CN109993805A - 一种面向深度神经网络的高隐蔽性对抗性图像攻击方法 - Google Patents

Abstract

本发明公开了一种面向深度神经网络的高隐蔽性的对抗性图像攻击方法，对抗性图像是一种向原始图像中引入恶意噪声使得神经网络模型错误分类的一种攻击手段。相较以往的攻击方法利用Lp范式距离来衡量噪声大小，会产生可见噪点，本方法根据人眼对图像局部刺激的敏感程度来自适应地引入噪声，使得对抗性图像与原始图人眼不可区分，提高了攻击方法的隐蔽性。此外，本方法介绍了一种人眼感知模型来刻画人眼对图像像素值的感知冗余。为了更好的衡量人眼对对抗性图像的感知能力，本方法介绍了一种引入噪声大小的衡量指标，并作为正则项加入到优化目标中，自适应地调整噪声的分布。

Description

一种面向深度神经网络的高隐蔽性对抗性图像攻击方法

技术领域

本发明涉及一种面向深度神经网络的高隐蔽性对抗性图像攻击方法，属于人工智能安全领域。

背景技术

近年来，深度神经网络在多个领域展现出卓越的性能，例如图像处理、自然语言处理、语音识别等等。尤其深度神经网络能在图像分类领域超过人类。然而，近来的研究表明深度学习容易受到对抗性攻击，即攻击能能够在不引起注意的情况下，通过向原始图像加入精心设计的噪声，使得加噪后的图像能够欺骗神经网络，尤其是图像分类模型。这样的攻击能够严重的威胁那些对安全要求较高的应用，如人脸识别系统、恶意软件检测、自动驾驶等等。

通常，对抗性图像的合成可以表示为一个带约束的优化问题，即利用尽可能小的感知损失去误导神经网络模型，其中感知损失表现为对抗性图像相比于原始图像的不可分辨性。现有的攻击方法大多采用Lp范式距离来衡量感知损失，并作为优化目标。然而，Lp范式对每个像素平等对待，使得其对噪声的空间分布不敏感。例如，将同样大小但不同分布的噪声加入原始图像中，会求得完全相同的Lp范式距离，但这两个加噪后的图像会有完全不同的感知损失，尤其在浅色区域。因此，如果利用Lp范式作为合成对抗性图像的正则项，容易在一些易被察觉的区域产生相对较大的噪声，使得人眼可以容易地察觉到攻击，攻击隐蔽性差。

本发明认为衡量对抗性图像的感知损失不应该将每个像素同等对待，而是应该根据图像的局部特征，利用纹理掩盖、亮度掩盖等效应合理地对不同像素设置感知冗余，使得更好地掩盖对抗性噪声，提高攻击隐蔽性。

发明内容

本发明的目的是克服现有技术的不足，提供一种面向深度神经网络的自适应感知冗余的高隐蔽性对抗性图像攻击方法。

面向深度神经网络的自适应感知冗余的高隐蔽性对抗性图像攻击方法包含如下步骤：

1)给定一个目标分类神经网络，假定攻击者拥有对目标模型的白盒访问权限，并设定目标类别t。

2)为了衡量人眼对图像中不同像素点的感知冗余，引入一种新的感知模型，根据图像的亮度掩盖、纹理掩盖效应来刻画，计算出图像中单个像素值在RGB三个通道中的感知冗余。

3)为了衡量对抗性图像的感知误差，提出一种带权重的误差测量方法，首先计算每个像素的感知冗余，其倒数为每个像素的权重，然后计算噪声矩阵带权重的Lp范式距离，得到感知误差。这个距离越大，感知误差就越大。

4)基于目标函数：

min JND_p(δ)+c·loss(x+δ,t)

构建合成对抗性图像的目标函数，以感知误差作为正则项，最终合成对抗性图像。JND_p(δ)表示噪声的感知误差，loss(x+δ,t)表示噪声图x+δ的分类结果与分类目标的差异，c为权重参数。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，攻击者以一个预训练好的分类神经网络为攻击目标，并拥有对目标模型的白盒访问权限，设定目标类别为t。目标神经网络可以形式化为F(x,θ)＝y，网络模型可以表示为

F(x)＝softmax(Z(x))＝y

其中Z表示logits层，softmax表示将模型输出映射到[0,1]，y表示模型的最终输出。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，攻击者计算给定图像中每个像素点的感知冗余，主要包含像素颜色空间转换、CIE-Lab颜色空间下的感知冗余估计、采样三个步骤，计算出单个像素值在RGB三个通道中分别的感知冗余。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，所述的像素颜色空间转换步骤包括，攻击者将原始图像从RGB颜色空间转换到CIE-Lab颜色空间中，即对任意一个像素(r,g,b)转换到接着利用现有的两个模型AJNCD和NAMM来构建该像素点在CIE-Lab下的冗余空间，通过将限制AJNCD模型的亮度分量到NAMM的亮度分量，得到一个由不可区分的颜色组成的不规则的空间区域，表示为

其中是由AJNCD模型计算的像素在三个通道下的冗余，和是NAMM模型计算的亮度分量的冗余上下界，(l,a,b)表示颜色原点，(l’,a’,b’)表示与(l,a,b)不可区分的颜色点。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，所述的CIE-Lab颜色空间下的感知冗余估计步骤包括，AJNCD模型考虑两种因素，1)该像素的亮度值；2)亮度通道的属性。表示为

其中JND_Lab是一个表示CIE-Lab颜色空间下的颜色可见性的常数，S_C(a,b)表示像素的亮度，S_L(E(L),Δ)模拟了纹理掩盖效应，表示为

其中E(L)表示像素的平均背景亮度，ΔL表示最大亮度梯度。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，所述的CIE-Lab颜色空间下的感知冗余估计步骤包括，相比于色度变化，人眼感知系统通常对亮度的变化更为敏感，HAMM模型用于衡量一个像素的亮度冗余，其考虑两种影响因素：1)背景亮度掩盖；2)纹理掩盖，其表示为

其中T_l和T_t是对应的可见性阈值，Q_l,t∈(0,1)表示掩盖效应的影响。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，所述的采样步骤包括攻击者通常需要获得RGB颜色空间下的对抗性图像，但简单地将区域内的颜色转换到CIE-Lab颜色空间下是不实际的，本方案提出一种颜色采样的方法用于将CIE-Lab下的冗余颜色区域转换到RGB下。攻击者首先采样区域内有较大亮度下的最大的色度的颜色作为候选，表示为

其中和表示为分别从亮度为α_iJND_l1和α_iJND_l2采样的候选点，对于采样得到的2n个点，攻击者将其转换到RGB颜色空间下，每个通道下的冗余可以表示为

表示像素在RGB颜色空间下每个通道的像素值。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，提出一种带权重的感知误差测量方法，表示为

其中τ>0是避免jnd_i的0值。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，构建合成对抗性图像的目标函数，并分别加入感知误差作为正则项，最终合成对抗性图像，表示为

min JND_p(δ)+c·loss(x+δ,t)

其中loss(x+δ,t)表示对抗性图像x+δ的预测值与真实分类结果的差异。

本发明和现有技术相比，具有的有益效果是：1)与现存的基于Lp范式的对抗性图像攻击方法不同，本发明能根据图像的局部特征，自适应地对不同像素上的噪声扰动设置惩罚，实现高隐蔽性高攻击性的对抗性图像攻击。2)本发明引入一种新的感知模型，根据图像的亮度掩盖、纹理掩盖效应来刻画，计算出单个像素值在RGB三个通道中分别的感知冗余，更好地刻画了人眼感知系统。3)本发明提出一种带权重的误差测量方法，表现为全体噪声的加权Lp范式距离的总和，更好地刻画了人眼对对抗性图像的感知误差。

附图说明

图1为RGB颜色空间下像素感知冗余计算框架。

图2为冗余区域在CIE-Lab到RGB颜色空间转换。

图3为MNIST数据集的感知冗余轮廓。

图4为面向MNIST、CIFAR-10数据集合成的对抗性图像。

图5为面向ImageNet数据集合成的对抗性图像及对现有方法比较。

图6a为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果一)。

图6b为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果二)。

图6c为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果三)。

图6d为本发明与现有攻击方法的感知误差比较(主观实验)(比较结果四)。

具体实施方式

一种面向深度神经网络的自适应感知冗余的高隐蔽性对抗性图像攻击方法包含如下步骤：

1)给定一个目标分类神经网络，假定攻击者拥有对目标模型的白盒访问权限，并设定目标类别t。

2)为了衡量人眼对图像中不同像素点的感知冗余，引入一种新的感知模型，根据图像的亮度掩盖、纹理掩盖效应来刻画，计算出图像中单个像素值在RGB三个通道中的感知冗余。

3)为了衡量对抗性图像的感知误差，提出一种带权重的误差测量方法，首先计算每个像素的感知冗余，其倒数为每个像素的权重，然后计算噪声矩阵带权重的Lp范式距离，得到感知误差。这个距离越大，感知误差就越大。

4)基于目标函数：

min JND_p(δ)+c·loss(x+δ,t)

构建合成对抗性图像的目标函数，以感知误差作为正则项，最终合成对抗性图像。JND_p(δ)表示噪声的感知误差，loss(x+δ,t)表示噪声图x+δ的分类结果与分类目标的差异，c为权重参数。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，攻击者以一个预训练好的分类神经网络为攻击目标，并拥有对目标模型的白盒访问权限，设定目标类别为t。目标神经网络可以形式化为F(x,θ)＝y，网络模型可以表示为

F(x)＝softmax(Z(x))＝y

其中Z表示logits层，softmax表示将模型输出映射到[0,1]，y表示模型的最终输出。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，攻击者计算给定图像中每个像素点的感知冗余，主要包含像素颜色空间转换、CIE-Lab颜色空间下的感知冗余估计、采样三个步骤，计算出单个像素值在RGB三个通道中分别的感知冗余。

所述的像素颜色空间转换步骤包括，攻击者将原始图像从RGB颜色空间转换到CIE-Lab颜色空间中，即对任意一个像素(r,g,b)转换到接着利用现有的两个模型AJNCD和NAMM来构建该像素点在CIE-Lab下的冗余空间，通过将限制AJNCD模型的亮度分量到NAMM的亮度分量，得到一个由不可区分的颜色组成的不规则的空间区域，表示为

其中是由AJNCD模型计算的像素在三个通道下的冗余，和是NAMM模型计算的亮度分量的冗余上下界，(l,a,b)表示颜色原点，(l’,a’,b’)表示与(l,a,b)不可区分的颜色点。

所述的CIE-Lab颜色空间下的感知冗余估计步骤包括，AJNCD模型考虑两种因素，1)该像素的亮度值；2)亮度通道的属性。表示为

其中JND_Lab是一个表示CIE-Lab颜色空间下的颜色可见性的常数，S_C(a,b)表示像素的亮度，S_L(E(L),Δ)模拟了纹理掩盖效应，表示为

S_L(E(L),Δ)＝ρ(E(L))ΔL+1.0

其中E(L)表示像素的平均背景亮度，ΔL表示最大亮度梯度。

所述的CIE-Lab颜色空间下的感知冗余估计步骤包括，相比于色度变化，人眼感知系统通常对亮度的变化更为敏感，HAMM模型用于衡量一个像素的亮度冗余，其考虑两种影响因素：1)背景亮度掩盖；2)纹理掩盖，其表示为

其中T_l和T_t是对应的可见性阈值，Q_l,t∈(0,1)表示掩盖效应的影响。

所述的采样步骤包括攻击者通常需要获得RGB颜色空间下的对抗性图像，但简单地将区域内的颜色转换到CIE-Lab颜色空间下是不实际的，本方案提出一种颜色采样的方法用于将CIE-Lab下的冗余颜色区域转换到RGB下。攻击者首先采样区域内有较大亮度下的最大的色度的颜色作为候选，表示为

其中和表示为分别从亮度为α_iJND_l1和α_iJND_l2采样的候选点，对于采样得到的2n个点，攻击者将其转换到RGB颜色空间下，每个通道下的冗余可以表示为

表示像素在RGB颜色空间下每个通道的像素值。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，提出一种带权重的感知误差测量方法，表示为

其中τ>0是避免jnd_i的0值。

所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，构建合成对抗性图像的目标函数，并分别加入感知误差作为正则项，最终合成对抗性图像，表示为

min JND_p(δ)+c·loss(x+δ,t)

其中loss(x+δ,t)表示对抗性图像x+δ的预测值与真实分类结果的差异。

实施例1

1)给定一个预训练好的分类神经网络作为攻击目标，给定原始图像，攻击者拥有对目标模型的白盒访问权限，并设定目标类别，目标模型表示为

F(x)＝softmax(Z(x))＝y

其中Z表示logits层，y表示模型的最终输出。

2)引入一种新的感知模型衡量人眼对图像中不同像素点的感知冗余，根据图像的亮度掩盖、纹理掩盖效应来刻画，计算出单个像素值在RGB三个通道中分别的感知冗余。先计算出在颜色空间CIE-Lab下冗余颜色组成的不规则的空间区域，表示为

其中是由AJNCD模型计算的像素在三个通道下的冗余，和是NAMM模型计算的亮度分量的冗余上下界，(l,a,b)表示颜色原点，(l’,a’,b’)表示与(l,a,b)不可区分的颜色点。第二步利用采样，将CIE-Lab下的冗余颜色区域转换到RGB下，表示为

其中和表示为分别从亮度为α_iJND_l1和α_iJND_l2采样的候选点，最后每个通道下的感知冗余可以表示为

表示像素在RGB颜色空间下每个通道的像素值。

3)为了衡量对抗性图像的感知误差，提出一种带权重的误差测量方法，表现为对每个像素上的噪声值，施以感知冗余的倒数作为权重，最终计算这个带权重的噪声矩阵的Lp范式距离，表示为

其中τ>0是避免jnd_i的0值。

4)构建合成对抗性图像的目标函数，并分别加入两种感知误差作为正则项，最终合成对抗性图像，表示为

min JND_p(δ)+c·loss(x+δ,t)

其中loss(x+δ,t)表示对抗性图像x+δ的预测值与真实分类结果的差异，并利用基于梯度下降的ADAM算法来优化求解。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (9)

1.一种面向深度神经网络的高隐蔽性对抗性图像攻击方法，其特征在于，包含如下步骤：

步骤1、给定一个目标分类神经网络，假定攻击者拥有对目标模型的白盒访问权限，并设定目标类别t；

步骤2、为了衡量人眼对图像中不同像素点的感知冗余，引入一种新的感知模型，根据图像的亮度掩盖、纹理掩盖效应来刻画，计算出图像中单个像素值在RGB三个通道中的感知冗余；

步骤3、为了衡量对抗性图像的感知误差，提出一种带权重的误差测量方法，首先计算每个像素的感知冗余，其倒数为每个像素的权重，然后计算噪声矩阵带权重的Lp范式距离，得到感知误差；这个距离越大，感知误差就越大；

步骤4、基于目标函数：

min JND_p(δ)+c·loss(x+δ,t)

构建合成对抗性图像的目标函数，以感知误差作为正则项，最终合成对抗性图像；JND_p(δ)表示噪声的感知误差，loss(x+δ,t)表示噪声图x+δ的分类结果与分类目标的差异，c为权重参数。

2.如权利要求1所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，攻击者以一个预训练好的分类神经网络为攻击目标，并拥有对目标模型的白盒访问权限，设定目标类别为t；目标神经网络可以形式化为F(x,θ)＝y，网络模型可以表示为

F(x)＝softmax(Z(x))＝y

其中Z表示logits层，softmax表示将模型输出映射到[0,1]，y表示模型的最终输出。

3.如权利要求1所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，攻击者计算给定图像中每个像素点的感知冗余，主要包含像素颜色空间转换、CIE-Lab颜色空间下的感知冗余估计、采样三个步骤，计算出单个像素值在RGB三个通道中分别的感知冗余。

4.如权利要求1所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，所述的像素颜色空间转换步骤包括，攻击者将原始图像从RGB颜色空间转换到CIE-Lab颜色空间中，即对任意一个像素(r,g,b)转换到(l,a,b)；接着利用现有的两个模型AJNCD和NAMM来构建该像素点在CIE-Lab下的冗余空间，通过将限制AJNCD模型的亮度分量到NAMM的亮度分量，得到一个由不可区分的颜色组成的不规则的空间区域，表示为

其中是由AJNCD模型计算的像素在三个通道下的冗余，和是NAMM模型计算的亮度分量的冗余上下界，(l,a,b)表示颜色原点，(l’,a’,b’)表示与(l,a,b)不可区分的颜色点。

5.如权利要求1所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，所述的CIE-Lab颜色空间下的感知冗余估计步骤包括，AJNCD模型考虑两种因素，1)该像素的亮度值；2)亮度通道的属性；表示为

其中JND_Lab是一个表示CIE-Lab颜色空间下的颜色可见性的常数，S_C(a,b)表示像素的亮度，S_L(E(L),Δ)模拟了纹理掩盖效应，表示为

S_L(E(L),Δ)＝ρ(E(L))ΔL+1.0

其中E(L)表示像素的平均背景亮度，ΔL表示最大亮度梯度。

6.如权利要求1所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，所述的CIE-Lab颜色空间下的感知冗余估计步骤包括，相比于色度变化，人眼感知系统通常对亮度的变化更为敏感，HAMM模型用于衡量一个像素的亮度冗余，其考虑两种影响因素：1)背景亮度掩盖；2)纹理掩盖，其表示为

其中T_l和T_t是对应的可见性阈值，Q_l,t∈(0,1)表示掩盖效应的影响。

7.如权利要求1所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，所述的采样步骤包括攻击者通常需要获得RGB颜色空间下的对抗性图像，但简单地将区域内的颜色转换到CIE-Lab颜色空间下是不实际的，本方案提出一种颜色采样的方法用于将CIE-Lab下的冗余颜色区域转换到RGB下；攻击者首先采样区域内有较大亮度下的最大的色度的颜色作为候选，表示为

其中和表示为分别从亮度为α_iJND_l1和α_iJND_l2采样的候选点，对于采样得到的2n个点，攻击者将其转换到RGB颜色空间下，每个通道下的冗余可以表示为

表示像素在RGB颜色空间下每个通道的像素值。

8.如权利要求1所述的所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，提出一种带权重的感知误差测量方法，表示为

其中τ>0是避免jnd_i的0值。

9.如权利要求1所述的所述的一种自适应感知冗余的高隐蔽性对抗性图像攻击方法，其特征在于，构建合成对抗性图像的目标函数，并分别加入感知误差作为正则项，最终合成对抗性图像，表示为

min JND_p(δ)+c·loss(x+δ,t)

其中loss(x+δ,t)表示对抗性图像x+δ的预测值与真实分类结果的差异。