CN113571067B - 一种基于边界攻击的声纹识别对抗样本生成方法 - Google Patents

Abstract

一种基于边界攻击的声纹识别的对抗样本生成方法，包括以下步骤：1)对所使用的语音数据集进行数据预处理；2)搭建声纹识别模型；3)边界攻击生成对抗样本的算法，流程为：选择边界攻击算法的初始点；选择游走方向；超参数调整。本发明对声纹身份进行分类时未采用传统的声学特征的方法，而是通过将语音转化为语谱图进行训练，可以充分利用卷积神经网络在图像上提取特征的优点，使精度得到极大的提高；本发明属于黑盒攻击，不需要知道原始模型的结构和参数，只需要模型的分类标签，应用面更广更具实际意义。攻击成功率高，产生的对抗样本肉眼无法察觉。

Description

一种基于边界攻击的声纹识别对抗样本生成方法

技术领域

本发明属于深度学习安全领域，涉及一种基于边界攻击的声纹识别对抗样本生成方法。

背景技术

随着深度学习的迅速发展，深度学习已经是人工智能最常见的技术之一，在方方面面影响和改变着人们的生活，比较典型的应用包括智能家居、智能驾驶、语音识别、声纹识别等领域。但是深度学习作为一个非常复杂的软件系统，同样会面对各种黑客攻击。黑客通过深度学习系统，也可以威胁到财产安全、个人隐私、交通安全和公告安全。针对深度学习系统的攻击，通常包括以下几种。1.偷取模型，黑客通过各种先进手段，将部署在服务器中的模型文件窃取。2.数据投毒，针对深度学习的数据投毒主要是指向深度学习的训练样本中加入异常数据，导致模型在遇到某些条件时候会产生分类错误，比如后门攻击算法就是在中毒数据中添加一个后门标记，使得模型中毒。3.对抗样本，对抗样本是指在数据集中通过故意添加细微的干扰所形成的输入样本，这种样本导致模型以高置信度给出一个错误的输出。简单的讲，对抗样本通过在元素数据上叠加精心构造的人类难以察觉的扰动，使深度学习模型产生分类错误。深度学习的安全，成为当今我们需要去迫切解决的问题。

对于对抗样本的生成大多数方法要么是依赖于详细的模型信息(基于梯度的攻击)，要么依赖于置信度分数，例如类别概率(基于分数的攻击)，而这两种方法在大多数真实世界的场景中都不可用。因此提高对抗攻击的现实意义和增加其应用场景变的十分重要。

发明内容

为了克服已有技术的不足，本发明提供了一种基于深度学习的声纹识别的对抗攻击方法，该方法生成的对抗样本和原始样本看不出有任何区别，但是可以使模型分类错误；这是一种黑盒攻击方法，仅少数超参数需要调整，不依赖于替代模型，仅需知道模型输出的类别标签。

本发明解决其技术问题所采用的技术方案是：

一种基于边界攻击的声纹识别的对抗样本生成方法，包括以下步骤：

1)对所使用的语音数据集进行数据预处理：获取每一段语音的原始波形时域数据，然后对其进行傅里叶变换将其变换到频域得到语音信号的频谱，最后利用频谱特征画出对应的语谱图并保存；

2)搭建声纹识别模型：预先指定声纹识别模型的结构和参数，识别模型的数据集也预先给定，即说话人语音样本，包含用来说话人识别的输入特征和相应的分类标签，输入特征为语谱图，数据集中的样本集能被该模型以高精度预测输出；

3)边界攻击生成对抗样本的算法，流程为：

选择边界攻击算法的初始点：边界攻击需要的起始点就是一个对抗样本，在无目标攻击中，从给定输入的语谱图中从最大熵分布值采样得到初始点；

选择游走方向：首先从标准高斯分布中抽样获得随机扰动，并使得加上扰动后的样本的值在[0,255]之间，再将随机扰动扰动投影到一个以原始图片为中心的超球面上，以原始图片为中心的超球上游走，对抗样本朝着原始图片移动一小步；

超参数调整：调整正交扰动步长和朝着原始图片靠近的步长，一个点更新到下一个点的过程分为两步，首先在以原始图片为中心的超球面上走一步，保证下一步得到的图片仍然是对抗样本，然后再朝着原始样本走一步，这两个超参数需根据边界的局部几何形状动态调整。

进一步，所述方法还包括以下步骤：4)对抗样本进行性能测试。

本发明中，首先数据预处理，对于使用的语音数据集进行数据处理，生成语音数据集的语谱图特征；搭建声纹识别模型，使模型能够以很高的分类精度准确预测语音数据集中说话人的身份标签；选取测试集样本并利用边界攻击算法攻击模型以生成对抗样本。

本发明的有益效果主要表现在：1.本发明对声纹身份进行分类时未采用传统的声学特征的方法，而是通过将语音转化为语谱图进行训练，可以充分利用卷积神经网络在图像上提取特征的优点，使精度得到极大的提高。2.本发明属于黑盒攻击，不需要知道原始模型的结构和参数，只需要模型的分类标签，应用面更广更具实际意义。攻击成功率高，产生的对抗样本肉眼无法察觉。

附图说明

图1是边界攻击对抗样本生成方法基本流程图。

图2是声纹识别模型结构图。

图3是声纹识别模型训练精度图。

图4是对抗样本攻击过程相对扰动量变化图。

具体实施方式

下面结合附图对本发明作进一步描述。

参照图1～图4，一种基于边界攻击的声纹识别的对抗样本生成方法，包括以下步骤：

1)对说话人数据集进行预处理，将它们转换为语谱图，过程如下：

1.1：对输入语音信号进行预加重，从而对输入信号高频分量进行补偿，求语音信号频谱，频谱是指时域信号在频域下的表示方式，频率越高相应的成分越小，高频部分的频谱比低频部分的难求，为此要在预处理中进行预加重处理，预加重的目的是提高高频部分，使信号的频谱变得平坦，以便于频谱分析或者声道参数分析，预加重公式：

S(n)＝x(n)-αx(n-1) (1)

S(n)是预加重后的语音信号，x是原始信号，n是语音信号中的采样点，α是系数，一般取0.97；

1.2：对采样语音信号进行分帧，获得稀疏的信号帧，方便后续信号分析与处理，语音信号中的频率随时间而变化，是个非平稳态过程，所以在大多数情况下，对整个信号进行傅立叶变换是没有意义的，随着时间的推移会丢失信号的频率轮廓，为了避免这种情况，需要进行分帧操作，把每一帧当成平稳信号处理，通过连接相邻帧来获得信号频率轮廓的良好近似；将N个采样点集合成一个观测单位，称为帧，长度为T_total的语音信号分帧公式如下：

u＝H[(T_total-t_overlap)/t_inc] (2)

t_overlap＝t_s-t_inc (3)

其中u表示帧的数量，t_s表示每帧涵盖的时间，t_inc表示后一帧对前一帧的位移量，简称帧移，t_overlap表示相邻两帧间的重叠部分，用来避免相邻两帧的变化过大，保持语音信息的完整性，H(.)表示取整函数，第i帧语音信号表示为S_i(n),n＝0,1,2…N-1,0≤i≤u；

1.3：对分帧后的采样信号进行加窗，来避免吉布斯现象和频谱泄露；

加窗处理的计算计算将一帧信号的每一个值乘以不同的权重，语音领域最常用的窗函数就是汉明窗；

对于长度为N的离散信号，这两种窗函数所对应的权重是w[n]

w[n]＝(1-α)-αcos[2πn/(N-1)],0≤n≤N-1 (4)

当α＝0.46，(4)为汉明窗；

S′_i(n)＝S_i(n)×w(n) (5)

其中S′_i(n)是某一帧信号加窗后的信号；

1.4：提取语音频谱图：由于对语音信号是一种短时平稳信号，可以在每个时刻用其附近的短时段语音信号分析得到一种频谱，将语音信号连续地进行这种频谱分析，可以得到一种二维图谱，它的横坐标表示时间，纵坐标表示频率，每个像素的灰度值大小反映相应时刻和相应频率的能量，这种时频图称语谱图(spectrogram)。具体步骤为：从时域转换到频域处理，将每一帧采用短时傅里叶变换得到在频谱上的能量分布，公式如下：

其中S′_i(n)是输入的语音信号，N表示傅里叶变换的点数，与每一帧采样点个数相同，k表示频率，X_i(k)代表第i帧的频谱，表示频率与能量的关系，为了使那些幅值较低的成分相对高幅值成分得以拉高，以便观察掩盖在低幅噪声中的周期信号，将频谱转换为对数功率谱：

X′_i(k)＝10log₁₀|X_i(k)|² (7)

将每一帧的对数功率谱求转置矩阵后映射到一个灰度级表示：

其中，X′_i(k)＝[X′_i(k₁),X′_i(k₂),X′_i(k₃),...,X′_i(k_N)]^T,Y_i表示第i帧的灰度矩阵，最后将每一帧的灰度级表示在时间轴上拼凑起来并进行彩色映射得到语谱图Y，起到用二维表示三维的作用，公式如下：

Y＝RGB([Y₁,Y₂,...,Y_u]) (9)

2)搭建声纹识别模型的步骤：预先指定分类模型的结构和参数，且不发生变化，本发明采样的分类模型结构包含2D卷积层，最大池化层，批归一化层，全连接层，相关层计算公式如下：

H_out＝(H_in+2padding-kernel_size)/stride+1 (10)

W_out＝(W_in+2padding-kernel_size)/stride+1 (11)

ReLU(x)＝max(0,x) (12)

Y^(m)＝Conv_Block(Y^(m-1)) (13)

C_out＝ReLU(Y^(m)) (14)

其中H_out是卷积层输出宽度，W_out是卷积层输出长度，W_in是输入卷积层的长度，H_in是输入卷积层宽度，padding是输入的每条边补充0的层数，stride是卷积步长，kernel_size是卷积核大小，Y^(m)是输入语谱图Y经过第m个卷积块后的输出，Conv_Block(.)是卷积块，C_out为经过卷积层产生并经过激活函数ReLU的输出矩阵；

P_out＝max(C_out) (15)

其中P_out为最大池化层输出；

其中μ是批处理数据的均值，σ²是批处理数据的方差，λ和β是学习的参数，κ是为了避免除数为0时所使用的微小正数，是批归一化层后的输出；

3)边界攻击生成对抗样本的算法，流程为：首先选取一个对抗样本为初始点；再沿着对抗样性区域和非对抗性区域之间的边界随机游走，确保扰动样本仍有对抗性，且逼近原始样本，过程如下：

3.1：选取初始点，对于有目标攻击，直接选取被分类为目标类别的样本。对于无目标攻击，在给定输入的有效域(语谱图Y∈[0～255])中从最大熵分布中采样得到初始点，这里使用均匀分布替代最大熵分布；

是无目标攻击的初始点，代表第m个原始样本的第一个对抗样本，Uniform(0,255)代表从[0,255]这个范围中进行均匀采样，得到一个shape与原始样本一样的初始对抗样本；

3.2：随机游走，这决定了算法的效率，首先，从标准高斯分布中抽样得到初始扰动 的shape与输入语谱图的shape一致，再获得正交扰动/>计算公式为如下过程：

其中代表第k次迭代的第i次试验中的第j个试验对抗样本的采样扰动量，L₂(.)是计算l₂范数的函数，δ是正交扰动步长，/>是计算球面法线的单位向量，/>是最终的正交扰动大小，将/>投影到一个以原始样本Y为中心的超球面上，然后将/>减去投影大小，得到k∈[1,N₁],i∈[1,N₂],j∈[1,N₃]；

试验对抗样本为代表第k次迭代的第i次试验中的第j个试验对抗样本；

接着对进行clip满足公式(24)，计算原始样本和扰动样本间的l₂距离，朝着原始图片移动一小步，ε(ε＞0)是朝着原始图片移动的步长：

接着对clip并满足公式(24)：

3.3：超参数调整，边界攻击需要调整2个超参数，正交扰动步长和朝着原始图片移动的步长，这两个参数都会随着决策边界的局部几何形状进行动态调整，这两步步长需要动态调整：

首先检查正交扰动这步，所得到的扰动样本是否仍有对抗性，若有对抗性，就朝着原始样本移动一小步；正交扰动步长测试是否步长足够小，以便可以将对抗区域和非对抗区域之间的决策边界视为近似线性，如果每一次试验中对抗性样本所占比例小于一定数值(这里设置为a1)减少正交扰动步长δ，如果高于一定数值(这里设置为b1)增加δ，θ∈(0,1)

其中是第k次迭代的第i次试验中的第j个试验对抗样本在神经网络模型中的输出，argmax(f(Y_ij ^k))是输出标签值，y是真实标签，/>代表第k次迭代的第i次试验中的N₃个试验样本中不具有对抗性的样本数量,score_δ代表N₃个试验样本中对抗性样本所占比例；

检查试验样本是否有对抗性，将有对抗性的试验样本再朝着原始图片移动一小步，如果这些试验样本攻击成功率过小(设置为a2)，减小ε，ε←ε*θ；攻击成功率大于b2，增加ε，ε←ε/θ，最终在每一次迭代中选取l₂值最小的对抗性样本并保存，最终进行完N₁次迭代后选取N₁个样本中l₂值最小的为一个原始样本的最佳边界攻击对抗样本Y_m，Y_m代表第m个原始样本的最佳对抗样本；

则最终n个原始样本攻击完后，最佳攻击样本集为Y＝[Y₁,Y₂,...,Y_n]；

4)对对抗样本进行性能测试，过程如下：

边界攻击的成功率计算公式：

其中n是测试集样本数量，Y_m是第m个原样本对应的对抗样本，y_m是第m个原始样本的正确标签，equal(.)是判断生成的对抗样本是否分类错误并统计个数，f(.)是声纹识别模型输出层(softmax层)输出的类别概率分布；

边界攻击生成的对抗样本的质量衡量,利用扰动量对于原始样本的相对l₂范数来衡量对抗样本的扰动大小，计算公式为：

其中Y是对抗样本，Y是原始样本，σ是添加的扰动相对于原始样本的扰动量大小，该值越小说明生成的对抗样本质量越好，越不容易被人所区分。

实例：实际试验中的数据

步骤1选取实验数据

实验所用数据集为DIDI语音数据集，此数据集收集了不同年龄段，不同性别，不同地区说话者在安静环境下录制的语音，每人大约有110句话，采样率为22050。我们选择20人的语音作为声纹识别模型的数据集，每个人随机选择85句话作为训练集，其余作为测试集。对于每一句语音我们提取的原始波形时域数据长度为65000，然后利用上面所述的生成语谱图的方法生成相应的语谱图。对语谱图进行数据预处理保存为(bathsize,224,224,3)的数组大小，并生成对应的标签数据，处理后的数据集均保存为.npy文件。

步骤2参数确定

语音数据预处理中，选择帧长t_s＝0.025s，帧移t_inc＝0.01s，傅里叶变换的点数NFFT＝1024。

本发明所采用的声纹识别模型结构如下：模型包含四个2D卷积层，三个最大池化层，四个批归一化层，两个全连接层，一个Dropout层。四个卷积层的卷积和大小均为3×3，卷积步伐均为2，卷积核数量分别为32，128，256，256。激活函数均为ReLU函数。三个最大池化层中的池化尺寸为2×2，池化步伐为1。Dropout层设置为0.5，省去50％的神经元。第一个全连接层神经元个数为512，激活函数为ReLU函数，最后一层全连接层神经元个数为分类的说话人个数，这里为20，激活函数为softmax函数。使用的损失函数为分类交叉熵函数categorical_crossentropy，表达式为优化器选择Adam,学习率为0.001，在模型训练过程中保存最优模型。边界攻击算法步骤中初始正交扰动步长δ＝0.01，朝着原始样本移动步长ε＝0.01，迭代次数N₁＝100,每次迭代中试验次数N₂＝200，故最大查询次数20000次，每次试验中生成试验样本数量N₃＝20,数值a＝0.2,b＝0.5

步骤3实验结果

所搭建的声纹识别模型具有很高的精度，其声纹识别模型的训练结果如图2所示。选取的测试集样本进行攻击，攻击成功率为100％。相对扰动量σ均在2万次查询内达到10^-3级别，其中攻击过程的σ值变化大小，如图4所示。

本说明书的实施例所述的内容仅仅是对发明构思的实现形式的列举，仅作说明用途。本发明的保护范围不应当被视为仅限于本实施例所陈述的具体形式，本发明的保护范围也及于本领域的普通技术人员根据本发明构思所能想到的等同技术手段。

Claims (5)

1.一种基于边界攻击的声纹识别的对抗样本生成方法，其特征在于，所述方法包括以下步骤：

1)对所使用的语音数据集进行数据预处理：获取每一段语音的原始波形时域数据，然后对其进行傅里叶变换将其变换到频域得到语音信号的频谱，最后利用频谱特征画出对应的语谱图并保存；

2)搭建声纹识别模型：预先指定声纹识别模型的结构和参数，识别模型的数据集也预先给定，即说话人语音样本，包含用来说话人识别的输入特征和相应的分类标签，输入特征为语谱图，数据集中的样本集能被该模型以高精度预测输出；

3)边界攻击生成对抗样本的算法，流程为：

选择边界攻击算法的初始点：边界攻击需要的起始点就是一个对抗样本，在无目标攻击中，从给定输入的语谱图中从最大熵分布值采样得到初始点，使用均匀分布替代最大熵分布；

选择游走方向：首先从标准高斯分布中抽样获得随机扰动，并使得加上扰动后的样本的值在[0,255]之间，再将随机扰动投影到一个以原始图片为中心的超球面上，以原始图片为中心的超球上游走，对抗样本朝着原始图片移动一小步；

超参数调整：调整正交扰动步长和朝着原始图片靠近的步长，一个点更新到下一个点的过程分为两步，首先在以原始图片为中心的超球面上走一步，保证下一步得到的图片仍然是对抗样本，然后再朝着原始样本走一步，这两个超参数需根据边界的局部几何形状动态调整；

首先检查正交扰动这步，所得到的扰动样本是否仍有对抗性，若有对抗性，就朝着原始样本移动一小步；正交扰动步长测试是否步长足够小，以便可以将对抗区域和非对抗区域之间的决策边界视为近似线性，如果每一次试验中对抗性样本所占比例小于下限值a1则减少正交扰动步长δ，如果高于上限值b1则增加δ，θ∈(0,1)

其中是第k次迭代的第i次试验中的第j个试验对抗样本在神经网络模型中的输出，/>是输出标签值，y是真实标签，/>代表第k次迭代的第i次试验中的N₃个试验样本中不具有对抗性的样本数量,score_δ代表N₃个试验样本中对抗性样本所占比例；

检查试验样本是否有对抗性，将有对抗性的试验样本再朝着原始图片移动一小步，如果这些试验样本攻击成功率小于下限值a2，减小ε，ε←ε*θ；攻击成功率大于上限值b2，增加ε，ε←ε/θ，最终在每一次迭代中选取l₂值最小的对抗性样本并保存，最终进行完N₁次迭代后选取N₁个样本中l₂值最小的为一个原始样本的最佳边界攻击对抗样本Y_m，Y_m代表第m个原始样本的最佳对抗样本；

则最终n个原始样本攻击完后，最佳攻击样本集为Y＝[Y₁,Y₂,...,Y_n]。

2.如权利要求1所述的一种基于边界攻击的声纹识别的对抗样本生成方法，其特征在于，所述步骤1)的过程如下：

1.1：对输入语音信号进行预加重，预加重公式：

S(n)＝x(n)-αx(n-1) (1)

S(n)是预加重后的语音信号，x是原始信号，n是语音信号中的采样点，α是系数；

1.2：对采样语音信号进行分帧，获得稀疏的信号帧，将N个采样点集合成一个观测单位，称为帧，长度为T_total的语音信号分帧公式如下：

u＝H[(T_total-t_overlap)/t_inc] (2)

t_overlap＝t_s-t_inc (3)

其中u表示帧的数量，t_s表示每帧涵盖的时间，t_inc表示后一帧对前一帧的位移量，简称帧移，t_overlap表示相邻两帧间的重叠部分，用来避免相邻两帧的变化过大，保持语音信息的完整性，H(.)表示取整函数，第i帧语音信号表示为S_i(n),n＝0,1,2…N-1,0≤i≤u；

1.3：对分帧后的采样信号进行加窗，加窗处理的计算计算将一帧信号的每一个值乘以不同的权重；

对于长度为N的离散信号，这两种窗函数所对应的权重是w[n]

w[n]＝(1-α)-αcos[2πn/(N-1)],0≤n≤N-1 (4)

当α＝0.46，(4)为汉明窗；

S′_i(n)＝S_i(n)×w(n) (5)

其中S′_i(n)是某一帧信号加窗后的信号；

1.4：提取语音频谱图：从时域转换到频域处理，将每一帧采用短时傅里叶变换得到在频谱上的能量分布，公式如下：

其中S′_i(n)是输入的语音信号，N表示傅里叶变换的点数，与每一帧采样点个数相同，k表示频率，X_i(k)代表第i帧的频谱，表示频率与能量的关系，为了使那些幅值较低的成分相对高幅值成分得以拉高，以便观察掩盖在低幅噪声中的周期信号，将频谱转换为对数功率谱：

X′_i(k)＝10log₁₀|X_i(k)|² (7)

将每一帧的对数功率谱求转置矩阵后映射到一个灰度级表示：

其中，X′_i(k)＝[X′_i(k₁),X′_i(k₂),X′_i(k₃),...,X′_i(k_N)]^T,Y_i表示第i帧的灰度矩阵，最后将每一帧的灰度级表示在时间轴上拼凑起来并进行彩色映射得到语谱图Y，起到用二维表示三维的作用，公式如下：

Y＝RGB([Y₁,Y₂,...,Y_u]) (9)。

3.如权利要求2所述的一种基于边界攻击的声纹识别的对抗样本生成方法，其特征在于，所述步骤2)中，搭建声纹识别模型的步骤：预先指定分类模型的结构和参数，且不发生变化，采样的分类模型结构包含2D卷积层，最大池化层，批归一化层，全连接层，相关层计算公式如下：

H_out＝(H_in+2padding-kernel_size)/stride+1 (10)

W_out＝(W_in+2padding-kernel_size)/stride+1 (11)

ReLU(x)＝max(0,x) (12)

Y^(m)＝Conv_Block(Y^(m-1)) (13)

C_out＝ReLU(Y^(m)) (14)

其中H_out是卷积层输出宽度，W_out是卷积层输出长度，W_in是输入卷积层的长度，H_in是输入卷积层宽度，padding是输入的每条边补充0的层数，stride是卷积步长，kernel_size是卷积核大小，Y^(m)是输入语谱图Y经过第m个卷积块后的输出，Conv_Block(.)是卷积块，C_out为经过卷积层产生并经过激活函数ReLU的输出矩阵；

P_out＝max(C_out) (15)

其中P_out为最大池化层输出；

其中μ是批处理数据的均值，σ²是批处理数据的方差，λ和β是学习的参数，κ是为了避免除数为0时所使用的微小正数，是批归一化层后的输出。

4.如权利要求3所述的一种基于边界攻击的声纹识别的对抗样本生成方法，其特征在于，所述步骤3)中，边界攻击生成对抗样本的算法的过程如下：

3.1：选取初始点，对于有目标攻击，直接选取被分类为目标类别的样本，对于无目标攻击，在给定输入的语谱图Y中从最大熵分布中采样得到初始点，这里使用均匀分布替代最大熵分布；

是无目标攻击的初始点，代表第m个原始样本的第一个对抗样本，Uniform(0,255)代表从[0,255]这个范围中进行均匀采样，得到一个shape与原始样本一样的初始对抗样本；

3.2：随机游走，这决定了算法的效率，首先，从标准高斯分布中抽样得到初始扰动的shape与输入语谱图的shape一致，再获得正交扰动/>计算公式为如下过程：

其中代表第k次迭代的第i次试验中的第j个试验对抗样本的采样扰动量，L₂(.)是计算l₂范数的函数，δ是正交扰动步长，/>是计算球面法线的单位向量，/>是最终的正交扰动大小，将/>投影到一个以原始样本Y为中心的超球面上，然后将/>减去投影大小，得到/>k∈[1,N₁],i∈[1,N₂],j∈[1,N₃]；

试验对抗样本为代表第k次迭代的第i次试验中的第j个试验对抗样本；

接着对进行clip满足公式(24)，计算原始样本和扰动样本间的l₂距离，朝着原始图片移动一小步，ε是朝着原始图片移动的步长，其中ε＞0：

接着对并满足公式(24)：

3.3：超参数调整，边界攻击需要调整2个超参数，正交扰动步长和朝着原始图片移动的步长，这两个参数都会随着决策边界的局部几何形状进行动态调整，这两步步长需要动态调整。

5.如权利要求4所述的一种基于边界攻击的声纹识别的对抗样本生成方法，其特征在于，所述方法还包括以下步骤：

步骤4)，对抗样本进行性能测试，过程如下：

边界攻击的成功率计算公式：

其中n是测试集样本数量，Y_m是第m个原样本对应的对抗样本，y_m是第m个原始样本的正确标签，equal(.)是判断生成的对抗样本是否分类错误并统计个数，f(.)是声纹识别模型输出层输出的类别概率分布；

边界攻击生成的对抗样本的质量衡量，利用扰动量对于原始样本的相对l₂范数来衡量对抗样本的扰动大小，计算公式为：

其中Y是对抗样本，Y是原始样本，σ是添加的扰动相对于原始样本的扰动量大小，该值越小说明生成的对抗样本质量越好，越不容易被人所区分。