CN113935913A

CN113935913A - 一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法

Info

Publication number: CN113935913A
Application number: CN202111170040.7A
Authority: CN
Inventors: 王斌; 郭敏; 曾颖明; 卢宏业; 马书磊; 方永强; 马晓军; 桓琦
Original assignee: Beijing Institute of Computer Technology and Applications
Current assignee: Beijing Institute of Computer Technology and Applications
Priority date: 2021-10-08
Filing date: 2021-10-08
Publication date: 2022-01-14

Abstract

本发明涉及一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法，涉及人工智能安全技术领域。主要技术方案包括：1初始化算法参数以及对抗样本集合；2根据对抗攻击效果挑选优势对抗样本子集；3判断最优对抗样本是否攻击成功，如果攻击成功，则转到步骤6；4否则利用对抗样本子集交叉产生新的对抗样本集合；5按照一定概率添加隐蔽性噪声；6输出对抗样本并进行测试。本发明利用视觉感知的掩蔽效应，使产生的对抗样本与原始图像的视觉感知相似度高，具有良好的隐蔽性，能够在不被察觉的情况下发动黑盒对抗攻击。

Description

一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法

技术领域

本发明涉及人工智能安全技术领域，具体涉及一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法。

背景技术

随着大数据的出现与大规模计算能力的提升，人工智能在社会的方方面面得到了广泛的应用，尤其是图像识别领域，人工智能在图像分类、目标检测、图像分割等方面取得了许多优异的成果。然而随着对人工智能的深入研究与广泛应用，其安全问题也逐渐暴露出来。 Christian Szegedy在2014年提出了对抗样本的概念，即在输入数据中故意添加细微的干扰，导致模型对输入以高置信度给出错误的输出。多数卷积神经网络对于对抗样本都有脆弱性，因此对抗样本逐渐成为了人工智能安全领域的研究热点。

广州大学在其申请的专利“一种图像对抗样本生成方法”(申请专利号：202011317776.8，公开号：CN112529047A)中提出了一种基于梯度屏蔽的对抗样本生成方法。该方法包括：S1，将原始输入图像 X表示成a×b的矩阵D，记为D＝D_a×b；S2，采用目标检测算法在矩阵 D中进行核心区域定位，得到核心区域D^S；S3，运行基于梯度的攻击方法得到梯度矩阵M_G；S4，基于核心区域D^S和梯度矩阵M_G构造梯度屏蔽矩阵H；S5，将梯度矩阵M_G与梯度屏蔽矩阵H对应相乘得到更新梯度矩阵M′_G；S6，依据公式完成对抗样本的构造：S7，重复执行步骤S3-S6进行K轮迭代，最终得到基于区域的梯度屏蔽方法的对抗样本。该发明提出的方法既实现了高效的对抗样本生成，拥有与梯度攻击相似的成功率，又减少了对抗样本相对于原始样本的扰动，提高了对抗样本的抗感知能力和抗检测能力。但是，该方法仍然存在的不足之处是：属于白盒对抗样本生成方法，对梯度的计算需要获取目标模型的参数信息或神经网络结构。

北京理工大学在其申请的专利″一种针对图像识别模型分类边界敏感的对抗样本生成方法″(申请专利号：201910256169.6，公开号： CN109961145A)中提出了一种针对图像识别模型分类边界敏感的对抗样本生成方法。该方法包括如下步骤：步骤一、初始参数设定；步骤二、生成初始基因种群；步骤三、基因交叉；步骤四、基因变异；步骤五、基因选择；步骤六、基因进化迭代；步骤七、减少对抗样本与原始样本不同像素点的个数；步骤八、减少对抗样本与原始样本不同RGB channels的个数；步骤九、缩小对抗样本与原始图片的像素值差异。该发明提出的方法不依赖于模型返回的置信度，只需要一个最终的分类标签即可；针对于大型图片生成对抗样本具有很好的效果；在参数调节恰当的情况下，比一般的基于决策边界的攻击方法所需要的查询次数更少。但是，该方法仍然存在的不足之处是：扰动像素点个数并不能代表视觉感知上的隐蔽效果，因此生成的对抗样本与原始图像视觉感知相似度低，隐蔽性差。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法，使得黑盒图像对抗样本在视觉感知上具有良好的隐蔽性。

(二)技术方案

为了解决上述技术问题，本发明提供了一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法，包括以下步骤：

(1)初始化遗传算法参数以及对抗样本集合：

(2)基于步骤1，根据对抗攻击效果从对抗样本集合中挑选优势对抗样本子集：

(3)基于步骤2，判断最优对抗样本是否攻击成功，若成功，则转到步骤(6)，否则转到步骤(4)：

(4)利用所述优势对抗样本子集交叉产生新的对抗样本集合：

(5)基于步骤1、步骤4，按照一定概率添加隐蔽性对抗噪声，并返回步骤(2)：

(6)输出对抗样本并进行测试。

优选地，步骤1包括：

(1a)初始化遗传算法参数，包括：种群大小n、精英个体数目 m、变异率p、信噪比s、迭代终止阈值

(1b)计算原始图像方差矩阵；

(1c)利用得到的原始图像方差矩阵与信噪比s计算噪声标准差矩阵；

(1d)将原始图像复制n次，作为对抗样本集合。

优选地，步骤2包括：

(2a)将对抗样本集合输入图像识别模型，根据输出结果衡量对抗攻击效果；

(2b)选取对抗攻击效果最好的m个对抗样本作为所述优势对抗样本子集。

优选地，步骤3包括：

(3a)选取所述优势对抗样本子集中对抗攻击效果最好的对抗样本；

(3b)若效果最好的对抗样本的攻击效果达到所述迭代终止阈值

则停止迭代并转到步骤(6)，否则转到步骤(4)。

优选地，步骤4包括：

(4a)在所述优势对抗样本子集中随机选取两个对抗样本，分别作为父样本和母样本；

(4b)将所述父样本与母样本交叉，产生子对抗样本；

(4c)重复步骤(4a)、步骤(4b)n次，得到n个子对抗样本作为新的对抗样本集合。

优选地，步骤5包括：

(5a)利用(1c)中得到的噪声标准差矩阵，产生隐蔽性对抗噪声；

(5b)在所述新的对抗样本集合中的每个子对抗样本上，按照所述变异率p添加隐蔽性对抗噪声，得到变异后的对抗样本集合，并返回步骤(2)。

优选地，步骤(1b)中的原始图像方差矩阵通过公式 D(X)＝E(X²)-E²(X)计算得到，其中，X为原始图像，X²为原始图像X的每个像素值平方之后得到的图像，D(X)表示原始图像X的方差矩阵，E(X)和E(X²)分别为图像X和X²的期望矩阵，采用高斯卷积的方式计算，高斯卷积的具体实现方式为生成一个尺寸为N×N，标准差为δ的高斯核作为卷积核，分别对图像X和X²进行卷积后得到期望矩阵E(X)和E(X²)。

优选地，步骤(1c)中利用得到的原始图像方差矩阵与信噪比s 计算噪声标准差矩阵，分别将原始图像方差矩阵和噪声标准差矩阵近似作为图像的信号功率和图像的噪声信号幅值，按照公式

计算噪声标准差矩阵，其中，ε为噪声标准差矩阵，代表图像的噪声信号幅值，图像方差矩阵D(X)代表图像的信号功率，s为给定的信噪比。

优选地，步骤(4b)中随机选取父样本中的一部分像素给子对抗样本，父样本中未被选取的像素由母样本提供给子对抗样本，子对抗样本由父样本与母样本交叉产生。

优选地，步骤(5a)生成与对抗样本相同尺寸的随机矩阵，矩阵的每个元素服从标准正态分布，将该随机矩阵与噪声的标准差矩阵做矩阵点乘运算，得到隐蔽性对抗噪声矩阵。

优选地，步骤(5b)在新的对抗样本集合中，对每一个子对抗样本中的每一个元素，按照变异率p与隐蔽性对抗噪声矩阵中对应位置的元素相加，合成为新的对抗样本，得到变异后的对抗样本集合。

(三)有益效果

第一，本发明属于黑盒对抗样本生成方法，不同于白盒对抗样本生成算法需要获取模型具体的参数信息或神经网络结构，本发明提出的方法只需要能够对图像识别模型进行输入并得到相应输出即可。

第二，本发明产生的隐蔽性对抗噪声符合视觉感知的掩蔽效应。利用视觉感知的掩蔽效应，以高斯卷积的方式得到隐蔽性对抗噪声。在原始图像上添加隐蔽性对抗噪声后得到具有视觉感知隐蔽性的黑盒图像对抗样本，使得黑盒图像对抗样本在视觉感知上具有良好的隐蔽性。

附图说明

图1为本发明的方法流程图；

图2(a)为原始图像；

图2(b)为对原始图像的识别结果；

图2(c)为原始噪声；

图2(d)为改进后的隐蔽性对抗噪声；

图2(e)为普通黑盒对抗样本的识别结果；

图2(f)为具有视觉感知隐蔽性的对抗样本的识别结果。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

本发明对图像识别系统进行研究，提供了一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法，与其他黑盒图像对抗样本生成方法相比，本发明可在视觉感知中难以区分对抗样本与原始图像的情况下，发动对图像识别模型的黑盒对抗攻击。

下面将结合附图1及具体实施例来进一步介绍本发明的方法：

步骤1，初始化遗传算法参数以及对抗样本集合。

初始化遗传算法参数，包括：种群大小n＝100、精英个体数目 m＝10、变异率p＝0.5、信噪比s＝15、迭代终止阈值

计算原始图像方差矩阵，原始图像方差矩阵通过公式 D(X)＝E(X²)-E²(X)计算得到，其中，X为原始图像，X²为原始图像X的每个像素值平方之后得到的图像，D(X)表示原始图像X的方差矩阵，E(X)和E(X²)分别为图像X和X²的期望矩阵，用高斯卷积的方式计算，高斯卷积的具体实现方式为生成一个尺寸为11×11，标准差为1.5的高斯核作为卷积核，对图像X和X²做零填充处理后，分别对X和X²进行卷积得到期望矩阵E(X)和E(X²)。

利用得到的原始图像方差矩阵与信噪比s计算噪声标准差矩阵，分别将原始图像方差矩阵和噪声标准差矩阵近似作为图像的信号功率和图像的噪声信号幅值，按照公式

计算噪声标准差矩阵，其中，ε为噪声标准差矩阵，代表图像的噪声信号幅值，图像方差矩阵D(X)代表图像的信号功率，s＝15为给定的信噪比。

将原始图像复制100次，加入到种群中，作为初始的对抗样本集合。

步骤2，根据对抗攻击效果挑选优势对抗样本作为对抗样本子集。

图像识别模型采用Faster R-CNN目标探测网络，将训练好的模型权重代入目标模型，将对抗样本集合中所有对抗样本输入到模型中，得到对应的输出。取每个对抗样本对应输出的最高得分，将其作为每个对抗样本的损失值，用于衡量对抗样本的对抗攻击效果。

将对抗样本集合中的所有对抗样本按照损失值排序，取出损失值最小，即对抗攻击效果最好的10个对抗样本的损失值及其在对抗样本集合中的索引，其中索引用于后续操作在对抗样本集合中取出对应的对抗样本。将这10个对抗攻击效果最好的对抗样本作为精英个体，即优势对抗样本子集。

步骤3，判断最优对抗样本是否攻击成功。

取出优势对抗样本子集中对抗攻击效果最好，即损失值最小的对抗样本。若该对抗样本的损失值低于迭代终止阈值0.6，则攻击成功，停止迭代，转到步骤6，否则转到步骤4。

步骤4，利用优势对抗样本子集交叉产生新的对抗样本集合：

在优势对抗样本子集中随机选取两个对抗样本的索引，在对抗样本集合中取出这两个索引对应的对抗样本，将这两个对抗样本分别作为父样本和母样本。

将父样本与母样本交叉，产生子对抗样本。生成一个与对抗样本相同尺寸的随机矩阵，随机矩阵的每个元素为在闭区间[0，1]上服从均匀分布的随机浮点数，并将小于0.5的随机浮点数置0，大于等于0.5 的随机浮点数置1，即得到一个随机布尔矩阵。将该随机矩阵与父样本做矩阵点乘运算，即决定的父样本的哪些像素被选中提供给子对抗样本。将随机布尔矩阵的各元素取反后，与母样本做矩阵点乘运算，即父样本中没有被选中的像素由母样本提供给子对抗样本。父样本与母样本做矩阵加法运算，各位置对应元素相加，即父样本与母样本通过交叉产生子对抗样本。子对抗样本具有特点：子对抗样本的每个像素，必定为来自父样本或母样本的同一位置的像素。

将步骤4重复n次，共得到n个子对抗样本，构成新的对抗样本集合。

步骤5，按照一定概率添加隐蔽性噪声。

利用噪声标准差矩阵，产生隐蔽性对抗噪声。生成一个与对抗样本相同尺寸的随机矩阵，随机矩阵的每个元素为服从标准正态分布的随机浮点数。将该随机矩阵与步骤2得到的噪声标准差矩阵做矩阵点乘运算，得到隐蔽性对抗噪声矩阵。

按照变异率p添加隐蔽性噪声。对新的对抗样本集合中的每个子对抗样本，生成与子对抗样本相同尺寸的随机矩阵，随机矩阵的每个元素为闭区间[0，1]上服从均匀分布的随机浮点数。若随机浮点数的值小于变异率0.5，则将该随机浮点数置0，若随机浮点数的值大于等于变异率0.5，则将该随机浮点数置1。随机矩阵的作用是随机确定在对抗样本的哪些像素上添加噪声扰动。将该随机矩阵与隐蔽性对抗噪声矩阵做矩阵点乘运算后，将其每一个元素与子对抗样本中对应位置的元素相加，即添加噪声扰动，合成具有视觉感知隐蔽性的新的对抗样本，得到变异后的对抗样本集合。

返回步骤2。

步骤6，输出对抗样本并进行测试。

输出对抗样本，将对抗样本输入到图像识别模型。

观察对抗样本与原始图像的视觉相似度，并记录对抗样本是否攻击成功。

经实验验证，本发明所产生的对抗样本与原始图像的视觉相似度高，具备良好的视觉感知隐蔽性，能够在不被察觉的情况下对图像识别模型发动黑盒对抗攻击。

下面结合仿真实验对本发明的效果做进一步的描述。

1.仿真实验条件：

本发明的仿真实验的软件平台为：Windows10操作系统和Spyder 集成开发环境。

本发明的仿真实验的硬件平台为：Intel Core(TM)i7- 9700K@3.60GHz×8，GPUNvidia GeForce GTX 1080Ti，11GB显存。

本发明的仿真实验所使用的Python版本为Python 3.7.3，所使用的库及对应版本分别pytorch 1.1.0，torchvision 0.3.0，opencv-python 4.4.0，numpy 1.21.0。

2.仿真内容和结果：

本发明的仿真实验是，对原始图像利用视觉感知的掩蔽效应生成隐蔽性对抗噪声，并按一定概率添加到对抗样本上，构成具有视觉感知隐蔽性的对抗样本。分别使用普通黑盒对抗样本与具有视觉感知隐蔽性的对抗样本攻击目标探测网络，记录攻击是否成功。观察普通对抗样本、具有视觉感知隐蔽性的对抗样本与原始图像的视觉相似度。

本发明的仿真实验结果如图2所示。图2(a)为原始图像，将原始图像输入目标探测网络后可得到图2(b)，模型成功探测到目标舰船的位置。图2(c)为普通黑盒噪声，将该噪声添加到原始图像上得到普通黑盒对抗样本，将其输入到目标探测网络得到图2(e)，对抗样本成功攻击模型，使得模型无法探测目标舰船的位置。普通黑盒对抗样本存在噪声明显、隐蔽性差的缺点，图2(e)中海水区域的噪声在视觉感知中明显可被察觉。图2(d)为本发明中生成的隐蔽性对抗噪声，将其添加到原始图像上，构成具有视觉感知隐蔽性的对抗样本。将具有视觉感知隐蔽性的对抗样本输入目标探测网络得到图2(f)，具有视觉感知隐蔽性的对抗样本能够成功攻击模型，使其无法探测到目标舰船的位置，且海水区域的噪声在视觉感知中难以察觉。

可以看出，本发明利用视觉感知的掩蔽效应，使产生的具有视觉感知隐蔽性的黑盒图像对抗样本与原始图像的视觉相似度高，具有良好的视觉感知隐蔽性，能够在不被察觉的情况下对模型发动黑盒对抗攻击。本发明可用于对基于深度学习的图像识别模型发动黑盒对抗攻击，且具有较好的视觉隐蔽效果。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

1.一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法，其特征在于，包括以下步骤：

(1)初始化遗传算法参数以及对抗样本集合：

(4)利用所述优势对抗样本子集交叉产生新的对抗样本集合：

(6)输出对抗样本并进行测试。

2.如权利要求1所述的方法，其特征在于，步骤1包括：

(1a)初始化遗传算法参数，包括：种群大小n、精英个体数目m、变异率p、信噪比s、迭代终止阈值

(1b)计算原始图像方差矩阵；

(1d)将原始图像复制n次，作为对抗样本集合。

3.如权利要求2所述的方法，其特征在于，步骤2包括：

4.如权利要求3所述的方法，其特征在于，步骤3包括：

(3b)若效果最好的对抗样本的攻击效果达到所述迭代终止阈值

则停止迭代并转到步骤(6)，否则转到步骤(4)。

5.如权利要求4所述的方法，其特征在于，步骤4包括：

(4b)将所述父样本与母样本交叉，产生子对抗样本；

6.如权利要求5所述的方法，其特征在于，步骤5包括：

7.如权利要求6所述的方法，其特征在于，步骤(1b)中的原始图像方差矩阵通过公式D(X)＝E(X²)-E²(X)计算得到，其中，X为原始图像，X²为原始图像X的每个像素值平方之后得到的图像，D(X)表示原始图像X的方差矩阵，E(X)和E(X²)分别为图像X和X2的期望矩阵，采用高斯卷积的方式计算，高斯卷积的具体实现方式为生成一个尺寸为N×N，标准差为δ的高斯核作为卷积核，分别对图像X和X²进行卷积后得到期望矩阵E(X)和E(X²)。

8.如权利要求7所述的方法，其特征在于，步骤(1c)中利用得到的原始图像方差矩阵与信噪比s计算噪声标准差矩阵，分别将原始图像方差矩阵和噪声标准差矩阵近似作为图像的信号功率和图像的噪声信号幅值，按照公式

9.如权利要求8所述的方法，其特征在于，步骤(4b)中随机选取父样本中的一部分像素给子对抗样本，父样本中未被选取的像素由母样本提供给子对抗样本，子对抗样本由父样本与母样本交叉产生。

10.如权利要求9所述的方法，其特征在于，步骤(5a)生成与对抗样本相同尺寸的随机矩阵，矩阵的每个元素服从标准正态分布，将该随机矩阵与噪声的标准差矩阵做矩阵点乘运算，得到隐蔽性对抗噪声矩阵。

11.如权利要求10所述的方法，其特征在于，步骤(5b)在新的对抗样本集合中，对每一个子对抗样本中的每一个元素，按照变异率p与隐蔽性对抗噪声矩阵中对应位置的元素相加，合成为新的对抗样本，得到变异后的对抗样本集合。