CN114118268A - 以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统 - Google Patents

Abstract

本发明涉及一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法，包括：对数据集进行预处理，通过泊松编码转换成对应的脉冲序列，接着构建对应数据集的替代网络，将该网络作为一个原始分类器；然后将原始分类器编码生成的脉冲序列和原始样本输入到筛选器中筛选出最佳脉冲；接着将所选择的脉冲和原始图像输入到对抗样本生成网络，该对抗样本生成网络是基于原始分类器，通过以脉冲为概率，生成服从均匀分布的噪声，从而生成初始的对抗样本；再将对抗样本不断迭代优化，最终对抗性样本。本发明能够为安全防御的研究人员提供针对脉冲神经网络生成低成本的对抗性攻击工具。

Description

以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统

技术领域

本发明涉及计算机图像识别及恶意攻击领域，具体涉及一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法及系统。

背景技术

脉冲神经网络(SNN)作为第三代神经网络，其不仅在模拟类脑方面具有广阔的前景，并且应用于神经形态计算系统中低功耗，高效能等优点。SNN在图像识别领域已经展示了不亚于深度神经网络(DNN)的图像识别性能，并且由于其模拟的是人脑的处理方式，因此其能耗方面远远低于DNN的能耗需求。然而，一些研究表明虽然SNN比起DNN具有更好的鲁棒性，但通过在原始图像中添加不可见的扰动来精心构建的对抗性样本，能够让人眼看不出其于原始图像的差异，但会被已经具有良好性能的脉冲神经网络分类器错误分类，类似的攻击也能用于无人驾驶、医疗诊断、人脸识别等领域，严重影响到了数据重要领域的安全性。

由于SNN是近几年刚刚兴起，在该领域的对抗性攻击研究还比较少。研究目前相关的工作发现，现有的对抗性攻击方法包括利用传统的PGD攻击、FGSM攻击等，还有对脉冲序列进行增加、减少和反转的新型攻击策略，但这些方法没有考虑到对抗性攻击的生成样本的极端局限性，换句话说就是生成的对抗性样本由于修改后的像素数量较大，使得可被人眼简单的识别出来。而针对脉冲序列的攻击现有的攻击方法还没有充分的利用其特性。

发明内容

有鉴于此，本发明的目的在于提供一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法，实现更鲁棒、防御性更强、能够抵御对抗性攻击。

为实现上述目的，本发明采用如下技术方案：

一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法，包括以下步骤：

步骤S1：对输入的图像X进行预处理，在脉冲神经网络的自编译器F_enc中利用泊松编码转换将其转换成脉冲数据格式的序列γ＝(γ₁，γ₂，…，γ_T)，其中T为仿真时间步长；

步骤B：基于脉冲神经网络，利用所收集的标注数据集迭代更新网络参数直至收敛，完成模型的训练，得到训练好的若干数据集的脉冲神经网络分类器；

步骤C：将对抗性样本的生成转化为具有约束的优化问题，在进行攻击时，首先为生成的扰动进行对应的问题描述；

步骤D：基于原始图像X和相对应的脉冲序列γ中选择出的脉冲γ_c，通过转换函数g(X,γ_c)和目标函数J(f(X_adv),y)生成初始的对抗性样本；

步骤E：通过构建筛选器从脉冲序列γ筛选出最佳脉冲γ_c；

步骤F：基于动量迭代的随机梯度下降算法SGD进行N次迭代更新，优化目标函数，生成对抗性样本X_adv；

步骤G：利用当前迭代生成的对抗性样本X_adv输入到搭建好的脉冲神经网络模型f和未知的黑盒模型f′评估攻击是否有效。

进一步的，所述的步骤A，具体包括以下步骤：

步骤A1：将输入脉冲神经网络的数据X进行最大最小归一化，即针对每一个原像素像素点值取值归一化为x∈[0,1]；

步骤A2：设置一个时间步长T，令在一个时间步长T的脉冲发放概率p＝x，由此生成了时间步长为T的脉冲序列γ。

进一步的，所述步骤B，具体包括以下步骤：

步骤B1：利用以及预设的模型参数来对模型进行初始化；

步骤B2：设置脉冲仿真时间T，生成标注数据集的脉冲序列

其中i＝(0,1,…,N)为标注数据集为N的大小；

步骤B3：确定输入分类器的结果和标签值之间的均方损失函数为本方法的损失函数：

L(f(X),y)＝MSE(f(X),y)

其中输入为标签数据集干净的样本X，y为样本所对应的标签；

步骤B4：以梯度下降算法，以优化最小化损失函数为目标，利用反向传播机制来更新神经网络内部参数；

步骤B5：得到训练好的若干数据集的脉冲神经网络分类器f。

进一步的，所述将对抗性样本的生成转化为具有约束的优化问题，在进行攻击时，首先为生成的扰动进行对应的问题描述，具体为：

步骤C1：进行对抗性攻击时可以将攻击问题分成两类，一类为有目标攻击，另一类为无目标攻击；其中无目标攻击可将问题转化为最大化如下优化问题：

其中K是类别数，f_K(X)是分类器将输入的X预测为K；

有目标攻击将问题转为最小化如下优化问题：

其中有目标攻击需要所生成的对抗样本输出的结果是攻击者期望的结果，因此需要最小化X与期望样本X^*之间的距离；

步骤C2：将优化问题转换到优化脉冲神经网络可替换目标函数，无目标攻击转化为求最大化可替换损失函数：

argmin-J(f(X_adv),y)

有目标攻击转化为求最小化可替换函数：

argminJ(f(X_adv),y^*)

通过优化不同类型的目标函数从而生成攻击者所需要的对抗样本X_adv；

步骤C3：对所产生的扰动进行限制，利用p范数作为约束条件||X-X_adv||_p≤ε。

进一步的，所述步骤D，具体包括如下步骤：

步骤D1：导入训练好脉冲神经网络分类器；

步骤D2：基于原始图像脉冲序列，构建扰动生成函数：

g(X,γ_c)＝Clip(X+η*γ_c，0，1)

其中常数

η是用于加速迭代中收敛的预设常量，生成的扰动大小规定在[0,1]范围；

步骤D3：将生成的扰动和原始图像结合形成对抗性样本；

步骤D4：设置目标函数来优化生成扰动的人眼不可见性：

J(X,X_adv)＝L(f(X),y)+β||X+η*γ_c||²

其中L(f(X),y)是原脉冲网络分类器的损失函数，

为增加扰动在最终损失函数中的权重，并利用L₂范数约束条件||X-X_adv||₂≤ε来限制扰动大小。

进一步的，所述步骤E，包括以下步骤：

步骤E1：计算脉冲序列中每一个序列值s＝(s₁，s₂，…，s_T)，计算公式为：

其中i＝(1,2,…,T)；

步骤E2：计算每个脉冲γ_i预生成扰动大小值L₂记为

ω＝(ω₁，ω₂，…，ω_i)；

步骤E3：在选择最佳的脉冲时优先考虑小的扰动大小值，修改信息量多的脉冲值，利用优先队列函数：

Priority_spike(ω,s)＝priority_queue(ω,s)

其中Priority_spike(ω,s)＝{(ω₁,s₁)，(ω₂,s₂)，…，(ω_T,s_T)}，T＝(1,2,…,T)，此处的序列是经过按照最小扰动最大脉冲优先进行重新排序，最终选择出第一个序列(ω₁，s₁)对应的脉冲γ_c。

进一步的，所述步骤F，包括以下步骤：

步骤F1：初始化X_adv＝X；

步骤F2：根据攻击类型，在白盒攻击下对无目标最大化目标函数或有目标攻击小化目标函数，在黑盒攻击下使用白盒模型作为可替代模型，通过无目标攻击产生的对抗样本X_adv来对黑盒模型进行攻击；

步骤F3：更新对抗样本X_adv；

步骤F4：不断的执行步骤F2、步骤F3，直至具有良好的不可见性以及使得分类器分类错误。

进一步的，所述步骤G，包括以下步骤：

步骤G1：将得到的最优迭代对抗性样本X分别输入到步骤A搭建的脉冲神经网络分类器f，和黑盒分类器f′；

步骤G2：根据有目标、无目标和黑盒攻击的成功率，对抗性样本的不可见性等评价指标对攻击进行评估，判断攻击是否有效。

一种以脉冲为概率生成均匀分布扰动的对抗性攻击系统，包括：

替代网络生成模块，用于搭建生成对抗样本的分类器结构，包括编码子模块、参数初始化子模块、训练网络子模块、网络参数更新子模块；首先，设置时间步长T，将标记数据集通过泊松编码生成对应的脉冲序列γ，接着通过参数初始化子模块对脉冲神经网络进行初始化，然后通过训练子模块对脉冲神经网络进行训练，再由网络参数更新子模块对脉冲神经网络分类器进行参数的更新；

脉冲筛选模块，用于节省对抗性样本的时间和能耗开销，包括脉冲值计算子模块、扰动值计算子模块、优先队列子模块；利用脉冲值计算子模块、扰动值计算子模块分别计算脉冲值s、扰动大小值L₂，再将计算的值输入到优先队列子模块得到最佳脉冲γ_c；

对抗样本生成模块，用于不断的优化目标函数，最终生成具有高攻击性能和不可见性良好的对抗性样本，包括扰动生成子模块、对抗样本生成子模块、模型加载子模块、目标函数优化子模块；通过扰动生成模块生成符合条件得对抗性扰动，然后在对抗样本生成子模块中生成对抗样本，将对抗样本输入到替代模型输出的脉冲神经网络；接着通过目标函数优化子模块不断的优化目标函数，经过多轮的迭代生成最终的对抗样本X_adv；

评估模块，用于评估白盒设置下对分类器f的无目标、有目标攻击，以及黑盒设置下对黑盒分类器f′的攻击效果；通过评估攻击成功率、生成对抗样本和原始图像的肉眼不可区分性的对比，综合的评估所生成的对抗样本的攻击效果。

本发明与现有技术相比具有以下有益效果：

1、本发明通过筛选最佳的脉冲，在保证攻击性能和良好的不可见性的情况下提升了方法的效能，有效降低了生成对抗样本模型的复杂度；

2、本发明不仅解决了传统方法攻击效率低下的问题，还大大提高了对抗样本的不可见性；

3、本发明提高对抗性攻击的普适性和指导应对对抗性攻击的防御策略具有理论和实践的意义。

附图说明

图1为本发明实施例的方法实现流程图。

图2是本发明实施例的系统结构示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

请参照图1，本发明提供一种本发明提供一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法，如图1所示，包括以下步骤：

步骤A：首先对输入的图像X进行预处理，然后在脉冲神经网络的自编译器F_enc中利用泊松编码转换将其转换成脉冲数据格式的序列γ＝(γ₁，γ₂，…，γ_T)，其中T为仿真时间步长；

步骤A1：将输入脉冲神经网络的数据X进行最大最小归一化，即针对每一个原像素像素点值取值归一化为x∈[0,1]；

步骤A2：设置一个时间步长T，令在一个时间步长T的脉冲发放概率p＝x，由此生成了时间步长为T的脉冲序列γ。

步骤B：基于步骤A搭建的替代网络，利用所收集的标注数据集迭代更新网络参数直至收敛，完成模型的训练；

步骤B1：利用以及预设的模型参数来对模型进行初始化；

步骤B2：设置脉冲仿真时间T，生成标注数据集的脉冲序列

其中i＝(0,1,…,N)为标注数据集为N的大小；

步骤B3：确定输入分类器的结果和标签值之间的均方损失函数为本方法的损失函数：

L(f(X),y)＝MSE(f(X),y)

其中输入为标签数据集干净的样本X，y为样本所对应的标签；

步骤B4：以梯度下降算法，以优化最小化损失函数为目标，利用反向传播机制来更新神经网络内部参数；

步骤B5：得到训练好的若干数据集的脉冲神经网络分类器f。

步骤C：将对抗性样本的生成转化为具有约束的优化问题，在进行攻击时，首先为生成的扰动进行对应的问题描述；

步骤C1：进行对抗性攻击时可以将攻击问题分成两类，一类为有目标攻击，另一类为无目标攻击。其中无目标攻击可将问题转化为最大化如下优化问题：

其中K是类别数，f_K(X)是分类器将输入的X预测为K，无目标攻击只需要生成的样本的输出和原始样本的输出不同即可，因此需要最大化X_adv与原始样本X之间的距离；而有目标攻击将问题转为最小化如下优化问题：

其中有目标攻击需要所生成的对抗样本输出的结果是攻击者期望的结果，因此需要最小化X与期望样本X^*之间的距离；

步骤C2：进一步将优化问题转换到优化我们设计的脉冲神经网络可替换目标函数。无目标攻击转化为求最大化可替换损失函数：

argmin-J(f(X_adv),y)

有目标攻击转化为求最小化可替换函数：

argminJ(f(X_adv),y^*)

通过优化不同类型的目标函数从而生成攻击者所需要的对抗样本X_adv；

步骤C3：为了生成和原始样本相比人眼无法区分的对抗样本，对所产生的扰动进行限制，此处利用p范数作为约束条件||X-X_adv||_p≤ε。

步骤D：基于原始图像X和相对应的脉冲序列γ中选择出的脉冲γ_c，通过精心构建的转换函数g(X,γ_c)和目标函数J(f(X_adv),y)生成初始的对抗性样本；

步骤D1：将B5建立好的脉冲神经网络模型导入；

步骤D2：基于原始图像脉冲序列，构建扰动生成函数：g(X,γ_c)＝Clip(X+η*γ_c，0，1)

其中常数

η是用于加速迭代中收敛的预设常量，生成的扰动大小规定在[0,1]范围；

步骤D3：将生成的扰动和原始图像结合形成对抗性样本；

步骤D4：设置目标函数来优化生成扰动的人眼不可见性：

J(X,X_adv)＝L(f(X),y)+βX+η*γ_c||²

其中L(f(X),y)是原脉冲网络分类器的损失函数，

为增加扰动在最终损失函数中的权重，另外利用L₂范数约束条件||X-X_adv||₂≤ε来限制扰动大小，使用其他范数约束也同样适用。

步骤E：为了节省对抗性样本的时间和能耗开销，通过构建筛选器从脉冲序列γ筛选出最佳脉冲γ_c；

步骤E1：计算脉冲序列中每一个序列值s＝(s₁，s₂，…，s_T)，计算公式为：

其中i＝(1,2,…,T)；

步骤E2：计算每个脉冲γ_i预生成扰动大小值L₂记为

ω＝(ω₁，ω₂，…，ω_i)；

步骤E3：本方法的目标是为了生成扰动尽量小并且可以造成破坏性更强的对抗样本，因此在选择最佳的脉冲时优先考虑小的扰动大小值，修改信息量多的脉冲值。利用优先队列函数：

Priority_spike(ω,s)＝priority_queue(ω,s)

其中Priority_spike(ω,s)＝{(ω₁,s₁)，(ω₂,s₂)，…，(ω_T,s_T)}，T＝(1,2,…,T)，此处的序列是经过按照最小扰动最大脉冲优先进行重新排序，最终选择出第一个序列(ω₁，s₁)对应的脉冲γ_c。

步骤F：基于动量迭代的随机梯度下降算法SGD进行N次迭代更新，通过不断的优化目标函数，最终生成具有高攻击性能和不可见性良好的对抗性样本X_adv；

步骤F1：初始化X_adv＝X；

步骤F2：根据攻击类型，在白盒攻击下对无目标(有目标)攻击，最大化(最小化)目标函数，在黑盒攻击下使用白盒模型作为可替代模型，通过无目标攻击产生的对抗样本X_adv来对黑盒模型进行攻击；

步骤F3：更新对抗样本X_adv；

步骤F4：不断的执行步骤F2、步骤F3，直至具有良好的不可见性以及使得分类器分类错误。

步骤G：利用当前迭代生成的对抗性样本X_adv输入到搭建好的脉冲神经网络模型f和未知的黑盒模型f′评估攻击是否有效。

步骤G1：将得到的最优迭代对抗性样本X分别输入到步骤A搭建的脉冲神经网络分类器f，和黑盒分类器f′；

步骤G2：根据有目标、无目标和黑盒攻击的成功率，对抗性样本的不可见性等评价指标对攻击进行评估，判断攻击是否有效。

本发明还提供了一种以脉冲为概率生成均匀分布扰动的对抗性攻击系统，如图2所示，包括：

替代网络生成模块，用于搭建生成对抗样本的分类器结构，包括编码子模块、参数初始化子模块、训练网络子模块、网络参数更新子模块；首先，设置时间步长T，将标记数据集通过泊松编码生成对应的脉冲序列γ，接着通过参数初始化子模块对脉冲神经网络进行初始化，然后通过训练子模块对脉冲神经网络进行训练，再由网络参数更新子模块对脉冲神经网络分类器进行参数的更新；

脉冲筛选模块，用于节省对抗性样本的时间和能耗开销，包括脉冲值计算子模块、扰动值计算子模块、优先队列子模块；利用脉冲值计算子模块、扰动值计算子模块分别计算脉冲值s、扰动大小值L₂，再将计算的值输入到优先队列子模块得到最佳脉冲γ_c；

对抗样本生成模块，用于不断的优化目标函数，最终生成具有高攻击性能和不可见性良好的对抗性样本，包括扰动生成子模块、对抗样本生成子模块、模型加载子模块、目标函数优化子模块；通过扰动生成模块生成符合条件得对抗性扰动，然后在对抗样本生成子模块中生成对抗样本，将对抗样本输入到替代模型输出的脉冲神经网络；接着通过目标函数优化子模块不断的优化目标函数，经过多轮的迭代生成最终的对抗样本X_adv；

评估模块，用于评估白盒设置下对分类器f的无目标、有目标攻击，以及黑盒设置下对黑盒分类器f′的攻击效果；通过评估攻击成功率、生成对抗样本和原始图像的肉眼不可区分性的对比，综合的评估所生成的对抗样本的攻击效果。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (9)

1.一种以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，包括以下步骤：

步骤S1：对输入的图像X进行预处理，在脉冲神经网络的自编译器F_enc中利用泊松编码转换将其转换成脉冲数据格式的序列γ＝(γ₁，γ₂，…，γ_T)，其中T为仿真时间步长；

步骤B：基于脉冲神经网络，利用所收集的标注数据集迭代更新网络参数直至收敛，完成模型的训练，得到训练好的若干数据集的脉冲神经网络分类器；

步骤C：将对抗性样本的生成转化为具有约束的优化问题，在进行攻击时，首先为生成的扰动进行对应的问题描述；

步骤D：基于原始图像X和相对应的脉冲序列γ中选择出的脉冲γ_c，通过转换函数g(X,γ_c)和目标函数J(f(X_adv),y)生成初始的对抗性样本；

步骤E：通过构建筛选器从脉冲序列γ筛选出最佳脉冲γ_c；

步骤F：基于动量迭代的随机梯度下降算法SGD进行N次迭代更新，优化目标函数，生成对抗性样本X_adv；

步骤G：利用当前迭代生成的对抗性样本X_adv输入到搭建好的脉冲神经网络模型f和未知的黑盒模型f′评估攻击是否有效。

2.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述的步骤A，具体包括以下步骤：

步骤A1：将输入脉冲神经网络的数据X进行最大最小归一化，即针对每一个原像素像素点值取值归一化为x∈[0,1]；

步骤A2：设置一个时间步长T，令在一个时间步长T的脉冲发放概率p＝x，由此生成了时间步长为T的脉冲序列γ。

3.根据权利要求2所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述步骤B，具体包括以下步骤：

步骤B1：利用以及预设的模型参数来对模型进行初始化；

步骤B2：设置脉冲仿真时间T，生成标注数据集的脉冲序列

其中i＝(0,1,…,N)为标注数据集为N的大小；

步骤B3：确定输入分类器的结果和标签值之间的均方损失函数为本方法的损失函数：

L(f(X),y)＝MSE(f(X),y)

其中输入为标签数据集干净的样本X，y为样本所对应的标签；

步骤B4：以梯度下降算法，以优化最小化损失函数为目标，利用反向传播机制来更新神经网络内部参数；

步骤B5：得到训练好的若干数据集的脉冲神经网络分类器f。

4.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述将对抗性样本的生成转化为具有约束的优化问题，在进行攻击时，首先为生成的扰动进行对应的问题描述，具体为：

步骤C1：进行对抗性攻击时可以将攻击问题分成两类，一类为有目标攻击，另一类为无目标攻击；其中无目标攻击可将问题转化为最大化如下优化问题：

其中K是类别数，f_K(X)是分类器将输入的X预测为K；

有目标攻击将问题转为最小化如下优化问题：

其中有目标攻击需要所生成的对抗样本输出的结果是攻击者期望的结果，因此需要最小化X与期望样本X^*之间的距离；

步骤C2：将优化问题转换到优化脉冲神经网络可替换目标函数，无目标攻击转化为求最大化可替换损失函数：

arg min-J(f(X_adv),y)

有目标攻击转化为求最小化可替换函数：

arg minJ(f(X_adv),y^*)

通过优化不同类型的目标函数从而生成攻击者所需要的对抗样本X_adv；

步骤C3：对所产生的扰动进行限制，利用p范数作为约束条件||X-X_adv||_p≤ε。

5.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述步骤D，具体包括如下步骤：

步骤D1：导入训练好脉冲神经网络分类器；

步骤D2：基于原始图像脉冲序列，构建扰动生成函数：

g(X,γ_c)＝Clip(X+η*γ_c，0，1)

其中常数

η是用于加速迭代中收敛的预设常量，生成的扰动大小规定在[0,1]范围；

步骤D3：将生成的扰动和原始图像结合形成对抗性样本；

步骤D4：设置目标函数来优化生成扰动的人眼不可见性：

J(X,X_adv)＝L(f(X),y)+β||X+η*γ_c||²

其中L(f(X),y)是原脉冲网络分类器的损失函数，

为增加扰动在最终损失函数中的权重，并利用L₂范数约束条件||X-X_adv||₂≤ε来限制扰动大小。

6.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述步骤E，包括以下步骤：

步骤E1：计算脉冲序列中每一个序列值s＝(s₁，s₂，…，s_T)，计算公式为：

其中i＝(1,2,…,T)；

步骤E2：计算每个脉冲γ_i预生成扰动大小值L₂记为

ω＝(ω₁，ω₂，…，ω_i)；

步骤E3：在选择最佳的脉冲时优先考虑小的扰动大小值，修改信息量多的脉冲值，利用优先队列函数：

Priority_spike(ω,s)＝priority_queue(ω,s)

其中Priority_spike(ω,s)＝{(ω₁,s₁)，(ω₂,s₂)，…，(ω_T,s_T)}，T＝(1,2,…,T)，此处的序列是经过按照最小扰动最大脉冲优先进行重新排序，最终选择出第一个序列(ω₁，s₁)对应的脉冲γ_c。

7.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述步骤F，包括以下步骤：

步骤F1：初始化X_adv＝X；

步骤F2：根据攻击类型，在白盒攻击下对无目标最大化目标函数或有目标攻击小化目标函数，在黑盒攻击下使用白盒模型作为可替代模型，通过无目标攻击产生的对抗样本X_adv来对黑盒模型进行攻击；

步骤F3：更新对抗样本X_adv；

步骤F4：不断的执行步骤F2、步骤F3，直至具有良好的不可见性以及使得分类器分类错误。

8.根据权利要求1所述的以脉冲为概率生成均匀分布扰动的对抗性攻击方法，其特征在于，所述步骤G，包括以下步骤：

步骤G1：将得到的最优迭代对抗性样本X分别输入到步骤A搭建的脉冲神经网络分类器f，和黑盒分类器f′；

步骤G2：根据有目标、无目标和黑盒攻击的成功率，对抗性样本的不可见性等评价指标对攻击进行评估，判断攻击是否有效。

9.一种以脉冲为概率生成均匀分布扰动的对抗性攻击系统，其特征在于，包括：

替代网络生成模块，用于搭建生成对抗样本的分类器结构，包括编码子模块、参数初始化子模块、训练网络子模块、网络参数更新子模块；首先，设置时间步长T，将标记数据集通过泊松编码生成对应的脉冲序列γ，接着通过参数初始化子模块对脉冲神经网络进行初始化，然后通过训练子模块对脉冲神经网络进行训练，再由网络参数更新子模块对脉冲神经网络分类器进行参数的更新；

脉冲筛选模块，用于节省对抗性样本的时间和能耗开销，包括脉冲值计算子模块、扰动值计算子模块、优先队列子模块；利用脉冲值计算子模块、扰动值计算子模块分别计算脉冲值s、扰动大小值L₂，再将计算的值输入到优先队列子模块得到最佳脉冲γ_c；

对抗样本生成模块，用于不断的优化目标函数，最终生成具有高攻击性能和不可见性良好的对抗性样本，包括扰动生成子模块、对抗样本生成子模块、模型加载子模块、目标函数优化子模块；通过扰动生成模块生成符合条件得对抗性扰动，然后在对抗样本生成子模块中生成对抗样本，将对抗样本输入到替代模型输出的脉冲神经网络；接着通过目标函数优化子模块不断的优化目标函数，经过多轮的迭代生成最终的对抗样本X_adv；

评估模块，用于评估白盒设置下对分类器f的无目标、有目标攻击，以及黑盒设置下对黑盒分类器f′的攻击效果；通过评估攻击成功率、生成对抗样本和原始图像的肉眼不可区分性的对比，综合的评估所生成的对抗样本的攻击效果。

Images