CN112200243A

CN112200243A - 一种基于低问询图像数据的黑盒对抗样本生成方法

Info

Publication number: CN112200243A
Application number: CN202011074406.6A
Authority: CN
Inventors: 张小松; 丁康一; 牛伟纳; 孙逊; 周杰; 彭钰杰
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2020-10-09
Filing date: 2020-10-09
Publication date: 2021-01-08
Anticipated expiration: 2040-10-09
Also published as: CN112200243B

Abstract

本发明公开了一种基于低问询图像数据的黑盒对抗样本生成方法，属于对抗样本生成方法技术领域，解决现有得到有效的黑盒对抗样本迭代次数多的问题。本发明在图像识别应用中，获取当前图像数据；随机选择任一已知模型，基于已知模型设置白盒对抗样本生成参数，再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本；将白盒对抗样本减去当前图像数据，并进行归一化操作后，生成对抗性向量；将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中，得到输出后使用ADAM算法对当前图像数据进行更新，更新后，若满足要求，得到黑盒对抗样本，若不满足要求，将更新后的图像数据重复执行。本发明用于生成黑盒对抗样本。

Description

一种基于低问询图像数据的黑盒对抗样本生成方法

技术领域

一种基于低问询图像数据的黑盒对抗样本生成方法，用于生成黑盒对抗样本，属于对抗样本生成方法技术领域。

背景技术

近年来，以深度学习为代表的人工智能技术得到了高速发展，在各个领域都得到了广泛的应用。无人化、智能化势必是今后一个重要的趋势。与此同时，深度学习也面临着严重的可靠性问题，近来的研究发现，无论是在实验环境还是真实的物理世界中，以深度学习为代表的人工智能算法都可能遭到恶意攻击。在人工智能应用日益广泛的今天，面临的安全性漏洞威胁也日益严峻。因此，人工智能算法的安全性是其应用过程中亟待解决的关键问题。

根据对模型参数的已知状况，对抗样本的生成方法分为白盒生成与黑盒生成方法。白盒生成方法是攻击者能够掌握模型的参数与结构，以及模型的输入与输出，这样便能轻易地取得模型的梯度。而黑盒生成方法是攻击者只能获取模型的输入与输出。近来的研究表明，白盒攻击能够通过梯度的方向传播，得以高效快速的实现，同时能将添加的对抗性扰动限制在很小的范围。然而对于真实的攻击场景往往更贴近于黑盒场景，而黑盒场景由于能利用的信息更少，有着更高的攻击难度，近年来成为了学术研究的热点。

目前，已有的黑盒攻击主要分为基于迁移的方法、基于优化的方法以及基于决策的方法来实现。基于迁移的方法利用了执行相同任务的不同模型具有相似的决策边界的思路，因此，执行相同任务的不同模型有很大概率共享同一个对抗样本，这种方法的问题是在像ImageNet这类的大型数据集上攻击成功率较低。基于优化的方法是通过不断对输入进行微小改动，通过观测输入与输出之间的关系，进而估计出模型的梯度，这类方法的优点是拥有较高的成功率，缺点则是需要大量的问询次数，而大量的问询次数意味着更高的成本以及更容易被受攻击者发现。基于决策的方法是在模型两类决策的边界上进行游走，进而发现最接近原始图像的边界，该方法有着较小的扰动添加，然而依然会受其问询次数的限制。

发明内容

针对上述研究的问题，本发明的目的在于提供一种基于低问询图像数据的对抗样本黑盒生成方法，解决现有技术中得到有效的黑盒对抗样本迭代次数多，且成功率低的问题。

为了达到上述目的，本发明采用如下技术方案：

一种基于低问询图像数据的黑盒对抗样本生成方法，包括如下步骤：

S1：在图像识别应用中，计算机获取一副待生成黑盒对抗样本的图像数据，作为当前图像数据；

S2：随机选择任一已知模型，基于已知模型设置白盒对抗样本生成参数，再基于白盒生成方法和当前图像数据生成已知模型有效的白盒对抗样本；

S3：将白盒对抗样本减去当前图像数据，并进行归一化操作后，生成对抗性向量；

S4：将对抗性向量直接加到当前图像数据，再送入与已知模型的任务类型相同、参数和结构未知的未知模型中，并将当前图像数据和加入了对抗性向量的当前图像数据分别送入到未知模型中，再对添加了对抗性向量前后、未知模型的输出进行零阶优化，之后使用ADAM算法对当前图像数据进行更新，即得到有效的黑盒对抗样本，若有效的黑盒对抗样本满足要求，即得到黑盒对抗样本，若不满足要求，将更新后的图像数据作为当前图像数据，再重复执行步骤S2-S4。

进一步，所述已知模型为Resnet-50、VGG-16、Xception、Densenet、InceptionResnet-V2或NASnet中的一种，已知模型都由ImageNet数据集训练得到。

进一步，所述步骤S2中白盒生成方法为C&W方法；

其生成的超参数为置信度k、扰动系数c，置信度值设置为150，扰动系数为随机生成，范围为10-100，其目标函数为：

s.t.x+η∈[0，1]ⁿ

其中，n为图像数据的维度，η为扰动的范数值，p为采用的范数类别，x为当前图像数据，g为判断白盒对抗样本生成是否成功的一个阈值函数，s.t为subject to，表示受限制于，c越大，则扰动大小对该目标函数的影响越小，该目标函数的目的在于，在保障攻击成功的同时，让扰动尽可能小，阈值函数g(x′)如下为：

其中，x′为白盒生成过程中正在修改的白盒图像数据，是指白盒迭代中的中间数据，初始值为当前图像数据，最终值为白盒对抗样本，x′与当前图像数据x之间的关系是x′＝x+η；

Z(x′)为白盒图像数据所对应的输出，该输出为一个1000维的向量；Z(x′)_i为第i维输出，代表着分类为第i类的置信度，i代表除了待生成类别t之外的其它类别；Z(x′)_t为第t类的置信度；k为置信度，只有待生成类别大于除待生成类别加上置信度之和时，阈值函数才会等于0。

进一步，所述步骤S4的具体步骤为：

将归一化后生成的对抗性向量a除以1000后与当前图像数据相加，得到梯度估计样本x_a，即加入了对抗性向量的当前图像数据，将梯度估计样本和当前图像数据问询未知模型f，分别得到添加对抗性向量后梯度估计样本的未知模型预测置信度f(x_a)与当前图像数据的未知模型预测置信度f(x)，得到f(x_a)和f(x)后，基于零阶优化对a方向的梯度值大小进行估计，即估计出对抗性向量方向的梯度值，零阶优化的公式为：

零阶优化后，使用ADAM算法利用该梯度值，对当前图像数据进行更新，更新后，若为有效的对抗样本，则得到黑盒对抗样本，否则，再次进行优化，直至得到对未知模型有效的对抗样本。

进一步，所述未知模型为Inception-V3，由ImageNet数据集训练得到。

本发明同现有技术相比，其有益效果表现在：

一、本发明将对抗性向量添加到当前图像数据中，使得每次问询的数据更有可能是黑盒对抗样本，提高每次迭代的效率，从而减少迭代次数，即通过改进现有的攻击方法，解决黑盒攻击的高问询次数(现有技为了达到相应的攻击成功率，需要迭代上万次)、低准确率和高扰动的问题，本发明在ImageNet数据集上，生成对抗样本的问询次数、扰动、成功率如下表所示，参与对比的均为近两年发表在CCF A类会议上的黑盒对抗样本生成方法(Autozoom-AE 2019AAAI、Hop Skip Jump 2020 IEEE Symposium on Security andPrivacy(SP)、Hybird batch attack 2020USENIX Security)

其中，hop skip jump由于初次对抗样本生成的扰动依赖于所选择目标图像于待攻击图像的差异，其初次攻击所需要的问询次数与扰动并没有参考性，上表并没有进行罗列。

可以看出我们的算法虽然不能以100％的成功率生成对抗样本，但98.5％仍是很高的成功率。并且我们的算法能以最少的问询次数，最低的扰动生成对抗样本。

二、本发明随机选择已知的模型，并设置白盒对抗样本生成参数以白盒生成方法生成对抗样本，提高了对抗性向量的随机性，避免对抗性向量过于相似，导致对抗性向量评估效率降低，即出现问询效率低下，陷入局部最优，难以优化的问题；

三、本发明结合了零阶优化与迁移结合的方法以黑盒的方式生成对抗样本，两者的结合改善了基于迁移方法成功率较低的问题与基于优化的方法迭代次数过多，且生成对抗样本所造成的扰动过大的问题；

四、本发明中的目标函数在保障攻击成功的同时，让扰动尽可能小；

五、本发明采用对抗性向量而不是随机向量添加到数据上进行梯度估计，由于相同任务的模型具有相似的决策边界，因此对抗性向量方向对当前图像数据进行改动会更有可能提升模型针对未知模型对抗性可能性，这样便能提高评估效率。

附图说明

图1是本发明的总体架构图；

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

在图像识别的相关应用中，本发明融合了基于迁移与基于优化的生成方法的优势，在确保生成黑盒对抗样本成功率的同时减少了迭代次数，即减少问询次数。本发明主要改进的手段在于，将传统方法中每次迭代所添加的随机向量，修改为了对抗性向量，同时在对抗性向量生成的过程中，增加了随机性，避免陷入局部最优，进一步提升了生成效率。

本实验采用的图像数据集为来自http：//www.image-net.org/，数据集采用ImageNet，本实验的数据从该数据集中随机获取，每次的输入为一副图像，即一副图像数据。

实验所使用的未知模型为Inception-V3，该模型由ImageNet数据集训练而来，已知模型采用了Resnet-50、VGG-16、Xception、Densenet、InceptionResnet-V2、NASnet，这些模型都是由ImageNet数据集训练而来，但它们的正确率与分类边界有着较大的差异。

根据论文《Delving into transferable adversarial examples and black-boxattacks》，以上通过ImageNet训练得到的模型，使用白盒对抗样本生成方法(即白盒生成方法)生成的对抗样本，其目标攻击迁移成功率低于5％。

在获取一副图像数据后，本发明的实验分为4个阶段，4个阶段循环迭代进行，直至生成对未知模型有效的对抗样本。

(1)白盒对抗样本生成阶段

从以上已知模型中随机1个模型用于生成白盒对抗样本，选取已知模型后，对已知模型进行参数设置，基于设置参数后的已知模型、白盒对抗样本生成方法和和图像数据生成已知模型有效的白盒对抗样本，其中，白盒对抗样本生成方法采用C&W方法，C&W方法生成的超参数为置信度k、扰动系数c，置信度值设置为150，扰动系数为随机生成，范围为10-100，最大迭代步数为100步，其目标函数如下所示：

s.t.x+η∈[0，1]ⁿ

其中，n为图像数据的维度，η为扰动的范数值，p为采用的范数类别，如L0、L2、L∞范数，本实例选用L2范数，x为当前图像数据，g为判断白盒对抗样本生成是否成功的一个阈值函数，c为扰动系数，c越大，则扰动大小对该目标函数的影响越小。该目标函数的目的在于，在保障攻击成功的同时，让扰动尽可能地小。阈值函数g(x′)如下所示

Z(x′)为白盒图像数据所对应的输出，该输出为一个1000维的向量；Z(x′)_i为第i维输出，代表着分类为第i类的置信度，i代表除了待生成类别t之外的其它类别；Z(x′)_t为第t类的置信度；k为置信度，此时为20，只有待生成类别大于除待生成类别加上置信度之和时，阈值函数才会等于0。

(2)对抗性向量生成

将(1)中生成的白盒生成样本减去当前图像数据，得到扰动的范数值η；将扰动的范数值进行归一化操作后，生成对抗性向量。

(3)黑盒对抗样本优化

将归一化后生成的对抗性向量a除以1000后与当前图像数据相加，得到梯度估计样本x_a，将梯度估计样本和当前图像数据问询未知模型f，分别得到添加对抗性向量后梯度估计样本的未知模型预测置信度f(x_a)与当前图像数据的未知模型预测置信度f(x)，得到f(x_a)和f(x)后，基于零阶优化对a方向的梯度值大小进行估计，即估计出对抗性向量方向的梯度值，零阶优化的公式为：

零阶优化后，使用ADAM算法利用该梯度值，对当前图像数据进行更新，即对当前图像数据做出改动。

(4)判决阶段

将改动后的当前图像数据送入未知模型，得到其输出。当待生成类别为输出中所有向量最大值时，循环结束，若不为最大值，则循环继续，并将改动后的当前图像数据作为(1)中的当前图像数据。

以上仅是本发明众多具体应用范围中的代表性实施例，对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案，均落在本发明权利保护范围之内。

Claims

1.一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述已知模型为Resnet-50、VGG-16、Xception、Densenet、InceptionResnet-V2或NASnet中的一种，已知模型都由ImageNet数据集训练得到。

3.根据权利要求2所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述步骤S2中白盒生成方法为C&W方法；

s.t.x+η∈[0，1]ⁿ

4.根据权利要求3所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述步骤S4的具体步骤为：

5.根据权利要求1-4任意一项所述的一种基于低问询图像数据的黑盒对抗样本生成方法，其特征在于，所述未知模型为Inception-V3，由ImageNet数据集训练得到。