[发明专利]定向攻击对抗补丁生成方法及装置

权利要求书

1.一种定向攻击对抗补丁生成方法，其特征在于，包括：

获取与待攻击的黑盒模型任务相同的多个白盒模型，各白盒模型之间的模型结构和参数不同；

获取随机的初始化对抗补丁，并确定定向攻击的目标类别，在多个连续的迭代循环中分别采用各白盒模型对所述初始化对抗补丁进行更新迭代得到目标通用对抗补丁；其中，在先迭代循环的输出作为在后迭代循环的输入，每一个迭代循环包括：

获取多个未经扰动的干净图片，将各干净图片输入当前迭代循环对应的第一白盒模型，根据所述第一白盒模型的关注特征输出各干净图片对应的第一预测贡献权重矩阵和第一注意力关键区；

采用当前迭代循环输入的第一对抗补丁对各干净图片内的随机位置进行替换连接，得到各干净图片对应的对抗样本；

将所述目标类别添加为各对抗样本的标签后输入所述第一白盒模型，并采用预设损失函数计算联合损失，所述预设损失函数至少包括对抗损失、注意力转移损失、三元组损失和平滑损失，所述注意力转移损失根据各干净图片对应的第一预测贡献权重矩阵、第一注意力关键区以及连接所述第一对抗补丁时采用的随机位置计算得到；

根据所述联合损失值通过梯度下降法进行反向传播更新所述对抗补丁，重复迭代，将每一次迭代对应的对抗样本输入所述黑盒模型得到输出目标类别的第一置信度，当所述第一置信度大于预设置信度或迭代次数达到预设数值时停止迭代并输出当前第一对抗补丁。

2.根据权利要求1所述的定向攻击对抗补丁生成方法，其特征在于，所述预设损失函数为对抗损失、注意力转移损失、三元组损失和平滑损失的联合损失，计算式如下：

其中，为所述预设损失函数；为与所述目标类别标签输出概率相关的所述对抗损失；为与所述第一白盒模型关注区域迁移相关的所述注意力转移损失，为所述注意力转移损失的权重系数；为所述平滑损失，为所述平滑损失的权重系数；为所述三元组损失，为所述三元组损失的权重系数。

3.根据权利要求2所述的定向攻击对抗补丁生成方法，其特征在于，所述对抗损失的计算式为：

其中，为对抗样本，为对抗样本输入所述第一白盒模型后经softmax层输出的目标类别的概率。

4.根据权利要求3所述的定向攻击对抗补丁生成方法，其特征在于，所述注意力转移损失的计算式为：

其中，为所述第一预测贡献权重矩阵，用于表示对抗样本各区域对模型预测的贡献程度；为所述第一注意力关键区；mask为标记所述第一对抗补丁所在位置的二值化掩码，，所述第一对抗补丁所在区域值为1，其余为0；

进一步地，的计算式为：

其中，，表示所述第一白盒模型的最后一层卷积层输出的特征图的第个通道对第类目标的敏感程度，表示所述第一白盒模型第t类目标的输出概率；为所述白盒模型的最后一层卷积层输出的特征图；为归一化常数；和分别表示图像中像素对应列序数和行序数；

进一步地，的计算式为：

。

5.根据权利要求4所述的定向攻击对抗补丁生成方法，其特征在于，所述三元组损失的计算式为：

其中，，为所述对抗样本，为目标类别的独热向量，为真实类别的独热向量，为所述对抗样本输入到所述第一白盒模型得到的目标类别标签的logits值，为阈值。

6.根据权利要求5所述的定向攻击对抗补丁生成方法，其特征在于，所述平滑损失的计算式为：

其中， 为所述第一对抗补丁中第列第行上的像素值。

7.根据权利要求1所述的定向攻击对抗补丁生成方法，其特征在于，所述初始化对抗补丁是按照设定尺寸和形状生成的。

8.根据权利要求1所述的定向攻击对抗补丁生成方法，其特征在于，所述初始化对抗补丁是服从高斯分布的噪声。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。