[发明专利]一种基于生成对抗网络的对抗攻击样本的生成方法

说明书

本发明提出一种基于生成对抗网络的对抗攻击样本的生成办法，包括：S1.采集训练样本图像；S2.预处理和分类定义；S3.构建训练框架，训练框架包括生成器、判别器及目标攻击网络；S4.基于预处理和分类定义后的训练样本图像，生成随机噪声及生成随机条件向量；S5.将随机噪声及随机条件向量作为训练框架中生成器的输入，对训练框架的生成器和判别器进行训练，保存训练后的训练框架参数；S6.训练完成，生成对抗攻击样本。本发明提出的方法具有较强的数据学习能力，鲁棒性较高，克服了现有方法基于最优化方程和简单像素空间的矩阵度量，对数据分布缺乏学习能力的弊端，提高了对抗攻击样本的生成质量和效率。

技术领域

本发明涉及对抗攻击样本生成的技术领域，更具体地，涉及一种基于生成对 抗网络的对抗攻击样本的生成方法。

背景技术

深度学习在当今飞速发展的机器学习和人工智能领域占据着核心地位，然而 现代视觉深度神经网络(DNN)却无法有效抵抗来自对抗攻击样本的攻击，深 度神经网络已经被证明，在添加了微小对抗扰动的输入样本面前非常脆弱，这种 对抗攻击样本可以误导深度神经网络产生错误的输出结果。

当前，学界已经提出了多种用于产生对抗攻击样本的攻击策略，在生成对抗 攻击样本的研究方面，已经提出了一系列可用且效果显著的攻击模型，这些模型 可归结为以下几类：

1.快速梯度攻击。快速梯度攻击(Fast Gradient Sign Method，FGSM)由GoodFellow提出，主要思想是寻找深度学习模型的梯度变化最大的方向，按照 此方法添加图像扰动，导致模型分类错误。根据此方法的衍生研究占据了对抗攻 击样本生成的主流，包括有：Basic Iterative Methods(BIM)、CarliniWagner (CW)、Projected GradientDescent(PGD)等。

2.雅克比映射攻击。Papernot等人提出的雅可比映射攻击是对原图添加有限 个数像素点的扰动，从而构建对抗攻击样本的攻击方式(Jacobian-based Saliency MapAttack，JSMA)。JSMA通过分析评估模型的前向传播过程，计算模型的前 向导数，然后根据前向导数的梯度计算一个数值。每个像素点会对应算出一个数 值，这个值越大，说明对这个像素点的微小扰动能更大程度地产生输出误判，所 以只需要选择数值大的像素点进行扰动，就能在尽可能少地修改像素点的情况 下，实现对抗攻击。

3.深度欺骗攻击。深度欺骗攻击也是一种基于迭代的白盒攻击方式。 Moosavi-Dezfooli等人通过迭代计算的方法生成最小规范对抗扰动，将位于分类 边界内的图像逐步推到边界外，直到出现错误分类。

4.边界攻击。Brendel等人提出了一种基于边界的黑盒攻击方式，区别于大 多数依赖于梯度的攻击方式，该攻击需要的模型信息很少，只需要知道模型最终 的分类输出结果即可。在攻击分类中，其需要任意输入输出的能力，能实现源目 标误分类。该方法首先寻找到一个对抗攻击样本(不限制阈值大小)，然后依据 一定策略将该对抗攻击样本沿着原样本的方向移动，直到该对抗攻击样本离原样 本最近，同时依然保持对抗性。

以上对抗攻击样本生成的研究现状表明，目前大多数的攻击方法仍然是基于 最优化方程和简单的像素空间的矩阵度量，而生成对抗网络(GAN，Generative AdversarialNetworks)作为生成模型之一，其表现出来的对数据分布的良好的学 习能力，使得GAN在对抗攻击样本生成方面具有很大的潜力。GAN基于博弈论 场景，其中生成器通过与对手竞争来学习变换由某些简单的输入分布(通常是标 准多变量正太分布或者均匀分布)到图像空间的分布；作为对手，判别器则试图 区分从训练数据抽取的样本和从生成器中生成的样本。整体来说，双方都试图最 小化各自的损失。训练结束后，生成器拟合了真实分布，习得了表达真实样本的 能力，同时，判别器也提取了真实样本的关键特征，能够对识别出样本的类别等 属性。