CN113486736B - 一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法 - Google Patents

Abstract

本发明公开一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法,包括步骤如下：(1)采用图像分割技术，确定原始图像中对扰动较为敏感的活跃子空间；(2)利用低秩进化策略计算、更新附加在活跃子空间中的扰动；(3)配合基于安全裕度的目标函数；(4)种群中的每个个体随机选择区域实现活跃子空间失活；(5)满足迭代停止条件，输出对抗样本。本发明能实现生成高质量、低查询次数、低成本的对抗样本分布，所得对抗样本扩展性好、质量高。

Description

一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法

技术领域

本发明涉及黑盒对抗攻击方法，尤其涉及一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法。

背景技术

随着深度学习系统在各领域的广泛应用，这些系统在面对恶意攻击者时的安全性已经成为一个重要的研究领域。在自动驾驶领域，系统通过识别道路附近的标志牌来转变方向、控制时速。而攻击者只要在指示牌贴上少量不易被人察觉到的小方块，就能够使得系统错判，不能按照实际路况行进，极大地影响了自动驾驶的广泛使用。

根据攻击者获得信息的能力，对抗样本生成技术可分为白盒攻击与黑盒攻击。白盒攻击者可以获得模型的结构、参数以及训练集等信息；黑盒攻击者则受到更多的约束，往往只能通过查询来访问模型，攻击难度也大幅度提升。当前白盒对抗样本的生成方法已发展得较为成熟，可达到较高的攻击成功率。但由于深度学习模型往往是远程部署，攻击者只有访问权限而得不到详细的内部信息，所以在实际情况下白盒攻击的实用性并不高，黑盒攻击更加符合现实情况。黑盒攻击也因此成为了当前的研究热点。

目前，常见的黑盒攻击主要分为三类：基于优化的方法、基于决策边界的方法和基于迁移学习的方法。

基于优化的方法通过一定的算法构造输入，然后根据模型的反馈不断迭代修改输入，较为典型的是单像素攻击与基于自然进化策略(NES)的攻击。但是单像素攻击只对包含较少像素信息的图像可行，如CIFAR-10与MNIST数据集，而对于ImageNet数据集中信息量比较大的图像则显得力不从心。基于自然进化策略的攻击为了应对图像中的高维数据问题，使用固定步长，避免计算协方差矩阵带来的内存与时间损耗。但是会损失大量模型反馈信息，需要较高的查询次数，攻击成本较高。

基于决策边界的方法完全依赖于模型的最终决策。平均每成功生成一幅对抗样本需要10万次左右的查询，代价昂贵，并且生成的对抗样本可扩展性低。

基于迁移学习的方法，则需首先训练替代模型，然后对替代模型使用白盒攻击来生成对抗样本，再利用这些样本对黑盒模型进行攻击。缺点是替代模型较难对目标模型进行准确模拟。并且当对方模型有所改动时，基于替代模型生成的对抗样本会在成功率上大打折扣。

发明内容

发明目的：本发明的目的是基于活跃子空间与低秩进化策略，提供一种黑盒条件下，实现高质量、低查询次数、低成本的对抗样本生成方法。

技术方案：本发明的黑盒对抗攻击方法，包括如下步骤：

(1)确定原始图像中含有信息的位置，该位置囊括对扰动较为敏感的边界、线条，被称为活跃子空间；

(2)设计基于安全裕度的目标函数；

(3)利用低秩进化策略计算、更新附加在活跃子空间中的扰动；

(4)采用基于安全裕度的目标函数，对种群中的每个个体随机选择区域实现活跃子空间失活，将不敏感区域的扰动置为零；

(5)满足迭代停止条件，输出对抗样本。

进一步，所述步骤(1)实现步骤如下：

(11)平滑图像：当滤波模板滑过将被平滑的图像时，每个像素被由该滤波模板定义的邻域中的像素的平均值代替；

(12)图片二值化：将平滑后的图像转为非黑即白的二值图像，在黑白图像数据集中，直接设计阈值，得到二值化图像；在彩色图像中，使用红色或黄色通道作为二值化基础，并根据设定的阈值，得到多个二值图像；

(13)定义活跃子空间区域：检测二值图像的轮廓，返回该轮廓最大外接矩形的起点位置、长和宽；如果为彩色图像，则计算步骤12中得到的多个二值图像的最大外接矩形的面积，选取面积最大的矩形，作为活跃子空间区域；所述活跃子空间区域囊括了图像线条、颜色变化剧烈的区域。

进一步，所述步骤(2)实现步骤如下：

(21)基于安全裕度的非目标攻击：

其中，D(·)代表被攻击模型的输出结果，x_clecan是被模型正确分类为类别y的原始输入，c代表模型的预测结果；则D(x_clean+θ)_y是真实标签y的概率，是最大候选类别的概率；θ是在图像增加的扰动；γ是引入的较小的非负值常数，代表安全裕度；

(22)定义新的损失函数公式h(θ)：

(23)增加正则项，则目标函数f可定义为：

其中，||·||_p代表扰动的范数，p取值为常数，是评价对抗样本质量的重要指标；_k是损失值与样本质量之间的平衡参数。

进一步，所述步骤(3)实现步骤如下：

(31)通过采样来估计梯度，选用协方差矩阵自适应进化策略CMA-ES，将优化目标函数问题转化为优化采样样本的期望值J(θ)问题：

其中，ξ是分布参数，E是f(θ)的期望；

(32)用均值m和协方差矩阵C参数化的高斯分布空间：

ξ＝(m，C)

(33)基于CMA-ES的参数更新方法：

其中，x_i是每代中的第i个个体，维度与活跃子空间大小一致；η是学习率；w_i是第i个最好个体对应的权重，由高到低排列；N为种群中个体个数；均值与协方差矩阵的角标t为第t代，t+1为下一代；

(34)低秩进化策略协方差分解；采用秩1进化策略R1-ES，将R1-ES协方差矩阵的更新表示为：

其中，α，β∈(0，1)为控制参数；I为单位矩阵；p_t∈Rⁿ为主要搜索方向，代表协方差矩阵最大特征值对应的特征向量，R为实数集；n是扰动维度；

(35)基于低秩进化策略的参数更新；

将每代种群中的个体x_i按照目标函数值进行排序：

f(x_1：λ)≤f(x_2∶λ)≤…≤f(x_λ∶λ)

其中，x_1∶λ代表在大小为λ的种群中，最优的个体；x_λ∶λ则代表最差的个体，第一个角标代表个体在种群中的排序值，第二个角标代表种群的大小。

分布均值更新为：

从整个种群中挑选前μ个优秀个体，更新下一代分布的均值；

主搜索方向更新：

其中，v为变化率，取值为σ_t为第t代的步长；

将父代与子代个体的目标函数值分别以F_t，F_t+1表示，将父代与子代的个体合并为F_t∪F_t+1，并按照目标函数值进行排序，则F_t，F_t+1分别对应于代数的序列值表示为R_t，R_t+1；

则序列值差异q可表示为：

子代累积秩率s_t+1可根据父代s_t表示为：

s_t+1＝(1-c_s)s_t+c_s(q-q^*)

其中，q^*为目标比；c_s为关于累积秩率的变化率；

子代步长σ_t+1根据父代σ_t与阻尼系数d_σ进行更新，其中阻尼系数决定了ln(σ_t)的变化幅度：

其中，d_σ≥1；

(36)对抗样本生成：为便于将扰动附加于原始图片，以零填充非活跃子空间区域，扰动θ_t可表示为：

θ_t＝fill(m_t，x_pos，y_pos，w，h)

进一步，所述步骤(4)实现步骤如下：

(41)结合在步骤(2)中设计的基于安全裕度的目标函数，随机将个体中某些活跃子空间的扰动置零，实现活跃子空间失活；

(42)经过排序，保留优秀个体继续进行参数更新。

进一步，所述步骤(5)满足任一迭代停止条件，则输出对抗样本，实现步骤如下：

(51)当成功得到对抗样本并且质量满足条件时，停止迭代；

(52)设定最大迭代次数，如满足迭代次数，则停止迭代；

(53)满足设定阈值，则停止迭代，输出对抗样本。

本发明与现有技术相比，其显著效果如下：1、利用低秩进化策略来估计黑盒模型梯度，不仅保留了模型的反馈信息，也降低了模型的查询次数，黑盒攻击效率高，确保自动驾驶系统按实际路况行进；2、本发明得到的是对抗样本的分布，在此分布中采样，能够获得成百上千的对抗样本，提升了对抗样本的可扩展性，降低攻击成本；3、通过激活活跃子空间，降低了扰动像素点个数；通过活跃子空间失活，降低了添加扰动后图像与原始图像的欧式距离；4、将扰动限制在活跃子空间中，降低了扰动维度，保留了最易受轻微扰动攻击的像素点，对于探究对抗样本存在的原因具有启发意义，也更加贴近实际攻击者的行为。

附图说明

图1为本发明的对抗样本生成的流程图；

图2为本发明的总示意图。

具体实施方式

下面结合说明书附图和具体实施方式对本发明做进一步详细描述。

以自动驾驶系统通过识别道路附近的标志牌来转变方向、控制时速为例，根据自动驾驶系统采集的道路标志牌等信息，本发明首先采用图像分割技术，确定自动驾驶系统采集的原始图像中含有较多信息的位置，该位置囊括了众多对于分类起到关键作用的特征，例如对扰动较为敏感的边界、线条，可被称为活跃子空间。接着，利用低秩进化策略计算、更新附加在活跃子空间中的扰动。再配合基于安全裕度的目标函数，种群中的每个个体随机选择区域实现活跃子空间失活，将较为不敏感区域的扰动置为零，最终生成高质量、低查询次数、低成本的对抗样本分布。

如图1和图2所示为本发明的黑盒对抗攻击方法，实现过程包括以下步骤：

步骤1，活跃子空间激活。

步骤11，平滑图像。本发明选择使用大小为5×5的内核作为滤波模板，对自动驾驶系统采集的原始图像进行卷积计算；当滤波模板滑过将被平滑的图像时，每个像素被由该滤波模板定义的邻域中的像素的平均值代替。

步骤12，图片二值化。结合数据集特性，设计二值化阈值，将平滑后的图像转为非黑即白的二值图像。在只有两种颜色的指示牌中，可以直接设计阈值，得到二值化图像；在颜色丰富的指示牌中，可以使用红色或黄色通道作为二值化基础，并根据合适的阈值以及区分方法，例如cv2.THRESH_BINARY，像素值大于阈值100则用255(白色)表示，小于阈值使用0(黑色)表示；cv2.THRESH_BINARY_INV则恰恰相反，大于阈值100，使用0表示，小于阈值则使用255表示，得到多个二值图像。

步骤13，定义活跃子空间区域。检测二值图像的轮廓，返回该轮廓最大外接矩形的起点位置(x_pos，y_pos)、长h和宽w。如果为彩色图像，则计算步骤12中得到的多个二值图像的最大外接矩形的面积，选取面积最大的矩形，作为活跃子空间区域。此区域大多囊括了图像线条、颜色变化剧烈的区域，在此区域增加扰动，更易攻击成功。

步骤2，设计目标函数。

步骤21，基于安全裕度的非目标攻击：

式(1)中，D(·)代表被攻击模型的输出结果，x_clean是被模型正确分类为类别y的原始输入，c代表模型的预测结果；则D(x_clean+θ)_y是真实标签y的概率，是最大候选类别的概率；θ是在图像增加的扰动；γ是引入的较小的非负值常数，代表安全裕度，取值为0.15；

步骤22，在步骤21的基础上，定义新的损失函数公式h(θ)，则：

如果攻击失败(增加扰动后的图像仍被模型判别为原始类别y)，则有h(θ)＞0。如果攻击成功(增加扰动后的图像被预测为其他类别)但是两个概率之间的差小于安全裕度γ，则-γ＜h(θ)＜0。如果攻击成功并且概率差满足安全裕度，则有h(θ)＝-γ。因此，上述损失函数是对抗攻击的稳健度量。

步骤23，在步骤22的基础上，增加正则项，则目标函数f可定义为：

式(3)中，||·||_p代表扰动的范数；p常取值为0、1、2或∞，是评价对抗样本质量的重要指标；k是损失值与样本质量之间的平衡参数。

步骤3，基于低秩进化策略迭代计算附加于活跃子空间的扰动。

步骤31，在黑盒攻击的条件下，无法获取模型的梯度，增加了优化目标函数的难度。通过采样来估计梯度，可解决这一难题，代表方法为协方差矩阵自适应进化策略(CMA-ES)。将优化目标函数问题转化为优化采样样本目标函数的期望值问题，使用J(θ)表示采样样本目标函数的期望值，即

式(4)中，ξ是分布参数，E是f(θ)的期望。

步骤32，对于用均值m和协方差矩阵C参数化的高斯分布空间，方法如下：

ξ＝(m，C) (5)

步骤33，基于CMA-ES的参数更新方法：

式(6)中，x_i是每代中的第i个个体，维度与活跃子空间大小一致；η是学习率；w_i是第i个最好个体对应的权重，由高到低排列；N为种群中个体个数；均值与协方差矩阵的角标t为第t代，t+1为下一代。

步骤34，低秩进化策略协方差分解。

在使用步骤33中全协方差矩阵来生成新的候选解时，需要耗费大量的计算量，限制了CMA-ES在图像领域的发展。本发明采用秩1进化策略(R1-ES)，在迭代中只保留协方差矩阵中的主要方向，将计算复杂度降低为与扰动维度线性相关。将R1-ES协方差矩阵的更新表示为：

式(7)中，α，β∈(0，1)为控制参数；I为单位矩阵；p_t∈Rⁿ为主要搜索方向，代表协方差矩阵最大特征值对应的特征向量，R为实数集；n是扰动维度。

步骤35，基于低秩进化策略的参数更新。

将每代种群中的个体x_i(即扰动)按照目标函数值进行排序：

f(x_1:λ)≤f(x_2:λ)≤…≤f(X_λ:λ) (8)

式(8)中，x_1:λ代表在大小为λ的种群中，最优的个体；x_1:λ代表在大小为λ的种群中，最优的个体；x_λ:λ则代表最差的个体，第一个角标代表个体在种群中的排序值，第二个角标代表种群的大小；个体x_i，i＝1，2，...，λ；

分布均值更新为：

从整个种群中挑选前μ个优秀个体，来更新下一代分布的均值。

主搜索方向更新：

式(10)中，v为变化率，取值为以保证每代的搜索方向相反方向抵消，相同分量增加，保留最具价值的搜索方向；σ_t为第t代的步长。

将此代(即父代)与下一代(即子代)个体的目标函数值分别以F_t，F_t+1表示，将父代与子代的个体合并为F_t∪F_t+1，并按照目标函数值进行排序，则F_t，F_t+1分别对应于代数的序列值可表示为R_t，R_t+1。

则序列值差异q可表示为：

子代累积秩率s_t+1可根据父代s_t表示为：

s_t+1＝(1-c_s)s_t+c_s(q-q^*) (12)

式(12)中，q^*为目标比，决定了变异强度，设置为0.3；c_s为关于累积秩率的变化率，取值为0.3。

子代步长σ_t+1可根据父代步长σ_t与阻尼系数d_σ(d_σ≥1)进行更新，其中阻尼系数决定了ln(σ_t)(即对父代步长σ_t取自然对数)的变化幅度：

步骤36，对抗样本生成。

在步骤35中，每代的个体、分布均值的维度由活跃子空间大小决定，低于原始图像维度。为便于将扰动附加于原始图片，需要以零填充非活跃子空间区域。即扰动θ_t可表示为：

θ_t＝fill(m_t，x_pos，y_pos，w，h) (14)

步骤4，活跃子空间失活。

步骤41，在生成成功使模型错判的对抗样本后，可能会面临生成样本质量不高的问题。结合在步骤2中设计的基于安全裕度的目标函数，随机将个体中某些活跃子空间的扰动置零，实现活跃子空间失活，提升对抗样本质量。

步骤42，因种群中的每一个体失活区域不同，所以计算得到的目标函数会有差异。经过排序，保留优秀个体继续进行参数更新。

步骤5，满足任一迭代停止条件，输出对抗样本。

条件1，当成功得到对抗样本并且质量较优时(也就是在只包含两种颜色的指示牌中l₂范数小于1.5，多种颜色的指示牌中l₂范数小于1.0，其中l₂为添加扰动后图像与原始图像的欧式距离)，可停止迭代。

条件2，设定最大迭代次数，如满足迭代次数，则停止迭代，以保证查询的高效。

条件3，极小的步长对于对抗样本质量提升作用较小。设定阈值σ＜0.00001，则停止迭代，输出对抗样本。此步骤能够降低查询次数，提升查询效率。

通过本发明所述的方法，自动驾驶系统能够识别被攻击后的道路标志牌，并能按照实际路况行进，提高了自动驾驶系统的道路识别效率。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (4)

1.一种基于活跃子空间与低秩进化策略的黑盒对抗攻击方法，其特征在于，包括如下步骤：

(1)采用图像分割技术，确定原始图像中含有信息的位置，该位置囊括对扰动敏感的边界、线条，被称为活跃子空间；

(2)设计基于安全裕度的目标函数；

(3)利用低秩进化策略计算、更新附加在活跃子空间中的扰动；

(4)采用基于安全裕度的目标函数，对种群中的每个个体随机选择区域实现活跃子空间失活，将不敏感区域的扰动置为零；经过迭代排序，保留优秀个体继续进行参数更新；

(5)满足迭代停止条件，输出对抗样本；所述步骤(2)的目标函数f定义为：

其中，||·||_p代表扰动的范数，p取值为常数，是评价对抗样本质量的指标；k是损失值与样本质量之间的平衡参数；

D(·)代表被攻击模型的输出结果，x_clean是被模型正确分类为类别y的原始输入，c代表模型的预测结果；则D(x_clean+θ)_y是真实标签y的概率，是最大候选类别的概率；θ是在图像增加的扰动；γ是引入的非负值常数，代表安全裕度；

所述步骤(3)实现步骤如下：

(31)通过采样来估计梯度，选用协方差矩阵自适应进化策略CMA-ES，将优化目标函数问题转化为优化采样样本的期望值J(θ)问题：

其中，ξ是分布参数，E是f(θ)的期望；

(32)对样本用均值m和协方差矩阵C参数化的高斯分布空间：

ξ＝(m，C)

(33)基于CMA-ES的参数更新方法：

其中，x_i是每代中的第i个个体，维度与活跃子空间大小一致；η是学习率；w_i是第i个最优个体对应的权重，由高到低排列；N为种群中个体个数；均值与协方差矩阵的角标t为第t代，t+1为下一代；

(34)低秩进化策略协方差分解；采用秩1进化策略R1-ES，将R1-ES协方差矩阵的更新表示为：

其中，α，β∈(0，1)为控制参数；I为单位矩阵；p_t∈Rⁿ为主要搜索方向，代表协方差矩阵最大特征值对应的特征向量，R为实数集；n是扰动维度；

(35)基于低秩进化策略的参数更新；

将每代种群中的个体x_i按照目标函数值进行排序：

f(x_1：λ)≤f(x_2：λ)≤…≤f(x_λ：λ)

其中,x_1：λ代表在大小为λ的种群中，最优个体；x_λ：λ则代表最差个体，第一个角标代表个体在种群中的排序值，第二个角标代表种群的大小；

分布均值更新为：

从整个种群中挑选前μ个优秀个体，更新下一代分布的均值；

主搜索方向更新：

其中，v为变化率，取值为 σ_t为第t代的步长；

将父代与子代个体的目标函数值分别以F_t，F_t+1表示，则父代与子代的个体合并为F_t∪F_t+1，并按照目标函数值进行排序，则F_t，F_t+1分别对应于代数的序列值表示为R_t，R_t+1；

则序列值差异q表示为：

子代累积秩率s_t+1根据父代累积秩率s_t表示为：

s_t+1＝(1-c_s)s_t+c_s(q-q^*)

其中，q^*为目标比；c_s为关于累积秩率的变化率；

子代步长σ_t+1根据父代步长σ_t与阻尼系数d_σ进行更新,其中阻尼系数决定了ln(σ_t)的变化幅度：

其中，d_σ≥1；

(36)对抗样本生成：为便于将扰动附加于原始图片，以零填充非活跃子空间区域，扰动θ_t表示为：

θ_t＝fill(m_t，x_pos，y_pos，w，h)

其中，fill()表示用零填充非活跃子空间区域；x_pos表示活跃子空间区域起点的横坐标,y_pos表示活跃子空间区域起点的纵坐标，ω表示活跃子空间区域的宽度，h表示活跃子空间区域的长度。

2.根据权利要求1所述的基于活跃子空间与低秩进化策略的黑盒对抗攻击方法，其特征在于，所述步骤(1)实现步骤如下：

(11)平滑图像：当滤波模板滑过将被平滑的图像时，每个像素被由该滤波模板定义的邻域中的像素的平均值代替；

(12)图片二值化：将平滑后的图像转为非黑即白的二值图像，在黑白图像数据集中，直接设计阈值，得到二值化图像；在彩色图像中，使用红色通道作为二值化基础，并根据设定的阈值，得到多个二值图像；

(13)定义活跃子空间区域：检测二值图像的轮廓，返回该轮廓最大外接矩形的起点位置、长和宽；如果为彩色图像，则计算步骤(12)中得到的多个二值图像的最大外接矩形的面积，选取面积最大的矩形，作为活跃子空间区域；所述活跃子空间区域囊括了图像线条和颜色变化剧烈的区域。

3.根据权利要求1所述的基于活跃子空间与低秩进化策略的黑盒对抗攻击方法，其特征在于，所述步骤(4)实现步骤如下：

(41)结合在步骤(2)中设计的基于安全裕度的目标函数，随机将个体中某些活跃子空间的扰动置零，实现活跃子空间失活；

(42)经过排序，保留优秀个体继续进行参数更新。

4.根据权利要求1所述的基于活跃子空间与低秩进化策略的黑盒对抗攻击方法，其特征在于，所述步骤(5)满足任一迭代停止条件，则输出对抗样本：

条件1：当成功得到对抗样本并且质量满足条件时，停止迭代；

条件2：设定最大迭代次数，如满足迭代次数，则停止迭代；

条件3：满足设定步长阈值，则停止迭代，输出对抗样本。