[发明专利]一种基于低问询图像数据的黑盒对抗样本生成方法

权利要求书

1.一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，包括如下步骤：

S1：在图像识别应用中，计算机获取一副待生成黑盒对抗样本的图像数据，作为当前图像数据；

S2：随机选择任一已知模型，基于已知模型设置白盒对抗样本生成参数，再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本；

S3：将白盒对抗样本减去当前图像数据，并进行归一化操作后，生成对抗性向量；

S4：将对抗性向量直接加到当前图像数据，再送入与已知模型的任务类型相同、参数和结构未知的未知模型中，并将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中，再对添加了对抗性向量前后、未知模型的输出进行零阶优化，之后使用ADAM算法对当前图像数据进行更新，即得到有效的黑盒对抗样本，若有效的黑盒对抗样本满足要求，即得到黑盒对抗样本，若不满足要求，将更新后的图像数据作为当前图像数据，再重复执行步骤S2-S4。

2.根据权利要求1所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述已知模型为Resnet-50、VGG-16、Xception、Densenet、InceptionResnet-V2或NASnet中的一种，已知模型都由ImageNet数据集训练得到。

3.根据权利要求2所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述步骤S2中白盒生成方法为CW方法；

其生成的超参数为置信度k、扰动系数c，置信度值设置为150，扰动系数为随机生成，范围为10-100，其目标函数为：

s.t.x+η∈[0，1]ⁿ

其中，n为图像数据的维度，η为扰动的范数值，p为采用的范数类别，x为当前图像数据，g为判断白盒对抗样本生成是否成功的一个阈值函数，s.t为subject to，表示受限制于，c越大，则扰动大小对该目标函数的影响越小，该目标函数的目的在于，在保障攻击成功的同时，让扰动尽可能小，阈值函数g(x′)如下为：

其中，x′为白盒生成过程中正在修改的白盒图像数据，是指白盒迭代中的中间数据，初始值为当前图像数据，最终值为白盒对抗样本，x′与当前图像数据x之间的关系是x′＝x+η；

Z(x′)为白盒图像数据所对应的输出，该输出为一个1000维的向量；Z(x′)_i为第i维输出，代表着分类为第i类的置信度，i代表除了待生成类别t之外的其它类别；Z(x′)_t为第t类的置信度；k为置信度，只有待生成类别大于除待生成类别加上置信度之和时，阈值函数才会等于0。

4.根据权利要求3所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述步骤S4的具体步骤为：

将归一化后生成的对抗性向量a除以1000后与当前图像数据相加，得到梯度估计样本x_a，即加入了对抗性向量的当前图像数据，将梯度估计样本和当前图像数据问询未知模型f，分别得到添加对抗性向量后梯度估计样本的未知模型预测置信度f(x_a)与当前图像数据的未知模型预测置信度f(x)，得到f(x_a)和f(x)后，基于零阶优化对a方向的梯度值大小进行估计，即估计出对抗性向量方向的梯度值，零阶优化的公式为：

零阶优化后，使用ADAM算法利用该梯度值，对当前图像数据进行更新，更新后，若为有效的对抗样本，则得到黑盒对抗样本，否则，再次进行优化，直至得到对未知模型有效的对抗样本。

5.根据权利要求1-4任意一项所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述未知模型为Inception-V3，由ImageNet数据集训练得到。