[发明专利]一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法

权利要求书

1.一种具有视觉感知隐蔽性的黑盒图像对抗样本生成方法，其特征在于，包括以下步骤：

(1)初始化遗传算法参数以及对抗样本集合：

(2)基于步骤1，根据对抗攻击效果从对抗样本集合中挑选优势对抗样本子集：

(3)基于步骤2，判断最优对抗样本是否攻击成功，若成功，则转到步骤(6)，否则转到步骤(4)：

(4)利用所述优势对抗样本子集交叉产生新的对抗样本集合：

(5)基于步骤1、步骤4，按照一定概率添加隐蔽性对抗噪声，并返回步骤(2)：

(6)输出对抗样本并进行测试。

2.如权利要求1所述的方法，其特征在于，步骤1包括：

(1a)初始化遗传算法参数，包括：种群大小n、精英个体数目m、变异率p、信噪比s、迭代终止阈值

(1b)计算原始图像方差矩阵；

(1c)利用得到的原始图像方差矩阵与信噪比s计算噪声标准差矩阵；

(1d)将原始图像复制n次，作为对抗样本集合。

3.如权利要求2所述的方法，其特征在于，步骤2包括：

(2a)将对抗样本集合输入图像识别模型，根据输出结果衡量对抗攻击效果；

(2b)选取对抗攻击效果最好的m个对抗样本作为所述优势对抗样本子集。

4.如权利要求3所述的方法，其特征在于，步骤3包括：

(3a)选取所述优势对抗样本子集中对抗攻击效果最好的对抗样本；

(3b)若效果最好的对抗样本的攻击效果达到所述迭代终止阈值则停止迭代并转到步骤(6)，否则转到步骤(4)。

5.如权利要求4所述的方法，其特征在于，步骤4包括：

(4a)在所述优势对抗样本子集中随机选取两个对抗样本，分别作为父样本和母样本；

(4b)将所述父样本与母样本交叉，产生子对抗样本；

(4c)重复步骤(4a)、步骤(4b)n次，得到n个子对抗样本作为新的对抗样本集合。

6.如权利要求5所述的方法，其特征在于，步骤5包括：

(5a)利用(1c)中得到的噪声标准差矩阵，产生隐蔽性对抗噪声；

(5b)在所述新的对抗样本集合中的每个子对抗样本上，按照所述变异率p添加隐蔽性对抗噪声，得到变异后的对抗样本集合，并返回步骤(2)。

7.如权利要求6所述的方法，其特征在于，步骤(1b)中的原始图像方差矩阵通过公式D(X)＝E(X²)-E²(X)计算得到，其中，X为原始图像，X²为原始图像X的每个像素值平方之后得到的图像，D(X)表示原始图像X的方差矩阵，E(X)和E(X²)分别为图像X和X2的期望矩阵，采用高斯卷积的方式计算，高斯卷积的具体实现方式为生成一个尺寸为N×N，标准差为δ的高斯核作为卷积核，分别对图像X和X²进行卷积后得到期望矩阵E(X)和E(X²)。

8.如权利要求7所述的方法，其特征在于，步骤(1c)中利用得到的原始图像方差矩阵与信噪比s计算噪声标准差矩阵，分别将原始图像方差矩阵和噪声标准差矩阵近似作为图像的信号功率和图像的噪声信号幅值，按照公式计算噪声标准差矩阵，其中，ε为噪声标准差矩阵，代表图像的噪声信号幅值，图像方差矩阵D(X)代表图像的信号功率，s为给定的信噪比。

9.如权利要求8所述的方法，其特征在于，步骤(4b)中随机选取父样本中的一部分像素给子对抗样本，父样本中未被选取的像素由母样本提供给子对抗样本，子对抗样本由父样本与母样本交叉产生。

10.如权利要求9所述的方法，其特征在于，步骤(5a)生成与对抗样本相同尺寸的随机矩阵，矩阵的每个元素服从标准正态分布，将该随机矩阵与噪声的标准差矩阵做矩阵点乘运算，得到隐蔽性对抗噪声矩阵。

11.如权利要求10所述的方法，其特征在于，步骤(5b)在新的对抗样本集合中，对每一个子对抗样本中的每一个元素，按照变异率p与隐蔽性对抗噪声矩阵中对应位置的元素相加，合成为新的对抗样本，得到变异后的对抗样本集合。