[发明专利]一种声纹识别对抗样本生成方法

说明书

本发明涉及人工智能安全领域，且公开了一种声纹识别对抗样本生成方法，通过集成多个已有的声纹识别模型来生成一个替代模型，来代替目标黑盒声纹识别模型，通过攻击替代模型生成对抗样本，进而对目标黑盒模型产生攻击效果，以此客服黑盒模型无法获取模型信息这一难点，改善攻击成功率低的问题；在生成对抗样本的方式上，采用了基于Nesterov加速梯度法的生成方法，能够更快的找到攻击效果更好的对抗样本；生成对抗样本的过程中，对目标黑盒模型进行少量(个位数)次数的查询，来修正对抗样本的生成方向，这样能够提高攻击的成功率。

技术领域

本发明涉及人工智能安全领域，具体为一种声纹识别对抗样本生成方法。

背景技术

声纹识别，也被称为说话人识别，是身份识别领域的重要分支，声纹识别任务是通过来自说话人的语音音频识别说话人身份的任务。近年，深度神经网络(Deep NeuralNetworks,DNNs)为首的人工智能技术已经十分成熟，包括人脸识别、指纹识别、虹膜识别以及声纹识别等身份识别方式的识别成功率都能够达到90％以上，并且可以有效的、便捷的商业化落地实现。并且由于音频相比于人脸、指纹、虹膜更以获取和传递，所以声纹识别系统在远程身份认证、语音操控声纹锁以及案件嫌疑人甄别等领域应用越来越广泛。因此，声纹识别系统的安全性是十分重要的。

针对基于深度神经网络的声纹识别系统的攻击通常包括以下几种。1.偷取模型，黑客通过各种先进手段，将部署在服务器中的模型文件窃取。2.数据投毒，针对深度学习的数据投毒主要是指向深度学习的训练样本中加入异常数据，导致模型在遇到某些条件时候会产生分类错误，比如后门攻击算法就是在中毒数据中添加一个后门标记，使得模型中毒。3.对抗样本，对抗样本是指在数据集中通过故意添加细微的干扰所形成的输入样本，这种样本导致模型以高置信度给出一个错误的输出。简单的讲，对抗样本通过在元素数据上叠加精心构造的人类难以察觉的扰动，使深度学习模型产生分类错误。其中对抗样本是所需代价最小的攻击手段。

对抗样本的攻击场景可以分为三类：了解详细模型信息的白盒下的对抗攻击、了解少量模型信息(如输出的各个类别的置信度分数)的灰盒下的对抗攻击和不了解模型信息的黑盒下的对抗攻击。白盒下和灰盒下的对抗攻击受限于目标模型的信息，在大多数真实世界的场景中都不可用，黑盒下的对抗攻击技术虽然更具有现实意义，但目前还不成熟，攻击成功率较低，生成的对抗样本也很容易被察觉到添加了扰动。所以提高黑盒下的对抗样本的攻击效率和隐蔽性，降低生成对抗样本的成本是重要且具有挑战性的。

目前的一些解决方案，例如专利《一种基于边界攻击的声纹识别对抗样本生成方法》提出的方法，不需要获得目标模型的信息，选择一个初始的样本点，循环迭代下面的步骤：加入标准高斯分布中的随机扰动；然后再加入一个能够使对抗样本接近原始样本的扰动。循环的过程中调整加入扰动的超参数，最终得到一个对抗样本。该方法的优势在于是完全黑盒下的对抗攻击。

论文《Black-box Attacks on Spoofing Countermeasures UsingTransferability of Adversarial Examples》提出了一种依次攻击多个声纹识别模型来生成对抗样本的方法，通过白盒下对多个模型的攻击，生成一种能够攻击目标黑盒模型的方法，该方法完全不需要与目标模型进行交互。

专利CN113571067A提出一种基于规则的文本生成方法，该方法不利用模型的内部结构，只是在可能存在对抗样本的空间里搜索，这样生成的对抗样本扰动会比较大，最重要的是这种方法需要不断的访问目标模型，很容易被目标模型的多次访问检测机制防御，这一方法不易应用到现实世界中。论文《Black-box Attacks on Spoofing CountermeasuresUsing Transferability of Adversarial Examples》一种依次攻击多个声纹识别模型来生成对抗样本的方法，这种依次攻击收集到的白盒模型进而迁移攻击到目标模型的方式是可行的，但是其完全抛弃了目标模型的作用，并且其攻击白盒模型的方式(MI-FGSM)比较古老了，攻击效率并不是很高，最终导致其攻击成功率并不是非常高。