[发明专利]基于多先验的黑盒对抗测试样本生成方法及装置

说明书

本发明公开了一种基于多先验的黑盒对抗测试样本生成方法及装置，该方法包括：设置对抗样本生成所需的多个超参数；将对抗样本初始化后开始进行迭代；获取多种不同的先验，得到一组正交基；估计真实梯度与各正交向量的相似度；优化目标函数，最小化估计梯度与真实梯度的期望之差；采样多个随机向量；根据随机梯度估计方法来估计梯度。由此，可以提高对神经网络的攻击成功率，或者攻击成功率相同的情况下减少用于估计梯度的采样次数、加快对抗样本的生成。

技术领域

本发明涉及机器学习术领域，特别涉及一种基于多先验的黑盒对抗测试样本生成方法及装置。

背景技术

深度学习在许多领域取得了突破性的进展，但最近的研究表明他们很容易受到对抗样本的攻击。所谓对抗样本，指在正常图片上加入一些肉眼不可见的微小扰动，使本来能正确运作的深度学习模型预测错误。对抗样本的生成方法包括白盒方法与黑盒方法。白盒方法需要假设我们对被攻击的深度学习模型信息完全已知，从而使用基于梯度上升的算法生成对抗样本。黑盒方法主要分为基于分数的黑盒方法，基于决策的黑盒方法，与基于迁移性的黑盒方法。

基于分数的黑盒方法，能获取模型对输入图片的预测分数。通过随机梯度估计方法，可以通过多次询问来近似出被攻击模型关于当前图片的梯度，接着执行需要梯度的白盒方法。基于迁移的黑盒方法，会训练一个实现相同功能的深度学习模型(称为代理模型)，使用代理模型的梯度代替被攻击模型的梯度，然后执行白盒攻击方法。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种基于多先验的黑盒对抗测试样本生成方法，该方法可以提高对神经网络的攻击成功率，或者攻击成功率相同的情况下减少用于估计梯度的采样次数、加快对抗样本的生成。

本发明的另一个目的在于提出一种基于多先验的黑盒对抗测试样本生成装置。

为达到上述目的，本发明一方面实施例提出了一种基于多先验的黑盒对抗测试样本生成方法，包括：

S1，设置对抗样本生成所需的多个超参数；

S2，将对抗样本初始化后开始进行迭代；

S3，获取多个先验估计，将所述先验估计进行施密特正交化，得到多个单位正交向量；

S4，估计真实梯度和所述多个单位正交向量的相似度；

S5，优化目标函数，根据所述相似度最小化估计梯度与真实梯度的期望之差；

S6，获取多个随机向量，根据所述多个随机向量和梯度计算公式进行梯度估计；

S7，根据估计的梯度进行计算，得到当前轮次的对抗样本，将迭代轮次加一，判断迭代轮次是否等于最大迭代轮次，若不等，则执行S3，若相等，则结束迭代，输出最终的对抗样本。

本发明实施例的基于多先验的黑盒对抗测试样本生成方法，通过使用多先验的随机梯度估计方法估计梯度，执行投影梯度下降算法，可以提高对神经网络的攻击成功率，或者攻击成功率相同的情况下减少用于估计梯度的采样次数、加快对抗样本的生成。

另外，根据本发明上述实施例的基于多先验的黑盒对抗测试样本生成方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，所述多个超参数包括：最大迭代轮次T、允许的噪声扰动大小∈、投影梯度下降的学习率η。

进一步地，在本发明的一个实施例中，所述获取多个先验估计，包括：

训练一个代理模型，对所述代理模型进行梯度估计，将所述代理模型的梯度作为先验估计；

或将上一迭代轮次得到的梯度作为先验估计；或