[发明专利]一种针对深度神经网络图像分类器的对抗攻击方法

权利要求书

1.一种针对深度神经网络图像分类器的对抗攻击方法，其特征在于，包括以下步骤：

通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算，构建平均梯度；

基于平均梯度对输入样本进行添加扰动处理，生成对抗样本；

基于生成样本对深度神经网络分类器模型进行循环迭代训练，直至满足预设迭代次数，得到训练后的深度神经网络分类器模型。

2.根据权利要求1所述一种针对深度神经网络图像分类器的对抗攻击方法，其特征在于，所述通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算，构建平均梯度这一步骤，其具体包括：

获取带有真实标签的输入样本与深度神经网络分类器模型；

对输入样本进行迭代添加最大扰动处理，得到初步的对抗样本；

对迭代添加次数进行判断；

判断到迭代添加次数小于预设总迭代次数，将初步的对抗样本输入至深度神经网络分类器模型；

基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算，得到初步的平均梯度；

根据初步的平均梯度循环对初步的对抗样本进行梯度计算步骤，直至迭代添加次数满足预设阈值，输出平均梯度。

3.根据权利要求2所述一种针对深度神经网络图像分类器的对抗攻击方法，其特征在于，所述基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算，得到初步的平均梯度这一步骤，其具体包括：

基于深度神经网络分类器模型的损失函数对初步的对抗样本进行梯度计算，得到对应的梯度信息；

根据梯度信息构建临时样本；

对每一次迭代添加与梯度计算后所构建的临时样本进行组合，构建动态样本集；

基于深度神经网络分类器模型的损失函数对动态样本集进行损失计算，得到初步的平均梯度。

4.根据权利要求3所述一种针对深度神经网络图像分类器的对抗攻击方法，其特征在于，所述基于平均梯度对输入样本进行添加扰动处理，生成对抗样本这一步骤，其具体包括：

基于平均梯度对上一迭代添加与梯度计算后的梯度信息进行更新处理，得到更新后的梯度信息；

根据更新后的梯度信息对输入样本进行添加扰动处理，生成对抗样本。

5.根据权利要求4所述一种针对深度神经网络图像分类器的对抗攻击方法，其特征在于，所述平均梯度的计算公式具体如下所示：

上式中，表示平均梯度，y表示当前对抗样本的真实标签，表示损失函数对于当前对抗样本的梯度，表示初步的对抗样本中的预测标签与真实标签所对应的梯度信息，表示损失函数对于动态样本集中所有临时样本的梯度的累加，t表示当前的迭代次数，J表示深度神经网络分类器模型的损失函数，y表示带有真实标签的输入样本，表示临时样本。

6.根据权利要求5所述一种针对深度神经网络图像分类器的对抗攻击方法，其特征在于，所述基于平均梯度对输入样本进行添加扰动处理的表达式具体如下所示：

上式中，sign(·)分别表示裁剪函数和符号函数，μ表示衰减系数，g_t+1表示更新后的梯度信息，g_t表示上一迭代添加与梯度计算后的梯度信息，表示对抗样本，a表示每次迭代时添加的扰动步长，∈表示最大扰动幅度。