[发明专利]一种基于元学习的图像稀疏对抗样本生成方法

说明书

本发明提供了一种基于元学习的图像稀疏对抗样本生成方法，包括以下步骤：步骤1，在图像分类模型组成的白盒模型集合中随机采样n个模型；步骤2，元训练阶段；步骤3，元测试阶段；步骤4，对于当前的对抗样本，采样投影策略将全局扰动稀疏化，得到具有稀疏性的对抗样本；步骤5，重复步骤1～步骤4T次,直到对抗样本的更新次数达到预定的迭代次数，使用得到的对抗样本攻击目标黑盒模型。本发明能够将元学习与基于梯度的稀疏攻击方法相结合，将多个模型的梯度信息融合，并且在元测试阶段进行模拟黑盒攻击约束梯度的更新方向与白盒攻击相似，使得更新的对抗样本不会过拟合于单个模型，有效的提高了对抗样本对黑盒模型攻击的成功率。

技术领域

本发明涉及一种基于元学习的图像稀疏对抗样本生成方法。

背景技术

随着深度神经网络(Deep Neural Network)技术的发展，深度神经网络在图像分类得到广泛应用并取得了重大突破。但自Szegedy等人在2014年首次在图像分类任务中成功构造对抗样本以来，深度神经网络的脆弱性和安全性问题得到了广泛的关注，对抗样本生成方法的研究也一直是深度神经网络安全领域研究的热点。图像对抗样本是一种在原始图像样本上人为故意添加细微扰动生成的一种对抗性样本，该样本能够使图像分类模型输出错误标签，但人眼却无法察觉其与原始样本的差异性。

由于神经网络的工作原理缺乏可解释性，对于对抗样本的研究便具有显著意义，一方面对抗样本的存在揭示了深度神经网络的弱点，为探索深度神经网络的可解释研究提供了方向；另一方面对抗样本的存在为进一步提升深度神经网络的鲁棒性研究提供了理论基础，促进了深度神经网络安全攻防技术的发展。因此，基于上述理由，对抗攻击领域发展迅速，众多对抗攻击方法相继提出。

按对抗扰动大小进行分类，对抗攻击可以分为稀疏攻击和全局攻击。其中，稀疏攻击是指攻击者通过对抗攻击方法构造的图像对抗样本只能在部分像素点上添加扰动，即扰动添加的位置受到约束。通常稀疏攻击为了取得较好的稀疏效果，需要权衡各个像素点的扰动优先级，因此稀疏攻击相比全局攻击的攻击难度更大，但生成的图像对抗样本与原始图像样本的相似度更高，因此更具有研究价值。此外，按获得模型信息多少可以分为白盒攻击和黑盒攻击。黑盒攻击是指攻击者对目标模型无法获取任何信息，只能得到模型对输入样本的输出标签。与白盒攻击相比，由于可用信息更少，因此黑盒攻击更贴近现实场景，成为研究热点。

黑盒攻击主要分为基于迁移的黑盒攻击和基于查询的黑盒攻击。基于迁移的黑盒攻击利用图像对抗样本的迁移性，即在源模型上生成的图像对抗样本不仅可以攻击自身模型，同时还可以攻击其他模型。研究发现对抗攻击在源模型上的攻击性和在目标模型上的攻击性存在trade-off，尤其对于稀疏攻击，因为稀疏性的对抗扰动一般会严重过拟合于源模型，从而导致迁移性不佳，因此提高图像对抗样本的迁移性成了研究重点。MI-FGSM方法提出利用动量项来积累迭代计算得到的梯度从而稳定更新方向，从而缓解过拟合现象，增强迁移性。中间层攻击方法提出在源模型中间层的特征图上计算损失并利用相应的梯度信息生成对抗样本。DIM方法利用数据增强操作和MI-FGSM相结合，希望通过增加输入的复杂度从而得到更多样化的梯度信息。上述方法对迁移性具有一些提升作用，但无法兼具稀疏性，因此需要提供一种新的方法，同时提升图像对抗样本的稀疏性和迁移性，能够达到对图像分类中的黑盒模型攻击成功率高并且对抗样本图像质量好的效果。

元学习(Meta-learning)，又被称为“学会学习”(Learning to learn)，即通过利用过往的知识经验来指导当前新任务的学习，使网络拥有学会学习的能力，是小样本问题(Few-shot Learning)为了解决问题常用的解决方法之一。在机器学习中，为了得到稳定且具有较强泛化性能的模型，一般需要大量的训练数据来对模型进行训练，但小样本学习问题由于只有较少的训练数据便使其成为了一个难点。因此，如何利用其他相似任务的学习过程，如何通过知识迁移来增加学习器在多任务间的泛化能力便是问题的关键。元学习便提供了一种新的学习模式，通过自动学习其他任务知识，在新任务中使用少量训练数据便可快速学习新任务的知识。利用元学习的知识迁移能力，在生成对抗样本时便可提高其迁移性。

发明内容