[发明专利]面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法

权利要求书

1.面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于，包括以下步骤：

S1，基于大批量的自适应梯度攻击算法生成对抗样本Ⅰ，然后通过基于静态广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅰ进行训练；

S2，基于动量迭代的自适应梯度攻击算法生成对抗样本Ⅱ，然后通过基于动态增量广义非负矩阵分解算法的机器学习模型对所述对抗样本Ⅱ进行训练；

S3，在黑盒攻击环境下，构建与基于广义非负矩阵分解算法的机器学习模型近似的替代模型，对已生成的对抗样本Ⅰ和对抗样本Ⅱ进行训练；

S4，对黑盒攻击策略进一步优化，N次迭代集成多个所述GNMF替代模型，构造最终的对抗样本。

2.根据权利要求1所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于：步骤S1所述基于大批量的自适应梯度攻击算法生成对抗样本Ⅰ，具体包括以下步骤：

步骤1)通过增加样本采集所需的批量数目大小，生成由t个样本组成的大批量输入样本集；

步骤2)每次随机采样大批量输入样本集来计算生成对抗样本所需的梯度，通过最大化损失函数J(x^*,y)寻找扰动矩阵，并使用符号函数对其进行处理，将其添加到干净输入x中以生成满足条件的对抗样本Ⅰ。

3.根据权利要求2所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于：在所述梯度下降过程中自适应性地在上一个输入样本集梯度计算的基础上调整下一次输入样本集梯度，通过自适应系数对每个输入样本集的梯度下降过程进行参数更新，每次执行都进行一次更新。

4.根据权利要求2或3所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于：步骤S1所述对对抗样本Ⅰ进行训练包括以下步骤：采用基于静态广义非负矩阵分解算法的机器学习模型进行特征提取构建矩阵V，对其进行近似分解为两个非负矩阵的乘积V≈WH，其中W表示特征矩阵，H表示权值矩阵，通过分类器对提取的特征向量进行分类识别。

5.根据权利要求1所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于：步骤S2所述基于动量迭代的自适应梯度攻击算法生成对抗样本Ⅱ，具体包括以下步骤：

步骤1)引入衰减因子μ，通过增量地更新衰减因子，使每一轮迭代的梯度方向都在上一轮迭代的梯度方向的基础上发生轻微改变；

步骤2)在迭代训练过程中每次的权值和阈值改变量中加入前一次的改变量以计算对抗样本所需的梯度；

步骤3)使用指数移动加权平均，根据自变量当前所在位置，沿着当前位置的梯度更新自变量，自适应性地调整梯度项的叠加。

6.根据权利要求5所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于：步骤S2所述对对抗样本Ⅱ进行训练包括以下步骤，采用基于动态增量广义非负矩阵分解算法的机器学习模型对对抗样本Ⅱ进行特征提取构建矩阵V，对其进行近似分解为两个非负矩阵的乘积V≈WH，获得表示对抗样本的特征矩阵W和权值矩阵H，当样本数据在线更新时，获得增量后新的权值矩阵H′和新的特征矩阵W′，最终通过分类器对提取的特征向量进行分类识别。

7.根据权利要求1所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于：所述步骤S3具体包括：

步骤1)通过已知的机器学习模型的决策边界情况生成综合数据集；

步骤2)在综合数据集中选择模拟参数，利用对抗性示例制作的综合数据，构造一个面向广义非负矩阵分解算法的替代模型；

步骤3)采用基于梯度的攻击算法对面向广义非负矩阵分解算法的替代模型进行训练，构造测试样本集X查询目标机器学习模型D，得到一个标签作为响应结果y；

步骤4)使用这些查询-响应的综合数据集训练一个面向广义非负矩阵分解算法的替代模型结构S；

步骤5)对步骤4)所述生成的替代模型S进行测试。

8.根据权利要求1或7所述面向广义非负矩阵分解算法的自适应梯度集成对抗性攻击方法，其特征在于：所述步骤S4具体包括对上一个GNMF替代模型生成的对抗样本x_k-1微调扰动影响后，作为下一个GNMF替代模型的输入以构造新的对抗样本x_k，通过N次迭代结束之后第n个GNMF替代模型的输出x_n^*将作为最终的对抗样本。