变换的对抗样本生成方法。本方法通过梯度估计方法与梯度下降方法相结合，迭代地在原始图像中添加扰动，最终生成能够误导模型的对抗样本。为了提高攻击的效率，本方法使用离散小波变换分离样本的高频分量与低频分量，仅在低频分量中添加扰动，并且在估计低频分量梯度的过程中，动态地调整采样点数，降低生成对抗样本所需要的模型查询次数。

本发明一种基于离散小波变换的对抗样本生成方法，包括如下步骤：

步骤一、获取原始图像x_c的真实类别y_c及其概率向量p_H(·|x_c)

令H表示DNN分类器，以原始图像向量x_c作为目标DNN分类器的输入，获得原始图像的概率输出向量p_H(·|x_c)；取概率输出向量中最大值对应的类别作为原始图像的类别预测y_c，y_c＝argmax(p_H(·|x_c))；

步骤二、使用离散小波变换对原始图像向量x_c进行分解