[发明专利]利用输入数据结构的高效黑盒对抗性攻击

权利要求书

1.一种用于在神经网络分类器上执行单步对抗性攻击的方法，包括：

标识马尔可夫随机场参数，以用于分类器的损失函数的梯度项之间的相关性的协方差建模；

根据正态分布从图像数据集对图像子集采样，以估计梯度项；

根据采样使用黑盒梯度估计来推断马尔可夫随机场参数的值；

从推断值生成傅立叶基向量；

使用傅立叶基向量扰动原始图像以获得损失函数值；

从损失函数值获得梯度的估计；

使用估计的梯度创建图像扰动；

将图像扰动添加到原始输入以生成候选对抗性输入，所述候选对抗性输入使分类器标识图像中的损失最大化；

查询神经网络分类器以确定针对候选对抗性输入的分类器预测；

计算分类器预测的分数；以及

响应于分类器预测不正确，接受候选对抗性输入作为成功的对抗性攻击。

2.根据权利要求1所述的方法，进一步包括使用快速梯度符号方法将图像扰动添加到原始输入。

3.根据权利要求2所述的方法，其中快速梯度符号方法利用预先指定的扰动界限来将图像扰动添加到原始输入。

4.根据权利要求1所述的方法，其中马尔可夫随机场参数包括支配对角项的第一参数和支配与图像中邻近的索引相对应的相邻像素的第二参数。

5.根据权利要求1所述的方法，其中使用牛顿法推断所述参数的值。

6.根据权利要求1所述的方法，其中利用分类器的预定义最大查询数量来估计梯度。

7.根据权利要求1所述的方法，其中所述图像包括视频图像数据。

8.根据权利要求1所述的方法，其中所述图像包括静止图像数据。

9.一种用于在神经网络分类器上执行单步对抗性攻击的计算系统，所述系统包括：

存储软件程序的黑盒对抗性攻击算法的指令的存储器；以及

被编程为执行指令以执行操作的处理器，所述操作包括用于

标识马尔可夫随机场参数，以用于分类器的损失函数的梯度项之间的相关性的协方差建模；

根据正态分布从图像数据集对图像子集采样，以估计梯度项；

根据采样使用黑盒梯度估计来推断马尔可夫随机场参数的值；

从推断值生成傅立叶基向量；

使用傅立叶基向量扰动原始图像以获得损失函数值；

从损失函数值获得梯度的估计；

使用估计的梯度创建图像扰动；

将图像扰动添加到原始输入以生成候选对抗性输入，所述候选对抗性输入使分类器标识图像中的损失最大化；

查询神经网络分类器以确定针对候选对抗性输入的分类器预测；

计算分类器预测的分数；

响应于分类器预测不正确，接受候选对抗性输入作为成功的对抗性攻击；以及

响应于分类器预测是正确的，拒绝候选对抗性输入。

10.根据权利要求9所述的计算系统，其中所述处理器进一步被编程为使用快速梯度符号方法将图像扰动添加到原始输入。

11.根据权利要求10所述的计算系统，其中快速梯度符号方法利用预先指定的扰动界限来将图像扰动添加到原始输入。

12.根据权利要求9所述的计算系统，其中马尔可夫随机场参数包括支配对角项的第一参数和支配与图像中邻近的索引相对应的相邻像素的第二参数。

13.根据权利要求9所述的计算系统，其中使用牛顿法推断所述参数的值。

14.根据权利要求9所述的计算系统，其中利用分类器的预定义最大查询数量来估计梯度。