基于注意力引导的自适应动量偏差对抗攻击方法技术

本发明专利技术公开了一种基于注意力引导的自适应动量偏差对抗攻击方法，包括：根据目标模型，选取代理模型，获取输入图像；构建输入图像的邻域，确定输入图像梯度和邻域中每个图像的梯度；计算邻域中图像的平均梯度，根据平均梯度和输入图像梯度计算动量偏差和输入图像动量；获取输入图像的热力图，对热力图中所有像素点的像素值进行降序排序，确定关键像素点；将输入图像动量输入符号函数，获取攻击方向，在攻击方向上添加预设干扰值，获得干扰矩阵，根据干扰矩阵对输入图像中的关键像素点添加干扰；对输入图像中的关键像素点的位置上进行概率稀疏，得到输入图像对应的对抗样本。本发明专利技术能够降低生成对抗样本所需的计算资源，并提高对抗样本的泛化性。抗样本的泛化性。抗样本的泛化性。

【技术实现步骤摘要】
基于注意力引导的自适应动量偏差对抗攻击方法


[0001]本专利技术涉及人工智能
，尤其涉及一种基于注意力引导的自适应动量偏差对抗攻击方法。

技术介绍

[0002]以深度学习为代表的人工智能技术深刻地改变着人类的生产和生活方式，并成功地应用在自然语言处理、语音识别、自动驾驶、目标检测、医学图像处理等各个领域。然而，深度神经网络很容易受到攻击，从而做出错误的判断，这给深度学习在国防安全、公共安全等安全敏感领域的应用蒙上了阴影，因此为开发更加鲁棒可靠的深度学习系统，就需要探究造成深度学习安全隐患的各种因素。
[0003]目前深度学习中最主要的安全隐患来自于对抗样本，对抗样本是指一种在干净样本中添加由攻击者特定设计的噪声的样本，例如以图像分类为例，对抗样本通过在原始图像上添加一些难以察觉的扰动获得。从人眼角度观察，对抗样本与其所对应的原始样本之间基本无任何差别，但对抗样本可以使一个训练好的深度神经网络做出错误的推断，其中，对抗样本致使深度神经网络预测错误结果的过程被定义为对抗攻击。因此，有必要对深度神经网络的对抗攻击进行深入研究。
[0004]在现实世界中，对抗攻击可能被利用并导致严重的安全问题，例如自动驾驶汽车的深度学习系统受到对抗攻击时，将会导致深度学习系统对交通标志牌的错误判断，从而造成严重的交通事故。当然，对抗攻击也具有正面作用，例如在军事对抗领域，通过生成对抗样本对敌对方的深度学习系统进行攻击，能够致使敌对方的深度学习系统对目标产生错误判断。此外，通过对训练完成的深度神经网络进行对抗攻击测试，也能够对深度神经网络的性能、稳定性和鲁棒性进行检测，进而基于检测结果对深度神经网络进行进一步的更新改进。
[0005]在实际应用中，若已知要攻击的深度神经网络的结构及参数时，可以根据深度神经网络的信息有针对性地生成对抗样本以进行对抗攻击。然而，在一些情况下，深度神经网络的内部信息是无法获知的，针对无法获知深度神经网络的内部信息的情况，目前采用黑盒对抗攻击方法进行对抗攻击。
[0006]现有的黑盒对抗攻击方法主要包括基于迁移的对抗攻击方法和基于查询的对抗攻击方法。其中，基于迁移的对抗攻击方法通过选择一个本地模型作为被攻击目标模型的代理模型，然后针对本地模型生成对抗样本，而后利用生成的对抗样本攻击目标模型。基于查询的对抗攻击方法通过向输入图像添加一个轻微的扰动，观察目标模型的输出变化，然而通过一系列的查询，粗略估计目标模型的梯度，在获得模型梯度后，通过使用梯度上升技术来实现对目标模型的攻击。
[0007]然而，由于不同深度神经网络模型间存在结构差异，采用基于迁移的对抗攻击方法时，生成的对抗样本在不同深度神经网络模型之间的迁移性较差，相应的攻击效果较差。采用基于查询的对抗攻击方法时，需要对深度神经网络进行大量的查询，所需消耗的计算
时间和计算资源较多，成本较高。

技术实现思路

[0008]为解决上述现有技术中存在的部分或全部技术问题，本专利技术提供一种基于注意力引导的自适应动量偏差对抗攻击方法。
[0009]本专利技术的技术方案如下：
[0010]提供了一种基于注意力引导的自适应动量偏差对抗攻击方法，包括：
[0011]根据待攻击的目标模型，选取一个本地模型作为代理模型，根据代理模型，获取对应的输入图像；
[0012]构建输入图像对应的邻域，并确定输入图像梯度和邻域中每个图像的梯度；
[0013]计算邻域中图像的平均梯度，根据平均梯度和输入图像梯度计算动量偏差，根据动量偏差和输入图像梯度计算输入图像动量；
[0014]获取输入图像的热力图，对热力图中所有像素点的像素值进行降序排序，选取位于前序的预设数量的像素点作为关键像素点；
[0015]将输入图像动量输入符号函数，获取攻击方向，在攻击方向上添加预设干扰值，获得干扰矩阵，根据干扰矩阵对输入图像中的关键像素点添加干扰；
[0016]对输入图像中的关键像素点的位置上进行概率稀疏，得到输入图像对应的对抗样本。
[0017]在一些可能的实现方式中，采用以下方式构建输入图像对应的邻域：
[0018]在输入图像上添加一个随机噪声，生成一个输入图像对应的邻域。
[0019]在一些可能的实现方式中，所述动量偏差等于邻域中图像的平均梯度与输入图像梯度的差值。
[0020]在一些可能的实现方式中，根据动量偏差和输入图像梯度计算输入图像动量，包括：
[0021]对当前得到的动量偏差和预设历史动量偏差进行线性加权处理，得到线性加权结果；
[0022]根据动量偏差的线性加权结果和输入图像梯度，计算确定输入图像动量。
[0023]在一些可能的实现方式中，利用以下公式对当前得到的动量偏差和预设历史动量偏差进行线性加权处理：
[0024]v
t
＝ω1v
F
+ω2v
H
[0025]其中，v
t
表示动量偏差的线性加权结果，ω1表示v
F
对应的权重，v
F
表示当前得到的动量偏差，ω2表示v
H
对应的权重，v
H
表示预设历史动量偏差。
[0026]在一些可能的实现方式中，利用以下公式计算确定输入图像动量：
[0027][0028]其中，g
F
表示输入图像动量，g
H
表示预设历史输入图像动量，μ表示g
H
对应的权重，表示输入图像梯度。
[0029]在一些可能的实现方式中，利用注意力机制对输入图像进行处理，获取输入图像的热力图。
[0030]在一些可能的实现方式中，对输入图像中的关键像素点的位置上进行概率稀疏，得到输入图像对应的对抗样本，进一步包括：
[0031]针对输入图像中的每个关键像素点，分别生成一个对应的随机数，若随机数大于预设阈值，对随机数对应的关键像素点的位置上进行概率稀疏，得到输入图像对应的对抗样本。
[0032]在一些可能的实现方式中，所述方法还包括：
[0033]利用对抗样本对代理模型进行对抗攻击，并判断是否攻击成功，若否，将当前得到的动量偏差作为预设历史动量偏差，将当前得到的输入图像动量作为预设历史输入图像动量，重新构建输入图像对应的邻域以重新生成对抗样本，直至攻击成功。
[0034]本专利技术技术方案的主要优点如下：
[0035]本专利技术的基于注意力引导的自适应动量偏差对抗攻击方法通过在选取本地模型作为目标模型的代理模型的基础上，利用注意力机制和自适应动量机制来生成相应的对抗样本，既能够降低所需的计算时间和计算资源，又能够提高生成的对抗样本的泛化性，提高对抗样本在不同深度神经网络模型之间的迁移性能，进而提高对抗样本对目标模型的攻击效果。
附图说明
[0036]此处所说明的附图用来提供对本专利技术实施例的进一步理解，构成本专利技术的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于注意力引导的自适应动量偏差对抗攻击方法，其特征在于，包括：根据待攻击的目标模型，选取一个本地模型作为代理模型，根据代理模型，获取对应的输入图像；构建输入图像对应的邻域，并确定输入图像梯度和邻域中每个图像的梯度；计算邻域中图像的平均梯度，根据平均梯度和输入图像梯度计算动量偏差，根据动量偏差和输入图像梯度计算输入图像动量；获取输入图像的热力图，对热力图中所有像素点的像素值进行降序排序，选取位于前序的预设数量的像素点作为关键像素点；将输入图像动量输入符号函数，获取攻击方向，在攻击方向上添加预设干扰值，获得干扰矩阵，根据干扰矩阵对输入图像中的关键像素点添加干扰；对输入图像中的关键像素点的位置上进行概率稀疏，得到输入图像对应的对抗样本。2.根据权利要求1所述的基于注意力引导的自适应动量偏差对抗攻击方法，其特征在于，采用以下方式构建输入图像对应的邻域：在输入图像上添加一个随机噪声，生成一个输入图像对应的邻域。3.根据权利要求1所述的基于注意力引导的自适应动量偏差对抗攻击方法，其特征在于，所述动量偏差等于邻域中图像的平均梯度与输入图像梯度的差值。4.根据权利要求3所述的基于注意力引导的自适应动量偏差对抗攻击方法，其特征在于，根据动量偏差和输入图像梯度计算输入图像动量，包括：对当前得到的动量偏差和预设历史动量偏差进行线性加权处理，得到线性加权结果；根据动量偏差的线性加权结果和输入图像梯度，计算确定输入图像动量。5.根据权利要求4所述的基于注意力引导的自适应动量偏差对抗攻击方法，其特征在于，利用以下公式对当前得到的动量偏差和预设历史动量偏差进行线性加权处理：v
t
＝ω1v
...

【专利技术属性】
技术研发人员：张小亚，姚雯，姜廷松，周炜恩，李超，
申请(专利权)人：中国人民解放军军事科学院国防科技创新研究院，
类型：发明
国别省市：