CN112215292A - 一种基于迁移性的图像对抗样本生成装置及方法 - Google Patents

Abstract

本发明属于计算机软件领域，公开了一种基于迁移性的图像对抗样本生成装置及方法，针对上述黑盒攻击需要大量问询，或者迁移性不高的问题，实现在少量问询的条件下，提高了对抗样本的攻击成功率。主要方案为1)输入正常图像样本；2)图像样本经过自编码器处理得到降维后的数据D；3)依次传入经过筛选的本地图像分类器中并使用PGD对抗样本生成算法得到不同的扰动r_i；4)根据权重系数将这些扰动线性集成得到最终的扰动f(D)；5)将降维后的数据D添加上扰动f(D)后经自编码器解码得到最终的对抗样本。

Description

一种基于迁移性的图像对抗样本生成装置及方法

技术领域

本发明属于计算机软件领域，具体为一种基于迁移性的对抗样本生成框架及方法，能通过少量问询目标模型提高一定的迁移性。

背景技术

近年来，深度的神经网络在各方面已经得到了广泛的应用，其在图像识别上甚至可匹配人类的性能，例如图片分类系统，人脸识别等，已经可以达到99％以上的识别率。然而，大多数研究者更关心模型的性能(如正确率)，却忽略了模型的脆弱性和鲁棒性。现有的模型很容易受到“对抗样本”的攻击，它可以使模型产生误判，进而使攻击者达到绕过模型检测的目的，例如在图像分类系统中，通过给原始图像添加一个微小的扰动信息(所需的扰动可能很小，以至于肉眼无法区别)，就能够以很高的概率达到改变图像分类结果的目的，甚至能按照攻击者的想法让图片被分类为一个任意指定的标签(不是图片的正确分类标签)。

国外Szegedy等人通过给图像添加肉眼难以分辨的扰动，使得最终模型无法得到正确的分类结果，进而提出了对抗样本。现在方法主要分为白盒攻击和黑盒攻击，白盒攻击需要目标模型的全部信息，包括参数，已经模型结构等，主要的方法有FGSM，PGD，BIM，CW等，白盒攻击的优点是攻击成功率高，但是在实际对抗样本生成场景中往往不太能满足白盒攻击的要求。第二种为黑盒攻击，指的是只需要知道部分模型的信息比如数据集，便可以进行攻击，黑盒攻击更有难度，但是需要的信息少，同时也更接近实际的攻击场景。当前黑盒攻击主要分为两类，第一类基于梯度估计的方法，通过大量访问目标模型来估计其梯度从而生成对抗样本，该方法的缺点是需要大量的访问目标模型，容易被攻击者发现。第二类方法就是基于对抗样的迁移性--即对一个模型攻击成功的对抗样本对其它模型也能攻击成功，利用迁移性的攻击方法不需要大量的问询，但是攻击成功率不高。

发明内容

针对上述黑盒攻击需要大量问询，或者迁移性不高的问题，实现在少量问询的条件下，提高了对抗样本的攻击成功率。

为了达到上述目的，本发明采用如下技术方案：

一种基于迁移性的图像对抗样本生成装置，包括以下模块：

自编码训练模块：利用图像训练数据集进行无监督训练得到一个自编码器；

图像分类器训练模块：利用训练好的自编码器对图像训练数据集进行编码降维，并使用降维后的数据训练多个本地图像分类器；

分类器权重系数更新模块：利用本地图像分类器生成的对抗样本对目标模型进行攻击，根据得到的结果动态更新本地图像分类器权重；

分类器参数更新模块：利用没有攻击成功的样本对本地图像分类器参数进行更新。

上述技术方案中，所述自编码训练模块，采用稀疏性自编码网络，同时采用损失函数如下：

其中：

Loss中J_sapre(W，b)代表对参数的稀疏性限制，λ是正则系数，W_ij代表网络的权重，在公式J_sapre(W，b)中，J_E(W，b)代表原始数据与解码数据的欧式距离，β是正则系数，

是KL散度，在公式J_E(W，b)中m为输入数据的个数，x′代表重构后数据，x代表原始数据，在公式

中p为稀疏性参数设置为接近0的数，a_j(x⁽ⁱ⁾)代表第i个数据在隐层中第j个神经元的均值输出，

代表所有训练数据集中隐层第j个神经元的激活度均值，最后采用随机梯度优化下降方法来优化参数。

上述技术方案中，所述分类器权重系数更新模块采用迭代更新方式更新权重，包括以下步骤：

S3.1：设置每个本地图像分类器的初始权重系数μ_i为0，i代表第i个本地分类器，设置当前迭代次数c为1，设置s_i＝0，s_i代表第i个图像分类器生成的图像对抗样本攻击成功的次数；

S3.2：随机从原始训练数据中选取一个图像样本并使用自编码器编码得到样本X_i，利用PGD方法逐个对本地图像分类器生成一个图像对抗样本X′_i，i代表第i个分类器；

S3.3：利用自编码器对X′_i进行解码并传入需要被攻击的目标分类器，如果攻击成功，则置s_i等于s_i+1，如果没有攻击成功则将图像对抗样本X′_i、目标分类器对图像对抗样本X′_i的分类结果及对应的本地图像分类器传入分类器参数更新模块；

S3.4：如果满足迭代最大次数Max iter(超参数需要人为指定)则停止迭代，然后更新每个本地图像分类器(不包含在参数更新模块中已被剔除的分类器)的权重系数

并进行归一化处理，最终设置μ_i等于

，否则置c＝c+1并执行S3.2继续迭代。

上述技术方案中，所述分类器参数更新模块有如下步骤：

S4.1：如果是第一次更新则设置c′＝0，否则执行S2，其中c′为当前更新的次数；

S4.2：如果

次，则分别计算本地图像分类器的迁移性攻击成功率，如果有的本地图像分类器迁移性攻击成功率低于50％，则剔除该本地图像分类器，后续所有迭代以及参数更新过程不再考虑该本地图像分类器；

S4.3：根据传入的图像对抗样本X′_i、目标模型对图像对抗样本X′_i的分类结果将其作为新的训练数据，相应的本地图像分类器根据这个训练数据进行一次梯度下降算法，更新本地图像分类器的内部参数，并置c′为c′+1。

上述技术方案中，在迭代完成后使用本地图像分类器以及对应的权重系数线性集成为最终的集成图像分类器，集成方式如下：

其中D代表自编码器降维后的数据，u_i为权重系数，f_i(D)为第i个本地图像分类器对数据D生成的扰动r_i。

本发明同现有技术相比，其有益效果表现在：

一、少量问询次数：利用对抗样本的迁移性生成对抗样本，无需大量的问询。

二、少量目标模型信息：该方法属于黑盒攻击，不需要目标网络的内部参数，如梯度和结构。

三、提高攻击成功率：采用集成方法去生成对抗样本，大大提高了对抗样本的泛化能力，同时采用动态更新系数提高了一定程度的成功率。

四、计算速度较快：采用自编码器对数据进行降维，涉及梯度计算时能有效提高计算速率，一定程度减少了时间开销。

附图说明

图1是本发明的总体架构图。

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

实施例

本次实验是按照上述框架及方法生成多个对抗样本，并统计对抗样本的有效率，本次实验的硬件环境和软件环境如下表1所示：

表1实验环境配置

对抗样本生成方法所使用的参数信息如下所示：

表2算法参数信息

最大迭代次数	1000
		PGD迭代次数	1000
训练自编码模块参数p	1<sup>-8</sup>
		训练自编码模块参数λ	0.1
训练自编码模块参数β	0.01

本发明提供了一种基于迁移性的图像对抗样本生成装置，包括以下模块：

自编码训练模块：利用图像训练数据集进行无监督训练得到一个自编码器；

图像分类器训练模块：利用训练好的自编码器对图像训练数据集进行编码降维，并使用降维后的数据训练多个本地图像分类器；

分类器权重系数更新模块：利用本地图像分类器生成的对抗样本对目标模型进行攻击，根据得到的结果动态更新本地图像分类器权重；

分类器参数更新模块：利用没有攻击成功的样本对本地图像分类器参数进行更新。

上述技术方案中，所述自编码训练模块，采用稀疏性自编码网络，同时采用损失函数如下：

其中：

Loss中J_sapre(W，b)代表对参数的稀疏性限制，λ是正则系数，W_ij代表网络的权重，在公式J_sapre(W，b)中，J_E(W，b)代表原始数据与解码数据的欧式距离，β是正则系数，

是KL散度，在公式J_E(W，b)中m为输入数据的个数，x′代表重构后数据，x代表原始数据，在公式

中p为稀疏性参数设置为接近0的数，a_j(x⁽ⁱ⁾)代表第i个数据在隐层中第j个神经元的均值输出，

代表所有训练数据集中隐层第j个神经元的激活度均值，最后采用随机梯度优化下降方法来优化参数。

上述技术方案中，所述分类器权重系数更新模块采用迭代更新方式更新权重，包括以下步骤：

S3.1：设置每个本地图像分类器的初始权重系数μ_i为0，i代表第i个本地分类器，设置当前迭代次数c为1，设置s_i＝0，s_i代表第i个图像分类器生成的图像对抗样本攻击成功的次数；

S3.2：随机从原始训练数据中选取一个图像样本并使用自编码器编码得到样本X_i，利用PGD方法逐个对本地图像分类器生成一个图像对抗样本X′_i，i代表第i个分类器；

S3.3：利用自编码器对X′_i进行解码并传入需要被攻击的目标分类器，如果攻击成功，则置s_i等于s_i+1，如果没有攻击成功则将图像对抗样本X′_i、目标分类器对图像对抗样本X′_i的分类结果及对应的本地图像分类器传入分类器参数更新模块；

S3.4：如果满足迭代最大次数Max_iter(超参数需要人为指定)则停止迭代，然后更新每个本地图像分类器(不包含在参数更新模块中已被剔除的分类器)的权重系数

并进行归一化处理，最终设置μ_i等于

，否则置c＝c+1并执行S3.2继续迭代。

上述技术方案中，所述分类器参数更新模块有如下步骤：

S4.1：如果是第一次更新则设置c′＝0，否则执行S2，其中c′为当前更新的次数；

S4.2：如果

次，则分别计算本地图像分类器的迁移性攻击成功率，如果有的本地图像分类器迁移性攻击成功率低于50％，则剔除该本地图像分类器，后续所有迭代以及参数更新过程不再考虑该本地图像分类器；

S4.3：根据传入的图像对抗样本X′_i、目标模型对图像对抗样本X′_i的分类结果将其作为新的训练数据，相应的本地图像分类器根据这个训练数据进行一次梯度下降算法，更新本地图像分类器的内部参数，并置c′为c′+1。

上述技术方案中，在迭代完成后使用本地图像分类器以及对应的权重系数线性集成为最终的集成图像分类器，集成方式如下：

其中D代表自编码器降维后的数据，u_i为权重系数，f_i(D)为第i个本地图像分类器对数据D生成的扰动r_i。

一、自编码训练：数据集为MNIST数据集。将所有训练数据集作为自编码器的训练集，其中隐层的大小为196维向量，用随机梯度优化下降方法来优化参数。

二、本地分类模型训练：将所有训练数据输入自编码器，输出中间的隐层数据，训练一个模型时采用80％该数据集当做训练集，20％当做测试数据集，分别训练了VGG19，VGG16，RseNet18，RseNet101和Densenet121这5个模型。

三、迭代更新模型之间的权重系数以及模型自身参数：从数据集中随机选择一个数据，之后经过自编码器编码将数据降维，将数据依次输入每个模型，利用PGD算法产生出相应的对抗样本，再经过自编码器解码后将对抗样本输入目标模型，按照前述更新方式动态更新参数。

四、利用最后的集成模型去生成对抗样本并统计成功率：随机采样1000张MNIST测试数据集，传入自编码器得到编码后的数据，再利用该数据和集成模型采用PGD对抗样本生成算法，得到最终的对抗样本，经由自编码器解码后得到最终的对抗样本。最后统计其攻击成功率。

本实施方式提出生成对抗样本的方式有效且简单。针对主流神经网络模型有着非常高的成功率。

以上仅是本发明众多具体应用范围中的代表性实施例，对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案，均落在本发明权利保护范围之内。

Claims (10)

1.一种基于迁移性的图像对抗样本生成装置，其特征在于，包括以下模块：

自编码训练模块：利用图像训练数据集进行无监督训练得到一个自编码器；

图像分类器训练模块：利用训练好的自编码器对图像训练数据集进行编码降维，并使用降维后的数据训练多个本地图像分类器；

分类器权重系数更新模块：利用本地图像分类器生成的对抗样本对目标模型进行攻击，根据得到的结果动态更新本地图像分类器权重；

分类器参数更新模块：利用没有攻击成功的样本对本地图像分类器参数进行更新。

2.根据权利要求1一种基于迁移性的对抗样本生成装置，其特征在于，所述自编码训练模块，采用稀疏性自编码网络，同时采用损失函数如下：

其中：

Loss中J_sapre(W，b)代表对参数的稀疏性限制，λ是正则系数，W_ij代表网络的权重，在公式J_sapre(W，b)中，J_E(W，b)代表原始数据与解码数据的欧式距离，β是正则系数，

是KL散度，在公式J_E(W，b)中m为输入数据的个数，x′代表重构后数据，x代表原始数据，在公式

中p为稀疏性参数设置为接近0的数，a_j(x⁽ⁱ⁾)代表第i个数据在隐层中第j个神经元的均值输出，

代表所有训练数据集中隐层第j个神经元的激活度均值，最后采用随机梯度优化下降方法来优化参数。

3.根据权利要求1一种基于迁移性的对抗样本生成装置，其特征在于，所述分类器权重系数更新模块采用迭代更新方式更新权重，包括以下步骤：

S3.1：设置每个本地图像分类器的初始权重系数μ_i为0，i代表第i个本地分类器，设置当前迭代次数c为1，设置s_i＝0，s_i代表第i个图像分类器生成的图像对抗样本攻击成功的次数；

S3.2：随机从原始训练数据中选取一个图像样本并使用自编码器编码得到样本X_i，利用PGD方法逐个对本地图像分类器生成一个图像对抗样本X′_i，i代表第i个分类器；

S3.3：利用自编码器对X′_i进行解码并传入需要被攻击的目标分类器，如果攻击成功，则置s_i等于s_i+1，如果没有攻击成功则将图像对抗样本X′_i、目标分类器对图像对抗样本X′_i的分类结果及对应的本地图像分类器传入分类器参数更新模块；

S3.4：如果满足迭代最大次数Max_iter(超参数需要人为指定)则停止迭代，然后更新每个本地图像分类器(不包含在参数更新模块中已被剔除的分类器)的权重系数

并进行归一化处理，最终设置μ_i等于

否则置c＝c+1并执行S3.2继续迭代。

4.根据权利要求3所述的一种基于迁移性的对抗样本生成装置，其特征在于，所述分类器参数更新模块有如下步骤：

S4.1：如果是第一次更新则设置c′＝0，否则执行S2，其中c′为当前更新的次数；

S4.2：如果

次，则分别计算本地图像分类器的迁移性攻击成功率，如果有的本地图像分类器迁移性攻击成功率低于50％，则剔除该本地图像分类器，后续所有迭代以及参数更新过程不再考虑该本地图像分类器；

S4.3：根据传入的图像对抗样本X′_i、目标模型对图像对抗样本X′_i的分类结果将其作为新的训练数据，相应的本地图像分类器根据这个训练数据进行一次梯度下降算法，更新本地图像分类器的内部参数，并置c′为c′+1。

5.根据权利要求4所述的一种基于迁移性的对抗样本生成装置，其特征在于，在迭代完成后使用本地图像分类器以及对应的权重系数线性集成为最终的集成图像分类器，集成方式如下：

其中D代表自编码器降维后的数据，u_i为权重系数，f_i(D)为第i个本地图像分类器对数据D生成的扰动r_i。

6.一种基于迁移性的对抗样本生成方法，其特征在于，包括以下步骤：

1)输入正常图像样本；

2)图像样本经过自编码器处理得到降维后的数据D；

3)依次传入经过筛选后的本地图像分类器中并使用PGD对抗样本生成算法得到不同的扰动r_i；

4)按照前述集成方式得到最终的扰动f(D)；

5)将降维后的数据D添加上扰动f(D)后经自编码器解码得到最终的对抗样本。

7.根据权利要求6一种基于迁移性的对抗样本生成方法，其特征在于，所述自编码训练模块，采用稀疏性自编码网络，同时采用损失函数如下：

其中：

Loss中J_sapre(W，b)代表对参数的稀疏性限制，λ是正则系数，W_ij代表网络的权重，在公式J_sapre(W，b)中，J_E(W，b)代表原始数据与解码数据的欧式距离，β是正则系数，

是KL散度，在公式J_E(W，b)中m为输入数据的个数，x′代表重构后数据，x代表原始数据，在公式

中p为稀疏性参数设置为接近0的数，a_j(x⁽ⁱ⁾)代表第i个数据在隐层中第j个神经元的均值输出，

代表所有训练数据集中隐层第j个神经元的激活度均值，最后采用随机梯度优化下降方法来优化参数。

8.根据权利要求6一种基于迁移性的对抗样本生成方法，其特征在于，所述分类器权重系数更新模块采用迭代更新方式更新权重，包括以下步骤：

S3.1：设置每个本地图像分类器的初始权重系数μ_i为0，i代表第i个本地分类器，设置当前迭代次数c为1，设置s_i＝0，s_i代表第i个图像分类器生成的图像对抗样本攻击成功的次数；

S3.2：随机从原始训练数据中选取一个图像样本并使用自编码器编码得到样本X_i，利用PGD方法逐个对本地图像分类器生成一个图像对抗样本X′_i，i代表第i个分类器；

S3.3：利用自编码器对X′_i进行解码并传入需要被攻击的目标分类器，如果攻击成功，则置s_i等于s_i+1，如果没有攻击成功则将图像对抗样本X′_i、目标分类器对图像对抗样本X′_i的分类结果及对应的本地图像分类器传入分类器参数更新模块；

S3.4：如果满足迭代最大次数Max_iter(超参数需要人为指定)则停止迭代，然后更新每个本地图像分类器(不包含在参数更新模块中已被剔除的分类器)的权重系数

并进行归一化处理，最终设置μ_i等于

否则置c＝c+1并执行S3.2继续迭代。

9.根据权利要求8所述的一种基于迁移性的对抗样本生成方法，其特征在于，所述分类器参数更新模块有如下步骤：

S4.1：如果是第一次更新则设置c′＝0，否则执行S2，其中c′为当前更新的次数；

S4.2：如果

次，则分别计算本地图像分类器的迁移性攻击成功率，如果有的本地图像分类器迁移性攻击成功率低于50％，则剔除该本地图像分类器，后续所有迭代以及参数更新过程不再考虑该本地图像分类器；

S4.3：根据传入的图像对抗样本X′_i、目标模型对图像对抗样本X′_i的分类结果将其作为新的训练数据，相应的本地图像分类器根据这个训练数据进行一次梯度下降算法，更新本地图像分类器的内部参数，并置c′为c′+1。

10.根据权利要求9所述的一种基于迁移性的对抗样本生成方法，其特征在于，在迭代完成后使用本地图像分类器以及对应的权重系数线性集成为最终的集成图像分类器，集成方式如下：

其中D代表自编码器降维后的数据，u_i为权重系数，f_i(D)为第i个本地图像分类器对数据D生成的扰动r_i。

Images