CN114066912A - 基于优化算法和不变性的智能对抗样本生成方法及系统 - Google Patents

Abstract

本发明属于图像识别数据处理技术领域，特别涉及一种基于优化算法和不变性的智能对抗样本生成方法及系统，通过收集带有正确标签的原始图像数据；构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法进行迭代求解，根据迭代终止条件来获取最终生成的对抗样本。本发明从对抗样本的生成过程与神经网络训练过程类似的角度出发，通过Adabelief迭代快速梯度法优化收敛过程，利用裁剪不变性避免对抗攻击中过拟合现象，能够产生更具迁移性对抗样本，提高网络模型鲁棒性，便于实际场景应用。

Description

基于优化算法和不变性的智能对抗样本生成方法及系统

技术领域

本发明属于图像识别数据处理技术领域，特别涉及一种基于优化算法和不变性的智能对抗样本生成方法及系统。

背景技术

在图像识别领域，相关标准数据集上的实验结果表明，深度神经网络的识别能力可以达到甚至是超过了人类的水平。然而研究人员发现深度神经网络是很脆弱的。如，Szegedy等人首次发现深度神经网络的有趣特性：即向原始干净图像中添加人类无法察觉的微小扰动可以使深度神经网络以高置信度给出错误的输出。添加了扰动的图像即是对抗样本；尽管对抗样本的存在严重影响了深度神经网络的安全使用，但是具有强攻击性能的对抗样本却可以用来评估甚至是提升模型的鲁棒性。

在了解神经网络结构和权重参数的情况下，有许多方法可以成功的生成对抗样本并实现白盒攻击，包括基于优化的方法，如L-BFGS(limited-memory BFGS)，基于单步梯度的方法，如快速梯度符号法(Fast Gradient Sign Method,FGSM)，基于多步迭代梯度的方法，如迭代快速梯度符号法(Iterative Fast Gradient Sign Method,I-FGSM)，动量迭代快速梯度符号法(Momentum Iterative Fast Gradient Sign Method,MI-FGSM)和C&W攻击法(Carlini&Wagner attack method)。然而，在白盒设置下，攻击者需要完全了解给定模型的结构和参数，这在对抗环境中是很难实现的。但是，在一个模型上生成的对抗样本也可能对其他模型具有对抗性，这意味着对抗样本具有一定程度的可迁移性。对抗样本的这个特征使得黑盒攻击成为可能，由此带来现实的安全问题。尽管对抗样本通常具有可迁移性，但如何进一步提高其可迁移性来实现有效的黑盒攻击仍有待进一步研究。如：基于数据增强的多样化输入方法(Diverse Input Method,DIM)，以提高对抗样本的可迁移性。然而，这些现有的方法在黑盒环境下往往表现出较低的攻击成功率，特别是对于经过对抗训练的网络。因此，研究如何生成攻击性能强的对抗样本有助于评估和提高神经网络模型的鲁棒性，便于改善图像识别等领域的应用效果。

发明内容

为此，本发明提供一种基于优化算法和不变性的智能对抗样本生成方法及系统，从对抗样本的生成过程与神经网络的训练过程类似的角度出发，通过Adabelief迭代快速梯度法优化收敛过程，利用裁剪不变性避免对抗攻击中的过拟合现象，产生更具迁移性的对抗样本，提高网络模型的鲁棒性，便于实际场景应用。

按照本发明所提供的设计方案，一种基于优化算法和不变性的智能对抗样本生成方法，包含如下内容：

收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用相关约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，利用裁剪函数对部分区域进行随机裁剪，生成若干对应的裁剪图像副本数据，其中，部分区域为边界区域。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，针对每个迭代轮次，依据预设的衰减因子及上一轮迭代生成对抗样本时神经网络模型损失结果获取当前迭代轮次中的损失函数的梯度及当前梯度对生成的对抗样本的影响程度，利用相应的公式对对抗扰动进行求解。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，利用上一轮迭代时的影响参数及当前迭代梯度和累计迭代梯度差值的平方来获取当前迭代轮次对抗样本的影响参数。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，损失函数的梯度包含当前迭代梯度和累计迭代梯度；并根据累计梯度、影响参数及预设迭代步长计算扰动参数权重，根据该扰动参数权重来限制对抗扰动。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，依据约束的对抗扰动及上一轮迭代生成的对抗样本来获取当前迭代轮次的对抗样本，并利用裁剪函数clip将当前迭代轮次的对抗样本约束在无穷范数范围内。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，当前迭代轮次的对抗样本生成过程表示为

其中，m_t收集前t轮迭代的梯度，其衰减因子为β₁。s_t收集第t轮梯度与m_t之间差值的平方，其衰减因子为β₂，α为迭代步长，sign(·)为符号函数，

为将输入x的对抗样本约束在无穷范数范围内的裁剪函数clip，ε为对抗扰动的最大值。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，模型损失函数采用交叉熵损失函数。

作为本发明基于优化算法和不变性的智能对抗样本生成方法，进一步地，迭代终止条件为达到预设的迭代轮数。

进一步地，本发明还提供一种基于优化算法和不变性的智能对抗样本生成系统，包含：预处理模块和生成模块，其中，

预处理模块，用于收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

生成模块，用于基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用相关约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。

本发明的有益效果：

本发明通过将对抗样本的生成过程视为一个类似于深度神经网络训练的优化过程，将在深度神经网络训练过程中用于提升模型泛化性能的方案应用于对抗样本的生成过程，以此提高对抗样本的可迁移性；将Adabelief梯度迭代和裁剪攻击相结合，对输入图像裁剪副本上的对抗扰动进行优化，有效改善对抗样本生成过程，提高对抗样本的可迁移性和黑盒攻击成功率；能够与其他梯度攻击方法相结合来构建更强的攻击效果，以生成更具可迁移性的对抗样本，能够用来评估并提升神经网络模型的鲁棒性，便于实际场景应用。并进一步结合实验数据表明，无论在正常训练的网络上还是对抗训练的网络上，相比现有同类型攻击，本案方案均具有更好的攻击成功率，具有较好的应用前景。

附图说明：

图1为实施例中基于优化算法和不变性的智能对抗样本生成方法流程示意；

图2为实施例中正常干净图像和添加扰动的对抗样本图像两者分类结果示意；

图3为实施例中不同算法优化路径示意；

图4为实施例中裁剪不变性攻击原理示意；

图5为实施例中不同裁剪宽度下各网络模型损失函数平均值示意；

图6为实施例中不同裁剪宽度下各网络模型分类准确率平均值示意；

图7为实施例中单模型设置下不同基线及扩展方法原始输入、随机裁剪及对应生成的对抗样本对比示意；

图8为实施例中不同算法在对抗训练模型上的攻击成功率示意；

图9为实时例中利用对抗样本在对比模型上攻击成功率示意；

图10为实施例中网络超参数与攻击成功率关系示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

深度神经网络在面对对抗样本的攻击时，是非常脆弱的，这种对抗样本是通过对干净图像添加人类几乎不可察觉的微小扰动而生成的，从而误导深度神经网络，使神经网络给出错误的输出。因此在深度神经网络部署前，对抗样本攻击可以作为评估和提升模型鲁棒性的重要方法。但是，在具有挑战性的黑盒设置下，现有大多数的对抗攻击方法的攻击成功率还有待提高。为此，本发明实施例，提供一种基于优化算法和不变性的智能对抗样本生成方法，参见图1所示，包含如下内容：

S101、收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

S102、基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用相关约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。

参见图2所示的Inception-v3和Inception-v4模型上干净图像和相应对抗样本的分类结果，第一行显示了干净图像的前10个分类类别置信度分布，这表明两个模型都提供了高置信度的正确预测。第二行显示了CI-AB-FGM方法在Inception-v4模型上生成的对抗样本在两个模型上的前10个分类类别置信度分布，结果表明所生成的对抗样本成功的攻击了黑盒模型(Inception-v3)和白盒模型(Inception-v4)。尽管添加了扰动的“靛青鸟”图像(第二行)与原始“靛青鸟”图像(第一行)之间没有明显的视觉差异，也就是添加的扰动非常小，但Inception-v4网络模型却错误地将受扰动的“靛青鸟”图像(第二行)以98.9％的置信度分类为“大白鲨”。而本案实施例中，从对抗样本的生成过程与神经网络的训练过程类似角度出发，通过Adabelief迭代快速梯度法优化收敛过程，利用裁剪不变性约束对抗扰动，避免对抗攻击中的过拟合现象，产生更具迁移性的对抗样本，提高网络模型的鲁棒性，便于图像识别等实际场景中的应用。

设x和y分别是输入的图像和其对应的标签。θ表示神经网络模型的参数，J(θ,x,y)定义了损失函数，通常用使用交叉熵损失函数来表示。本案实施例中的主要目的是通过最大化关于干净图像x的损失函数来生成一个不易察觉的对抗样本x^adv，从而误导模型使得模型分类错误。可使用无穷范数来衡量干净图像x和对抗样本x^adv之间的扰动距离，从而使得||x^adv-x||_∞≤ε，其中ε是扰动的最大值。因此，生成对抗样本的过程可以被转化为以下有限制条件的优化问题：

现有基于梯度生成对抗样本的方案中，Fast Gradient Sign Method(FGSM)是生成对抗样本的最基本的方法之一，它在损失梯度的方向上寻求对抗性扰动。该方法可以表示为：

其中，sign(·)是将x和x^adv之间添加的扰动限制在无穷范数L_∞内的符号函数。

Iterative Fast Gradient Sign Method(I-FGSM)是FGSM的迭代版本，它通过多次以小步长α迭代来应用快速梯度方法。其更新方程如下：

其中，迭代步长α＝ε/T，T是迭代轮数。

函数使得生成的对抗样本满足无穷范数L_∞的约束。研究表明，I-FGSM比FGSM具有更高的白盒攻击成功率，但其代价是较差的迁移性。

Momentum Iterative Fast Gradient Sign Method(MI-FGSM)提出将动量项集成到迭代攻击方法中以稳定更新方向，从而提高对抗样本的迁移性。更新过程如下：

其中g_t是迭代次数为t时的累积梯度，μ是动量项的衰减因子。

Diverse Input Method(DIM)在每次迭代时以给定的概率对原始输入进行随机变换，以缓解过拟合现象。转换包括随机调整大小和随机填充。该方法可以集成到其他基线攻击方法中，以进一步提高对抗样本的迁移性。

Translation-Invariant Method(TIM)，利用平移不变攻击方法来生成对抗样本，该方法降低了对抗样本对被攻击的白盒模型判别区域的敏感性，并且对防御模型具有更高的迁移性。为了提高攻击的效率，他们通过将未变换图像的梯度与预定义的内核矩阵进行卷积来进一步实现该方法。TIM还可以与其他基于梯度的攻击方法相结合，以生成更多迁移强的对抗样本。

Scale-Invariant Nesterov Iterative Method(SI-NI-FGSM)，将对抗样本的生成过程看作为一个优化过程，提出了两种新的攻击方法，即Nesterov Iterative FastGradient Sign Method(NI-FGSM)和Scale-Invariant Attack Method(SIM)。特别的，通过结合SI-NI-FGSM和TIM-DIM形成的SI-NI-TI-DIM方法，能够大大提高黑盒攻击的成功率。

为了保护深度学习模型免受对抗样本的威胁，利用各种防御方法已经被提出用来防御对抗样本，防御方法一般可以分为两类：输入修改方法和网络模型的结构或参数修改方法。本案实施例中的目标是生成更具可转移的对抗样本来评估模型并提高其鲁棒性。

作为本发明实施例中基于优化算法和不变性的智能对抗样本生成方法，进一步地，针对每个迭代轮次，依据预设的衰减因子及上一轮迭代生成对抗样本时神经网络模型损失结果获取当前迭代轮次中损失函数的梯度及当前梯度对生成的对抗样本的影响程度，利用相应的公式对对抗扰动进行求解。进一步地，利用上一轮迭代时的影响参数及当前迭代梯度和累计迭代梯度差值的平方来获取当前迭代轮次对抗样本的影响参数。进一步地，损失函数的梯度包含当前迭代梯度和累计迭代梯度；并根据累计梯度、影响参数及预设迭代步长计算扰动参数权重，根据该扰动参数权重来限制对抗扰动。进一步地，依据约束的对抗扰动及上一轮迭代生成的对抗样本来获取当前迭代轮次的对抗样本，并利用裁剪函数clip将当前迭代轮次的对抗样本约束在无穷范数范围内。

在白盒设置下，对抗样本往往表现出很强的攻击能力，而在黑盒设置下，其攻击性能却较差，其原因被认为是对抗样本发生了过拟合。也就是说，同一对抗样本在白盒和黑盒设置下的攻击性能差异与深度神经网络在训练集和测试集上的性能差异类似。与训练深度神经网络的过程类似，生成对抗样本的过程也可以视为一个优化问题。因此，可以将提高深度学习模型泛化性能的方法应用到对抗样本的生成过程中，从而提高对抗样本的可迁移性。考虑到现有的对抗样本生成方法，本案实施例中，将Adabelief优化算法和裁剪不变性引入到对抗样本生成过程中，提出Adabelief迭代快速梯度法(ABI-FGM)和裁剪不变性攻击方法(CIM)来生成更具可迁移性的对抗样本。

AdaBelief是一种自适应学习率优化算法，可以从Adam修改而来，且不需要额外参数。AdaBelief优化算法的思路是根据当前梯度方向上的“信念”来调整步长。噪声梯度的指数移动平均(EMA)即被视为下一时间步的梯度预测。如果观察到的梯度与预测值相差很大，则不相信当前的观察结果，因此采取向前一小步。然而，如果观测到的梯度值接近预测值，则相信这一观测结果，并在梯度较小的维度上采取向前一大步来加速损失函数的下降，从而摆脱较差的局部极小值，使损失函数更好地收敛。AdaBelief优化算法综合考虑了收敛速度和泛化性能。因此，从对抗样本生成过程类似于深度神经网络训练过程的角度出发，本案实施例中，可应用AdaBelief优化算法来生成对抗样本，取得了良好的攻击效果。通过将AdaBelief优化算法应用到对抗样本生成过程中，提出了AdaBelief迭代快速梯度法(ABI-FGM)，以提高对抗样本的可迁移性。如图3所示，与仅沿优化路径累积数据点梯度的MI-FGSM不同，ABI-FGM还可以累积梯度的平方。这种累积可能有助于获得自适应更新方向，从而获得更好的局部最小值。此外，自适应步长还可以避免振荡，加快收敛速度。具体实现算法可如算法1所示。

上述的算法1中，ABI-FGM在迭代过程中不仅沿损失函数的梯度方向累积速度矢量，而且还对预测梯度和梯度之间差值的平方值进行加权累积。然后，在结合两个矢量得出参数更新方向后，ABI-FGM根据实际梯度与预测梯度之间的偏差来获取动态步长，以此调整需要更新的参数，这样既保证收敛速度，又保证收敛效果。对于更新方向，每一步迭代的梯度

应通过其自身的L₁距离进行归一化，因为这些梯度在不同迭代轮数中差异很大。m_t收集前t轮迭代的梯度，其衰减因子为β₁，定义为等式(6)。s_t收集第t轮梯度与m_t之间差值的平方，其衰减因子为β₂，定义在等式(7)中。超参数β₁和β₂的值通常介于(0,1)之间。公式(9)给出了x的更新方向，其中设置了稳定系数δ以防止分母为零。通过这样做，可以加快梯度较小的维度上的更新。采用无穷范数对对抗扰动进行限制，与以往方法不同的是，本案实施例中方案并没有采用对梯度取符号函数的方法来满足无穷范数限制要求，而是采用对应的二范数约束下的步长与梯度方向，然后，再使用

函数将对抗样本约束在相应的无穷范数范围内，正如等式(9)和等式(10)中所定义的那样，以提升对抗样本的可迁移性。

作为本发明实施例中基于优化算法和不变性的智能对抗样本生成方法，进一步地，利用裁剪函数对部分区域进行随机裁剪，生成若干对应的裁剪图像副本数据，其中，部分区域为边界区域。

受数据增强的启发，通过对图像的部分区域进行随机裁剪(主要是裁剪图像边界部分)，计算原始图像和裁剪图像的损失函数值，并对这些图像进行分类。实验结果表明，深度神经网络具有裁剪不变性，这意味着在同一深度神经网络上，原始图像和裁剪图像的损失函数值彼此接近，原始图像和裁剪图像的分类准确率也是如此。因此，可认定图像边界区域的一个有趣特性：图像最重要的部分往往位于中心，越靠近边界，其重要性就越低。这与人类的习惯是一致的，在拍照或显示图像时，人们也倾向于将最重要的部分集中在中心位置。裁剪图像的边界区域可以去除图像中不太重要的部分，实现图像的保损变换。本案实施例方案中，通过利用裁剪不变性攻击方法对输入图像裁剪副本的对抗扰动进行优化，优化问题可描述如下：

其中，C_i(x)是输入图像x的第i个裁剪图像副本的裁剪函数，w_i是相应的权重，m表示裁剪图像副本的数量。图4显示裁剪不变性攻击方法原理，通过模型增强，能够实现对多个模型的集成攻击，从而可避免白盒模型的过度拟合攻击，提高对抗样本的可迁移性。

对于基于梯度的对抗样本生成过程，ABI-FGM引入优化算法来自适应调整步长和优化收敛过程。对于生成对抗样本的集成攻击，CIM引入模型增强，可从单个模型派生出多个模型从而实现集成攻击。CIM能够与ABI-FGM结合，以形成更强的攻击，两者结合的方案可称为CI-AB-FGM(裁剪不变性Adabelief迭代快速方法)。此外，CIM还可以很容易地与MI-FGSM和NI-FGSM结合，形成CI-MI-FGSM和CI-NI-FGSM。如算法2所示，总结本案实施例方案实现的CI-AB-FGM攻击算法。

此外，为了进一步提高对抗样本的可迁移性，CI-AB-FGM可以与DIM、TIM、SI-NI-FGSM和SI-NI-TI-DIM相结合(SI-NI-FGSM与TIM，DIM相结合的方法)分别形成CI-AB-DIM、CI-AB-TIM、CI-AB-SIM和CI-AB-SI-TI-DIM。其中，CI-AB-SI-TI-DIM算法内容可如下算法3所示。

利用算法3对CI-AB-SI-TI-DIM攻击算法进行总结，通过在算法3的步骤4中去掉S(·)来得到CI-AB-TI-DIM攻击算法，通过在算法3的步骤4去掉T(·；p)和步骤6中去掉W来得到CI-AB-SIM攻击算法。当然，也可以通过不同的参数设置与FGSM类方法相互关联和转换。通过以上实现算法内容描述，可进一步表明本案方案的优越性和便利性，能够与其他基于梯度的攻击算法相结合来构建更强的攻击效果，从而针对防御模型生成更多、更可靠的可迁移性对抗样本，大幅提高神经网络模型鲁棒性，便于实际场景应用。

进一步地，基于上述的方法，本发明实施例还提供一种基于优化算法和不变性的智能对抗样本生成系统，包含：预处理模块和生成模块，其中，

预处理模块，用于收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

生成模块，用于基于原始图像数据和神经网络模型，Adabelief迭代快速梯度法及裁剪不变性方法对原始输入图像，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用相关约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。

为验证本案方案有效性，下面结合实验数据做进一步解释说明：

以原本就被错误分类的干净图片作为输入来生成对抗样本意义不大，因此本文从ImageNet验证集中随机选择属于1000个类别的1000张图片(即每个类别一张图片)，这些图片都能被所有测试网络正确分类。所有图片在使用前，均调整为299×299×3的大小。考虑并使用7个图像分类模型，其中，4个正常训练分类模型分别是Inception-v3(Inc-v3),Inception-v4(Inc-v4),Inception-Resnet-v2(IncRes-v2),and Resnet-v2-101(Res-101)，3个对抗训练分类模型分别是ens3-adv-Inception-v3(Inc-v3_ens3),ens4-adv-Inception-v3(Inc-v3_ens4),andens-adv-Inception-ResNet-v2(IncRes-v2_ens)。基线方法中，将本案实施例中的算法与DIM、TIM以及TI-DIM、SI-NI-FGSM和SI-NI-TI-DIM相结合，以显示CI-AB-FGM在这些基线方法上的性能改进，本案方案中的CI-AB-FGM与这些方法结合的攻击方法分别表示为CI-AB-DIM、CI-AB-TIM、CI-AB-TI-DIM、CI-AB-SIM和CI-AB-SI-TI-DIM。

对于不同攻击方法中的参数设置，遵循以下默认的设置：最大扰动值ε＝16，迭代轮数T＝10，步长大小为α＝1.6。对于MI-FGSM，其衰减因子默认定义为μ＝1.0。对于DIM，采用默认的转换概率p＝0.5。对于TIM，采用默认高斯核并将核大小定义为7×7。对于SI-NI-FGSM，缩放图像副本的数量定义为m＝5，需要注意的是，当CI-AB-FGM与SI-NI-FGSM结合时，SIM中的比例因子不是默认设置的，而是每次在[0.1,1]之间随机选择。对于CI-AB-FGM，裁剪图像副本的数量定义为m＝5。为了兼顾每次变换的作用，其权重每次都取相同的值即w_i＝1/5。对于裁剪函数C(·)，输入的图像首先随机裁剪成rnd×rnd×3大小的图像，rnd的范围是rnd∈[279,299)，之后再随机填充至299×299×3大小。在ABI-FGM中，稳定系数δ＝10^-14，衰减因子β₁＝0.9，β₂＝0.999。为了直观理解，图7展示了随机裁剪和填充后的图像。

首先，验证深度神经网络的裁剪不变性。在ImageNet数据集中随机选择1000张原始图像，并保持裁剪区域的宽度r以2为步长，从0增长到40(也就是说，输入图像被随机裁剪成rnd×rnd×3大小的图像)，rnd的范围由rnd∈(299,299]变化为rnd∈[259,299)，然后将被裁剪后的图像输入到四个测试模型中，分别为Inc-v3、Inc-v4、IncRes-2和Res-101，从而获得在1000张图像上的平均损失和平均分类准确率。如图5所示的不同裁剪宽度下Inc-v3、Inc-v4、IncRes-v2和Res-101网络模型上的损失函数平均值，其计算结果是在1000张图像上计算的平均值；及图6所示的不同裁剪宽度下Inc-v3、Inc-v4、IncRes-v2和Res-101网络模型上的分类准确率平均值，其计算结果是在1000张图像上计算的平均值。当裁剪区域r的宽度在[0,20]范围内时，损失函数和分类准确率的曲线总体上是保持稳定的。也就是说，原始图像和裁剪后图像在损失函数和分类准确率上是非常接近的。因此，可以认为作为模型的输入，裁剪后的图像与相应的原始图像几乎相同，即可以假设深度神经网络的裁剪不变性保持在rnd∈[279,299)范围内(即裁剪区域的宽度为20)。

然后，对MI-FGSM、NI-FGSM、SI-NI-FGSM和本案实施例中三个算法的攻击成功率进行比较，将CI-AB-FGM与DIM、TIM、TI-DIM、SI-NI-FGSM和SI-NI-TI-DIM分别结合，并在单模型设置下，对这些基线方法及扩展方法的黑盒攻击成功率进行比较。实验结果如表1至6所示，表1为本案算法1、算法2和其他三种方法的攻击成功率比较，表2为DIM和CI-AB-DIM，表3为TIM和CI-AB-TIIM，表4为TI-DIM和CI-AB-TI-DIM，表5为SI-NI-FGSM和CI-AB-SIM，表6为SI-NI-TI-DIM和CI-AB-SI-TI-DIM。

表1：单模型设置下七个模型上的对抗样本攻击成功率(％)。对抗样本是在Inc-v3上使用MI-FGSM、NI-FGSM、SI-NI-FGSM和本文所提方法生成的。*表示白盒攻击。

表2：单模型设置下七个模型上的对抗样本攻击成功率(％)。对抗样本分别使用DIM和CI-AB-DIM在Inc-v3、Inc-v4、IncRes-v2和Res-101上生成。*表示白盒攻击。

表3：单模型设置下七个模型上的对抗样本攻击成功率(％)。对抗样本分别使用TIM和CI-AB-TIM在Inc-v3、Inc-v4、IncRes-v2和Res-101上生成。*表示白盒攻击。

表4：单模型设置下七个模型上的对抗样本攻击成功率(％)。对抗样本分别使用TI-DIM和CI-AB-TI-DIM在Inc-v3、Inc-v4、IncRes-v2和Res-101上生成。*表示白盒攻击。

表5：单模型设置下七个模型上的对抗样本攻击成功率(％)。对抗样本分别使用SI-NI-FGSM和CI-AB-SIM在Inc-v3、Inc-v4、IncRes-v2和Res-101上生成。*表示白盒攻击。

表6：单模型设置下七个模型上的对抗样本攻击成功率(％)。对抗样本分别使用SI-NI-TI-DIM和CI-AB-SI-TI-DIM在Inc-v3、Inc-v4、IncRes-v2和Res-101上生成。*表示白盒攻击。

以上，如表1所示，CI-AB-FGM在黑盒设置下具有最高的攻击成功率。此外，如表2-6所示，在黑盒设置下，扩展方法的攻击成功率始终优于基线攻击方法5％～30％，而在白盒设置下都达到接近100％的攻击成功率。这表明本案实施例中的CI-AB-FGM可以作为一种强大的方法来提高对抗样本的迁移性。图7对六张随机选择的原始图像和相应的随机变换图像以及生成的对抗样本进行了展示。这些对抗样本是通过CI-AB-FGM方法在Inc-v3模型上生成的；不难看到，这些精心设计的对抗扰动是人眼几乎无法察觉的。

并考虑通过同时攻击多个模型来进一步验证本案实施例方案的优势，能够提高所生成对抗样本的可迁移性。具体来说，使用DIM、CI-AB-DIM、TIM、CI-AB-TIM、TI-DIM、CI-AB-TI-DIM、SI-NI-FGSM、CI-AB-SIM、SI-NI-TI-DIM和CI-AB-SI-TI-DIM攻击相同权重下的Inc-v3、Inc-v4、IncRes-v2和Res-101的集成模型。表7展示了针对七个模型的集成攻击结果。

表7：集成模型设置下七个模型上的对抗样本攻击成功率(％)。对抗样本是在Inc-v3、Inc-v4、IncRes-v2和Res-152组成的集合模型下生成的。*表示白盒攻击。

相较于基线攻击方法，本案实施例中所提方案能够提高在对抗训练网络上所有实验的攻击成功率。特别是CI-AB-SI-TI-DIM，作为CI-AB-FGM与SI-NI-TI-DIM相结合的扩展方法，可以以高达95.3％的平均成功率欺骗对抗训练模型，其表现优于现有最优的基于梯度的攻击方法。基于上述实验结果表明，这些先进的对抗训练模型在CI-AB-SI-TI-DIM的黑盒攻击下几乎没有表现出鲁棒性。

对ABI-FGM算法1的分析中，1)与MI-FGSM和NI-FGSM的比较。为了更深入地了解ABI-FGM对对抗样本可迁移性的改进，可对ABI-FGM与MI-FGSM、NI-FGSM之间的差异进行分析。在Inc-v3网络模型上以迭代次数从2递增至16来生成对抗样本，然后对对抗训练分类模型(包括Inc-v3_ens3、Inc-v3_ens4和IncRes-v2_ens)进行迁移攻击。实验结果如图8所示的ABI-FGM、NI-FGSM和MI-FGSM在对抗训练模型上的攻击成功率(％)，对抗样本在Inc-v3上以不同的迭代次数生成；在迭代次数相同的情况下，ABI-FGM比NI-FGSM和MI-FGSM有更高的攻击成功率。而从另一个角度来看，在获得与NI-FGSM和MI-FGSM相同的攻击成功率的前提下，ABI-FGM需要更少的迭代次数。结果表明，ABI-FGM所生成的对抗样本具有更好的迁移性。2)与经典方法的比较中，在表1和图8中，将ABI-FGM与强大的FGSM相关方法进行了比较，这突出了本案中ABI-FGM算法1方案的优势。为了进一步验证其优势，考虑将ABI-FGM与PGD和C&W等经典攻击方法进行比较。实验结果如图9所示的针对七个模型的攻击成功率(％)，对抗样本由PGD、C&W和本案实施例中提出的ABI-FGM在Inc-v3模型上生成，其中，*表示白盒攻击；在白盒设置下，三种方法都达到了100％的攻击成功率，而在更具挑战性的黑盒设置下，ABI-FGM获得的攻击成功率明显领先另外两种经典的攻击方法。例如，在Inc-v3网络上生成对抗样本时，ABI-FGM攻击Inc-v4的成功率为50.1％，而PGD和C&W的成功率为16.5％和18.2％。这些结果说明了本案实施例中算法1方案的优势效果。

进一步分析两个不同的超参数(裁剪区域的宽度r和裁剪图像的数量m)对CI-AB-FGM的影响，其他参数设置与攻击单模型时一致。其中，裁剪区域的宽度r在7个模型上对攻击成功率的影响，r的值以步长为4从0递增到40。当r＝0时，CI-AB-FGM退化为ABI-FGM，其在各网络上的攻击成功率如图10所示，虚线表示白盒攻击，实线表示黑盒攻击，由(a)表示裁剪宽度对攻击成功率的影响，可以看出，随着r取值的增大，CI-AB-FGM的白盒攻击成功率基本保持不变，但黑盒攻击成功率先快速上升，然后趋于稳定，最后有下降的趋势。具体而言，对于所有黑盒攻击，如果r相对较小，即仅利用小的裁剪区域宽度，则黑盒成功率显著提高，这表明引入裁剪不变性对提高对抗样本攻击成功率的重要性。其次，裁剪图像副本的数量m对七种模型攻击成功率的影响，m以步长为1从2递增到10，(b)表示裁剪图像副本数量对攻击成功率的影响，显示了CI-AB-FGM方法在各种网络上的攻击成功率。可以看出，随着m的增加，白盒攻击成功率基本维持在100％左右，而黑盒攻击成功率则逐渐提高。直观上来看，更多数量的裁剪图像副本预示着更好的攻击效果。然而，较大的m值需要较高的计算成本，因此，可以通过设置不同的m值来平衡计算成本和攻击成功率。实验中，综合考虑这两个因素，可将m取值为5。

基于以上在ImageNet数据集上的大量实验表明，本案实施例中的三种算法方案在黑盒设置下的成功率有了显著提高，能够形成更强的攻击方法来提高黑盒攻击成功率。并可通过攻击集成模型方法来增加对抗样本的可迁移性，其中，CI-AB-SI-TI-DIM算法方案是在集成模型设置下，攻击七个模型的成功率平均值高达97.3％。CI-AB-FGM的实验表明，用于增强深度神经网络泛化性能的其他方法也有可能有助于实现更强的对抗攻击。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的方法和/或系统，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。

基于上述的方法和/或系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种基于优化算法和不变性的智能对抗样本生成方法，其特征在于，包含如下内容：

收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法梯度迭代法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。

2.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，利用裁剪函数对部分区域进行随机裁剪，生成若干对应的裁剪图像副本数据，其中，部分区域为边界区域。

3.根据权利要求1或2所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，针对每个迭代轮次，依据预设的衰减因子及上一轮迭代生成对抗样本时神经网络模型损失结果获取当前迭代轮次中损失函数的梯度及当前梯度对生成的对抗样本的影响参数，并求解对抗扰动。

4.根据权利要求3所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，利用上一轮迭代时的影响参数及当前迭代梯度和累计迭代梯度差值的平方来获取当前迭代轮次对对抗样本的影响参数。

5.根据权利要求3所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，损失函数的梯度包含当前迭代梯度和累计迭代梯度；并根据累计梯度、影响参数及预设迭代步长计算扰动参数权重，根据该扰动参数权重来约束对抗扰动。

6.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，依据约束的对抗扰动及上一轮迭代生成的对抗样本来获取当前迭代轮次的对抗样本，并利用裁剪函数clip将当前迭代轮次的对抗样本约束在无穷范数范围内。

7.根据权利要求6所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，当前迭代轮次的对抗样本生成过程表示为

其中，m_t收集前t轮迭代的梯度，其衰减因子为β₁，s_t收集第t轮梯度与m_t之间差值的平方，其衰减因子为β₂，α为迭代步长，sign(·)为符号函数，

为将输入x的对抗样本x^adv约束在无穷范数范围内的裁剪函数clip，ε为对抗扰动的最大值。

8.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，模型损失函数采用交叉熵损失函数。

9.根据权利要求1所述的基于优化算法和不变性的智能对抗样本生成方法，其特征在于，迭代终止条件为达到预设的迭代轮数。

10.一种基于优化算法和不变性的智能对抗样本生成系统，其特征在于，包含：预处理模块和生成模块，其中，

预处理模块，用于收集带有正确标签的原始图像数据；并构建用于对抗样本生成的神经网络模型及模型损失函数，通过最大化模型损失函数来优化原始输入图像和对应输出对抗样本之间的对抗扰动；

生成模块，用于基于原始图像数据和神经网络模型，利用Adabelief迭代快速梯度法及裁剪不变性方法对原始输入图像进行迭代求解，依据迭代终止条件来获取最终生成的对抗样本，其中，每轮迭代求解中，利用裁剪函数对上一轮迭代生成的对抗样本进行裁剪来获取对应的若干裁剪图像副本，并为每个裁剪图像副本设置权重并分配给对应的神经网络模型，利用裁剪图像副本求取神经网络模型损失函数梯度，将求取的神经网络模型损失函数梯度按权重求和来获取对抗扰动；利用约束条件对对抗扰动进行约束，并结合上一轮迭代生成的对抗样本来获取当前轮次的对抗样本。

Images