一种基于DQN的局部像素扰动黑盒攻击方法技术

技术编号：41834732 阅读：3 留言：0更新日期：2024-06-27 18:18

一种基于DQN的局部像素扰动黑盒攻击方法；包括，将对抗攻击问题定义为一个多目标优化问题；利用注意力机制对原始图像的高层特征和浅层特征进行融合得到融合特征，对融合特征进行聚类以计算原始图像的显著性二值掩码，进而确定其关键区域；设计并训练关于原始图像的自编码器；利用所得自编码器对原始图像的关键区域进行压缩，将像素空间压缩到潜在空间；利用Deep Q Network(DQN)解决多目标优化问题，学习找到可以平衡多个优化目标的生成对抗样本的最佳策略；最后，利用学习到的最佳策略生成对抗样本。本发明专利技术将基于深度神经网络的图像分类模型作为黑盒攻击的目标模型，通过解决多目标优化问题来构建对抗样本，实现对目标模型高效、隐蔽的黑盒攻击。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于深度学习，尤其涉及一种基于dqn(deep q network)的黑盒攻击方法。

技术介绍

1、尽管深度神经网络在很多领域都取得了惊人的成绩，但相关研究表明，深度神经网络容易受到对抗样本的攻击。基于对目标模型的可见性，这些攻击可分为白盒攻击和黑盒攻击。虽然当前的研究已经能在白盒攻击场景中构造扰动微小且攻击效果良好的对抗样本，但在黑盒环境中生成更加自然的对抗样本仍具有一定挑战。

2、目前在黑盒攻击中，评价对抗样本的三个关键的指标为：攻击成功率、对目标模型的查询次数和图像失真程度。现有的基于查询的黑盒攻击通常需要在像素空间中进行大量的查询来维持较高的攻击成功率(bai y,wang y,zeng y,et al.query efficient black-box adversarial attack on deep neural networks.pattern recognition,133(2023):109037.)。此外，在保持较高攻击成功率的同时生成视觉质量更高的对抗样本亦是当前研究的难点(duan m,qin y,deng j,et al.dual attention adversarial attacks withlimited perturbations.ieee transactions on neural networks and learningsystems,2023,1-15.)。

3、综上所述，现有技术存在的问题是：其一，黑盒攻击下对抗样本的自然性与有效性。当前的方法

4、解决上述技术问题的难度：现有方法往往难以在攻击成功率、对目标模型的查询次数和图像失真程度这三个方面实现完美的兼顾，维持较高的攻击成功率必然会增加查询开销或牺牲对抗样本的自然性，因此往往只能在各方面进行权衡折中。

技术实现思路

1、针对现有技术存在的问题，本专利技术提供了一种基于dqn的局部像素扰动黑盒攻击方法。

2、本专利技术实现了一种基于dqn的局部像素扰动黑盒攻击方法，所述方法包括：

3、第一步，将对抗攻击问题定义为一个多目标优化问题；

4、第二步，利用注意力机制对原始图像的高层特征和浅层特征进行融合得到融合特征，对融合特征进行聚类以计算原始图像的显著性二值掩码，进而确定其关键区域；

5、第三步，设计并训练关于原始图像的自编码器；

6、第四步，利用所得自编码器对原始图像的关键区域进行压缩，将像素空间压缩到潜在空间；

7、第五步，在潜在空间中，利用dqn解决多目标优化问题，学习找到可以平衡多个优化目标的生成对抗样本的最佳策略；

8、第六步，利用学习到的最佳策略生成对抗样本。

9、本专利技术的优点及积极效果为：本专利技术将对抗样本生成问题定义为多目标优化问题，在攻击成功率和扰动大小两个评价指标之间进行折中；通过仅对图像的局部像素值进行修改，有效减少图像失真，从而生成更高质量的对抗样本；将像素空间压缩到了图像潜在空间，获得攻击者的高稳定性和良好的收敛性；利用强化学习使得攻击者可以在有限的步骤中对大多数原始图像生成对抗样本，提高了查询效率。

10、以下将结合附图及实施例对本专利技术做进一步说明。

本文档来自技高网...

【技术保护点】

1.一种基于DQN的局部像素扰动黑盒攻击方法，其特征在于，所述方法包括：

2.如权利要求1所述的基于DQN的局部像素扰动黑盒攻击方法，其特征在于，所述第一步将对抗攻击问题定义为一个多目标优化问题；具体包括：

3.如权利要求1所述的基于DQN的局部像素扰动黑盒攻击方法，其特征在于，所述第二步利用注意力机制对原始图像的高层特征和浅层特征进行融合得到融合特征，对融合特征进行聚类以计算原始图像的显著性二值掩码，进而确定其关键区域；具体包括：

4.如权利要求1所述的基于DQN的局部像素扰动黑盒攻击方法，其特征在于，所述第五步在潜在空间中，利用DQN解决多目标优化问题，学习找到可以平衡多个优化目标的生成对抗样本的最佳策略；具体包括：

5.如权利要求4所述的基于DQN的局部像素扰动黑盒攻击方法，其特征在于，进一步包括：利用对目标模型的查询结果以及对抗样本与原始图像的扰动范数来设计奖励函数，定义奖励函数公式为：

6.如权利要求1所述的基于DQN的局部像素扰动黑盒攻击方法，其特征在于，所述第六步根据学习得到的最佳策略生成对抗样本的方法为：

...

【技术特征摘要】

1.一种基于dqn的局部像素扰动黑盒攻击方法，其特征在于，所述方法包括：

2.如权利要求1所述的基于dqn的局部像素扰动黑盒攻击方法，其特征在于，所述第一步将对抗攻击问题定义为一个多目标优化问题；具体包括：

3.如权利要求1所述的基于dqn的局部像素扰动黑盒攻击方法，其特征在于，所述第二步利用注意力机制对原始图像的高层特征和浅层特征进行融合得到融合特征，对融合特征进行聚类以计算原始图像的显著性二值掩码，进而确定其关键区域；具体包括：

4.如权利要求1所述的基...

【专利技术属性】
技术研发人员：马泽柔，冯涛，王方伟，成玉丹，鲁晔，
申请(专利权)人：兰州理工大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人