[发明专利]一种基于梯度先验的高效黑盒对抗攻击方法

权利要求书

1.一种基于梯度先验的高效黑盒对抗攻击方法，其特征在于，以基于决策的边界攻击方法为基础，通过联合双边滤波器利用数据相关的先验以及将连续对抗样本之间的距离和连续步骤的梯度方向作为附加判断条件，生成新的梯度方向；具体包括步骤如下：

步骤一、根据基于决策的边界攻击方法，估计当前对抗图片的梯度方向；使对抗图片沿着估计梯度的方向移动；通过二分搜索策略逼近模型的决策边界；

步骤二、通过联合双边滤波器利用数据相关先验；

对于一张维度为n×n图片A和一张引导图片G，经过联合双边滤波器J后得到图片A的每个像素的值为：

其中，Ω是像素坐标(i，j)的一个邻域，w(i，j)是一个归一化项：

函数g_s(i，j，k，l)根据像素坐标(i，j)和(k，l)间的欧几里得距离的高斯函数于空间域的权重，而g_r(G_i，j，G_k，l)基于强度的差异的高斯函数设置权重：

其中，σ_s和σ_r用于调整空间相似度和值域相似度的灵敏度；使用联合双边滤波器处理基于决策的边界攻击方法中的每个随机扰动u_b，其中作为引导图像；具体来说，选取一个d＝n×n维的扰动u_b，并使用当前的对抗图片作为引导图片，通过联合双边滤波器J得到受约束的扰动

步骤三、将时间相关先验整合到基于决策的黑盒攻击中；

时间相关先验是指连续步骤的梯度高度相关并且趋于高度相似，也称为多步先验；如下公式来估计梯度：

其中，B是每次迭代中选取扰动的次数，是被筛选出来的对抗图片集合，m是χ^(t)中的图片个数，μ是一个超参数，用来调整加号左右两部分的权重；表示到之间的距离；k表示将当前迭代步骤之前k次迭代的梯度估计结果纳入本次梯度估计；

生成一个新的梯度方向来加速算法收敛，用于提升查询效率；定义集合集合中包含满足如上集合条件的中间过程生成的对抗图片；是到之间的距离；S_t，i是和之间的余弦相似度，是第t步迭代估计的梯度，是第j步迭代估计的最终梯度；τ，ρ和k是超参数；

在第t步迭代得到的最终梯度为：

其中，是中对抗图片被估计的梯度方向的归一化均值，使用作为梯度方向的估计；

(1)当非空，首先计算

然后计算

(2)当为空集，设置

使用作为梯度方向的估计，可更好地利用时间相关先验，避开低效的搜索方向，提高基于决策的攻击的查询效率。