基于隐写的通用对抗扰动生成方法、介质及计算机设备技术

本发明专利技术属于深度学习安全技术领域，公开了一种基于隐写的通用对抗扰动生成方法、介质及计算机设备，所述基于隐写的通用对抗扰动生成方法包括获取原始样本集、目标模型和隐写模型；初始化掩码和模式；计算扰动，并将扰动隐写到原始样本中得到对抗样本；计算损失，优化掩码和模式；判断是否满足终止条件；检查是否触发了早停机制，进行新一轮的迭代；计算并保存最终的扰动。本发明专利技术可应用于图像识别、自动驾驶、生物特征识别等各种图像分类场景，通过深度隐写模型将局部的对抗噪声隐写到目标样本的全局范围内，在不被察觉下对人工智能系统发动攻击，影响系统的正常功能，以攻促防，推动人工智能系统朝着更健壮的方向发展。工智能系统朝着更健壮的方向发展。工智能系统朝着更健壮的方向发展。

【技术实现步骤摘要】
基于隐写的通用对抗扰动生成方法、介质及计算机设备


[0001]本专利技术属于深度学习安全
，尤其涉及一种基于隐写的通用对抗扰 动生成方法、介质及计算机设备。

技术介绍

[0002]目前，深度神经网络广泛应用于图像识别、智能语音识别、垃圾邮件过滤、 机器翻译、自动驾驶系统等领域。深度神经网络在各领域中发挥着巨大作用的 同时，其安全问题也逐渐暴露出来。大量研究发现，深度神经网络容易受到对 抗样本的影响，即它们很容易被人类不易察觉的扰动所愚弄，导致神经网络以 高置信度输出错误的预测。
[0003]现有的对抗扰动生成方法大都为每个样本生成特定的对抗性扰动，这种扰 动只适用于特定的样本，不能在样本间传递。此类对抗扰动生成方法时间代价 高，且在实际应用场景中难以部署。最新的研究表明，通用对抗扰动实现了扰 动的通用性，无需为每个样本生成特定的对抗扰动，在测试阶段也不需要获取 目标模型的信息即可执行攻击，其对神经网络的威胁更大。目前通用对抗扰动 生成方法有两个主要目标：(1)实现扰动的通用性，在测试阶段，将生成的通 用对抗扰动应用到与训练样本同一数据集的样本上能获得高的攻击成功率，在 不同数据集或者不同模型上该通用对抗扰动具有良好的迁移性；(2)实现扰动 的隐蔽性，生成的通用对抗扰动应该是人类难以察觉的。
[0004]现有的通用对抗扰动生成方法一般难以兼顾扰动的通用性与扰动的隐蔽 性，例如，申请公布号为CN111680292A，名称为“一种基于高隐蔽性通用扰动 的对抗样本生成方法”的专利技术专利申请，公开了一种基于高隐蔽性通用扰动的对 抗样本生成方法，该方法首先最大化一批训练样本的损失，得到通用损失函数， 以实现基本的通用性扰动生成，然后，在所述的通用损失函数中加入对目标攻 击类之外样本的修正，构建无目标、有目标通用性对抗扰动生成的损失函数， 采用梯度下降的方式对所述损失函数进行优化训练，得到初步的通用性扰动， 最后采用低通滤波对所述初步的通用性扰动进行过滤，去除高频噪音，得到最 终的通用对抗扰动。该方法存在的缺陷是，得到初步的通用性扰动后，使用低 通滤波过滤，以提高扰动的隐蔽性，但去除高频噪音这一过程导致通用对抗扰 动的攻击成功率显著下降，无法保证扰动的通用性，即该方法无法兼顾扰动的 通用性与扰动的隐蔽性。
[0005]通过上述分析，现有技术存在的问题及缺陷为：现有的通用对抗扰动生成 方法无法兼顾扰动的通用性与扰动的隐蔽性。
[0006]解决以上问题及缺陷的难度为：扰动的通用性与扰动的隐蔽性相互制约， 扰动的通用性的提升以扰动的隐蔽性为代价，隐蔽性的提升必然牺牲扰动的通 用性，现有方法难以很好的权衡二者的关系。为了保障扰动的通用性，即添加 扰动后的对抗样本能够实现高的攻击成功率，现有扰动大都以人眼可见的方式 添加到样本上，扰动易被察觉，而现有的高隐蔽性扰动不能满足通用性这一需 求。
[0007]解决以上问题及缺陷的意义为：兼顾扰动的通用性与扰动的隐蔽性的对抗 样本能够在不被察觉的情况下执行攻击，对人工智能系统构成严重安全隐患。 解决以上问题及
缺陷将推动对抗样本攻击领域的发展，以攻促防，构建更加稳 健的人工智能系统。

技术实现思路

[0008]针对现有技术存在的问题，本专利技术提供了一种基于隐写的通用对抗扰动生 成方法、介质及计算机设备。
[0009]本专利技术是这样实现的，一种基于隐写的通用对抗扰动生成方法，所述基于 隐写的通用对抗扰动生成方法，包括：
[0010]步骤一，获取原始样本集、目标模型和隐写模型：准备好生成扰动所需的 数据集与模型。
[0011]步骤二，初始化掩码mask和模式pattern；在首次执行步骤三计算扰动时提供 掩码和模式的初始值。
[0012]步骤三，由mask和pattern计算扰动，并将扰动隐写到原始样本中得到对抗样 本：获取对抗样本用于训练，以在步骤四中优化mask和pattern。
[0013]步骤四，计算损失，优化mask和pattern：使用两个损失函数分别对扰动的攻 击性能和隐蔽性进行优化，将扰动的隐写纳入训练过程中，得到更具通用性， 隐蔽性更高的扰动。
[0014]步骤五，epoch自增，若epoch小于总的迭代次数epochs，则执行步骤六，否 者执行步骤七，其中epodh表示当前迭代次数，epoch的初始值为0，epochs≥500； 控制迭代次数，当执行到一定的迭代次数后终止迭代。
[0015]步骤六，检查是否触发了早停机制，若满足早停条件，则执行步骤七，若 不满足，重复步骤三
‑
步骤六，进行新一轮的迭代；利用早停机制，获得更好的 泛化性能、节省训练时间成本。
[0016]步骤七，计算并保存最终的扰动，达成方案目的。
[0017]进一步，所述步骤一中，获取原始样本集、目标模型和隐写模型，具体过 程为：
[0018]第一步，从含有M个类别的目标数据集中选取样本，为数据集中每一个类别 随机选择N个不重复的样本，将选择的这些样本变换成相同尺寸W*H*C，组成规 模为M
×
N的原始样本集X，将ImageNet数据集作为目标数据集，M＝1000，N＝10， W＝224，H＝224；
[0019]第二步，获取预先训练好的目标模型的网络结构和权重，得到目标模型， 将VGG16作为目标模型；
[0020]第三步，获取预先训练好的隐写模型的网络结构和权重，得到隐写模型； 隐写模型HNet(
·
)，将原始样本与通用对抗扰动图像的数据格式都使用transpose() 函数转化为「C，H，W]格式，C表示通道，H表示图像的高度，W表示图像的宽度；使 用concat()函数在C所在维度上拼接原始图像和扰动图像，拼接后的图像作为该隐 写模型的输入。
[0021]进一步，所述步骤二中，初始化掩码mask和模式pattern，具体过程为：
[0022]a、使用random()函数随机生成与原始样本相同尺寸W*H的单通道掩码图像 mask，并将mask中每一个元素的值限定在给定的上下界内；其中，上界 MASK_MAX＝1，下界MASK_MIN＝0；
[0023]b、使用random()函数随机生成与原始样本相同尺寸w*H的RGB模式图像 pattern，并将pattern中每一个元素的值限定在给定的上下界内；其中，上界 PATTERN_MAX＝255，下
界PATTERN_MIN＝0。
[0024]进一步，所述步骤三中，由mask和pattern计算扰动，并将扰动隐写到原始样 本中得到对抗样本，具体过程为：
[0025]A、将mask与pattern对应位置元素相乘，表示为mask
⊙
pattern，得到扰动图 像；
[0026]B、使用预先训练好的隐写模型将通用对抗扰动隐写到原始样本中，获得 对抗样本；隐写的实现方式为x
adv
＝HNet(mask...

【技术保护点】

【技术特征摘要】
1.一种基于隐写的通用对抗扰动生成方法，其特征在于，所述基于隐写的通用对抗扰动生成方法，包括：步骤一，获取原始样本集、目标模型和隐写模型；步骤二，初始化掩码mask和模式pattern；步骤三，由mask和pattern计算扰动，并将扰动隐写到原始样本中得到对抗样本；步骤四，计算损失，优化mask和pattern；步骤五，epoch自增，若epoch小于总的迭代次数epochs，则执行步骤六，否者执行步骤七，其中epoch表示当前迭代次数，epoch的初始值为0，epochs≥500；步骤六，检查是否触发了早停机制，若满足早停条件，则执行步骤七，若不满足，重复步骤三
‑
步骤六，进行新一轮的迭代；步骤七，计算并保存最终的扰动。2.如权利要求1所述基于隐写的通用对抗扰动生成方法，其特征在于，所述步骤一中获取原始样本集、目标模型和隐写模型过程为：第一步，从含有M个类别的目标数据集中选取样本，为数据集中每一个类别随机选择N个不重复的样本，将选择的这些样本变换成相同尺寸W*H*C，组成规模为M
×
N的原始样本集X，将ImageNet数据集作为目标数据集，M＝1000，N＝10，W＝224，H＝224；第二步，获取预先训练好的目标模型的网络结构和权重，得到目标模型，将VGG16作为目标模型；第三步，获取预先训练好的隐写模型的网络结构和权重，得到隐写模型；隐写模型HNet(
·
)，将原始样本与通用对抗扰动图像的数据格式都使用transpose()函数转化为[C，H，W]格式，C表示通道，H表示图像的高度，W表示图像的宽度；使用concat()函数在C所在维度上拼接原始图像和扰动图像，拼接后的图像作为该隐写模型的输入。3.如权利要求1所述基于隐写的通用对抗扰动生成方法，其特征在于，所述步骤二中初始化掩码mask和模式pattern过程为：a、使用random()函数随机生成与原始样本相同尺寸W*H的单通道掩码图像mask，并将mask中每一个元素的值限定在给定的上下界内；其中，上界MASK_MAX＝1，下界MASK_MIN＝0；b、使用random()函数随机生成与原始样本相同尺寸W*H的RGB模式图像pattern，并将pattern中每一个元素的值限定在给定的上下界内；其中，上界PATTERN_MAX＝255，下界PATTERN_MIN＝0。4.如权利要求1所述基于隐写的通用对抗扰动生成方法，其特征在于，所述步骤三中由mask和pattern计算扰动，并将扰动隐写到原始样本中得到对抗样本过程为：A、将mask与pattern对应位置元素相乘，表示为mask
⊙
pattern，得到扰动图像；B、使用预先训练好的隐写模型将通用对抗扰动隐写到原始样本中，获得对抗样本；隐写的实现方式为x
adv
＝HNet(mask
⊙
pattern,x)，即将原始样本x与通用对抗扰动mask
⊙
pattern按照步骤S101中的第三步进行拼接，将拼接后的图像送入到隐写模型进行隐写，将通用对抗扰动mask
⊙
pattern隐写到原始样本x中，得到隐写扰动后的对抗样本；C、按照步骤B的方式在样本集的每个样本上进行扰动隐写，即步骤B需要重复执行M
×
N次。
5.如权利要求1所述基于隐写的通用对抗扰动生成方法，其特征在于，所述步骤四中计算损失，优化mask和pattern过程为：1)、将一批添加了扰动的样本输入预先训练好的目标模型获得预测值，这批样本的数量为M
×
N，计算这批样本的平均攻击成功率acc；2)、计算原始样本和扰动样本的正则化损失loss_reg，采用L2正则化方法，再将loss_reg、目标模型对于扰动样本的预测值以及样本的真实标签代入无目标损失函数中，得到总的损失loss；3)、最小化损失loss，使用优化器优化mask和pattern，用adam优化器进行优化；4)、当同时满足acc<ε和loss_reg<reg_best两个条件时，令mask_best＝mask、pattern_best＝pattern、reg_best＝loss_reg，其中ε为攻击阈值，要求0＜ε≤1，reg_best为最好正则化的值，其初始值为无穷大，mask_best、patter...

【专利技术属性】
技术研发人员：高海昌，刘欢，王宇飞，高艺鹏，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：