[发明专利]深度神经网络攻击方法、装置、介质和计算设备

说明书

本发明的实施方式提供了一种深度神经网络攻击方法。该方法包括：建立攻击模型，其中，所述攻击模型至少包括原始样本的变换信息以及识别模型在所述原始样本根据所述变换信息变换后的图片的损失函数的权重；利用所述攻击模型基于原始样本来生成对抗样本。通过针对一个真实图片以及其平移过后的一组图片生成对抗样本，本发明的方法使得生成的对抗样本转移性能大幅度提升，从而显著地降低了对抗样本对被攻击模型的敏感度，减少了对抗样本生成时的成本。此外，本发明的实施方式提供了一种深度神经网络攻击装置、介质和计算设备。

技术领域

本发明的实施方式涉及深度学习领域，更具体地，本发明的实施方式 涉及一种深度神经网络攻击方法、装置、介质和计算设备。

背景技术

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上 下文。此处的描述不因为包括在本部分中就承认是现有技术。

深度神经网络作为机器学习方法中的一类方法，由于在语音识别、图 像分类、物体检测等诸多领域取得的显著效果，近几年获得了人们广泛的 关注。但是，在很多任务上可以达到很高准确率的深度神经网络模型在对 抗环境中却很容易受到攻击。在对抗环境中,深度神经网络会被输入一些基 于正常样本的恶意构造的对抗样本,例如图片或者语音信息。这些对抗样本 很容易被深度学习模型错误分类,但是对于人类观察者来说却很难发现对 抗样本和正常样本之间的区别。由于对抗样本能够衡量不同的基于深度学 习的系统的鲁棒性的好坏，所以研究对抗样本的生成成为了一个重要的研 究领域。同时，这些对抗样本也可以作为一种数据增强的方式，用于训练 得到更加鲁棒的神经网络。

生成对抗样本的场景主要分为两种：白盒攻击和黑盒攻击。对于白盒 攻击，攻击者知道目标网络的结构和参数，可以利用基于一步迭代的快速 梯度符号算法；多步迭代算法；基于优化的算法构造对抗样本。由于所构造 的对抗样本具有一定的转移性能，所以其可以被用来攻击未知结构和参数 的黑盒模型，即黑盒攻击。

然而，在实际的应用过程中，攻击一个黑盒模型十分困难，尤其对于 具有一定防御措施的模型更加难以黑盒攻击成功。例如，集成对抗训练通 过将对抗样本加入到训练过程中，可以提升所训练深度神经网络的鲁棒性， 现有的黑盒攻击方法难以成功。造成此现象的根本原因在于现有攻击方法 的白盒攻击所使用的目标函数仅仅考虑了当前的图片，这样使得生成的对 抗样本对被攻击模型十分敏感，转移性能很差。

发明内容

为此，非常需要一种改进的生成对抗样本的方法，以使根据所述方法 生成的对抗样本具备较强的转移性能。

在本上下文中，本发明的实施方式期望提供一种深度神经网络攻击方 法、装置、介质和计算设备。

在本发明实施方式的第一方面中，提供了一种深度神经网络攻击方法， 包括：

建立攻击模型，其中，所述攻击模型至少包括原始样本的变换信息以 及识别模型在所述原始样本根据所述变换信息变换后的图片上的损失函 数的权重；

利用所述攻击模型基于原始样本来生成对抗样本。

在本发明的一个实施例中，所述对抗样本满足：

与原始样本在l_∞范数下的距离不大于预设阈值∈；

能够被识别模型误认为不属于原始样本的类别。

在本发明的另一实施例中，所述攻击模型基于任一对抗样本生成模型 构建。

在本发明的又一个实施例中，所述对抗样本生成模型能够基于输入的 原始样本的梯度生成对抗样本。

在本发明的再一个实施例中，所述攻击模型和对抗样本生成模型能够 最大化所述识别模型在对抗样本处的损失函数，以使得所述对抗样本能够 被识别模型误认为不属于原始样本的类别。