[发明专利]一种基于拉丁超立方体抽样估计梯度的边界对抗攻击方法

说明书

本发明涉及人工智能技术领域，且公开了一种基于拉丁超立方体抽样估计梯度的边界对抗攻击方法，包括以下步骤：S1、将原始图像与从均匀分布中采样的随机噪声混合，并逐渐增大随机噪声的权值，直到被模型错误分类为止；S2、之后作为初始对抗样本，进行迭代算法，该算法由梯度方向估计、沿梯度方向前向移动和用二分搜索算法投影回决策边界三个步骤组成，本发明拟设计一种基于决策的黑盒攻击，在查询数量和对抗样本质量之间进行可控的权衡。通过设计一种采用拉丁超立方体采样来估计梯度方向的方法，来制作对抗样本。在进行攻击时，我们的方法通过查询只有目标模型的硬标签来生成对抗样本，达到高查询利用率、快速减少失真的目的。

技术领域

本发明涉及人工智能技术领域，尤其涉及一种基于拉丁超立方体抽样估计梯度的边界对抗攻击方法。

背景技术

在图像识别领域，深度学习模型能够以接近人眼的准确率识别图像。然而，现有模型很容易受到对抗攻击，导致模型识别错误。对抗攻击可能被利用并产生严重的安全问题，如自动驾驶汽车的机器学习系统被入侵，导致将“停车标志”错误识别为“绿色交通信号灯”等，进而造成严重的交通事故。类似的攻击场景也可能发生在人脸检测、恶意软件识别等应用中。对抗攻击的目的是将精心设计的微小扰动添加到输入样本中，以使得神经网络分类错误率最大化。其中，基于决策的黑盒对抗攻击，仅使用模型输出的硬标签来构造对抗样本，通过向目标模型发送查询，即可达到攻击目的。由于它仅需要向目标模型发送查询后返回的硬标签信息，使用了最小的模型信息，因而成为对抗攻击中最有现实意义的攻击方法。到目前为止，在这一领域的许多工作仍然需要大量的模型查询，且不能迅速减小对抗样本和原始样本之间的失真。在现实中，攻击者对分类器的查询次数通常是有上限的，并且其他资源的限制(例如时间和费用)也会限制查询数量。因此，发明一种能够在确保较高攻击成功率的前提下，只需少量查询即可对目标模型进行快速攻击的攻击方法具有重大意义。

中国专利网(CN111160400A)公开1：一种基于修正边界攻击的对抗攻击方法，2019。

中国专利网(CN111797975A)公开2：一种基于微生物遗传算法的黑盒对抗样本生成方法，2020。

中国专利网(CN112329929A)公开3：基于代理模型的对抗样本生成方法和装置，2021。

对于公开1，该方案存在的缺点是：1)对目标模型需要进行大量的查询数量。然而在现实中，制作对抗样本时所需的模型查询数量直接决定了基于决策的这种攻击方法所达到的威胁级别。2)对偏离目标类的扰动执行拒绝采样。这种具有极大随机性的扰动采样方法，非但不能对不符合要求的扰动进行充分利用，同时对宝贵的模型查询次数造成浪费。3)无法保证扰动的收敛性。

对于公开2，该方案存在的缺点是：1)进行迁移攻击时需要大量的硬标签查询。2)此发明在制作对抗样本时，但仍然需要数以千计的查询数量，不能将对抗样本与原始图像之间的失真有效降低。

对于公开3，该方案存在的缺点是：1)本方案是在完全了解被攻击模型内部结构，包括网络结构和参数的情况下，进行对抗攻击。然而从对抗攻击的角度讲，黑盒攻击比白盒攻击的研究价值和实用价值更高。2)该发明在比较好的情况下也仍然需要数以千计的模型查询数量。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明拟设计一种基于决策的黑盒攻击，在查询数量和对抗样本质量之间进行可控的权衡。通过设计一种采用拉丁超立方体采样来估计梯度方向的方法，来制作对抗样本。在进行攻击时，我们的方法通过查询只有目标模型的硬标签来生成对抗样本，达到高查询利用率、快速减少失真的目的。

(二)技术方案

本发明提供如下技术方案：一种基于拉丁超立方体抽样估计梯度的边界对抗攻击方法，包括以下步骤：

S1、将原始图像与从均匀分布中采样的随机噪声混合，并逐渐增大随机噪声的权值，直到被模型错误分类为止；