CN115512190A

CN115512190A - 一种兼顾l2损失与l0损失的对抗攻击方法

Info

Publication number: CN115512190A
Application number: CN202211246656.2A
Authority: CN
Inventors: 王员根; 周超
Original assignee: Guangzhou University
Current assignee: Guangzhou University
Priority date: 2022-10-12
Filing date: 2022-10-12
Publication date: 2022-12-23

Abstract

本发明涉及图像深度学习领域，且公开了一种兼顾L2损失与L0损失的对抗攻击方法，包括以下步骤：第一步：首先使用Sign‑OPT攻击产生初始对抗噪声方向θ₀和距离λ₀；第二步：计算噪声维度不重要度矩阵β；第三步：使用二分搜索寻找一个阈值t，使得将β中高于t的值置0，低于t的值置1后，依然满足f(x₀+λ₀θ₀·β)！＝y₀，其中x₀表示原始图像，y₀表示神经网络对x₀的正确分类类别，对初始对抗噪声方向θ₀进行维度优化得到最终噪声方向θ'＝β·θ₀。该种兼顾L2损失与L0损失的对抗攻击方法，与现有技术比较，不需要重复多次输入多个模型通路，节省了计算资源，受攻击的像素少。

Description

一种兼顾L2损失与L0损失的对抗攻击方法

技术领域

本发明涉及图像深度学习领域，具体为一种兼顾L2损失与L0损失的对抗攻击方法。

背景技术

随着深度学习在各个领域的广泛应用，其安全问题也逐渐引起人们的关注。深度学习卷积神经网络(CNN)会对添加扰动的输入样本产生误判，这些被添加扰动的样本称为对抗样本，近年来成为研究者关注的热点。由于对抗样本对深度学习系统的安全性存在威胁，尤其以攻击方在不需要模型参数情况下实施的黑盒攻击更为严重，因此研究对抗样本对防御策略的提出和模型鲁棒性的增强是很有必要的。

现阶段对黑盒攻击的研究众多，但大多数黑盒攻击通过梯度估计的方式产生全局扰动来愚弄目标模型。众所周知，对于黑盒模型，尤其是硬标签黑盒模型，攻击者难以获得模型的梯度信息。攻击者往往通过搭建替代模型或将寻找对抗样本转化为优化问题等方式来估计梯度信息，然而这种方式估计出来的梯度信息往往不够准确。因此，通过梯度估计方式生成的对抗样本往往产生较大的失真，且改动像素涉及全图像，从而影响对抗样本的视觉效果。

现有技术内容如下：

现有技术方案1：一种多通路聚合的对抗样本生成方法、系统及终端，2022。

该发明公开了一种多通路聚合的对抗样本生成方法、系统及终端，属于深度学习技术领域，建立多条模型通路；在原始图像上分别添加随机的扰动信息，得到多张第一扰动图像；将原始图像输入第一条模型通路，同时将多张第一扰动图像分别输入其他模型通路，计算各神经网络模型的梯度，对各神经网络模型的梯度进行自适应权重聚合处理，并根据自适应权重聚合处理得到的梯度更新各神经网络模型生成的图像样本，多次循环本步骤，输出最终对抗样本。该发明第一扰动图像综合了外界扰动因素，泛化性强；通过自适应权重聚合处理，使图像多种扰动因素得以拟合，提升对抗样本的泛化性。

现有技术方案2：对抗样本生成方法、装置、电子设备及存储介质，2022。

该发明涉及人工智能技术领域，提供了一种对抗样本生成方法、装置、电子设备及存储介质，所述方法包括:获取原始图像；对原始图像添加基于多维高斯分布生成的扰动噪声，得到原始图像的对抗样本，对抗样本给出预设图像识别模型不被期望的输出，且原始图像能够给出预设图像识别模型正确的输出。本发明通过为原始图像添加基于多维高斯分布生成的扰动噪声，得到原始图像的对抗样本，可更高效、更快捷地得到对抗样本，进而提升了预设图像识别模型的鲁棒性验证效率。

现有技术方案3：基于图像亮度随机变化的对抗攻击生成方法及系统，2021。

该发明公开了一种基于图像亮度随机变换的对抗样本生成方法及系统，收集用于视觉图像分类识别的样本数据，包含输入图像以及与输入图像对应的标签数据；构建用于生成对抗样本的深度神经网络模型；通过对抗样本数据输入图像亮度随机变换进行数据增强，利用动量迭代FGSM图像对抗算法对网络模型求解，在目标损失函数关于输入梯度方向上寻找对抗扰动，并对对抗扰动进行无穷范数限制，通过最大化样本数据在网络模型上的目标损失函数来生成对抗样本。该发明将图像亮度随机变换引入到对抗攻击中，有效消除对抗样本生成过程过拟合，提高对抗样本攻击成功率和可迁移性。

现有技术的缺点：

对于现有技术方案1，该方案存在的缺点是：1)图像需要重复多次输入多个模型通路，并计算概率值与权重，增加了内存占用，并耗费了大量计算资源。2)模型数量无法覆盖现有的所有常用模型，且通过计算权重，得到的集成模型的概率值与真实目标模型的概率值之间存在一定误差。3)生成的噪声覆盖全图像，修改像素多。

对于现有技术方案2，该方案存在的缺点是：1)初始的基于多维高斯分布的扰动噪声将影响最后对抗样本视觉效果的好坏。2)生成的噪声覆盖全图像，修改像素多。

对于现有技术方案3，该方案存在的缺点是：1)替代模型与具体的目标模型之间存在一定的差异，记性基于迁移的黑盒攻击并不理想。2)该方法产生全局对抗扰动，容易在图像平滑的背景区域产生噪声，降低视觉效果，为此我们提出了一种兼顾L2损失与L0损失的对抗攻击方法。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种兼顾L2损失与L0损失的对抗攻击方法，解决了上述的问题。

(二)技术方案

为实现上述所述目的，本发明提供如下技术方案：一种兼顾L2损失与L0损失的对抗攻击方法，包括以下步骤：

第一步：首先使用Sign-OPT攻击产生初始对抗噪声方向θ₀和距离λ₀；

第二步：计算噪声维度不重要度矩阵β；

第三步：使用二分搜索寻找一个阈值t，使得将β中高于t的值置0，低于t的值置1后，依然满足f(x₀+λ₀θ₀·β)！＝y₀，其中x₀表示原始图像，y₀表示神经网络对x₀的正确分类类别，对初始对抗噪声方向θ₀进行维度优化得到最终噪声方向θ'＝β·θ₀。

优选的，所述第一步的具体步骤如下：

S1：随机生成大量的方向向量θ，然后分别计算在每个方向上得到对抗样本所需的最短距离g(θ)。g(θ)最小时对应的θ即为一个初始的噪声方向，g(θ)即为初始距离λ₀，θ求取方法如下所示：

S2：求取θ的更新方向

使得在新方向

上得到的对抗样本有

向量

的求取采用符号梯度估计方式，如下所示：

其中Q表示随机高斯采样次数，μ_q表示每次高斯采样向量，sign(g(θ+εμ)-g(θ))表示符号梯度，计算方法如下：

重复过程S2，得初始噪声方向θ₀和对应的距离λ₀。

优选的，所述第二步中的具体步骤如下：

S1：随机置零θ₀的一部分维度得到θ₀ ^*，θ₀ ^*求取方法如下所示：

ω_i为随机分布的0\1矩阵，然后计算x₀+λ₀θ₀ ^*是否为对抗样本，得到符号矩阵S_i：

其中R(·)表示将0\1矩阵中的元素翻转，即将0元素变为1，将1元素变为0；

S2：计算符号矩阵权重α_i，符号矩阵乘以一个相应的权值，权值计算内容如下：

L₂(·)表示求L₂距离，其中γ_i反映每次θ₀被置零的维度的信息，计算方法如下：

γ_i＝R(ω_i)·θ₀；

S3：计算噪声维度不重要度矩阵，计算方法如下：

优选的，所述第三步中的具体内容如下：

通过二分搜索算法，寻找一个阈值t，使得t下述公式：

其中Bin(β,ξ)表示将β中大于ξ的值置0，小于ξ的值置1；

首先取二分法的初始上界high和下界low分别为maxβ、minβ，然后可求得

并判断f(x₀+λ₀θ₀Bin(β,ξ))！＝y是否成立，若成立则取high＝mid，不成立则low＝mid，重复搜索过程，直至high-low>10^-6时输出阈值t＝high，得到阈值t后即可得到最终的对抗样本x；

x＝x₀+λ₀θ₀Bin(β,t)。

(三)有益效果

与现有技术相比，本发明提供了一种兼顾L2损失与L0损失的对抗攻击方法，具备以下有益效果：

1、该种兼顾L2损失与L0损失的对抗攻击方法，与现有技术比较，不需要重复多次输入多个模型通路，节省了计算资源，受攻击的像素少。

2、该种兼顾L2损失与L0损失的对抗攻击方法，与现有技术相比，本发明的优点在于既优化了L₂损失，也优化了L₀损失。

3、该种兼顾L2损失与L0损失的对抗攻击方法，与现有技术相比，不需要使用替代模型，受攻击的像素少。

附图说明

图1为生成初始噪声过程示意图；

图2为二分法求阈值t示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-2，一种兼顾L2损失与L0损失的对抗攻击方法，包括以下步骤：

(1)生成初始噪声过程

我们的方法优化对抗样本的L₂失真，同时也优化L₀失真。因此我们先采用Sign-OPT攻击方法生成一个L₂优化的初始噪声，该方法将硬标签攻击视为找到距离决策边界最短的方向的问题。具体过程分为：

①随机生成大量的方向向量θ，然后分别计算在每个方向上得到对抗样本所需的最短距离g(θ)。g(θ)最小时对应的θ即为一个初始的噪声方向，g(θ)即为初始距离λ₀。θ求取方法如公式1所示：

②求取θ的更新方向

使得在新方向

上得到的对抗样本有

向量

的求取采用符号梯度估计方式，如公式2所示：

其中Q表示随机高斯采样次数，μ_q表示每次高斯采样向量。sign(g(θ+εμ)-g(θ))表示符号梯度，计算方法如公式3：

③重复过程②。得初始噪声方向θ₀和对应的距离λ₀。

生成初始噪声过程见附图1所示。

(2)计算噪声维度不重要度矩阵过程

由于黑盒硬标签模型能够获得的模型信息非常少，步骤1中求取初始噪声的过程将硬标签攻击视为找到距离决策边界最短的方向的问题，然而在求取θ和

的过程中都存在较大的误差。并且该算法在后期，对抗样本的L₂损失下降非常缓慢，如果想要得到更加精确的值，则需要增加大量的查询。因此本发明限定步骤1中的查询次数，仅用其初步产生一个L₂优化的初始噪声方向和对应的距离，然后在此基础之上我们对其进行维度优化。具体过程为：

①随机置零θ₀的一部分维度得到θ₀ ^*，θ₀ ^*求取方法如公式4所示：

ω_i为随机分布的0\1矩阵。然后计算x₀+λ₀θ₀ ^*是否为对抗样本，得到符号矩阵S_i：

其中R(·)表示将0\1矩阵中的元素翻转，即将0元素变为1，将1元素变为0。

②计算符号矩阵权重α_i。为了在优化噪声维度的同时，能够减少更多的L₂损失，我们对符号矩阵乘以一个相应的权值。该权值采用公式5中的最大值最小值归一化方法计算得出，

L₂(·)表示求L₂距离，其中γ_i反映每次θ₀被置零的维度的信息。计算方法如公式6：

γ_i＝R(ω_i)·θ₀ (6)

③计算噪声维度不重要度矩阵，计算方法如公式7：

(3)噪声维度优化过程

通过步骤(1)和(2)我们得到了初始噪声方向θ₀、距离λ₀和噪声维度不重要度矩阵β。噪声维度不重要度矩阵β体现了初始噪声方向θ₀每个维度的重要程度，数值越大，代表该维度重要程度越低，说明该噪声维度可以被置零的可能性越大。本专利通过二分搜索算法，寻找一个阈值t，使得t满足公式8：

其中Bin(β,ξ)表示将β中大于ξ的值置0，小于ξ的值置1。

我们首先取二分法的初始上界(用high表示)和下界(用low表示)分别为maxβ、minβ。然后可求得

并判断f(x₀+λ₀θ₀Bin(β,ξ))！＝y是否成立。若成立则取high＝mid，不成立则low＝mid，重复搜索过程，直至high-low>10^-6时输出阈值t＝high。求取阈值t的详细过程见附图2，得到阈值t后即可得到最终的对抗样本x(见公式9)。

x＝x₀+λ₀θ₀Bin(β,t) (9)

通过大量的实验，验证了本发明的作用和意义。本发明方案在ImageNet-1k、CIFAR10、MNIST数据集上进行了实验测试，本发明与现有黑盒硬标签攻击技术的性能对比见表1。可以看到，在相同的查询次数限制下，我们的方案能够取得较小的L₂失真和较高的攻击成功率(在相同L₂失真允许范围内)。此外我们的攻击方法改动的像素数量得到了较大的缩减。

本方案能产生L₂失真较小且受攻击像素数量较少的对抗样本，所以很有必要考虑针对该攻击方法设计防御方案。由于本方案的有效性、隐秘性，且不需要模型梯度信息，所以梯度屏蔽、小幅度限制模型查询次数和对抗训练均不是本发明的障碍。

本方案不需要估计图像的梯度信息，通过生成噪声维度不重要矩阵，以指导系统对初始噪声方向的维度进行优化，使得最后生成的对抗样本的L₂损失和L₀损失都得到了优化，因此具有较强的攻击性和隐秘性。我们建议图像深度学习领域可以借鉴此发明以更好的提高系统的鲁棒性。

表1不同数据集和模型下的L₂损失比较

注：SR为攻击成功率

表2本专利的L₂与L₀损失整体结果

注：PP为在取得表1中攻击结果的前提下减少的受攻击像素比例。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。