[发明专利]一种物理世界下的语音通用扰动生成方法

说明书

本发明涉及一种物理世界下的语音通用扰动生成方法，涉及人工智能安全技术领域。主要步骤包括初始化音频数据和扰动数据；基于循环移位扩充当前扰动数据，并与音频数据合成得到当前扰动样本；将当前扰动样本分别进行滤波处理，得到滤波后的扰动样本；基于滤波后的扰动样本计算损失函数并进行反向传播；根据当前梯度信息与学习率更新当前扰动数据；根据目标样本攻击成功率与非目标样本识别准确率，判断扰动数据是否成功生成。本发明集成多条语音样本生成通用扰动，利用循环移位和滤波器产生能够在真实物理环境下欺骗语音识别模型，并通过双目标优化实现只对目标类产生攻击效果，而几乎不影响非目标类识别。

技术领域

本发明涉及人工智能安全技术领域，具体涉及一种物理世界下的语音通用扰动生成方法。

背景技术

近年来，随着人工智能的快速发展，深度学习已经逐渐应用到社会各领域，尤其在安防、金融、物流等诸多领域出现了大量的商业化应用。现代语音识别技术在此期间也出现了重大突破。由于深度学习的非线性特质和其深层次的网络结构，在解码器、声学建模和语音信息的特征提取方面表现尤为突出。2018年，阿里提出LFR-DFSMN(Lower Frame Rate-Deep Feedforward Sequential Memory Networks)。该模型将低帧率算法和DFSMN算法进行融合，语音识别错误率相比上一代技术降低20％，解码速度提升3倍。2019年，百度提出了流式多级的截断注意力模型SMLTA，该模型是在LSTM和CTC的基础上引入了注意力机制来获取更大范围和更有层次的上下文信息。与此同时，深度学习带来的安全问题也引起了诸多研究者们的研究。其中，对抗样本是指由恶意攻击者在原有样本基础上添加微小扰动后，导致深度学习算法产生错误分类的样本。通用扰动是指，攻击方只需要对所有同一分布的样本添加该通用扰动，就能实现对抗样本构造，即不用像传统方法，要针对每一个样本进行梯度计算以求得扰动。

四川大学在其申请的专利“一种针对深度学习模型的目标攻击对抗样本生成方法”(专利申请号：CN202011222789.7,公开号：CN112183671A)中提出了一种针对深度学习模型的目标攻击对抗样本生成方法，可以在少量样本的数据集上提取出适用于多数样本的包含模型遗漏的语义信息的通用模式，快速地生成能够稳定实现高成功率对抗攻击的对抗样本。本发明使用多面体近似深度学习模型所代表的流形，使用优化技术计算将训练集中某一点发送到流形上目标类对应区域分类边界所需的最小扰动向量，对多点计算后不断聚合更新并投影，迭代执行上述步骤，直到被攻击的目标模型达到预设的攻击成功率。但是，该方法仍然存在的不足之处是：生成的扰动不能对同一类别下多个不同样本攻击成功；在物理世界下攻击成功率很低。

深圳慕智科技有限公司在其申请的专利“一种基于距离的对抗样本生成方法”(专利申请号：CN22010714696.X,公开号：CN111881034A)中提出了一种基于距离的对抗样本生成方法，包含数据集与神经网络模型处理模块、对抗样本生成模块和距离评估模块。在数据集与神经网络模型处理模块，获取用户输入的数据集和神经网络模型文件，对神经网络模型进行还原，在本地生成一个用户的神经网络模型。在对抗样本生成模块，对于数据集中的每一个数据，采用筛选后的对抗样本生成方法去生成对抗样本，通过计算每次迭代的梯度，每次迭代都会进行有效的对抗扰动。在距离评估模块，通过采用L_∞，L₁，L₂三种范数对扰动大小进行评估，通过计算生成的对抗样本与原样本的距离。但是，该方法仍然存在的不足之处是：生成的扰动不能对同一类别下多个不同样本攻击成功，不具有通用性；在物理世界下攻击成功率很低。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种在物理世界下，可以添加在同一类别下的多个不同音频样本上均能产生对抗攻击效果，同时具有高攻击成功率与不可察觉性的音频通用扰动生成方法。

(二)技术方案

为了解决上述技术问题，本发明提供了一种针对图像目标探测神经网络的对抗样本检测方法，包括以下步骤：