[发明专利]一种基于元学习的图像稀疏对抗样本生成方法

权利要求书

1.一种基于元学习的图像稀疏对抗样本生成方法，其特征在于，包括以下步骤：

步骤1，在图像分类模型组成的白盒模型集合中随机采样n个模型，其中前n-1个分类模型用于元训练阶段，第n个分类模型用于元测试阶段；

步骤2，元训练阶段：在采样得到的前n-1个模型上进行白盒攻击生成具有迁移性的对抗样本，将待输入分类模型获取分类标签的原始图像样本x输入前n-1个白盒分类模型，得到模型输出logits值，并进行加权融合，根据加权融合后的logit值计算当前图像的交叉熵损失函数值，并采取基于梯度的攻击方法利用交叉熵损失函数的梯度值更新对抗攻击样本；logits值表示输出类别概率值；

步骤3，元测试阶段：利用第n个模型进行一次模拟黑盒攻击，并更新对抗样本；计算模型对当前对抗样本的交叉熵损失函数值，并根据梯度更新对抗样本；

步骤4，对于当前的对抗样本，采样投影策略将全局扰动稀疏化，得到具有稀疏性的对抗样本；

步骤5，重复步骤1～步骤4T次,直到对抗样本的更新次数达到预定的迭代次数，使用得到的对抗样本攻击目标黑盒模型。

2.根据权利要求1所述的方法，其特征在于，步骤1包括：在具有N个模型的白盒模型集合M₁,M₂,…,M_N中，随机采样得到n个模型前n-1个模型在步骤2中作为白盒模型进行白盒攻击，第n个模型在步骤3中作为黑盒模型模拟黑盒攻击，M_N表示第N个模型，表示第n个模型。

3.根据权利要求2所述的方法，其特征在于，步骤2包括：

步骤2-1：对于待输入分类模型获取分类标签的原始图像样本x，设定对抗样本更新迭代过程的起点为x_i,j，其中下角标i表示外循环中步骤2执行次数，下角标j表示步骤2内部循环次数；对于随机采样得到的n-1个模型计算当前对抗样本经模型输出得到的logits输出值，并加权融合：

其中表示第s个模型对于当前对抗样本x_i,j的logits输出值，l(x_i,j)表示n-1个模型加权融合后的输出logits值，w_s表示每个模型的加权系数，并且w_s≥0，

步骤2-2：根据步骤2-1计算得到的融合logits输出值，通过交叉熵损失函数计算当前对抗样本的损失函数值：

其中y为原始样本的真实标签，表示对真实标签的one-hot(独热码)编码，softmax是归一化函数，表示当前对抗样本在前n-1个模型上的交叉熵损失函数值；

步骤2-3：根据损失函数值计算对当前对抗样本的梯度，并根据快速梯度符号法来更新当前对抗样本：

其中sign为符号函数，α为每次更新对抗样本的步长，x_i,j+1表示一次迭代更新后的对抗样本；

步骤2-4：重复步骤2-1～步骤2-3K次，K为超参数，得到步骤2阶段最终的对抗样本x_i,K。

4.根据权利要求3所述的方法，其特征在于，步骤3包括：

步骤3-1：元测试阶段，利用采样得到的最后一个模型对齐进行一次模拟黑盒攻击；根据步骤2得到的对抗样本x_i,K，输入模型得到输出logit值，并计算交叉熵损失函数值

步骤3-2：根据损失函数值计算对当前对抗样本的梯度，并根据快速梯度符号法来对最初的对抗样本x_i进行更新：

其中β为元测试阶段更新对抗样本的步长，x_u+1为元测试阶段最终的对抗样本。