[发明专利]一种针对深度神经网络图像分类器的对抗攻击方法

说明书

本发明公开了一种针对深度神经网络图像分类器的对抗攻击方法，该方法包括：通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算，构建平均梯度；基于平均梯度对输入样本进行添加扰动处理，生成对抗样本；基于生成样本对深度神经网络分类器模型进行循环迭代训练，直至满足预设迭代次数，得到训练后的深度神经网络分类器模型。通过使用本发明，能够实现更高的攻击成功率与降低模型分类的准确率进一步提升深度神经网络分类器的鲁棒性。本发明作为一种针对深度神经网络图像分类器的对抗攻击方法，可广泛应用于深度神经网络应用技术领域。

技术领域

本发明涉及深度神经网络应用技术领域，尤其涉及一种针对深度神经网络图像分类器的对抗攻击方法。

背景技术

近年来，深度神经网络在图像处理、自然语言处理、语音识别等诸多领域都取得了显著的成果，甚至已经超越了人类。然而，最近的研究表明，几乎所有的深度神经网络模型都存在着安全隐患。通过在原始样本中添加一些微小的扰动可以得到对抗样本，添加扰动后的对抗样本与原始样本在观察者看来具有相同的类别或属性，但会误导深度神经网络模型产生错误的输出(注：样本是指深度神经网络模型的输入信号，如数字图像、数字音频、文本数据等；深度神经网络模型可以用于图像分类、目标检测、恶意程序检测等多个任务)。这种在原始样本中添加微弱噪声误导分类器的操作称之为对抗攻击，其核心思想是最大化网络模型的损失函数，生成可以误导神经网络分类器的对抗样本。对抗样本的存在给深度神经网络的实际应用带来了严重的挑战，研究对抗样本有助于分析现有深度神经网络模型存在的安全漏洞，并建立相应的防范机制，基于梯度的对抗攻击算法具有较低的计算成本和较好的性能，是目前最流行的对抗攻击方法之一。在基于梯度的对抗攻击中，生成的对抗样本中所添加的扰动主要是由损失函数对输入样本的梯度确定的。由于不同的模型具有相似的决策边界，这就导致攻击一个给定模型生成的对抗样本可以以较高的概率欺骗另一个不同的模型，也就是说，对抗样本具有跨模型的迁移性。实际上，对抗攻击不仅能误导正常训练的深度神经网络模型，同时也能攻击各种防御模型。从另一方面来讲，对于对抗攻击研究可以发现深度神经网络模型存在的缺陷，利用对抗攻击方法生成的对抗样本对深度神经网络模型实施对抗性训练是一种常用的防御方法，可以有效地提升模型的鲁棒性，抵御各种各样的对抗攻击。为了提升对抗样本的攻击成功率，学者们提出了各种技术，例如高级梯度计算、模型融合、数据增广和模型结构调整。在这些方法中，高级梯度计算和数据增广策略是两种常用的方法。基于高级梯度计算的攻击通过引入一个新的高级梯度项，尽可能地预防生成的对抗样本陷入较差的局部极值。数据增广策略是在梯度计算过程中对输入样本执行一系列转换操作，以防止生成的对抗样本过度拟合模型。虽然现有的基于梯度的攻击方法取得了较好的效果，但这些方法在面对经过对抗训练的防御模型的时候，迁移性通常会大幅度地降低。

发明内容

为了解决上述技术问题，本发明的目的是提供一种针对深度神经网络图像分类器的对抗攻击方法，能够实现更高的攻击成功率与降低模型分类的准确率进一步提升深度神经网络分类器的鲁棒性。

本发明所采用的第一技术方案是：一种针对深度神经网络图像分类器的对抗攻击方法，包括以下步骤：

通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算，构建平均梯度；

基于平均梯度对输入样本进行添加扰动处理，生成对抗样本；

基于生成样本对深度神经网络分类器模型进行循环迭代训练，直至满足预设迭代次数，得到训练后的深度神经网络分类器模型。

进一步，所述通过深度神经网络分类器模型的损失函数对输入样本进行梯度计算，构建平均梯度这一步骤，其具体包括：

获取带有真实标签的输入样本与深度神经网络分类器模型；

对输入样本进行迭代添加最大扰动处理，得到初步的对抗样本；

对迭代添加次数进行判断；