CN111460456B - 一种基于敏感度实现清晰决策树与模糊决策树的攻击方法 - Google Patents

Abstract

本发明公开了一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，包括：获取数据并进行数据处理；将处理后的数据划分为训练集和测试集，通过从训练样本中学习，测试集上验证，获得清晰决策树和模糊决策树；利用学习到的清晰决策树和模糊决策树的模型信息，计算样本被分为真实类别的置信度，计算特征的敏感度；选择有最大敏感度的特征进行修改；迭代获得伪造的攻击样本；将伪造的攻击样本集攻击学习到的决策树，比较决策树在测试集和伪造的样本集上的准确率，进而对攻击进行评估。本发明基于特征敏感度信息，减少对攻击目标的模型信息了解量；开辟了研究模糊系统在恶意环境中的鲁棒性的道路，发现数据模糊化对机器学习模型的鲁棒性的提升。

Description

一种基于敏感度实现清晰决策树与模糊决策树的攻击方法

技术领域

本发明涉及机器学习和对抗学习的技术领域，尤其是指一种基于敏感度实现清晰决策树与模糊决策树的攻击方法。

背景技术

人工智能在电商、农业、医疗、教育、医疗零售、金融、汽车、广告等领域的应用，各种机器学习系统被部署在人们的生活中，如何保证机器学习模型的安全性显得越来越重要。决策树，一种在数据挖掘中被广泛使用的机器学习模型之一，对它的安全性研究也显得十分必要。

目前攻击清晰决策树的方法按照攻击者对目标模型的了解程度有以下两种方法：1、白盒攻击：攻击者了解清晰决策树的所有信息，包括处理的任务信息，清晰决策树的结构信息，攻击者根据决策树的参数与结构信息，首先定位到清晰决策树对原样本的分类路径与分类结果，然后寻找临近的有不同分类结果的路径，根据路径中的条件，来修改样本，进而实现伪造样本的目的。2、黑盒攻击：每次通过询问攻击目标清晰决策树对构造的样本的分类结果，获取目标决策树的结构信息，即分支条件，然后递归地进行样本特征的修改与询问攻击目标清晰决策树的过程，最后根据获取的关于攻击目标的所有结构信息，构建一个替代清晰决策树模型，然后再基于替代清晰决策树，伪造恶意样本攻击目标清晰决策树。总体而言，两种攻击方法都非常依赖于攻击目标清晰决策树的结构信息,这意味着一方面攻击者必须获取攻击目标清晰决策树的所有信息；另一方面，由于模糊决策树与清晰决策树的结构差异，目前攻击清晰决策树的方法难以应用到攻击模糊决策树。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提出了一基于敏感度实现清晰决策树与模糊决策树的攻击方法，减少攻击者对攻击目标清晰决策树的结构信息量，让攻击者无需获取攻击目标的所有内部结构信息；利用样本输入的改动对决策树输出的影响计算特征的敏感度，进一步实现对模糊决策树的攻击，填补目前没有针对模糊决策树的攻击方法的空白。

为实现上述目的，本发明所提供的技术方案为：一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，包括以下步骤：

1)获取数据并进行数据处理；

2)将处理后的数据划分为训练集和测试集，通过从训练样本中学习，测试集上验证，获得清晰决策树和模糊决策树；

3)利用学习到的清晰决策树和模糊决策树的模型信息，计算样本被分为真实类别的置信度，进一步计算特征的敏感度；

4)根据特征的敏感度，选择有最大敏感度的特征进行修改；

5)迭代执行步骤3)和4)，直到满足终止条件，获得伪造的攻击样本集；

6)将伪造的攻击样本集攻击学习到的清晰决策树和模糊决策树，然后比较清晰决策树和模糊决策树在测试集和伪造的样本集上的准确率，进而对攻击进行评估。

在步骤1)中，所述数据是指从网上获取的公开数据集；所述数据处理是指对数据集的数据量、维度大小进行处理，以及特征标准化和特征模糊化。

在步骤2)中，将处理后的数据分层划分为训练集和测试集，其中训练集占70％,测试集占30％；然后用训练集训练清晰决策树和模糊决策树，用测试集来评估训练后的清晰决策树和模糊决策树的泛化能力；最后重复训练和测试清晰决策树和模糊决策树5次，然后用5次测试结果的平均值衡量清晰决策树和模糊决策树的泛化能力。

在步骤3)中，利用步骤2)中训练好的清晰决策树和模糊决策树的模型信息，计算样本被分为真实类别的置信度，进一步计算特征的敏感度，包括以下步骤:

3.1)选取需要修改特征，确定样本x的改动大小Δx：

Δx＝[Δx₁,Δx₂,......,Δx_n]

式中，n为样本的维度，Δx_i是对特征i的改动大小；当i≠f时，Δx_i＝0；否则，Δx_f＝ε，ε表示特征修改大小；

3.2)根据清晰决策树与模糊决策树的模型信息，分别计算清晰决策树和模糊决策树将样本分为真实类别t的置信度C^t；

清晰决策树：

式中，H^t表示清晰决策树的所有路径中能将样本分为真实类别t的路径集合，D(h,x)代表路径h中被满足的条件数量，L(h)是该路径的条件数量；

模糊决策树：

式中，H表示模糊决策树的所有路径的集合,l^t(h,x)表示模糊决策树的路径h将样本分为t类的概率，m(h,x)表示样本x属于路径h的程度；

3.3)计算每个特征的敏感度

根据清晰决策树和模糊决策树对原样本x和修改后的样本x+Δx_f或者x-Δx_f的置信度差异，计算得到敏感度：

式中，f表示特征的索引，

表示正向修改特征f的敏感度，

表示负向修改特征f的敏感度，C^t()表示清晰决策树或者模糊决策树对样本分为t类的置信度计算函数。

在步骤4)中，利用步骤3)所有特征的敏感度，首先从所有特征的正或负向敏感度选取敏感度最大的特征：

式中，

表示正向修改特征f的敏感度，

表示负向修改特征f的敏感度；然后再从两者中选择有最大敏感度的特征作为最优特征进行修改：

式中，

表示样本x的第

个特征的值,

表示样本x的第

个特征的值；ε表示特征修改大小；

是正向修改样本x的最优特征

的敏感度，

是负向修改样本x的最优特征f^-*的敏感度。

在步骤5)中，考虑到攻击效率，从三个方面来终止样本的特征修改程序，只要任意一个条件满足，就终止程序：

a、当清晰决策树和模糊决策树将伪造的样本分为其它类别时，终止程序；

b、当伪造的样本与原样本之间的欧氏距离超过最大限制时，终止程序；

c、当迭代次数超过最大迭代次数限制时，终止程序。

在步骤6)中，用伪造的攻击样本集分别在训练后的清晰决策树和模糊决策树上测试，然后比较清晰决策树和模糊决策树在测试集和伪造的攻击样本集上的准确率；若准确率降低，则说明攻击有效；若清晰决策树的准确率减少量比模糊决策树多，则表示清晰决策树比模糊决策树的鲁棒性差；反之，则清晰决策树比模糊决策树的鲁棒性好。

本发明与现有技术相比，具有如下优点与有益效果：

1、本发明使用询问清晰决策树的策略计算特征的敏感度，减少了攻击者需要了解的信息量，使得攻击策略更符合实际应用。

2、本发明通过计算特征的敏感度，引导攻击者对特征的修改，达到伪造攻击样本的目的，忽略了模糊决策树与清晰决策树的结构差异，使得攻击方法更易拓展到攻击模糊决策树。

3、本发明首次实现了对模糊决策树的攻击方法，填补了目前检测模糊决策树在恶意环境中的安全漏洞的空白。

4、本发明方法开辟了研究模糊系统在恶意环境中的鲁棒性的道路，发现了数据模糊化对机器学习模型的鲁棒性的提升，这为设计对机器学习模型防御攻击的方法提供了思路。

附图说明

图1为本发明逻辑流程示意图。

图2为清晰决策树和模糊决策树构建流程图。

具体实施方式

下面结合具体实施例对本发明作进一步说明。

如图1和图2所示，本实施例所提供的基于敏感度实现清晰决策树与模糊决策树的攻击方法，使用了三个数据集、ID3清晰决策树和FID3模糊决策树为例子来进行说明，其包括以下步骤：

1)所述数据是指从网上获取的公开数据集,比如PDF恶意代码检测数据集，UCI机器学习库中的垃圾邮件数据集等；所述数据处理是指对数据集的数据量，维度大小进行处理，以及特征标准化和特征模糊化。

本实例选用了PDF，Spam,Spambase三个数据集来完成实验。三个数据集的详细信息见表1。

表1数据集信息

数据集	类别数目	样本数目	特征数目
				PDF	2	1000	114
Spam	2	2000	200
				Spambase	2	4600	57

2)将处理后的数据分层划分为训练集和测试集，其中训练集占70％,测试集占30％；然后用训练集训练ID3清晰决策树和FID3模糊决策树，ID采用信息增益选择特征，FID3采用模糊信息增益选择特征；然后用测试集来评估训练后的决策树的泛化能力；最后重复训练和测试决策树5次，然后用5次测试结果的平均值衡量决策树的泛化能力。

3)利用步骤2)中训练好的ID3清晰决策树和FID模糊决策树的模型信息，计算样本被分为真实类别的置信度，进一步计算特征的敏感度，包括以下步骤:

3.1)选取需要修改特征，确定样本x的改动大小Δx：

Δx＝[Δx₁,Δx₂,......,Δx_n]

式中，n为样本的维度，Δx_i是对特征i的改动大小；当i≠f时，Δx_i＝0；否则，Δx_f＝ε。

3.2)根据ID3清晰决策树与FID3模糊决策树的模型信息，分别计算清晰决策树和模糊决策树将样本分为真实类别t的置信度C^t：

式中，H^t表示清晰决策树ID3的所有路径中能将样本分为真实类别t的路径集合，D(h,x)代表路径h中被满足的条件数量，L(h)是该路径的条件数量。

式中，H表示模糊决策树FID3的所有路径的集合,l^t(h,x)表示模糊决策树FID3的路径h将样本分为t类的概率，m(h,x)表示样本x属于路径h的程度。

3.3)计算每个特征的敏感度。根据清晰和模糊决策树对原样本x和修改后的样本(x+Δx_f或者x-Δx_f)的置信度差异，计算得到敏感度：

式中，f表示特征的索引，

表示正向修改特征f的敏感度，

表示负向修改特征f的敏感度，C^t()表示清晰决策树或者是模糊决策树对样本分为t类的置信度计算函数。

4)利用步骤3)所有特征的敏感度，首先从所有特征的正(负)向敏感度选取敏感度最大的特征。

表示正向修改特征f的敏感度，

表示负向修改特征f的敏感度。然后再从两者中选择有最大敏感度的特征作为最优特征进行修改。

式中，ε表示特征修改大小，在程序中设为0.05；

表示样本x的第

个特征的值,

表示样本x的第

个特征的值；

是正向修改样本x的最优特征

的敏感度，

是负向修改样本x的最优特征

的敏感度。

5)考虑到攻击效率，从三个方面来终止样本的特征修改程序。只要任意一个条件满足，就终止程序：

a、当清晰决策树和模糊决策树将伪造的样本分为其它类别时，终止程序。

b、当伪造的样本与原样本之间的欧氏距离超过最大限制(d_max＝0.15)时，终止程序。

c、当迭代次数超过最大迭代次数限制(500)时，终止程序。

6)用伪造的攻击样本集分别在训练后的清晰决策树和模糊决策树上测试，然后比较ID3清晰决策树和FID3模糊决策树在测试集和伪造的攻击样本集上的准确率。在下表2中，当d_max＝0.15时，ID3清晰决策树和FID3模糊决策树的准确率降低，则说明攻击有效；而且清晰决策树的准确率减少量比模糊决策树多0.8左右，即清晰决策树比模糊决策树的鲁棒性差。

表2 ID3清晰决策树和FID3模糊决策树在测试集(d_max＝0)与伪造的样本集(d_max＝0.15)的准确率比较

综上所述，在采用以上方案后，本发明为攻击清晰决策树提供了新的方法，基于特征敏感度信息，减少对攻击目标的模型信息了解量；首次提出可以攻击模糊决策树的方法，开辟了研究模糊系统在恶意环境中的鲁棒性的道路，同时发现数据模糊化对机器学习模型的鲁棒性的提升，为设计针对机器学习模型防御攻击的方法提供思路，值得推广。

以上所述实施例只为本发明之较佳实施例，并非以此限制本发明的实施范围，故凡依本发明之形状、原理所作的变化，均应涵盖在本发明的保护范围内。

Claims (5)

1.一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于，包括以下步骤：

1)获取数据并进行数据处理；

2)将处理后的数据划分为训练集和测试集，通过从训练样本中学习，测试集上验证，获得清晰决策树和模糊决策树；

3)利用步骤2)中训练好的清晰决策树和模糊决策树的模型信息，计算样本被分为真实类别的置信度，进一步计算特征的敏感度，包括以下步骤:

3.1)选取需要修改特征，确定样本x的改动大小Δx：

Δx＝[Δx₁,Δx₂,......,Δx_n]

式中，n为样本的维度，Δx_i是对特征i的改动大小；当i≠f时，Δx_i＝0；否则，Δx_f＝ε，ε表示特征修改大小；

3.2)根据清晰决策树与模糊决策树的模型信息，分别计算清晰决策树和模糊决策树将样本分为真实类别t的置信度C^t；

清晰决策树：

式中，H^t表示清晰决策树的所有路径中能将样本分为真实类别t的路径集合，D(h,x)代表路径h中被满足的条件数量，L(h)是该路径的条件数量；

模糊决策树：

式中，H表示模糊决策树的所有路径的集合,l^t(h,x)表示模糊决策树的路径h将样本分为t类的概率，m(h,x)表示样本x属于路径h的程度；

3.3)计算每个特征的敏感度

根据清晰决策树和模糊决策树对原样本x和修改后的样本x+Δx_f或者x-Δx_f的置信度差异，计算得到敏感度：

M_f+(x)＝C^t(x)-C^t(x+Δx_f)，

M_f-(x)＝C^t(x)-C^t(x-Δx_f)

式中，f表示特征的索引，

表示正向修改特征f的敏感度，

表示负向修改特征f的敏感度，C^t()表示清晰决策树或者模糊决策树对样本分为t类的置信度计算函数；

4)根据特征的敏感度，选择有最大敏感度的特征进行修改；

5)迭代执行步骤3)和4)，直到满足终止条件，获得伪造的攻击样本集；

6)用伪造的攻击样本集分别在训练后的清晰决策树和模糊决策树上测试，然后比较清晰决策树和模糊决策树在测试集和伪造的攻击样本集上的准确率；若准确率降低，则说明攻击有效；若清晰决策树的准确率减少量比模糊决策树多，则表示清晰决策树比模糊决策树的鲁棒性差；反之，则清晰决策树比模糊决策树的鲁棒性好。

2.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤1)中，所述数据是指从网上获取的公开数据集；所述数据处理是指对数据集的数据量、维度大小进行处理，以及特征标准化和特征模糊化。

3.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤2)中，将处理后的数据分层划分为训练集和测试集，其中训练集占70％,测试集占30％；然后用训练集训练清晰决策树和模糊决策树，用测试集来评估训练后的清晰决策树和模糊决策树的泛化能力；最后重复训练和测试清晰决策树和模糊决策树5次，然后用5次测试结果的平均值衡量清晰决策树和模糊决策树的泛化能力。

4.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤4)中，利用步骤3)所有特征的敏感度，首先从所有特征的正或负向敏感度选取敏感度最大的特征：

式中，M_f+(x)表示正向修改特征f的敏感度，M_f-(x)表示负向修改特征f的敏感度；然后再从两者中选择有最大敏感度的特征作为最优特征进行修改：

式中，

表示样本x的第

个特征的值,

表示样本x的第

个特征的值；ε表示特征修改大小；

是正向修改样本x的最优特征

的敏感度，

是负向修改样本x的最优特征f^-*的敏感度。

5.根据权利要求1所述的一种基于敏感度实现清晰决策树与模糊决策树的攻击方法，其特征在于：在步骤5)中，考虑到攻击效率，从三个方面来终止样本的特征修改程序，只要任意一个条件满足，就终止程序：

a、当清晰决策树和模糊决策树将伪造的样本分为其它类别时，终止程序；

b、当伪造的样本与原样本之间的欧氏距离超过最大限制时，终止程序；

c、当迭代次数超过最大迭代次数限制时，终止程序。

Images