[发明专利]面向黑盒攻击的替代模型自动选取方法、存储介质及终端

说明书

本发明公开了一种面向黑盒攻击的替代模型自动选取方法、存储介质及终端，属于深度学习技术领域，方法包括：根据原始样本属性信息在神经网络模型中选取替代模型，和/或，根据攻击反馈信息更新当前使用替代模型。本发明根据与黑盒模型复杂度呈相关性的原始样本属性信息选取与当前黑盒模型匹配度高的替代模型，和/或通过攻击反馈信息更新当前使用替代模型，以此保证选取或更新后的替代模型能够发挥优异替代性能，产生的对抗样本在黑盒攻击中攻击成功率高，利于推进当前神经网络模型安全研究工作。

技术领域

本发明涉及深度学习技术领域，尤其涉及一种面向黑盒攻击的替代模型自动选取方法、存储介质及终端。

背景技术

近年来，深度学习模型在各个领域都得到了广泛应用，虽然模型的精度越来越高，但也更加容易遭受恶意攻击，其中对抗攻击是最常见的攻击方式，通过向原始样本中添加人眼无法察觉的微小扰动，使目标模型输出错误预测结果甚至攻击者期望的预测结果。自从现有技术提出在输入数据上添加微小扰动可以影响模型分类结果开始，众多学者加入到模型对抗攻击的研究中，随之也诞生了许多攻击算法。

通过对攻击算法的研究，能够有效提升神经网络模型的防御力，即根据高攻击成功率攻击算法产生的对抗样本对黑盒模型进行重新训练，使黑盒模型能够学习对抗样本的特征进而提高其分类准确率，以此提升黑盒模型的防御力，保证神经网络模型的安全性，基于此对于攻击算法的研究就显得很有必要。

根据攻击者对于目标模型信息的了解，可以将对抗攻击分为白盒攻击和黑盒攻击，在白盒攻击中攻击者可以获取到目标模型所有相关信息。根据是否指定特定的攻击目标，可以将对抗攻击分为无目标攻击和目标攻击，未指定特定攻击目标的对抗攻击属于无目标攻击。在现实攻击场景中，由于目标模型往往不会对外公布且大多输出预测概率最大的类别结果，攻击者难以获取到目标模型的相关信息，因此，对于黑盒攻击的研究具有重要的应用价值。然而在黑盒攻击场景中，由于人为选取的替代模型替代作用差且当前攻击算法产生的对抗样本迁移性也较差，导致黑盒攻击成功率低，不利于当前神经网络模型安全研究工作的开展，因此，如何快速、准确选取能够产生高攻击力对抗样本的替代模型是本领域亟需解决的问题。

发明内容

本发明的目的在于克服现有技术选取的替代模型产生的攻击样本的攻击成功率低，不利于当前神经网络模型安全研究工作的开展的问题，提供了一种面向黑盒攻击的替代模型自动选取方法、存储介质及终端。

本发明的目的是通过以下技术方案来实现的：一种面向黑盒攻击的替代模型自动选取方法，所述方法包括：

根据原始样本属性信息在现有神经网络模型中选取替代模型，和/或，

根据攻击反馈信息更新当前使用替代模型。其中，替代模型即为与待攻击目标模型分类性能近似的神经网络模型。

在一示例中，所述选取替代模型步骤前还包括：

根据神经网络模型的网络复杂度信息、分类精确度信息划分神经网络模型的等级，神经网络模型等级越高面对复杂样本的分类精确度越高。

在一示例中，所述根据原始样本属性信息在神经网络模型中选取替代模型包括：

根据原始样本属性信息计算原始样本分数；

根据原始样本分数确定对应等级的神经网络模型进而确定替代模型。

在一示例中，所述根据原始样本属性信息计算原始样本分数包括：

根据原始样本不同属性值对分类精准度的影响设置不同属性的等级阈值，根据等级阈值对原始样本对应属性进行打分，进而获取原始样本的各属性得分；

对原始样本的各属性得分进行权重计算得到原始样本分数。

在一示例中，所述根据原始样本分数确定对应等级的神经网络模型进而确定替代模型包括：