CN111191717B - 一种基于隐空间聚类的黑盒对抗样本生成算法 - Google Patents

Abstract

本发明公开了一种基于隐空间聚类的黑盒对抗样本生成算法，包括如下步骤：步骤1，利用卷积自编码器提取图像样本的特征表示；步骤2，当需要被攻击模型产生误分类时，利用图像样本的特征表示进行误分类对抗样本生成算法，得到对抗样本；步骤3，当需要对被攻击模型进行目标对抗时，利用图像样本的特征表示进行目标对抗样本生成算法，得到对抗样本。本发明通过采用卷积自编码器提取图像样本的特征表示，从而实现隐空间聚类，并且不需要了解目标模型的结构，实现黑盒对抗样本生成算法。

Description

一种基于隐空间聚类的黑盒对抗样本生成算法

技术领域

本发明涉及机器学习和模式识别领域，尤其是一种基于隐空间聚类的黑盒对抗样本生成算法。

背景技术

近年来，深度神经网络(Deep Neural Network，DNN)在机器学习和模式识别领域带来了革命性的变化。DNN在许多模式识别任务(尤其是视觉分类问题)上取得大量成果，其出色的性能也引起了许多其他领域的广泛关注。在对抗样攻击领域中，研究人员也已经提出了许多基于DNN的对抗样本生成算法。但是，大量实验表明基于DNN的算法中存在一些漏洞，目前主要有三个问题：

一、大多数算法需要通过训练样本来得到特征空间中的分类边界，较为依赖训练过程。

二、白盒方法假定完全了解目标模型，黑盒方法则无需了解目标模型，目前大多数算法都是白盒方法，而在实际使用中黑盒方法更加实用。

三、大多数算法只考虑了不同类别间的分类，没有考虑到同一类别内，数据多峰分布的情况。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于隐空间聚类的黑盒对抗样本生成算法。

本发明采用的技术方案如下：

一种基于隐空间聚类的黑盒对抗样本生成算法，包括如下步骤：

步骤1，利用卷积自编码器提取图像样本的特征表示；

步骤2，当需要被攻击模型产生误分类时，利用图像样本的特征表示进行误分类对抗样本生成算法，得到对抗样本；

步骤3，当需要对被攻击模型进行目标对抗时，利用图像样本的特征表示进行目标对抗样本生成算法，得到对抗样本。

在一个实施例中，步骤1的方法包括：

步骤1.1，构建卷积自编码器；

步骤1.2，训练构建的卷积自编码器；

步骤1.3，利用训练好的卷积自编码器提取图像样本的特征表示。

在一个实施例中，步骤1.1中构建的卷积自编码器具有11层结构，包括编码器和解码器；

所述编码器为第一层至第六层，包括2个卷积层、2个线性整流层、1个池化层和1个全连接层；

所述解码器为第七层至第十一层，包括2个卷积层、2个线性整流层和1个反池化层。

在一个实施例中，所述编码器的结构为：

第一层：L¹(x)＝F*x，其中，L¹(x)表示经过第一层卷积层卷积后输出的p₁×q₁阶特征矩阵，F为二维卷积核，*为卷积运算；

第二层：L²(x)＝ReLU(L¹(x))，其中，L²(x)表示经过第二层线性整流层后输出的p₁×q₁阶特征矩阵，ReLU(·)为激活函数，且

第三层：L³(x)＝MaxPool(L²(x))，其中，L³(x)表示经过第三层池化层后输出的p₃×q₃阶特征矩阵，MaxPool(·)为池化操作；

第四层：L⁴(x)＝F*L³(x)，其中，L⁴(x)表示经过第四层卷积层卷积后输出的p₄×q₄阶特征矩阵；其中，F为二维卷积核，*为卷积运算；

第五层：L⁵(x)＝ReLU(L⁴(x))，其中，L⁵(x)表示经过第五层线性整流层后输出的p₄×q₄阶特征矩阵，ReLU(·)为激活函数；

第六层：S＝L⁶(x)＝WL⁵(x)，其中，L⁶(x)是第六层全连接层输出的p₄×q₄阶特征矩阵，用S表示该特征矩阵，W为权值参数矩阵。

在一个实施例中，第三层的MaxPool(·)池化操作的方法为：

令步长为t，为保证整除，将L²(x)填充为p₂×q₂阶矩阵，r＝0，1，2，3，…，p₁-1，s＝0，1，2，3，…，q₁-1，则y_ij＝max(x_{i·t+r，j·t+s})；

其中，i≤(p₂-p₁)/t，j≤(q₂-q₁)/t，y_ij表示池化后矩阵中第i行j列的元素，max(·)为取最大值，x为填充后矩阵的元素，下标为元素位置。

在一个实施例中，所述解码器的结构为：

第七层：L⁷(x)＝F*L⁶(x)，其中，L⁷(x)表示经过第七层卷积层卷积后输出的p₅×q₅阶特征矩阵，F为二维卷积核，*为卷积运算；

第八层：L⁸(x)＝ReLU(L⁷(x))，其中，L⁸(x)表示经过第八层线性整流层后输出的p₄×q₄阶特征矩阵，ReLU(·)为激活函数；

第九层：L⁹(x)＝UnPooling(L⁸(x))，其中，L⁹(x)是第九层反池化层输出的p₂×q₂阶特征矩阵，UnPooling(·)为反池化函数；

第十层：L¹⁰(x)＝F*L⁹(x)，其中，L¹⁰(x)表示经过第十层卷积层卷积后输出的p₁×q₁阶特征矩阵，F为二维卷积核，*为卷积运算；

第十一层：x′＝ReLU(L¹⁰(x))，其中，x′表示解码器还原的样本维度为p₀×q₀，ReLU(·)为激活函数。

在一个实施例中，步骤1.2的方法为：

步骤1.2.1，取训练样本X_train＝{x₁，x₂，...，x_n}；

其中，x_i为训练样本X_train中的一个样本，1≤i≤n，n为样本个数；

步骤1.2.2，将样本x_i输入到卷积自编码器中，得到经过编解码操作后的样本x_i′。

步骤1.2.3，计算损失

步骤1.2.4，利用梯度

更新模型参数；

步骤1.2.5，重复执行步骤1.2.2～步骤1.2.4，得到训练好的卷积自编码器E。

在一个实施例中，步骤1.3的方法为：

步骤1.3.1，取纯净样本X＝{x₁，x₂，...，x_m}；

其中，x_l为纯净样本X中的一个样本，1≤l≤m，m为样本个数；

步骤1.3.2，将样本x_l输入到训练好的卷积自编码器中，得到编码器输出的特征表示s_l；

步骤1.3.3，重复执行步骤1.3.2，得到特征表示集S＝{s₁，s₂，...，s_m}。

在一个实施例中，步骤2的方法为：

步骤2.1，选取数据样本类别中心点：

步骤2.1.1，根据X对应的标签集Y＝{y₁，y₂，...，y_m}，得到其标签类别集：

C＝{c₁，c₂，...，c_g}

其中，c_d为一个标签类别，1≤d≤g，g为标签类别总数；

步骤2.1.2，在标签类别c_d中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤2.1.3，对于标签类别c_d中除k个样本点外的每个样本点计算到k个中心点的距离：

V＝{(v₁₁，v₁₂，...，v_1k)，(v₂₁，v₂₂，...，v_2k)，...，(v_(g-k)1，v_(g-k)2，...，v_(g-k)k)}

其中，(v_(g-k)1，v_(g-k)2，...，v_(g-k)k)表示第(g-k)个样本点距k个样本点的距离；

步骤2.1.4，对于每一个样本点，选择最近的聚类中心点作为标签类别标记得到c_d＝{c_d1，c_d2，...，c_dk}，即将标签类别c_d细化为k个类，得到k个族群；

步骤2.1.5，分别计算k个族群的样本平均值，得到

步骤2.1.6，判断

中的k个值与k个聚类中心是否相同，若相同则执行步骤2.1.8；否则执行步骤2.1.7；

步骤2.1.7，将

中的k个值作为新的聚类中心点，并回到步骤2.1.3；

步骤2.1.8，输出c_d＝{c_d1，c_d2，...，c_dk}；

步骤2.1.9，对所有标签类别c_d∈C，循环步骤2.1.2～步骤2.1.8，直到g个标签类别全部取到，得到所有标签类别的集合，即g个标签类别细化后的集合：C′＝{(c₁₁，c₁₂，...)，(c₂₁，c₂₂，...)，...，(c_g1，c_g2，...)}；

步骤2.1.10，根据所有标签类别的集合C′，对X进行划分，得到标签为ij的样本的集合：X_ij＝{x_l|y_l＝c_ij}，其中，y_l为一个样本标签，1≤l≤m；

步骤2.1.11，计算标签为ij的所有样本的均值：

其中，x_ij是X_ij中的样本，n_ij是X_ij中样本的总数；

步骤2.1.12，计算标签为ij的样本在编码空间中的类中心表示w_ij：

w_ij＝Sm_ij

步骤2.1.13重复执行步骤2.1.12，得到类中心点集合：

W＝{(w₁₁，w₁₂，...)，(w₂₁，w₂₂，...)，...，(w_g1，w_g2，...)}

步骤2.2，生成对抗样本：

步骤2.2.1，取一个纯净样本x_l及特征表示集S，得到纯净样本x_l在编码空间中的位置：z_l＝Sx_l，其中，z_l为纯净样本x_l在编码空间的位置表示；

步骤2.2.2，设置初始值：high＝1，low＝0，min_diff＝1，z_l＝Sx_l，ε；

其中，high和low为扰动参数，min_diff为最小距离，ε是搜索精度；

步骤2.2.3，如果high-low＞ε，则循环步骤2.2.3至步骤2.2.12，否则执行步骤2.2.13；

步骤2.2.4，计算

其中，mid为当前控制扰动的参数值；

步骤2.2.5，设置found代表是否查找到a类外的其他类，其初始值为false；

步骤2.2.6，对所有标签类别的集合C′中所有不为a的标签类别，重复执行步骤2.2.7～步骤2.2.11；

步骤2.2.7，对一个不为a的标签类别c_d∈C′，计算

z_l′＝z_l+mid*(w_d-w_a)

其中，(w_d-w_a)表示类别d与类别a的差向量，z_l′表示扰动程度，S^T表示编码后的特征表示的转置；

步骤2.2.8，得到对样本x_l添加扰动后的样本x_l″＝STz_l′；

步骤2.2.9，判断x_l″的标签类别是否为a，如果x_l″的标签类别为a，则回到步骤2.2.6；否则执行步骤2.2.10；

步骤2.2.10，设置found＝true；

步骤2.2.11，判断||x_l-x_l″||₁＜min_diff是否成立：

(1)若成立，则生成对抗样本：x_{l_adv}′＝x_l″，min_diff＝||x_l-x_l″||₁；

其中||x_l-x_l″||₁表示添加扰动的样本x_l″与原始的样本x_l的差向量的绝对值之和，||·||₁为1范数，x_{l_adv}′为最终输出的对抗样本；

(2)若不成立，则回到步骤2.2.6；

步骤2.2.12，若found＝true成立，则high＝mid，否则，low＝mid；

步骤2.2.13，返回对抗样本x_{l_adv}′。

在一个实施例中，步骤(3)的方法为：

步骤3.1，选取数据样本类别中心点：

步骤3.1.1，在标签类别集C中选取标签类别c_t；

步骤3.1.2，在标签类别c_t中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤3.1.3，对于标签类别c_t中除k个样本点外的每个样本点计算到k个中心点的距离：V＝{v_t1，v_t2，...，v_tk}；

步骤3.1.4，对于每一个样本点，选择最近的聚类中心点作为类别标记得到c_t＝{c_t1，c_t2，...，c_tk}，即将标签类别c_t细化为k个类，得到k个族群；

步骤3.1.5分别计算k个族群的样本平均值，得到

步骤3.1.6判断

中的k个值与k个聚类中心是否相同，若相同则执行步骤3.1.8；否则执行步骤3.1.7；

步骤3.1.7，将

中的k个值作为新的聚类中心点，并回到步骤3.1.3；

步骤3.1.8，输出样本标签集C′_t＝{c_t1，c_t2，...，c_tk}；

步骤3.1.9，根据样本标签集C′_t，将x中对应的样本进行划分，得到标签为tj的样本的集合：X_tj＝{x_l|y_l＝c_tj}，其中，y_l为一个样本标签，1≤l≤m；

步骤3.1.10，计算标签为tj的所有样本的均值：

其中，x_tj是X_tj中的样本，n_tj是X_tj中样本的总数；

步骤3.1.11，计算标签为tj的样本在编码空间中的类中心表示w_tj：

w_tj＝Sm_tj

步骤3.1.12，重复执行步骤3.1.11，得到类中心点集合：

W_t＝{w_t1，w_t2，..，w_tk}

步骤3.2，生成对抗样本：

步骤3.2.1，取一个纯净样本x_l及特征表示集S，得到x_l在编码空间中的位置z_l＝Sx_l，其中，z_l为x_l在编码空间的位置表示；

步骤3.2.2，初始设置high＝1，low＝0，z_l＝Sx_l，ε，其中，high和low为扰动参数，ε是搜索精度；

步骤3.2.3，如果high-low＞ε，则循环步骤3.2.3～步骤3.2.11，否则执行步骤3.2.12；

步骤3.2.4，计算

其中，mid为当前控制扰动的参数值；

步骤3.2.5，对W_t中所有w_ti，循环步骤3.2.6～步骤3.2.8；

步骤3.2.6计算z_l′＝z_l+mid*(w_ti-w_a)，其中，(w_ti-w_a)表示类别ti与类别a的差向量，z_l′表示扰动程度，S^T表示编码后的特征表示的转置；

步骤3.2.7，得到对样本x_l添加扰动后的样本

步骤3.2.8，计算样本距离：t_l＝||x_l-x_l″||₁；

步骤3.2.9，得到距离集合T＝{t₁，t₂，...}；

步骤3.2.10，选取T中最小值t_min所对应添加扰动的样本x_{l_min}″；

步骤3.2.11，判断x_{l_min}″的标签类别是否为t，若x_{l_min}″的标签类别为t，则x_{l_adv}′＝x_{l_min}″，high＝mid；否则low＝mid，其中，x_{l_adv}′为最终输出的对抗样本；

步骤3.2.12，返回对抗样本x_{l_adv}′。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明通过采用卷积自编码器提取图像样本的特征表示，从而实现隐空间聚类，并且不需要了解目标模型的结构，实现黑盒对抗样本生成算法。

2、本发明实现的误分类对抗样本生成算法和目标对抗样本生成算法，不需要通过训练样本来获取分类边界，仅通过修改样本就可使被攻击模型分类错误，因此可以生成对抗样本。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明的基于隐空间聚类的黑盒对抗样本生成算法的原理框图。

图2为本发明的卷积自编码器的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，一种基于隐空间聚类的黑盒对抗样本生成算法，包括如下步骤：

步骤1，利用卷积自编码器提取图像样本的特征表示；

步骤2，当需要被攻击模型产生误分类时，利用图像样本的特征表示进行误分类对抗样本生成算法，得到对抗样本；

步骤3，当需要对被攻击模型进行目标对抗时，利用图像样本的特征表示进行目标对抗样本生成算法，得到对抗样本。

在一个实施例中，卷积自编码器可以将原始图像样本的特征映射在隐空间中，从而实现隐空间聚类。因此本发明使用一种卷积自编码器对图像样本特征进行提取。具体地，步骤1的方法包括：

步骤1.1，构建卷积自编码器；

步骤1.2，训练构建的卷积自编码器；

步骤1.3，利用训练好的卷积自编码器提取图像样本的特征表示。

如图2所示，步骤1.1中构建的卷积自编码器具有11层结构，包括编码器和解码器；

所述编码器为第一层至第六层，包括2个卷积层(Convolutional layer)、2个线性整流层(Rectified Linear Unit layer，ReLU layer)、1个池化层(Pooling layer)和1个全连接层(Fully Connected Layer)；具体地，所述编码器的结构为：

第一层：L¹(x)＝F*x，其中，L¹(x)表示经过第一层卷积层卷积后输出的p₁×q₁阶特征矩阵，F为二维卷积核，*为卷积运算；

第二层：L²(x)＝ReLU(L¹(x))，其中，L²(x)表示经过第二层线性整流层后输出的p₁×q₁阶特征矩阵，ReLU(·)为激活函数，且

第三层：L³(x)＝MaxPool(L²(x))，其中，L³(x)表示经过第三层池化层后输出的p₃×q₃阶特征矩阵，MaxPool(·)为池化操作，具体如下：

令步长为t，为保证整除，将L²(x)填充为p₂×q₂阶矩阵，r＝0，1，2，3，…，p₁-1，s＝0，1，2，3，…，q₁-1，则y_ij＝max(x_{i·t+r，j·t+s})；

其中，i≤(p₂-p₁)/t，j≤(q₂-q₁)/t，y_ij表示池化后矩阵中第i行j列的元素，max(·)为取最大值，x为填充后矩阵的元素，下标为元素位置。

第四层：L⁴(x)＝F*L³(x)，其中，L⁴(x)表示经过第四层卷积层卷积后输出的p₄×q₄阶特征矩阵；其中，F为二维卷积核，*为卷积运算；

第五层：L⁵(x)＝ReLU(L⁴(x))，其中，L⁵(x)表示经过第五层线性整流层后输出的p₄×q₄阶特征矩阵，ReLU(·)为激活函数；

第六层：S＝L⁶(x)＝WL⁵(x)，其中，L⁶(x)是第六层全连接层输出的p₄×q₄阶特征矩阵，用S表示该特征矩阵，W为权值参数矩阵。

所述解码器为第七层至第十一层，包括2个卷积层、2个线性整流层和1个反池化层(Unpooling layer)。具体地，所述解码器的结构为：

第七层：L⁷(x)＝F*L⁶(x)，其中，L⁷(x)表示经过第七层卷积层卷积后输出的p₅×q₅阶特征矩阵，F为二维卷积核，*为卷积运算；

第八层：L⁸(x)＝ReLU(L⁷(x))，其中，L⁸(x)表示经过第八层线性整流层后输出的p₄×q₄阶特征矩阵，ReLU(·)为激活函数；

第九层：L⁹(x)＝UnPooling(L⁸(x))，其中，L⁹(x)是第九层反池化层输出的p₂×q₂阶特征矩阵，UnPooling(·)为反池化函数；

第十层：L¹⁰(x)＝F*L⁹(x)，其中，L¹⁰(x)表示经过第十层卷积层卷积后输出的p₁×q₁阶特征矩阵，F为二维卷积核，*为卷积运算；

第十一层：x′＝ReLU(L¹⁰(x))，其中，x′表示解码器还原的样本维度为p₀×q₀，ReLU(·)为激活函数。

进一步地，步骤1.2的方法为：

步骤1.2.1，取训练样本X_train＝{x₁，x₂，...，x_n}；

其中，x_i为训练样本X_train中的一个样本，1≤i≤n，n为样本个数；

步骤1.2.2，将样本x_i输入到卷积自编码器中，得到经过编解码操作后的样本x_i′。

步骤1.2.3，计算损失

步骤1.2.4，利用梯度

更新模型参数；

步骤1.2.5，重复执行步骤1.2.2～步骤1.2.4，得到训练好的卷积自编码器E。

进一步地，步骤1.3的方法为：

步骤1.3.1，取纯净样本X＝{x₁，x₂，...，x_m}；

其中，x_l为纯净样本X中的一个样本，1≤l≤m，m为样本个数；

步骤1.3.2，将样本x_l输入到训练好的卷积自编码器中，得到编码器输出的特征表示s_l；

步骤1.3.3，重复执行步骤1.3.2，得到特征表示集S＝{s₁，s₂，...，s_m}。

在一个实施例中，误分类对抗样本生成算法的目的是使被攻击模型得出一个错误的分类结果。给定一个带有正确标签a的样本x_l，攻击者生成对应的对抗样本x_{l_adv}′，且则被攻击模型将其识别为非a的其他类别。具体地，所述步骤2的方法为：

步骤2.1，选取数据样本类别中心点：通过步骤2.1.1～步骤2.1.9聚类出所有类的子类别，再通过步骤2.1.10～步骤2.1.13找出所有子类别的中心点。

步骤2.1.1，根据X对应的标签集Y＝{y₁，y₂，...，y_m}，得到其标签类别集：

C＝{c₁，c₂，...，c_g}

其中，c_d为一个标签类别，1≤d≤g，g为标签类别总数；

步骤2.1.2，在标签类别c_d中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤2.1.3，对于标签类别c_d中除k个样本点外的每个样本点计算到k个中心点的距离：

V＝{(v₁₁，v₁₂，...，v_1k)，(v₂₁，v₂₂，...，v_2k)，...，(v_(g-k)1，v_(g-k)2，...，v_(g-k)k)}

其中，(v_(g-k)1，v_(g-k)2，...，v_(g-k)k)表示第(g-k)个样本点距k个样本点的距离；

步骤2.1.4，对于每一个样本点，选择最近的聚类中心点作为标签类别标记得到c_d＝{c_d1，c_d2，...，c_dk}，即将标签类别c_d细化为k个类，得到k个族群；

步骤2.1.5，分别计算k个族群的样本平均值，得到

步骤2.1.6，判断

中的k个值与k个聚类中心是否相同，若相同则执行步骤2.1.8；否则执行步骤2.1.7；

步骤2.1.7，将

中的k个值作为新的聚类中心点，并回到步骤2.1.3；

步骤2.1.8，输出c_d＝{c_d1，c_d2，...，c_dk}；

步骤2.1.9，对所有标签类别c_d∈C，循环步骤2.1.2～步骤2.1.8，直到g个标签类别全部取到，得到所有标签类别的集合，即g个标签类别细化后的集合：

C′＝{(c₁₁，c₁₂，...)，(c₂₁，c₂₂，...)，...，(c_g1，c_g2，...)}

步骤2.1.10，根据所有标签类别的集合C′，对X进行划分，得到标签为ij的样本的集合：

X_ij＝(x_l|y_l＝c_ij}

其中，y_l为一个样本标签，1≤l≤m；

步骤2.1.11，计算标签为ij的所有样本的均值：

其中，x_ij是X_ij中的样本，n_ij是X_ij中样本的总数；

步骤2.1.12，计算标签为ij的样本在编码空间中的类中心表示w_ij：

w_ij＝Sm_ij

步骤2.1.13重复执行步骤2.1.12，得到类中心点集合：

W＝{(w₁₁，w₁₂，...)，(w₂₁，w₂₂，...)，...，(w_g1，w_g2，...)}

步骤2.2，生成对抗样本：

步骤2.2.1，取一个纯净样本x_l及特征表示集S，得到纯净样本x_l在编码空间中的位置：z_l＝Sx_l，其中，z_l为纯净样本x_l在编码空间的位置表示；

步骤2.2.2，设置初始值：high＝1，low＝0，min_diff＝1，z_l＝Sx_l，ε；

其中，high和low为扰动参数，min_diff为最小距离，ε是搜索精度；

步骤2.2.3，如果high-low＞ε，则循环步骤2.2.3至步骤2.2.12，否则执行步骤2.2.13；

步骤2.2.4，计算

其中，mid为当前控制扰动的参数值；

步骤2.2.5，设置found代表是否查找到a类外的其他类，其初始值为false；

步骤2.2.6，对所有标签类别的集合C′中所有不为a的标签类别，重复执行步骤2.2.7～步骤2.2.11；

步骤2.2.7，对一个不为a的标签类别c_d∈C′，计算

z_l′＝z_l+mid*(w_d-w_a)

其中，(w_d-w_a)表示类别d与类别a的差向量，z_l′表示扰动程度，S^T表示编码后的特征表示的转置；

步骤2.2.8，得到对样本x_l添加扰动后的样本x_l″＝S^Tz_l′；

步骤2.2.9，判断x_l″的标签类别是否为a，如果x_l″的标签类别为a，则回到步骤2.2.6；否则执行步骤2.2.10；

步骤2.2.10，设置found＝true；

步骤2.2.11，判断||x_l-x_l″||₁＜min_diff是否成立：

(1)若成立，则生成对抗样本：

x_{l_adv}′＝x_l″，min_diff＝||x_l-x_l″||₁

其中||x_l-x_l″||₁表示添加扰动的样本x_l″与原始的样本x_l的差向量的绝对值之和，||·||₁为1范数，x_{l_adv}′为最终输出的对抗样本；

(2)若不成立，则回到步骤2.2.6；

步骤2.2.12，若found＝true成立，则high＝mid，否则，low＝mid；

步骤2.2.13，返回对抗样本x_{l_adv}′。

在一个实施例中，目标对抗样本生成是指故意让一个网络对给定的样本给出一个特定的错误答案。给定一个带有正确标签a的样本x_l，攻击者生成对应的对抗样本x_{l_adv}′，且则被攻击模型将其识别为类别t。具体地，步骤(3)的方法为：

步骤3.1，选取数据样本类别中心点：通过步骤3.1.1～步骤3.1.8聚类出所有类的子类别，再通过步骤3.1.9～步骤3.1.12找出所有子类别的中心点。

步骤3.1.1，在标签类别集C中选取标签类别c_t；

步骤3.1.2，在标签类别c_t中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤3.1.3，对于标签类别c_t中除k个样本点外的每个样本点计算到k个中心点的距离：V＝{v_t1，v_t2，...，v_tk}；

步骤3.1.4，对于每一个样本点，选择最近的聚类中心点作为类别标记得到c_t＝{c_t1，c_t2，...，c_tk}，即将标签类别c_t细化为k个类，得到k个族群；

步骤3.1.5分别计算k个族群的样本平均值，得到

步骤3.1.6判断

中的k个值与k个聚类中心是否相同，若相同则执行步骤3.1.8；否则执行步骤3.1.7；

步骤3.1.7，将

中的k个值作为新的聚类中心点，并回到步骤3.1.3；

步骤3.1.8，输出样本标签集C′_t＝{c_t1，c_t2，...，c_tk}；

步骤3.1.9，根据样本标签集C′_t，将X中对应的样本进行划分，得到标签为t_j的样本的集合：

X_tj＝(x_l|y_l＝c_tj}

其中，y_l为一个样本标签，1≤l≤m；

步骤3.1.10，计算标签为tj的所有样本的均值：

其中，x_tj是X_tj中的样本，n_tj是X_tj中样本的总数；

步骤3.1.11，计算标签为tj的样本在编码空间中的类中心表示w_tj：

w_tj＝Sm_tj

步骤3.1.12，重复执行步骤3.1.11，得到类中心点集合：

W_t＝{w_t1，w_t2，..，w_tk}

步骤3.2，生成对抗样本：

步骤3.2.1，取一个纯净样本x_l及特征表示集S，得到x_l在编码空间中的位置z_l＝Sx_l，其中，z_l为x_l在编码空间的位置表示；

步骤3.2.2，初始设置high＝1，low＝0，z_l＝Sx_l，ε，其中，high和low为扰动参数，ε是搜索精度；

步骤3.2.3，如果high-low＞ε，则循环步骤3.2.3～步骤3.2.11，否则执行步骤3.2.12；

步骤3.2.4，计算

其中，mid为当前控制扰动的参数值；

步骤3.2.5，对W_t中所有w_ti，循环步骤3.2.6～步骤3.2.8；

步骤3.2.6计算

z_l′＝z_l+mid*(w_ti-w_a)

其中，(w_ti-w_a)表示类别ti与类别a的差向量，z_l′表示扰动程度，S^T表示编码后的特征表示的转置；

步骤3.2.7，得到对样本x_l添加扰动后的样本

步骤3.2.8，计算样本距离：t_l＝||x_l-x_l″||₁；

步骤3.2.9，得到距离集合T＝{t₁，t₂，...}；

步骤3.2.10，选取T中最小值t_min所对应添加扰动的样本x_{l_min}″；

步骤3.2.11，判断x_{l_min}″的标签类别是否为t，若x_{l_min}″的标签类别为t，则x_{l_adv}′＝x_{l_min}″，high＝mid；否则low＝mid，其中，x_{l_adv}′为最终输出的对抗样本；

步骤3.2.12，返回对抗样本x_{l_adv}′。

通过上述内容可知，本发明具有的有益效果如下：

1、本发明通过采用卷积自编码器提取图像样本的特征表示，从而实现隐空间聚类，并且不需要了解目标模型的结构，实现黑盒对抗样本生成算法。

2、本发明实现的误分类对抗样本生成算法和目标对抗样本生成算法，不需要通过训练样本来获取分类边界，仅通过修改样本就可使被攻击模型分类错误，因此可以生成对抗样本。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，包括如下步骤：

步骤1，利用卷积自编码器提取图像样本的特征表示；

步骤2，当需要被攻击模型产生误分类时，利用图像样本的特征表示进行误分类对抗样本生成算法，得到对抗样本；

步骤3，当需要对被攻击模型进行目标对抗时，利用图像样本的特征表示进行目标对抗样本生成算法，得到对抗样本；

步骤2的方法为：

步骤2.1，选取数据样本类别中心点：

步骤2.1.1，根据纯净样本X对应的标签集Y＝{y₁，y₂，...，y_m}，得到其标签类别集：

C＝{c₁，c₂，...，c_g}

其中，c_d为一个标签类别，1≤d≤g，g为标签类别总数；纯净样本X＝{x₁，x₂，...，x_m}；其中，x_l为纯净样本X中的一个样本，1≤l≤m，m为样本个数；

步骤2.1.2，在标签类别c_d中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤2.1.3，对于标签类别c_d中除k个样本点外的每个样本点计算到k个中心点的距离：

V＝{(v₁₁，v₁₂，...，v_1k)，(v₂₁，v₂₂，...，v_2k)，...，(v_(g-k)1，v_(g-k)2，...，v_(g-k)k)}

其中，(v_(g-k)1，v_(g-k)2，...，v_(g-k)k)表示第(g-k)个样本点距k个样本点的距离；

步骤2.1.4，对于每一个样本点，选择最近的聚类中心点作为标签类别标记得到c_d＝{c_d1，c_d2，...，c_dk}，即将标签类别c_d细化为k个类，得到k个族群；

步骤2.1.5，分别计算k个族群的样本平均值，得到

步骤2.1.6，判断

中的k个值与k个聚类中心是否相同，若相同则执行步骤2.1.8；否则执行步骤2.1.7；

步骤2.1.7，将

中的k个值作为新的聚类中心点，并回到步骤2.1.3；

步骤2.1.8，输出c_d＝{c_d1，c_d2，...，c_dk}；

步骤2.1.9，对所有标签类别c_d∈C，循环步骤2.1.2～步骤2.1.8，直到g个标签类别全部取到，得到所有标签类别的集合，即g个标签类别细化后的集合：C′＝{(c₁₁，c₁₂，...)，(c₂₁，c₂₂，...)，...，(c_g1，c_g2，...)}；

步骤2.1.10，根据所有标签类别的集合V′，对X进行划分，得到标签为ij的样本的集合：X_ij＝{x_l|y_l＝c_ij}，其中，y_l为一个样本标签，1≤l≤m；

步骤2.1.11，计算标签为ij的所有样本的均值：

其中，x_ij是X_ij中的样本，n_ij是X_ij中样本的总数；

步骤2.1.12，计算标签为ij的样本在编码空间中的类中心表示w_ij：

w_ij＝Sm_ij

步骤2.1.13重复执行步骤2.1.12，得到类中心点集合：

W＝{(w₁₁，w₁₂，...)，(w₂₁，w₂₂，...)，...，(w_g1，w_g2，...)}

步骤2.2，生成对抗样本：

步骤2.2.1，取一个纯净样本x_l及特征表示集S，得到纯净样本x_l在编码空间中的位置：z_l＝Sx_l，其中，z_l为纯净样本x_l在编码空间的位置表示；

步骤2.2.2，设置初始值：high＝1，low＝0，min_diff＝1，z_l＝Sx_l，ε；

其中，high和low为扰动参数，min_diff为最小距离，ε是搜索精度；

步骤2.2.3，如果high-low＞ε，则循环步骤2.2.3至步骤2.2.12，否则执行步骤2.2.13；

步骤2.2.4，计算

其中，mid为当前控制扰动的参数值；

步骤2.2.5，设置found代表是否查找到a类外的其他类，其初始值为false；

步骤2.2.6，对所有标签类别的集合C′中所有不为a的标签类别，重复执行步骤2.2.7～步骤2.2.11；

步骤2.2.7，对一个不为a的标签类别c_d∈C′，计算

z_l′＝z_l+mid*(w_d-w_a)

其中，(w_d-w_a)表示类别d与类别a的差向量，z_l′表示扰动程度，S^T表示编码后的特征表示的转置；

步骤2.2.8，得到对样本x_l添加扰动后的样本x_l″＝S^Tz_l′；

步骤2.2.9，判断x_l″的标签类别是否为a，如果x_l″的标签类别为a，则回到步骤2.2.6；否则执行步骤2.2.10；

步骤2.2.10，设置found＝true；

步骤2.2.11，判断||x_l-x_l″||₁＜min_diff是否成立：

(1)若成立，则生成对抗样本：x_{l_adv}′＝x_l″，min_diff＝||x_l-x_l″||₁；

其中||x_l-x_l″||₁表示添加扰动的样本x_l″与原始的样本x_l的差向量的绝对值之和，||·||₁为1范数，x_{l_adv}′为最终输出的对抗样本；

(2)若不成立，则回到步骤2.2.6；

步骤2.2.12，若found＝true成立，则high＝mid，否则，low＝mid；

步骤2.2.13，返回对抗样本x_{l_adv}′；

步骤3的方法为：

步骤3.1，选取数据样本类别中心点：

步骤3.1.1，在标签类别集C中选取标签类别c_t；

步骤3.1.2，在标签类别c_t中随机设置k个样本点作为初始的聚类中心，其中k为超参数；

步骤3.1.3，对于标签类别c_t中除k个样本点外的每个样本点计算到k个中心点的距离：V＝{v_t1，v_t2，...，v_tk}；

步骤3.1.4，对于每一个样本点，选择最近的聚类中心点作为类别标记得到c_t＝{c_t1，c_t2，...，c_tk}，即将标签类别c_t细化为k个类，得到k个族群；

步骤3.1.5分别计算k个族群的样本平均值，得到

步骤3.1.6判断

中的k个值与k个聚类中心是否相同，若相同则执行步骤3.1.8；否则执行步骤3.1.7；

步骤3.1.7，将

中的k个值作为新的聚类中心点，并回到步骤3.1.3；

步骤3.1.8，输出样本标签集C′_t＝{c_t1，c_t2，...，c_tk}；

步骤3.1.9，根据样本标签集C′_t，将X中对应的样本进行划分，得到标签为tj的样本的集合：X_tj＝{x_l|y_l＝c_tj}，其中，y_l为一个样本标签，1≤l≤m；

步骤3.1.10，计算标签为tj的所有样本的均值：

其中，x_tj是X_tj中的样本，n_tj是X_tj中样本的总数；

步骤3.1.11，计算标签为tj的样本在编码空间中的类中心表示w_tj：

w_tj＝Sm_tj

步骤3.1.12，重复执行步骤3.1.11，得到类中心点集合：

W_t＝{w_t1，w_t2，..，w_tk}

步骤3.2，生成对抗样本：

步骤3.2.1，取一个纯净样本x_l及特征表示集S，得到x_l在编码空间中的位置z_l＝Sx_l，其中，z_l为x_l在编码空间的位置表示；

步骤3.2.2，初始设置high＝1，low＝0，z_l＝Sx_l，ε，其中，high和low为扰动参数，ε是搜索精度；

步骤3.2.3，如果high-low＞ε，则循环步骤3.2.3～步骤3.2.11，否则执行步骤3.2.12；

步骤3.2.4，计算

其中，mid为当前控制扰动的参数值；

步骤3.2.5，对W_t中所有w_ti，循环步骤3.2.6～步骤3.2.8；

步骤3.2.6计算z_l′＝z_l+mid*(w_ti-w_a)，其中，(w_ti-w_a)表示类别ti与类别a的差向量，z_l′表示扰动程度，S^T表示编码后的特征表示的转置；

步骤3.2.7，得到对样本x_l添加扰动后的样本x_l″＝S^Tz_l′；

步骤3.2.8，计算样本距离：t_l＝||x_l-x_l″||₁；

步骤3.2.9，得到距离集合T＝{t₁，t₂，...}；

步骤3.2.10，选取T中最小值t_min所对应添加扰动的样本x_{l_min}″；

步骤3.2.11，判断x_{l_min}″的标签类别是否为t，若x_{l_min}″的标签类别为t，则x_{l_adv}′＝x_{l_min}″，high＝mid；否则low＝mid，其中，x_{l_adv}′为最终输出的对抗样本；

步骤3.2.12，返回对抗样本x_{l_adv}′。

2.根据权利要求1所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤1的方法包括：

步骤1.1，构建卷积自编码器；

步骤1.2，训练构建的卷积自编码器；

步骤1.3，利用训练好的卷积自编码器提取图像样本的特征表示。

3.根据权利要求2所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤1.1中构建的卷积自编码器具有11层结构，包括编码器和解码器；

所述编码器为第一层至第六层，包括2个卷积层、2个线性整流层、1个池化层和1个全连接层；

所述解码器为第七层至第十一层，包括2个卷积层、2个线性整流层和1个反池化层。

4.根据权利要求3所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，所述编码器的结构为：

第一层：L¹(x)＝F*x，其中，L¹(x)表示经过第一层卷积层卷积后输出的p₁×q₁阶特征矩阵，F为二维卷积核，*为卷积运算；

第二层：L²(x)＝ReLU(L¹(x))，其中，L²(x)表示经过第二层线性整流层后输出的p₁×q₁阶特征矩阵，ReLU(·)为激活函数，且

第三层：L³(x)＝MaxPool(L²(x))，其中，L³(x)表示经过第三层池化层后输出的p₃×q₃阶特征矩阵，MaxPool(·)为池化操作；

第四层：L⁴(x)＝F*L³(x)，其中，L⁴(x)表示经过第四层卷积层卷积后输出的p₄×q₄阶特征矩阵；其中，F为二维卷积核，*为卷积运算；

第五层：L⁵(x)＝ReLU(L⁴(x))，其中，L⁵(x)表示经过第五层线性整流层后输出的p₄×q₄阶特征矩阵，ReLU(·)为激活函数；

第六层：S＝L⁶(x)＝WL⁵(x)，其中，L⁶(x)是第六层全连接层输出的p₄×q₄阶特征矩阵，用S表示该特征矩阵，W为权值参数矩阵。

5.根据权利要求4所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，第三层的MaxPool(·)池化操作的方法为：

令步长为t，为保证整除，将L²(x)填充为p₂×q₂阶矩阵，r＝0，1，2，3，…，p₁-1，s＝0，1，2，3，…，q₁-1，则y_ij＝max(x_{i·t+r，j·t+s})；

其中，i≤(p₂-p₁)/t，j≤(q₂-q₁)/t，y_ij表示池化后矩阵中第i行j列的元素，max(·)为取最大值，x为填充后矩阵的元素，下标为元素位置。

6.根据权利要求4所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，所述解码器的结构为：

第七层：L⁷(x)＝F*L⁶(x)，其中，L⁷(x)表示经过第七层卷积层卷积后输出的p₅×q₅阶特征矩阵，F为二维卷积核，*为卷积运算；

第八层：L⁸(x)＝ReLU(L⁷(x))，其中，L⁸(x)表示经过第八层线性整流层后输出的p₄×q₄阶特征矩阵，ReLU(·)为激活函数；

第九层：L⁹(x)＝UnPooling(L⁸(x))，其中，L⁹(x)是第九层反池化层输出的p₂×q₂阶特征矩阵，UnPooling(·)为反池化函数；

第十层：L¹⁰(x)＝F*L⁹(x)，其中，L¹⁰(x)表示经过第十层卷积层卷积后输出的p₁×q₁阶特征矩阵，F为二维卷积核，*为卷积运算；

第十一层：x′＝ReLU(L¹⁰(x))，其中，x′表示解码器还原的样本维度为p₀×q₀，ReLU(·)为激活函数。

7.根据权利要求2所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤1.2的方法为：

步骤1.2.1，取训练样本X_train＝{x₁，x₂，...，x_n}；

其中，x_i为训练样本X_train中的一个样本，1≤i≤n，n为样本个数；

步骤1.2.2，将样本x_i输入到卷积自编码器中，得到经过编解码操作后的样本x_i′；

步骤1.2.3，计算损失

步骤1.2.4，利用梯度

更新模型参数；

步骤1.2.5，重复执行步骤1.2.2～步骤1.2.4，得到训练好的卷积自编码器E。

8.根据权利要求2所述的基于隐空间聚类的黑盒对抗样本生成算法，其特征在于，步骤1.3的方法为：

步骤1.3.1，取纯净样本X＝{x₁，x₂，...，x_m}；

其中，x_l为纯净样本X中的一个样本，1≤l≤m，m为样本个数；

步骤1.3.2，将样本x_l输入到训练好的卷积自编码器中，得到编码器输出的特征表示s_l；

步骤1.3.3，重复执行步骤1.3.2，得到特征表示集S＝{s₁，s₂，...，s_m}。

Images