[发明专利]一种基于隐空间聚类的黑盒对抗样本生成算法

说明书

本发明公开了一种基于隐空间聚类的黑盒对抗样本生成算法，包括如下步骤：步骤1，利用卷积自编码器提取图像样本的特征表示；步骤2，当需要被攻击模型产生误分类时，利用图像样本的特征表示进行误分类对抗样本生成算法，得到对抗样本；步骤3，当需要对被攻击模型进行目标对抗时，利用图像样本的特征表示进行目标对抗样本生成算法，得到对抗样本。本发明通过采用卷积自编码器提取图像样本的特征表示，从而实现隐空间聚类，并且不需要了解目标模型的结构，实现黑盒对抗样本生成算法。

技术领域

本发明涉及机器学习和模式识别领域，尤其是一种基于隐空间聚类的黑盒对抗样本生成算法。

背景技术

近年来，深度神经网络(Deep Neural Network，DNN)在机器学习和模式识别领域带来了革命性的变化。DNN在许多模式识别任务(尤其是视觉分类问题)上取得大量成果，其出色的性能也引起了许多其他领域的广泛关注。在对抗样攻击领域中，研究人员也已经提出了许多基于DNN的对抗样本生成算法。但是，大量实验表明基于DNN的算法中存在一些漏洞，目前主要有三个问题：

一、大多数算法需要通过训练样本来得到特征空间中的分类边界，较为依赖训练过程。

二、白盒方法假定完全了解目标模型，黑盒方法则无需了解目标模型，目前大多数算法都是白盒方法，而在实际使用中黑盒方法更加实用。

三、大多数算法只考虑了不同类别间的分类，没有考虑到同一类别内，数据多峰分布的情况。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于隐空间聚类的黑盒对抗样本生成算法。

本发明采用的技术方案如下：

一种基于隐空间聚类的黑盒对抗样本生成算法，包括如下步骤：

步骤1，利用卷积自编码器提取图像样本的特征表示；

步骤2，当需要被攻击模型产生误分类时，利用图像样本的特征表示进行误分类对抗样本生成算法，得到对抗样本；

步骤3，当需要对被攻击模型进行目标对抗时，利用图像样本的特征表示进行目标对抗样本生成算法，得到对抗样本。

在一个实施例中，步骤1的方法包括：

步骤1.1，构建卷积自编码器；

步骤1.2，训练构建的卷积自编码器；

步骤1.3，利用训练好的卷积自编码器提取图像样本的特征表示。

在一个实施例中，步骤1.1中构建的卷积自编码器具有11层结构，包括编码器和解码器；

所述编码器为第一层至第六层，包括2个卷积层、2个线性整流层、1个池化层和1个全连接层；

所述解码器为第七层至第十一层，包括2个卷积层、2个线性整流层和1个反池化层。

在一个实施例中，所述编码器的结构为：

第一层：L¹(x)＝F*x，其中，L¹(x)表示经过第一层卷积层卷积后输出的p₁×q₁阶特征矩阵，F为二维卷积核，*为卷积运算；

第二层：L²(x)＝ReLU(L¹(x))，其中，L²(x)表示经过第二层线性整流层后输出的p₁×q₁阶特征矩阵，ReLU(·)为激活函数，且