[发明专利]针对白盒场景的对抗音频生成方法及系统

说明书

本发明涉及对抗样本生成技术领域，尤其涉及一种针对白盒场景的对抗音频生成方法及系统，该方法可高效地生成高质量的对抗音频，包括：选择目标攻击模型和源音频并设定攻击目标；对源音频进行预处理；提取源音频的MFCC特征；目标攻击模型根据MFCC特征对源音频进行识别，得到识别结果，计算识别结果与攻击目标之间的CTC损失函数并利用粒子群算法进行优化，寻找最佳噪音，将最佳噪音加入源音频得到中间音频并采用目标攻击模型进行识别；若识别结果与攻击目标相同，则中间音频即为对抗音频；若识别结果与攻击目标不同，则执行下一步；利用梯度下降算法寻找中间音频的最佳噪音，直至识别结果与攻击目标相同，对最佳噪音进行微调加入中间音频，得到对抗音频。

技术领域

本发明涉及对抗样本生成技术领域，尤其涉及一种针对白盒场景的对抗音频生成方法及系统。

背景技术

随着机器学习和人工智能的发展，机器学习模型变得无处不在并且成为了许多人工智能设备中的核心技术，例如语音助手中的语音识别模型(例如，Apple Siri，GoogleNow和Amazon Echo)，智能语音锁中说话人识别模型，声学监视系统中的声音事件分类模型和视频的分类。尽管机器学习表现出色，但最近的研究表明，机器学习模型中的神经网络很容易被攻击者愚弄，他们可以迫使模型产生错误的结果甚至产生有针对性的输出。这种被称之为对抗样例攻击的攻击方法在针对图像分类模型的攻击中已被证明具有很高的攻击成功率，这将对许多人工设备(例如，自动驾驶汽车)造成严重的物理威胁。

同样地，针对声学机器学习模型的对抗样例也会对各种系统构成威胁，因为它们涉及许多安全领域。在语音识别系统中，对抗性音频听起来像正常语音，但实际上会被自动语音识别系统识别为恶意命令。例如，自动语音识别系统可能会将一段人听着为“停止”的对抗音频识别为“前进”，而这对于语音命令识别系统来讲是十分危险的。同时，由于基于语音的人机交互被广泛用于智能设备中，来自恶意用户精心构造的对抗音频将会引入各种各样的潜在风险，例如信息泄漏(如，在Twitter上发布用户位置)，导致拒绝服务(如激活飞行模式)等。对于基于语音的身份验证系统，攻击者可以在未经授权情况下使用用户的信用卡进行消费，以及通过欺骗智能语音锁进入房屋。最后，如果基于内容的索引和多媒体应用程序的检索受到此类对抗性音频的污染，用户可能会收到一些包含内容的恶意推荐结果。

然而，目前已有的关于对抗样例攻击的工作大多数集中在图像领域，对抗音频少有人研究。考虑到语音识别模型在实际生活中的广泛应用，研究对抗音频样本的生成机理对于研究相应的防御方法以增强语音识别模型的鲁棒性是十分必要的。

而在实际场景中，由于机器学习模型的开源，攻击者完全有能力获取模型的详细信息，包括模型的架构和参数。在这种白盒的场景下，攻击者采取的攻击就更容易成功，相对应的防御就更难。因此，在研究对抗音频生成方法时，我们必须要考虑白盒的场景，这对于研究相应的防御技术具有重要意义。而已有的白盒对抗音频生成方法都比较初级并且耗时长，攻击效果差。因此研究一种高质量、高效率的对抗音频生成方法变得十分重要。

发明内容

本发明提供了一种针对白盒场景的对抗音频生成方法，该方法可以高效地生成高质量的对抗音频。

具体技术方案如下：

一种针对白盒场景的对抗音频生成方法，包括以下步骤：

(1)选择目标攻击模型作为音频识别模型，选择源音频x并设定攻击目标t；

(2)对源音频x进行预处理，包括清洗、降噪以及统一音频采样率；

(3)提取源音频x的MFCC特征；

(4)所述目标攻击模型根据所述MFCC特征对源音频进行识别，得到识别结果计算识别结果与攻击目标t之间的CTC损失函数

(5)利用粒子群算法优化CTC损失函数寻找最佳噪音η，将最佳噪音η加入源音频x，得到中间音频x′并采用目标攻击模型进行识别；