CN115272774A - 基于改进自适应差分进化算法的对抗样本攻击方法及系统 - Google Patents

基于改进自适应差分进化算法的对抗样本攻击方法及系统 Download PDF

Info

Publication number
CN115272774A
CN115272774A CN202211060993.2A CN202211060993A CN115272774A CN 115272774 A CN115272774 A CN 115272774A CN 202211060993 A CN202211060993 A CN 202211060993A CN 115272774 A CN115272774 A CN 115272774A
Authority
CN
China
Prior art keywords
population
disturbance
individual
pixel
generation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211060993.2A
Other languages
English (en)
Inventor
彭长根
林志怡
何兴
丁红发
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou University
Original Assignee
Guizhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou University filed Critical Guizhou University
Priority to CN202211060993.2A priority Critical patent/CN115272774A/zh
Publication of CN115272774A publication Critical patent/CN115272774A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/77Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
    • G06V10/774Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/82Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Image Analysis (AREA)

Abstract

本发明涉及一种基于改进自适应差分进化算法的对抗样本攻击方法及系统,包括:获取原始图像;对原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素;利用改进的自适应差分进化算法对对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;改进的自适应差分进化算法为对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新;将对抗扰动像素的最优解添加到原始图像中,得到对抗样本;利用对抗样本攻击图像分类器模型。本发明根据迭代次数对变异因子和交叉概率进行更新,使得变异因子和交叉概率自适应调节,考虑了差分进化算法中种群进化过程的反馈信息以及迭代次数对种群进化的动态需求,提高了对抗样本攻击的成功率。

Description

基于改进自适应差分进化算法的对抗样本攻击方法及系统
技术领域
本发明涉及图像识别技术领域,特别是涉及一种基于改进自适应差分进化算法的对抗样本攻击方法及系统。
背景技术
人工智能的不断发展,使得深度学习在众多领域都取得了显著的进展,尤其是在计算机视觉领域,图像识别技术因具备非常高的准确率而被逐步部署到实际应用系统中。然而研究表明,通过对自然图像添加微小扰动所生成的对抗样本,能够有效地欺骗深度学习模型,使得模型以高置信度的方式给出错误输出。其中,Goodfellow等提出的FGSM,Moosavi-Dezfooli等提出的DeepFool等对抗样本白盒攻击方案均需要攻击者充分掌握目标模型的结构及参数,因此在实际应用中大幅度受限,而黑盒攻击无需了解模型内部信息,使其在物理环境下适用性更广。因此针对极端有限场景,Su等首次提出了仅修改极少量像素点实现的对抗样本黑盒攻击,通过对扰动像素的位置信息和扰动强度进行编码,并基于经典差分进化算法使神经网络模型反馈信息来引导对抗性扰动的进化方向,直至达到最大迭代次数或收敛至稳定状态得到最优解。然而,单像素攻击基于传统的差分进化算法,仅实现了一种变异策略不变、变异因子固定且无交叉操作的简单情况,适用性低。之后Su等利用控制变量法,探究差分进化算法(Differential Evolution,DE)中不同的变异因子和交叉概率对对抗样本攻击成功率的影响,并在严格的控制条件下,同时控制像素扰动量和整体扰动强度,但是,该对抗样本攻击成功率低。
发明内容
本发明的目的是提供一种基于改进自适应差分进化算法的对抗样本攻击方法及系统,以提高对抗样本攻击的成功率。
为实现上述目的,本发明提供了如下方案:
一种基于改进自适应差分进化算法的对抗样本攻击方法,包括:
获取原始图像;
对所述原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素;
利用改进自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;所述改进自适应差分进化算法对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新;
将所述对抗扰动像素的最优解添加到所述原始图像中,得到对抗样本;
利用所述对抗样本攻击图像分类器模型。
可选的,所述利用改进的自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解,具体包括:
对所述对抗扰动像素进行编码生成初始对抗扰动像素种群;
判断是否达到迭代终止条件;所述迭代终止条件包括当前迭代次数达到最大迭代次数或当前对抗扰动像素种群的个体对应的攻击类别概率大于预设概率值;当前所述对抗扰动像素种群的个体对应的攻击类别概率为样本图像输入至所述图像分类器模型后被分类为攻击目标的概率;所述样本图像由所述原始图像添加当前所述对抗扰动像素种群的个体得到;
若是,则当前所述对抗扰动像素种群中的个体为所述对抗扰动像素的最优解;
若否,则对当前所述对抗扰动像素种群中的个体进行变异操作和交叉操作,得到交叉种群;所述变异操作的变异因子和所述交叉操作的交叉概率根据当前所述迭代次数计算得到;
分别计算所述交叉种群和上一代对抗扰动像素种群中个体的适应度,根据所述适应度对所述交叉种群和所述上一代对抗扰动像素种群中个体进行选择操作,生成下一代对抗扰动像素种群;
令所述下一代对抗扰动像素种群为当前所述对抗扰动像素种群,并返回步骤“判断是否达到迭代终止条件”。
可选的,所述变异操作的变异因子的表达式为:
Figure BDA0003826256130000021
所述交叉操作的交叉概率的表达式为:
Figure BDA0003826256130000022
其中,Fg为第g代对抗扰动像素种群对应的变异因子,g表示种群当前迭代次数,G表示种群最大迭代次数,F0为初始变异因子,CRg为第g代对抗扰动像素种群对应的交叉概率,CR0为初始交叉概率。
可选的,所述变异操作具体包括:
从当前所述对抗扰动像素种群中的个体中选择五个互异个体;
从五个所述互异个体中任意选取三个所述互异个体生成第一中间变异个体;
根据五个所述互异个体中剩余两个所述互异个体与当前最优个体生成第二中间变异个体;当前所述对抗扰动像素种群中的个体适应度与上一代种群中的个体适应度进行比较,适应度高的个体选取为所述当前最优个体;
根据当前迭代次数计算所述第一中间变异个体的第一权重和所述第二中间变异个体的第二权重;
根据所述第一中间变异个体及对应的所述第一权重和所述第二中间变异个体及对应的所述第二权重生成目标变异个体;所有所述目标变异个体构成变异种群。
可选的,所述第一中间变异个体的表达式为:
v1i,g=xr1,g+Fg×(xr2,g-xr3,g)
所述第二中间变异个体的表达式为:
v2i,g=xbest,g+Fg×(xr4,g-xr5,g)
其中,v1i,g为第g代第i个第一中间变异个体,xr1,g、xr2,g、xr3,g、xr4,g、xr5,g为选取的第g代对抗扰动像素种群的五个互异个体,Fg为第g代种群对应的变异因子,v2i,g为第g代第i个第二中间变异个体,xbest,g为当前最优个体。
可选的,所述目标变异个体的表达式为:
Figure BDA0003826256130000031
其中,vi,g为第g代第i个目标变异个体,G表示种群最大迭代次数,v1i,g为第g代第i个第一中间变异个体,v2i,g为第g代第i个第二中间变异个体。
可选的,所述交叉操作具体包括:
在区间[0,1]中随机选取第一目标值;
在整数区间(1,D)中随机选取第二目标值;D为大于1且小于等于5的整数;D表示种群个体的数据维度总数;
判断所述第一目标值是否小于第g次迭代次数对应的交叉概率,得到第一判断结果;
判断所述第二目标值是否等于种群个体的数据维度数,得到第二判断结果,所述种群个体的数据维度数为所述对抗性扰动像素的元素维度数;所述对抗性扰动像素的元素包括位置元素及色彩元素;
当所述第一判断结果为是或所述第二判断结果为是时,将第g代变异种群中第i个目标变异个体第j维的元素作为第g代交叉种群中第i个交叉个体的第j维的元素;否则选取第g代对抗扰动像素种群中的第i个个体的第j维的元素作为第g代交叉种群第i个交叉个体的第j维的元素;第0代对抗扰动像素种群为所述初始对抗扰动像素种群。
可选的,所述选择操作的计算公式为:
Figure BDA0003826256130000041
其中,xi,g+1表示第g+1代对抗扰动像素种群第i个个体,i=1,2,...,NP,ui,g表示第g代交叉种群第i个个体,xi,g为第g代对抗扰动像素种群第i个个体,floss(ui,g)表示第g代交叉种群第i个个体的适应度,floss(xi,g)表示第g代对抗扰动像素种群第i个个体的适应度。
本发明还提供了一种基于改进自适应差分进化算法的对抗样本攻击系统,包括:
原始图像获取模块,用于获取原始图像;
对抗扰动像素获取模块,用于对所述原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素;
对抗扰动像素的最优解获取模块,用于利用改进的自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;所述改进的自适应差分进化算法为对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新;
对抗样本获取模块,用于将所述对抗扰动像素的最优解添加到所述原始图像中,得到对抗样本;
攻击模块,用于利用所述对抗样本攻击图像分类器模型。
可选的,所述对抗扰动像素的最优解获取模块,具体包括:
对所述对抗扰动像素进行编码生成初始对抗扰动像素种群;
判断是否达到迭代终止条件;所述迭代终止条件包括当前迭代次数达到最大迭代次数或当前对抗扰动像素种群的个体对应的攻击类别概率大于预设概率值;当前所述对抗扰动像素种群的个体对应的攻击类别概率为样本图像输入至所述图像分类器模型后被分类为攻击目标的概率;所述样本图像由所述原始图像添加当前所述对抗扰动像素种群的个体得到;
若是,则当前所述对抗扰动像素种群中的个体为所述对抗扰动像素的最优解;
若否,则对当前所述对抗扰动像素种群中的个体进行变异操作和交叉操作,得到交叉种群;所述变异操作的变异因子和所述交叉操作的交叉概率根据当前所述迭代次数计算得到;
分别计算所述交叉种群和上一代对抗扰动像素种群中个体的适应度,根据所述适应度对所述交叉种群和所述上一代对抗扰动像素种群中个体进行选择操作,生成下一代对抗扰动像素种群;
令所述下一代对抗扰动像素种群为当前所述对抗扰动像素种群,并返回步骤“判断是否达到迭代终止条件”。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供了一种基于改进自适应差分进化算法的对抗样本攻击方法及系统,包括:获取原始图像;对所述原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素;利用改进的自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;所述改进的自适应差分进化算法为对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新;将所述对抗扰动像素的最优解添加到所述原始图像中,得到对抗样本;利用所述对抗样本攻击图像分类器模型。本发明根据迭代次数对变异因子和交叉概率进行更新,使得变异因子和交叉概率自适应调节,考虑了差分进化算法中种群进化过程的反馈信息以及迭代次数对种群进化的动态需求,提高了对抗样本攻击的成功率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的基于改进自适应差分进化算法的对抗样本攻击方法流程示意图;
图2为本发明实施例1提供的基于改进自适应差分进化算法的对抗样本攻击方法具体实施流程图;
图3为本发明实施例2提供的基于改进自适应差分进化算法的对抗样本攻击系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于改进自适应差分进化算法的对抗样本攻击方法及系统,以提高对抗样本攻击的成功率。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1
本实施例提供了一种基于改进自适应差分进化算法的对抗样本攻击方法,参见图1,所述方法包括:
步骤S1:获取原始图像。
步骤S2:对所述原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素。
步骤S3:利用改进自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;所述改进自适应差分进化算法对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新。
步骤S4:将所述对抗扰动像素的最优解添加到所述原始图像中,得到对抗样本。
步骤S5:利用所述对抗样本攻击图像分类器模型。
本实施例以基于CIFAR10数据集训练的ResNet图像分类模型为例,详细叙述应用生成对抗样本的具体流程:
本实施例中步骤S1选取CIFAR10数据集中的一图像作为原始图像,将原始图像I表示为n维输入向量x=(x1,x2,…,xn),其中xi代表像素值,则目标分类器f(本实施例采用ResNet图像分类模型作为目标分类器)把输入向量x正确分类为类别t的概率为ft(x)。向量p(x)=(p1,p2,…,pn)定义为输入向量x的叠加性对抗扰动,使得ResNet模型可对原始图像类别进行错误判断,其中元素pi表示在输入向量x对应维度元素xi上添加的对抗性扰动,具体地,pi=(xi,yi,ri,gi,bi)包含了对抗性扰动像素的位置及色彩信息,之后将通过自适应的差分进化算法把元素pi作为种群个体进行优化,以求得原始图像的最优对抗性扰动。在本实施例中,最优对抗性扰动p(x)*,应满足以下条件:
Figure BDA0003826256130000071
subject to||p(x)||0≤L
其中,adv为攻击目标,攻击目标为与原始图像I所述类别t不同的类别;限制条件(subjectto)中L为对抗性扰动的最大修改量,||p(x)||0表示在L0范数条件下对向量p(x)进行若干维度的修改,即仅对原始图像I进行局部扰动。
在本实施例中,步骤S3具体包括以下步骤:
步骤S31:对所述对抗扰动像素进行编码生成初始对抗扰动像素种群。
步骤S32:判断是否达到迭代终止条件;所述迭代终止条件包括当前迭代次数达到最大迭代次数或当前对抗扰动像素种群的个体对应的攻击类别概率大于预设概率值;当前所述对抗扰动像素种群的个体对应的攻击类别概率为样本图像输入至所述图像分类器模型后被分类为攻击目标的概率;所述样本图像由所述原始图像添加当前所述对抗扰动像素种群的个体得到。
步骤S33:若是,则当前所述对抗扰动像素种群中的个体为所述对抗扰动像素的最优解。
步骤S34:若否,则对当前所述对抗扰动像素种群中的个体进行变异操作和交叉操作,得到交叉种群;所述变异操作的变异因子和所述交叉操作的交叉概率根据当前所述迭代次数计算得到。
步骤S35:分别计算所述交叉种群和上一代对抗扰动像素种群中个体的适应度,根据所述适应度对所述交叉种群和所述上一代对抗扰动像素种群中个体进行选择操作,生成下一代对抗扰动像素种群。
步骤S36:令所述下一代对抗扰动像素种群为当前所述对抗扰动像素种群,并返回步骤“判断是否达到迭代终止条件”。
下面以示例的方式对步骤S3进行具体介绍:
首先,初始化种群数量为NP,即在每次迭代中都将生成NP个个体,每个个体都是对图像扰动的候选解决方案。本实施例规定初始化的对抗扰动像素种群为第0代对抗扰动像素种群,那么第0代对抗扰动像素种群个体生成方式如下:
xi,j,0=minj+rand[0,1]×(maxj-minj)
其中,{xi,j,0|i=1,2,...,NP;j=1,2,...,5},{j=1,2,...,5}表示五元组元素pi=(xi,yi,ri,gi,bi)上的维度,则[minj,maxj]为种群个体在第j维的取值范围,rand[0,1]为[0,1]内取得一个均匀分布随机数。同时,设置变异因子F和交叉概率CR的初始值F0和CR0均为1。
其次,种群迭代过程的变化对控制参数及操作策略有着动态的需求。对于变异操作中的变异因子F,在进化初期个体的适应度较差,F值偏大能增强差分向量的全局扰动能力,扩大解的搜索范围,更有利于跳出局部最优;在进化后期个体适应度增强,F值偏小能增加算法的局部寻优能力,提高解的优化精度,使个体更大程度地接近最优解。对于交叉概率CR,进化初期偏大的取值能够使得生成的交叉个体的元素更多来自变异个体,提升算法进化速度;在进化后期需要微调交叉个体,相对较小的CR值可以放慢进化速度,保证最终优化结果的精度。因此,相比于经典差分进化算法在种群迭代过程中始终保持固定的控制参数,本发明根据当前迭代次数来更新变异因子和交叉概率,更符合种群进化过程对控制参数的不同需求,更有利于种群的进化方向。
在本实施例中,所述变异操作的变异因子的表达式为:
Figure BDA0003826256130000081
所述交叉操作的交叉概率的表达式为:
Figure BDA0003826256130000082
其中,Fg为第g代对抗扰动像素种群对应的变异因子,g表示种群当前迭代次数,G表示种群最大迭代次数,F0为初始变异因子,CRg为第g代对抗扰动像素种群对应的交叉概率,CR0为初始交叉概率。
在本实施例中,步骤S34中所述变异操作具体包括以下步骤:
从当前所述对抗扰动像素种群中的个体中选择五个互异个体;
从五个所述互异个体中任意选取三个所述互异个体生成第一中间变异个体;
根据五个所述互异个体中剩余两个所述互异个体与当前最优个体生成第二中间变异个体;当前所述对抗扰动像素种群中的个体适应度与上一代种群中的个体适应度进行比较,适应度高的个体选取为所述当前最优个体;
根据当前迭代次数计算所述第一中间变异个体的第一权重和所述第二中间变异个体的第二权重;
根据所述第一中间变异个体及对应的所述第一权重和所述第二中间变异个体及对应的所述第二权重生成目标变异个体;所有所述目标变异个体构成变异种群。
下面对S34中变异操作进行具体介绍:
对于种群迭代过程对变异策略的动态需求,在进化前期对全局搜索能力要求较高,利用DE/rand/1策略对个体随机性选择的方式更适合,在进化后期强调算法的局部寻优能力,通过DE/best/1策略来利用最优个体的信息更能满足求解需求。因此,在种群整个进化过程中,根据迭代次数按比例地结合两种变异策略,最终构成自适应的变异策略,能够更好地适应种群进化对变异策略的不同需求。
首先,随机选取五个互异的个体,并从中选出三个通过变异策略DE/rand/1生成第一中间变异个体,所述第一中间变异个体的表达式为:
v1i,g=xr1,g+Fg×(xr2,g-xr3,g)
在种群进化过程中,定义当前最优个体为种群适应度最高的个体,对于对抗样本攻击中定义的损失函数最小化问题,损失值越小则适应度越高。种群初始化时,最优个体为第0代对抗扰动像素种群中的随机个体,在之后的种群迭代过程中,每次得到的个体都将与上一代对抗扰动像素种群中当前的最优个体进行适应度比较,将适应度更高者选取为当前最优个体。
因此,采用五个互异个体中的另外两个个体与当前最优个体通过变异策略DE/best/1生成第二中间变异个体,所述第二中间变异个体的表达式为:
v2i,g=xbest,g+Fg×(xr4,g-xr5,g)
其中,v1i,g为第g代第i个第一中间变异个体,xr1,g、xr2,g、xr3,g、xr4,g、xr5,g为选取的第g代对抗扰动像素种群的五个互异个体,Fg为第g代种群对应的变异因子,v2i,g为第g代第i个第二中间变异个体,xbest,g为当前最优个体。
最后,根据当前迭代次数由两个中间变异个体按比例构成目标变异个体,目标变异个体的表达式为:
Figure BDA0003826256130000101
其中,vi,g为第g代第i个目标变异个体,G表示种群最大迭代次数,v1i,g为第g代第i个第一中间变异个体,v2i,g为第g代第i个第二中间变异个体,
Figure BDA0003826256130000102
为第一中间变异个体的第一权重,
Figure BDA0003826256130000103
为第二中间变异个体的第二权重。
在本实施例中,步骤S34中的所述交叉操作包括以下步骤:
在区间[0,1]中随机选取第一目标值。
在整数区间(1,D)中随机选取第二目标值;D为大于1且小于等于5的整数,在本实施例中,整数D可取5。
判断所述第一目标值是否小于第g次迭代次数对应的交叉概率,得到第一判断结果。
判断所述第二目标值是否等于种群个体的数据维度数,得到第二判断结果,所述种群个体的数据维度数为所述对抗性扰动像素的元素维度数;所述对抗性扰动像素的元素包括位置元素及色彩元素。
当所述第一判断结果为是或所述第二判断结果为是时,将第g代变异种群中第i个目标变异个体第j维的元素作为第g代交叉种群中第i个交叉个体的第j维的元素;否则选取第g代对抗扰动像素种群中的第i个个体的第j维的元素作为第g代交叉种群第i个交叉个体的第j维的元素;第0代对抗扰动像素种群为所述初始对抗扰动像素种群。
在本实施例中,每个个体(即对抗性扰动像素)包含了对抗性扰动像素的位置及色彩信息,即对抗性扰动像素pi=(xi,yi,ri,gi,bi),此时,对抗性扰动像素包括了5个维度的数据,j=1,2,...,5。
下面以示例的方式对交叉操作进行介绍:
为了增强种群的多样性,需要对初始个体与变异个体进行交叉操作,并得到交叉个体。首先在区间[0,1]中随机选取第一目标值,并与当前交叉概率CRg进行比较。当第一目标值小于CRg或当在整数区间(1,D)随机生成的第二目标值jrand等于当前迭代参数j时,将第g代变异种群中第i个目标变异个体第j维的元素作为第g代交叉种群中第i个交叉个体的第j维的元素,否则选取第g代对抗扰动像素种群中的第i个个体的第j维的元素作为第g代交叉种群第i个交叉个体的第j维的元素。交叉操作的具体计算公式如下:
Figure BDA0003826256130000111
其中,j=jrand用于确保交叉个体中至少有一个元素来自变异个体,避免所有初始对抗扰动像素种群个体都传递给交叉个体而无法有效产生新个体的情况。ui,j,g为第g代交叉种群第i个个体的第j个元素,vi,j,g为第g代变异种群第i个个体的第j个元素,xi,j,g为第g代对抗扰动像素种群第i个个体的第j个元素。
然后,分别计算交叉个体与初始个体的适应度,并根据贪婪原则对二者的适应度进行比较。对于对抗样本攻击中定义的损失函数最小化问题,步骤S35中的所述选择操作的计算公式为:
Figure BDA0003826256130000112
其中,xi,g+1表示第g+1代对抗扰动像素种群第i个个体,i=1,2,...,NP,ui,g表示第g代交叉种群第i个个体,xi,g为第g代对抗扰动像素种群第i个个体,floss(ui,g)表示第g代交叉种群第i个个体的适应度,floss(xi,g)表示第g代对抗扰动像素种群第i个个体的适应度。
在选出优胜个体即适应度高的个体后,将优胜个体分别加入原始图像I中,得到样本图像,并判断样本图像是否满足下述条件:
fadv(x+xi,g+1)>ft(x)
其中,fadv(x+xi,g+1)表示样本图像被分类为攻击目标的概率,ft(x)表示原始图像被分类为类别t的概率。
若满足,则生成对抗样本,对抗样本可使得ResNet模型对原始图像类别进行错误判断;否则将继续将优胜个体分别加入原始图像I中,若遍历完当前所有优胜个体都未能求得满足条件的个体,则该个体将进入下一轮迭代,直至得到满足条件的个体或最大迭代次数。
本发明通过上述步骤实现了一种基于改进自适应差分进化算法的对抗样本攻击方法,通过考虑差分进化算法中种群进化过程的反馈信息以及迭代次数对种群进化的动态需求,对交叉策略和控制参数的进行自适应调节,以此来指导种群进化方向、优化种群进化效果,并最终得到对抗性扰动的最优解决方案,实现对原始图像样本仅进行极少量像素点的扰动,即可成功导致典型的神经网络模型分类错误。与具有相同扰动量的对抗样本黑盒攻击相比,该方法具有更高的成功率,进一步提升了对抗样本攻击在物理环境下的适用性。此外,本发明还可以适用于不同数据集和模型中,同样表现出良好的攻击效果。
实施例2
本实施例提供了一种基于改进自适应差分进化算法的对抗样本攻击系统,参见图3,所述系统包括:
原始图像获取模块T1,用于获取原始图像。
对抗扰动像素获取模块T2,用于对所述原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素。
对抗扰动像素的最优解获取模块T3,用于利用改进的自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;所述改进的自适应差分进化算法为对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新。
对抗样本获取模块T4,用于将所述对抗扰动像素的最优解添加到所述原始图像中,得到对抗样本。
攻击模块T5,用于利用所述对抗样本攻击图像分类器模型。
在本实施例中,所述对抗扰动像素的最优解获取模块,具体包括:
对所述对抗扰动像素进行编码生成初始对抗扰动像素种群;
判断是否达到迭代终止条件;所述迭代终止条件包括当前迭代次数达到最大迭代次数或当前对抗扰动像素种群的个体对应的攻击类别概率大于预设概率值;当前所述对抗扰动像素种群的个体对应的攻击类别概率为样本图像输入至所述图像分类器模型后被分类为攻击目标的概率;所述样本图像由所述原始图像添加当前所述对抗扰动像素种群的个体得到;
若是,则当前所述对抗扰动像素种群中的个体为所述对抗扰动像素的最优解;
若否,则对当前所述对抗扰动像素种群中的个体进行变异操作和交叉操作,得到交叉种群;所述变异操作的变异因子和所述交叉操作的交叉概率根据当前所述迭代次数计算得到;
分别计算所述交叉种群和上一代对抗扰动像素种群中个体的适应度,根据所述适应度对所述交叉种群和所述上一代对抗扰动像素种群中个体进行选择操作,生成下一代对抗扰动像素种群;
令所述下一代对抗扰动像素种群为当前所述对抗扰动像素种群,并返回步骤“判断是否达到迭代终止条件”。
对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,包括:
获取原始图像;
对所述原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素;
利用改进自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;所述改进自适应差分进化算法对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新;
将所述对抗扰动像素的最优解添加到所述原始图像中,得到对抗样本;
利用所述对抗样本攻击图像分类器模型。
2.根据权利要求1所述的基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,所述利用改进的自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解,具体包括:
对所述对抗扰动像素进行编码生成初始对抗扰动像素种群;
判断是否达到迭代终止条件;所述迭代终止条件包括当前迭代次数达到最大迭代次数或当前对抗扰动像素种群的个体对应的攻击类别概率大于预设概率值;当前所述对抗扰动像素种群的个体对应的攻击类别概率为样本图像输入至所述图像分类器模型后被分类为攻击目标的概率;所述样本图像由所述原始图像添加当前所述对抗扰动像素种群的个体得到;
若是,则当前所述对抗扰动像素种群中的个体为所述对抗扰动像素的最优解;
若否,则对当前所述对抗扰动像素种群中的个体进行变异操作和交叉操作,得到交叉种群;所述变异操作的变异因子和所述交叉操作的交叉概率根据当前所述迭代次数计算得到;
分别计算所述交叉种群和上一代对抗扰动像素种群中个体的适应度,根据所述适应度对所述交叉种群和所述上一代对抗扰动像素种群中个体进行选择操作,生成下一代对抗扰动像素种群;
令所述下一代对抗扰动像素种群为当前所述对抗扰动像素种群,并返回步骤“判断是否达到迭代终止条件”。
3.根据权利要求2所述的基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,所述变异操作的变异因子的表达式为:
Figure FDA0003826256120000021
所述交叉操作的交叉概率的表达式为:
Figure FDA0003826256120000022
其中,Fg为第g代对抗扰动像素种群对应的变异因子,g表示种群当前迭代次数,G表示种群最大迭代次数,F0为初始变异因子,CRg为第g代对抗扰动像素种群对应的交叉概率,CR0为初始交叉概率。
4.根据权利要求3所述的基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,所述变异操作具体包括:
从当前所述对抗扰动像素种群中的个体中选择五个互异个体;
从五个所述互异个体中任意选取三个所述互异个体生成第一中间变异个体;
根据五个所述互异个体中剩余两个所述互异个体与当前最优个体生成第二中间变异个体;当前所述对抗扰动像素种群中的个体适应度与上一代种群中的个体适应度进行比较,适应度高的个体选取为所述当前最优个体;
根据当前迭代次数计算所述第一中间变异个体的第一权重和所述第二中间变异个体的第二权重;
根据所述第一中间变异个体及对应的所述第一权重和所述第二中间变异个体及对应的所述第二权重生成目标变异个体;所有所述目标变异个体构成变异种群。
5.根据权利要求4所述的基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,所述第一中间变异个体的表达式为:
v1i,g=xr1,g+Fg×(xr2,g-xr3,g)
所述第二中间变异个体的表达式为:
v2i,g=xbest,g+Fg×(xr4,g-xr5,g)
其中,v1i,g为第g代第i个第一中间变异个体,xr1,g、xr2,g、xr3,g、xr4,g、xr5,g为选取的第g代对抗扰动像素种群的五个互异个体,Fg为第g代种群对应的变异因子,v2i,g为第g代第i个第二中间变异个体,xbest,g为当前最优个体。
6.根据权利要求5所述的基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,所述目标变异个体的表达式为:
Figure FDA0003826256120000031
其中,vi,g为第g代第i个目标变异个体,G表示种群最大迭代次数,v1i,g为第g代第i个第一中间变异个体,v2i,g为第g代第i个第二中间变异个体。
7.根据权利要求4所述的基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,所述交叉操作具体包括:
在区间[0,1]中随机选取第一目标值;
在整数区间(1,D)中随机选取第二目标值;D为大于1且小于等于5的整数;D表示种群个体的数据维度总数;
判断所述第一目标值是否小于第g次迭代次数对应的交叉概率,得到第一判断结果;
判断所述第二目标值是否等于种群个体的数据维度数,得到第二判断结果,所述种群个体的数据维度数为所述对抗性扰动像素的元素维度数;所述对抗性扰动像素的元素包括位置元素及色彩元素;
当所述第一判断结果为是或所述第二判断结果为是时,将第g代变异种群中第i个目标变异个体第j维的元素作为第g代交叉种群中第i个交叉个体的第j维的元素;否则选取第g代对抗扰动像素种群中的第i个个体的第j维的元素作为第g代交叉种群第i个交叉个体的第j维的元素;第0代对抗扰动像素种群为所述初始对抗扰动像素种群。
8.根据权利要求2所述的基于改进自适应差分进化算法的对抗样本攻击方法,其特征在于,所述选择操作的计算公式为:
Figure FDA0003826256120000032
其中,xi,g+1表示第g+1代对抗扰动像素种群第i个个体,i=1,2,...,NP,ui,g表示第g代交叉种群第i个个体,xi,g为第g代对抗扰动像素种群第i个个体,floss(ui,g)表示第g代交叉种群第i个个体的适应度,floss(xi,g)表示第g代对抗扰动像素种群第i个个体的适应度。
9.一种基于改进自适应差分进化算法的对抗样本攻击系统,其特征在于,包括:
原始图像获取模块,用于获取原始图像;
对抗扰动像素获取模块,用于对所述原始图像的每一像素点添加对抗性扰动,得到对抗扰动像素;
对抗扰动像素的最优解获取模块,用于利用改进的自适应差分进化算法对所述对抗扰动像素进行迭代优化,得到对抗扰动像素的最优解;所述改进的自适应差分进化算法为对经典差分进化算法中的变异因子和交叉概率根据种群迭代次数不断更新;
对抗样本获取模块,用于将所述对抗扰动像素的最优解添加到所述原始图像中,得到对抗样本;
攻击模块,用于利用所述对抗样本攻击图像分类器模型。
10.根据权利要求9所述的基于改进自适应差分进化算法的对抗样本攻击系统,其特征在于,所述对抗扰动像素的最优解获取模块,具体包括:
对所述对抗扰动像素进行编码生成初始对抗扰动像素种群;
判断是否达到迭代终止条件;所述迭代终止条件包括当前迭代次数达到最大迭代次数或当前对抗扰动像素种群的个体对应的攻击类别概率大于预设概率值;当前所述对抗扰动像素种群的个体对应的攻击类别概率为样本图像输入至所述图像分类器模型后被分类为攻击目标的概率;所述样本图像由所述原始图像添加当前所述对抗扰动像素种群的个体得到;
若是,则当前所述对抗扰动像素种群中的个体为所述对抗扰动像素的最优解;
若否,则对当前所述对抗扰动像素种群中的个体进行变异操作和交叉操作,得到交叉种群;所述变异操作的变异因子和所述交叉操作的交叉概率根据当前所述迭代次数计算得到;
分别计算所述交叉种群和上一代对抗扰动像素种群中个体的适应度,根据所述适应度对所述交叉种群和所述上一代对抗扰动像素种群中个体进行选择操作,生成下一代对抗扰动像素种群;
令所述下一代对抗扰动像素种群为当前所述对抗扰动像素种群,并返回步骤“判断是否达到迭代终止条件”。
CN202211060993.2A 2022-09-01 2022-09-01 基于改进自适应差分进化算法的对抗样本攻击方法及系统 Pending CN115272774A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211060993.2A CN115272774A (zh) 2022-09-01 2022-09-01 基于改进自适应差分进化算法的对抗样本攻击方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211060993.2A CN115272774A (zh) 2022-09-01 2022-09-01 基于改进自适应差分进化算法的对抗样本攻击方法及系统

Publications (1)

Publication Number Publication Date
CN115272774A true CN115272774A (zh) 2022-11-01

Family

ID=83755212

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211060993.2A Pending CN115272774A (zh) 2022-09-01 2022-09-01 基于改进自适应差分进化算法的对抗样本攻击方法及系统

Country Status (1)

Country Link
CN (1) CN115272774A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116304703A (zh) * 2023-03-21 2023-06-23 郑州轻工业大学 基于de-c&w的通用对抗样本生成方法
CN116684135A (zh) * 2023-06-02 2023-09-01 中国兵器工业信息中心 一种基于改进sga的武器装备网络攻击面评估方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116304703A (zh) * 2023-03-21 2023-06-23 郑州轻工业大学 基于de-c&w的通用对抗样本生成方法
CN116684135A (zh) * 2023-06-02 2023-09-01 中国兵器工业信息中心 一种基于改进sga的武器装备网络攻击面评估方法
CN116684135B (zh) * 2023-06-02 2023-12-29 中国兵器工业信息中心 一种基于改进sga的武器装备网络攻击面评估方法

Similar Documents

Publication Publication Date Title
CN109948029B (zh) 基于神经网络自适应的深度哈希图像搜索方法
CN109639710B (zh) 一种基于对抗训练的网络攻击防御方法
CN115272774A (zh) 基于改进自适应差分进化算法的对抗样本攻击方法及系统
CN110941794A (zh) 一种基于通用逆扰动防御矩阵的对抗攻击防御方法
CN115471016B (zh) 一种基于cisso与daed的台风预测方法
Zhang et al. Evolving neural network classifiers and feature subset using artificial fish swarm
CN113033822A (zh) 基于预测校正和随机步长优化的对抗性攻击与防御方法及系统
CN112801281A (zh) 基于量子化生成模型和神经网络的对抗生成网络构建方法
CN111507384A (zh) 一种黑盒深度模型对抗样本生成方法
CN114708479B (zh) 一种基于图结构和特征的自适应防御方法
CN113505855A (zh) 一种对抗攻击模型的训练方法
CN112906888A (zh) 一种任务执行方法及装置、电子设备和存储介质
CN117290721A (zh) 数字孪生建模方法、装置、设备及介质
CN111144443A (zh) 一种基于智能优化算法改进超限学习机解决分类问题的方法
Song et al. A Novel Face Recognition Algorithm for Imbalanced Small Samples.
CN113627597A (zh) 一种基于通用扰动的对抗样本生成方法及系统
CN111582384B (zh) 一种图像对抗样本生成方法
CN115510986A (zh) 一种基于AdvGAN的对抗样本生成方法
Nugroho et al. A solution for imbalanced training sets problem by combnet-ii and its application on fog forecasting
CN115909027A (zh) 一种态势估计方法及装置
CN110569807B (zh) 面向复杂场景的多源目标跟踪方法
CN114638408A (zh) 一种基于时空信息的行人轨迹预测方法
CN113744175A (zh) 一种基于双向约束生成对抗网络的图像生成方法及系统
Hara et al. A training method with small computation for classification
Chen et al. Particle swarm optimization for image noise cancellation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination