CN111709435A - 一种基于离散小波变换的对抗样本生成方法 - Google Patents

Abstract

本发明公布了一种基于离散小波变换的对抗样本生成方法，现有的黑盒攻击方法需要通过大量地向模型进行查询来获取优化信息。本发明以原始图片作为输入，通过梯度估计方法与梯度下降方法相结合，迭代地在清晰样本中添加扰动，最终生成能够误导模型的对抗样本。为了提高攻击的效率，本方法使用离散小波变换分离样本的高频分量与低频分量，仅在低频分量中添加扰动，并且在估计低频分量梯度的过程中，动态地调整采样点数，降低生成对抗样本所需要的模型查询次数。本发明能够有效降低查询向目标DNN模型查询的次数。

Description

一种基于离散小波变换的对抗样本生成方法

技术领域

本发明属于计算机数字图像处理领域，具体涉及一种基于离散小波变换的对抗样本生成方法。

背景技术

机器学习及深度学习相关技术在近些年获得了极大的关注，由于优异的性能，它在计算机视觉领域中得到了广泛的应用，应用的范围包括图像识别、目标检测、图像分割、超分辨率等多种任务，应用场景涵盖如人脸检测、姿态检测、自动驾驶等多种场景。随着机器学习相关技术的逐步应用，这些系统的安全性成为一个重要的研究领域。

尽管目前最先进的图像分类模型在ImageNet等数据集上的识别准确率已经超越人类，但有研究发现，仅在测试样本中添加一些精心设计的微小扰动，就有可能导致模型产生错误的分类，而这些扰动不足以干扰人类视觉系统。这种可以改变DNN分类器预测结果的被扰动图片被称为对抗样本。

对抗攻击可分为白盒威胁模型(又称白盒攻击)与黑盒威胁模型(又称黑盒攻击)。在白盒威胁模型中，假设攻击者拥有目标模型的全部知识，并且利用这些知识构建对抗样本。例如，FGSM计算目标模型的梯度信息，在每个像素值上添加一个相同大小的小扰动构建对抗样本，BIM针对神经网络模型高度非线性的特点，迭代地往梯度符号方向执行k步搜索来构建对抗样本，C&W通过使用构建损失函数，将寻找对抗攻击问题转化为优化问题，通过解非线性优化问题构建对抗样本。白盒攻击的优势在于计算速度比较快，但是需要用到目标网络的梯度信息。在黑盒威胁模型中，攻击者只能向目标模型输入数据，得到相应的输出，无法获知模型内部信息。例如，SimpleBA在单个维度的正、负两个方向上试验添加扰动，选择使得分类确定性下降的方向上添加扰动，重复该过程直至找到对抗样本，ZOO Attack利用有限差分法估计单个维度上的梯度，迭代地在单个维度上执行梯度下降，直到找到有效的对抗样本。然而，由于缺乏梯度信息，带来了高额的评估代价，比如SimpleBA的成功率较低，且攻击时间较长，原因是不能确定最有效的扰动维度。ZOO Attack基于坐标的梯度估计每次仅能扰动一个维度，攻击所需的模型查询次数高达数十万次。

发明内容

本发明针对现有的黑盒攻击方法带来大量查询开销的问题，提出一种基于离散小波变换的对抗样本生成方法。本方法通过梯度估计方法与梯度下降方法相结合，迭代地在原始图像中添加扰动，最终生成能够误导模型的对抗样本。为了提高攻击的效率，本方法使用离散小波变换分离样本的高频分量与低频分量，仅在低频分量中添加扰动，并且在估计低频分量梯度的过程中，动态地调整采样点数，降低生成对抗样本所需要的模型查询次数。

本发明一种基于离散小波变换的对抗样本生成方法，包括如下步骤：

步骤一、获取原始图像x_c的真实类别y_c及其概率向量p_H(·|x_c)

令H表示DNN分类器，以原始图像向量x_c作为目标DNN分类器的输入，获得原始图像的概率输出向量p_H(·|x_c)；取概率输出向量中最大值对应的类别作为原始图像的类别预测y_c，y_c＝argmax(p_H(·|x_c))；

步骤二、使用离散小波变换对原始图像向量x_c进行分解

使用离散小波变换对原始图像向量x_c进行M级小波分解得到初始低频分量LF₀与高频分量HF，M与原始图像向量x_c的大小具有正相关关系；离散小波变换用公式表示为：

LF₀，HF←DWT(x_c)；

其中DWT(·)表示离散小波变换，LF₀在后续迭代过程中将会被扰动，而HF在后续迭代过程中保持不变；

步骤三、确定待优化的目标函数

按照目标类别进行分类，对抗攻击分为无目标攻击和目标攻击；在无目标攻击中，对抗攻击的目标是使得对抗样本被DNN分类器分类为除原类别外的任意类别；在目标攻击中，对抗攻击的目标是使得对抗样本被DNN分类器分类为特定的类别；

令y_a表示对抗样本的类别，δ表示对抗扰动，x_c+δ表示对抗样本；当DNN分类器能对对抗样本做出正确分类预测时，y_a和y_c相同；对抗攻击的目的是寻找到能误导DNN分类器的对抗扰动δ，即

这里||·||_p表示向量的L_p范数；然而精确计算公式(1)通常不可行，因此更常用的方法是求(1)的近似解；将其公式化如下：

ρ用来限制对抗扰动的大小，T(·)是转换函数，用于将DNN分类器的输出向量转换为便于优化的标量值；

在目标攻击中，转换函数的具体形式为：

其中，y_t表示目标类别，p_H(y_t|x)表示样本x被分类为y_t的概率，max_i≠tp_H(y_i|x)表示除了目标类别之外最大的概率值；当目标类别的概率值最大时，分类器对输入图像的分类结果为目标类别；

在无目标攻击中，转换函数表达式为：

其中，p_H(y_c|x)表示样本x被分类为y_c的概率，max_j≠tp_H(y_j|x)表示除了清晰样本类别之外最大的概率值；

为了便于表示，在方法中使用v表示低频分量LF，令f表示目标函数，低频分量v是目标函数的输入值，f的具体表达式为：

f(v)＝T(IDWT(v，HF))

由低频分量v与高频分量HF恢复一个样本，用公式表示为：

x←IDWT(v，HF)

其中IDWT(·)表示逆离散小波变换；

优化的目标是f(v)≤0，从而改变目标DNN分类器对被扰动图像的分类结果；

步骤四、执行迭代优化

采用迭代的方式生成对抗样本，在进行迭代优化之前，需要定义两个初始变量：x₀←x_c用于初始化对抗样本，d₀←0用于初始化累计梯度信息；

1)使用累计梯度信息更新低频分量：

v_t←v_t-1-αβd_t-1

其中，v_t-1表示第t-1次迭代中的低频分量，d_t-1表示第t-1次迭代中的累计梯度信息，α与β表示两个步长参数，v_t表示第t次迭代中低频分量；迭代次数t从1开始计数；

2)使用自然进化策略估计v_t处的梯度：

在迭代过程中，使用动态采样策略动态确定估计梯度所需要的采样点数量：当迭代过程启动时，采样点数量n＝2；随着迭代过程的进行，在第t次迭代中，n＝min(2k，N)，N表示最大采样点限制；当搜索进程缓慢时，即在连续m次迭代过程中以对抗样本为输入的目标函数的值没有减少，将采样点数量n减半；其中k的初始值为0，每次迭代k值加1，当搜索进程缓慢时，k恢复初始值；

确定采样点数量之后，估计v_t处的梯度g_t；

3)更新累计梯度信息：

d_t←βd_t-1+g_t

4)利用新的累计梯度信息更新低频分量：

v_t←v_t-1-αd_t

5)结合新的低频分量v_t与高频分量HF，经过逆离散小波变换，得到新的对抗样本x_t：

x_t←clip(IDWT(v_t，HF))

其中，clip(·)函数用于对新的对抗样本进行剪切，确保x_t位于有效的图像空间内，且确保扰动||x_t-x_c||_p≤ρ；

6)判断x_t是否是有效的对抗样本，若x_t是有效的对抗样本，则输出x_t，结束迭代过程，否则继续执行迭代过程，转步骤四-1)。

作为优选，所述的确定采样点数量之后，估计v_t处的梯度g_t；具体为：

其中，

人高斯分布中采样得到，在为了提升梯度估计的准确性，通过对称采样的方式生成ε_i：{ε₁，...，ε_n/2}从高斯分布中采样得到，而当i∈{(n/2)+1，...，n}时，其中n为偶数，ε_i＝-ε_n-i+1，σ用于控制偏差大小。

本发明的有益效果：

本发明通过计算结构相似度的梯度，选择对最小梯度对应坐标的像素点添加扰动，以降低添加的扰动对图像质量的影响。同时采用贝叶斯优化方法计算扰动，可以用比较少的查询次数获取最佳扰动值。

附图说明

图1为原始图像；

图2为对抗样本图像；

图3为对抗扰动图像。

具体实施方式

本发明以一张原始图像作为输入，使用离散小波分解分离出原始图像的低频分量与高频分量，通过迭代地在低频分量中进行优化更新，最终生成有效的对抗样本。

以下举例说明本发明整个过程的具体实施方式如下(各步骤效果图参见说明书附图)：

步骤一、获取原始图像x_c的真实类别y_c及其概率向量p_H(·|x_c)

令H表示DNN分类器，x_c表示原始图像向量(如图1所示)，δ表示与x_c具有相同维度的全0扰动向量，p_h(·|x_c)表示以x_c为输入的DNN分类器的输出，y_c表示x_c的真实类别，y_t＝argmax(p_h(·|x_c))表示DNN分类器的类别预测。

步骤二、使用离散小波变换对原始样本x_c进行分解

离散小波变换用公式表示为：

LF₀，HF←DWT(x_c)

DWT(·)表示离散小波变换，使用离散小波变换对原始样本x_c进行3级小波分解可得到低频分量LF₀与高频分量HF。

本方法采用迭代的方式生成对抗样本，LF₀在后续迭代过程中将会被扰动，而HF在后续迭代过程中保持不变；

步骤三、确定待优化的目标函数

本例进行目标攻击，在目标攻击中，转换函数的具体形式为：

其中，y_t表示目标类别，p_H(y_t|x)表示样本x被分类为y_t的概率，max_i≠tp_H(y_i|x)表示除了目标类别之外最大的概率值。当目标类别的概率值最大时，分类器对输入图像的分类结果为目标类别。令f表示目标函数，低频分量v是目标函数的输入值，f的具体表达式为：

f(v)＝T(IDWT(v，HF))

优化的目标是f(v)≤0，从而改变目标DNN分类器对被扰动图像的分类结果。

步骤四、执行迭代优化

本方法采用迭代的方式生成对抗样本，在进行迭代优化之前，需要定义两个初始变量：x₀←x_c用于初始化对抗样本，d₀←0用于初始化累计梯度信息。

1)使用累计梯度信息更新低频分量：

v_t←v_t-1-αβd_t-1

其中，v_t-1表示第t-1次迭代中的低频分量，d_t-1表示累计梯度信息，α与β表示两个步长参数，v_t表示第t次迭代中低频分量，迭代次数t从1开始计数。

2)确定采样点数量n，并使用自然进化策略估计v_t处的梯度：

其中，

从高斯分布中采样得到，在为了提升梯度估计的准确性，通过对称采样的方式生成ε_i：{ε₁，...，ε_n/2}从高斯分布中采样得到，而当i∈{(n/2)+1，...，n}时，ε_i＝-ε_n-i+1。，σ用于控制偏差大小。

3)更新累计梯度信息：

d_t←βd_t-1+g_t

4)利用新的累计梯度信息更新低频分量：

v_t←v_t-1-αd_t

5)结合新的低频分量v_t与高频分量HF，经过逆离散小波变换，得到新的对抗样本x_t：

x_t←clip(IDWT(v_t，HF))

其中，clip(·)函数用于对新的对抗样本进行剪切，确保x_t位于有效的图像空间内，且确保扰动||x_t-x_c||_p≤ρ。

6)判断x_t是否是有效的对抗样本，若x_t是有效的对抗样本，则输出x_t(如图2所示)，并计算对抗扰动(如图3所示)，结束迭代过程，否则继续执行迭代过程，转(1)。

实验结果：

(1)从CIFAR10中随机选用1000张图片作为实验数据，分别进行了目标攻击实验与无目标攻击实验。在实验结果中，目标攻击的平均评估次数为651次，无目标攻击的平均评估次数为161次。评估次数明显少于SimpleBA方法(分别为2118次与1664次)与ZOO Attack方法(分别为19672次与12756次)。

(2)从ILSVRC-2012中随机选用1000张图片作为实验数据，分别机型了目标攻击实验与无目标攻击实验。在实验结果中，目标攻击的平均评估次数为10324次，无目标攻击的平均评估次数为1311次。评估次数明显少于SimpleBA方法(分别为51828次与5283次)与ZOOAttack方法(分别为87451次与69577次)。

Claims (2)

1.一种基于离散小波变换的对抗样本生成方法，其特征在于，该方法包括如下步骤：

步骤一、获取原始图像x_c的真实类别y_c及其概率向量p_H(·|x_c)

令H表示DNN分类器,以原始图像向量x_c作为目标DNN分类器的输入，获得原始图像的概率输出向量p_H(·|x_c)；取概率输出向量中最大值对应的类别作为原始图像的类别预测y_c，y_c＝argmax(p_H(·|x_c))；

步骤二、使用离散小波变换对原始图像向量x_c进行分解

使用离散小波变换对原始图像向量x_c进行M级小波分解得到初始低频分量LF₀与高频分量HF，M与原始图像向量x₀的大小具有正相关关系；离散小波变换用公式表示为：

LF₀,HF←DWT(x_c)；

其中DWT(·)表示离散小波变换，LF₀在后续迭代过程中将会被扰动，而HF在后续迭代过程中保持不变；

步骤三、确定待优化的目标函数

按照目标类别进行分类，对抗攻击分为无目标攻击和目标攻击；在无目标攻击中，对抗攻击的目标是使得对抗样本被DNN分类器分类为除原类别外的任意类别；在目标攻击中，对抗攻击的目标是使得对抗样本被DNN分类器分类为特定的类别；

令y_a表示对抗样本的类别，δ表示对抗扰动，x_c+δ表示对抗样本；当DNN分类器能对对抗样本做出正确分类预测时，y_a和y_c相同；对抗攻击的目的是寻找到能误导DNN分类器的对抗扰动δ，即

这里‖·‖_p表示向量的L_p范数；然而精确计算公式(1)通常不可行，因此更常用的方法是求(1)的近似解；将其公式化如下：

ρ用来限制对抗扰动的大小，T(·)是转换函数，用于将DNN分类器的输出向量转换为便于优化的标量值；

在目标攻击中，转换函数的具体形式为：

其中，y_t表示目标类别，p_H(y_t|x)表示样本x被分类为y_t的概率，max_i≠tp_H(y_i|x)表示除了目标类别之外最大的概率值；当目标类别的概率值最大时，分类器对输入图像的分类结果为目标类别；

在无目标攻击中，转换函数表达式为：

其中，p_H(y_c|x)表示样本x被分类为y_c的概率，max_j≠tp_H(y_j|x)表示除了清晰样本类别之外最大的概率值；

为了便于表示，在方法中使用v表示低频分量LF，令f表示目标函数，低频分量v是目标函数的输入值，f的具体表达式为：

f(v)＝T(IDWT(v,HF))

由低频分量v与高频分量HF恢复一个样本，用公式表示为：

x←IDWT(v,HF)

其中IDWT(·)表示逆离散小波变换；

优化的目标是f(v)≤0，从而改变目标DNN分类器对被扰动图像的分类结果；

步骤四、执行迭代优化

采用迭代的方式生成对抗样本，在进行迭代优化之前，需要定义两个初始变量：x₀←x_c用于初始化对抗样本，d₀←0用于初始化累计梯度信息；

1)使用累计梯度信息更新低频分量：

v_t←v_t-1-αβd_t-1

其中，v_t-1表示第t-1次迭代中的低频分量，d_t-1表示第t-1次迭代中的累计梯度信息，α与β表示两个步长参数，v_t表示第t次迭代中低频分量；迭代次数t从1开始计数；

2)使用自然进化策略估计v_t处的梯度：

在迭代过程中，使用动态采样策略动态确定估计梯度所需要的采样点数量：当迭代过程启动时，采样点数量n＝2；随着迭代过程的进行，在第t次迭代中，n＝min(2k,N)，N表示最大采样点限制；当搜索进程缓慢时，即在连续m次迭代过程中以对抗样本为输入的目标函数的值没有减少，将采样点数量n减半；其中k的初始值为0，每次迭代k值加1，当搜索进程缓慢时，k恢复初始值；

确定采样点数量之后，估计v_t处的梯度g_t；

3)更新累计梯度信息：

d_t←βd_t-1+g_t

4)利用新的累计梯度信息更新低频分量：

v_t←v_t-1-αd_t

5)结合新的低频分量v_t与高频分量HF，经过逆离散小波变换，得到新的对抗样本x_t：

x_t←clip(lDWT(v_t,HF))

其中，clip(·)函数用于对新的对抗样本进行剪切，确保x_t位于有效的图像空间内，且确保扰动‖x_t-x_c‖_p≤ρ；

6)判断x_t是否是有效的对抗样本，若x_t是有效的对抗样本，则输出x_t，结束迭代过程，否则继续执行迭代过程，转步骤四-1)。

2.根据权利要求1所述的一种基于离散小波变换的对抗样本生成方法，其特征在于：所述的确定采样点数量之后，估计v_t处的梯度g_t；具体为：

其中，

从高斯分布中采样得到，在为了提升梯度估计的准确性，通过对称采样的方式生成ε_i：{ε₁,…,ε_n/2}从高斯分布中采样得到，而当i∈{(n/2)+1,…,n}时，其中n为偶数，ε_i＝-ε_n-i+1，σ用于控制偏差大小。

Images