一种基于动态化网络结构学习的黑盒攻击系统技术方案

本发明专利技术涉及计算机视觉图像处理领域，具体是一种基于动态化网络结构学习的黑盒攻击方法。提出了在无真实数据参与条件下的对于未知场景的目标黑盒模型的攻击方法。其中针对多样化的目标黑盒模型，提出了动态化网络结构学习的替代模型训练方法，自主性地生成最优的替代模型结构，并提出了基于结构化信息图的优化约束以提升替代模型的学习质量与效率，从而进一步提高其生成的对抗样本的攻击性能。该方法具有查询次数少、学习效率高、攻击成功率高等优点，非常适合无任何先验知识的黑盒攻击场景。非常适合无任何先验知识的黑盒攻击场景。非常适合无任何先验知识的黑盒攻击场景。

【技术实现步骤摘要】
一种基于动态化网络结构学习的黑盒攻击系统


[0001]本专利技术属于计算机视觉图像处理领域，具体涉及一种基于动态化网络结构学习的黑盒攻击系统。

技术介绍

[0002]随着深度网络模型在现实世界中各个任务上的广泛应用，越来越多的研究者们开始关注深度网络模型的安全性和鲁棒性。逐渐发现了在干净图片上添加扰动后生成的对抗样本可以成功攻击深度网络模型，从而引起模型的预测错误。
[0003]针对深度模型的对抗攻击主要可以分为两类：其一，白盒攻击，即攻击者可以获取到目标深度模型的具体网络结构和参数，现有的方法往往通过目标模型的梯度进行反向攻击直接生成对抗样本，从而达到较高的攻击成功功率；其二，黑盒攻击，即攻击者无法直接获取目标深度模型的具体网络结构和参数，现有的方法往往通过提升在其他白盒模型上生成的对抗样本的攻击迁移性，或通过训练一个近似目标模型的替代模型来生成对抗样本实现攻击，然而这些现有的黑盒攻击技术仍存在攻击成功率低并且需要依赖对目标模型一定的先验知识上，例如，模型任务，训练数据，类别数目等。
[0004]为了更好实现具有实用性和高强度的黑盒攻击，现有技术提出了无数据条件下的黑盒攻击，即，在黑盒攻击任务上另外要求了不采用真实数据进行替代模型的训练。第一种通过噪声输入生成器生成大量样本，同时借助了知识蒸馏的网络结构，通过约束目标模型和替代模型的输出一致性来提升攻击样本的质量。第二种通过关注于生成器生成样本的质量，提高生成样本的多样性，来进一步提升知识蒸馏训练的高效性。然而，它们都依赖于对目标模型的分类数量的先验知识，并且需要从多个不同网络结构的替代模型中择其最优。

技术实现思路

[0005]本专利技术提出了一种在无真实数据参与条件下的基于动态化网络结构学习的黑盒攻击系统。对于未知场景下的目标黑盒模型和隐私保护需求，在无法直接获取目标深度模型的具体网络结构和参数，并且不了解目标黑盒模型的任务需求、训练数据、分类数量等先验知识的情况下，实现高质量的动态化结构的替代模型训练，从而完成高成功率的黑盒攻击任务。
[0006]前面，曾分析到现有的相关对抗样本生成算法往往依赖于对目标模型的分类数量的先验知识，并且需要从多个不同网络结构的替代模型中择其最优，这会导致这些算法的实用性大大降低并且需要耗费较多的计算资源。因而，如何在没有任何关于目标模型先验知识的情况下，通过一次性训练学习的方式直接获得最优的替代模型是本专利技术的技术要点。
[0007]为了实现以上目标，本专利技术提出了动态化网络结构学习的替代模型训练方法，摆脱了固定静态化的替代模型网络结构限制，从而实现了根据不同目标模型实现自主化网络结构优化生成的目标。与此同时，为了进一步提升知识蒸馏训练的质量和效率，我们根据目
标模型的多个输出构建结构化信息图，并促使替代模型从多个输出之间的结构化特征间学习到更为关键和隐蔽的知识信息，提高基于该替代模型的对抗样本的攻击强度。
[0008]本专利技术的具体步骤如下：
[0009]一种基于动态化网络结构学习的黑盒攻击系统，包括基于结构化信息图的优化约束和动态化网络结构学习的替代训练，所述替代训练具体包括以下步骤：
[0010]S1：生成替代训练数据；
[0011]S2：基于结构化信息图的优化约束的替代训练；
[0012]S3：生成动态化网络结构学习的替代模型；
[0013]S4：将测试数据送入替代模型，通过白盒攻击方式生成对抗样本，并对目标黑盒模型进行攻击测试。
[0014]所述步骤S1具体包括以下步骤：
[0015]S11：根据高斯分布随机生成噪声样本；
[0016]S12：将噪声样本送入生成器中生成替代训练数据。
[0017]所述步骤S2具体包括以下步骤：
[0018]步骤21：将生成器生成的替代训练数据分别送入目标模型和替代模型中获得相应的输出；
[0019]步骤22：根据目标模型和替代模型的多个输出计算点节点和边特征，并构建相应的结构化信息图；
[0020]步骤23：根据目标模型和替代模型输出得到的结构化信息图，计算基于结构化信息图的优化损失函数；
[0021]步骤24：根据基于结构化信息图的优化损失函数缩小目标模型和替代模型输出间的距离，更新并优化替代模型网络参数；
[0022]步骤25：根据基于结构化信息图的优化损失函数扩大目标模型和替代模型输出间的距离，更新并优化生成器网络参数；
[0023]所述步骤22的结构化信息图包括点节点和边特征，所述点节点由模型的输出本身表达，所述边特征为两两点节点之间的特征欧氏距离差。
[0024]所述步骤23采用Kullback
‑
Leibler散度来衡量点节点之间的距离，用MSE损失函数来表示边特征之间的距离。
[0025]所述步骤S3具体包括以下步骤：
[0026]步骤31：根据输入的特征向量，经过平均池化层和全连接层进行简单处理；
[0027]步骤32：通过门函数来预测是否跳过当前残差分支。
[0028]所述步骤32采用Hard
‑
Sigmoid函数作为门函数H，并设定阈值为0.5，实现动态门输出的二值化。
[0029]综上所述，本专利技术的创新之处在于：
[0030](1)针对多样化的目标黑盒模型，提出了动态化网络结构学习的替代模型训练方法，利用动态门结构的学习，针对不同的目标模型自主性地生成最优的替代模型结构，从而避免了训练多个不同网络结构的替代模型中择其最优的消耗计算量的问题。
[0031](2)基于知识蒸馏的替代模型训练方式，提出了基于结构化信息图的优化约束，通过多个输出之间结构化的信息约束提升替代模型的学习质量与效率，从而进一步提高其生
成的对抗样本的攻击性能。
附图说明
[0032]附图1是本专利技术提出的基于动态化网络结构学习的黑盒攻击系统图；
[0033]附图2是本专利技术提出的动态化网络结构学习的替代模型训练方法示意图；
[0034]附图3是本专利技术提出的基于动态化网络结构学习的黑盒攻击流程图。
[0035]实施方式
[0036]为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于理解，以下结合附图对本专利技术的技术方案进行详细阐述。
[0037]图1为本专利技术提出的针对分类任务模型的基于动态化网络结构学习的黑盒攻击系统图。该系统100包括媒体数据101,计算机设备110和展示设备191。媒体数据101可以是视频内容,如电影等,也可以是图像内容。媒体数据101可以通过电视、因特网传播。在某些具体案例中,媒体数据101还可以是包含多种类别多样化的图片数据。计算设备110是处理媒体数据101的计算设备,主要包括计算机处理器120和内存130。处理器120是一个用于计算设备110的硬件处理器，如中央处理器CPU,图形计算处理器GPU。内存130是一个非易失的存储设备，用于储存计算机代码用于处理器120的计算过程，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态化网络结构学习的黑盒攻击系统，其特征在于，包括基于结构化信息图的优化约束和动态化网络结构学习的替代训练，所述替代训练具体包括以下步骤：S1：生成替代训练数据；S2：基于结构化信息图的优化约束的替代训练；S3：生成动态化网络结构学习的替代模型；S4：将测试数据送入替代模型，通过白盒攻击方式生成对抗样本，并对目标黑盒模型进行攻击测试。2.根据权利要求1中所述的黑盒攻击系统，其特征在于，所述步骤S1具体包括以下步骤：S11：根据高斯分布随机生成噪声样本；S12：将噪声样本送入生成器中生成替代训练数据。3.根据权利要求1中所述的黑盒攻击系统，其特征在于，所述步骤S2具体包括以下步骤：步骤21：将生成器生成的替代训练数据分别送入目标模型和替代模型中获得相应的输出；步骤22：根据目标模型和替代模型的多个输出计算点节点和边特征，并构建相应的结构化信息图；步骤23：根据目标模型和替代模型输出得到的结构化信息图，计算基于结构化信息图的优化损失函数；步骤24：根据基于结构化信息图的优化损失函数缩小目标模型和替...

【专利技术属性】
技术研发人员：薛向阳，王文萱，钱学林，付彦伟，
申请(专利权)人：复旦大学，
类型：发明
国别省市：