[发明专利]一种基于低问询图像数据的黑盒对抗样本生成方法

说明书

本发明公开了一种基于低问询图像数据的黑盒对抗样本生成方法，属于对抗样本生成方法技术领域，解决现有得到有效的黑盒对抗样本迭代次数多的问题。本发明在图像识别应用中，获取当前图像数据；随机选择任一已知模型，基于已知模型设置白盒对抗样本生成参数，再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本；将白盒对抗样本减去当前图像数据，并进行归一化操作后，生成对抗性向量；将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中，得到输出后使用ADAM算法对当前图像数据进行更新，更新后，若满足要求，得到黑盒对抗样本，若不满足要求，将更新后的图像数据重复执行。本发明用于生成黑盒对抗样本。

技术领域

一种基于低问询图像数据的黑盒对抗样本生成方法，用于生成黑盒对抗样本，属于对抗样本生成方法技术领域。

背景技术

近年来，以深度学习为代表的人工智能技术得到了高速发展，在各个领域都得到了广泛的应用。无人化、智能化势必是今后一个重要的趋势。与此同时，深度学习也面临着严重的可靠性问题，近来的研究发现，无论是在实验环境还是真实的物理世界中，以深度学习为代表的人工智能算法都可能遭到恶意攻击。在人工智能应用日益广泛的今天，面临的安全性漏洞威胁也日益严峻。因此，人工智能算法的安全性是其应用过程中亟待解决的关键问题。

根据对模型参数的已知状况，对抗样本的生成方法分为白盒生成与黑盒生成方法。白盒生成方法是攻击者能够掌握模型的参数与结构，以及模型的输入与输出，这样便能轻易地取得模型的梯度。而黑盒生成方法是攻击者只能获取模型的输入与输出。近来的研究表明，白盒攻击能够通过梯度的方向传播，得以高效快速的实现，同时能将添加的对抗性扰动限制在很小的范围。然而对于真实的攻击场景往往更贴近于黑盒场景，而黑盒场景由于能利用的信息更少，有着更高的攻击难度，近年来成为了学术研究的热点。

目前，已有的黑盒攻击主要分为基于迁移的方法、基于优化的方法以及基于决策的方法来实现。基于迁移的方法利用了执行相同任务的不同模型具有相似的决策边界的思路，因此，执行相同任务的不同模型有很大概率共享同一个对抗样本，这种方法的问题是在像ImageNet这类的大型数据集上攻击成功率较低。基于优化的方法是通过不断对输入进行微小改动，通过观测输入与输出之间的关系，进而估计出模型的梯度，这类方法的优点是拥有较高的成功率，缺点则是需要大量的问询次数，而大量的问询次数意味着更高的成本以及更容易被受攻击者发现。基于决策的方法是在模型两类决策的边界上进行游走，进而发现最接近原始图像的边界，该方法有着较小的扰动添加，然而依然会受其问询次数的限制。

发明内容

针对上述研究的问题，本发明的目的在于提供一种基于低问询图像数据的对抗样本黑盒生成方法，解决现有技术中得到有效的黑盒对抗样本迭代次数多，且成功率低的问题。

为了达到上述目的，本发明采用如下技术方案：

一种基于低问询图像数据的黑盒对抗样本生成方法，包括如下步骤：

S1：在图像识别应用中，计算机获取一副待生成黑盒对抗样本的图像数据，作为当前图像数据；

S2：随机选择任一已知模型，基于已知模型设置白盒对抗样本生成参数，再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本；

S3：将白盒对抗样本减去当前图像数据，并进行归一化操作后，生成对抗性向量；

S4：将对抗性向量直接加到当前图像数据，再送入与已知模型的任务类型相同、参数和结构未知的未知模型中，并将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中，再对添加了对抗性向量前后、未知模型的输出进行零阶优化，之后使用ADAM算法对当前图像数据进行更新，即得到有效的黑盒对抗样本，若有效的黑盒对抗样本满足要求，即得到黑盒对抗样本，若不满足要求，将更新后的图像数据作为当前图像数据，再重复执行步骤S2-S4。