基于迁移的图片对抗样本生成方法和目标模型测试系统与流程

本公开涉及深度学习领域，尤其涉及一种基于迁移的图片对抗样本生成方法和目标模型测试系统。

背景技术：

1、近年来，深度神经网络业已取得重大进展，成为诸多行业的核心技术。但许多研究表明，深度神经网络对于对抗攻击十分脆弱。具体来说，对抗性攻击可以通过使用在普通样本上增加轻微的精心设计的敌对噪声而制作的对抗样本来欺骗深度神经网络，使得深度神经网络产生推测错误。深度神经网络的脆弱性成为其部署在例如自动驾驶、医疗等高安全性要求的场景的主要约束。由于对抗攻击能够暴露深度神经网络的盲点，因此开发有效的对抗攻击已成为深度学习安全领域的一项基本任务。

2、由此，需要更为有效的对抗攻击方案。

技术实现思路

1、本公开要解决的一个技术问题是提供一种基于迁移的图像对抗样本生成方案，该方案在优化目标中显式地添加了一个平坦度可感知正则化项，以促使生成的对抗样本朝向平坦极值区域偏移。平坦度可感知正则化项可以由生成的对抗样本周围采样的梯度表征。由于优化梯度需要在高维空间中评估海森矩阵，因此本公开优选地推导出一个一阶近似解来规避海森矩阵的构造，从而实现对抗样本的低成本生成。

2、根据本公开的第一个方面，提供了一种基于迁移的图片对抗样本生成方法，包括：将图片样本送入图片推理代理模型以求取预测损失值；调整图片样本，以使得从经调整图片样本获取的预测损失值增大并且朝向所述代理模型的平坦极值区域偏移；以及重复所述图片样本调整过程，直至预定终止条件，以获取最终的图片对抗样本。

3、可选地，调整图片样本，以使得从经调整图片样本获取的预测分类损失值增大并且朝向所述代理模型的平坦极值区域偏移包括：为所述图片对抗样本生成设定使得预测分类损失值增大并且朝向所述代理模型的平坦极值区域偏移的优化任务；以及根据优化任务，调整所述图片样本。

4、可选地，所述优化任务被公式化为对应于使得预测分类损失值增大的高分类损失项以及使得经调整图片样本朝向所述代理模型的平坦极值区域偏移的平坦度可感知正则化项。

5、可选地，使用图片对抗样本周围采样梯度的范数表征所述平坦度可感知正则化项。

6、可选地，使用一阶梯度近似求解所述图片对抗样本周围采样梯度的范数。

7、可选地，调整图片样本包括：在预定的像素变化范围内调整所述图片样本。

8、可选地，所述预定终止条件包括如下至少一项：基于所述预测分类损失值的图片样本重复调整达到预定次数；所述预测分类损失值达到预定阈值；朝向所述代理模型的平坦极值区域的所述偏移达到预定阈值；以及所述图片分类模型对经调整的图片样本分类错误。

9、可选地，所述图片分类模型包括如下至少一项：经训练的卷积神经网络图片分类模型；以及经训练的自注意力图片分类模型。

10、根据本公开的第二个方面，提供了一种目标模型测试系统，包括：对抗样本制作节点，用于使用代理模型根据第一方面所述的方法获取基于迁移的图片对抗样本；以及目标模型测试节点，用于将所述图片对抗样本送入目标模型，判定所述目标模型的对抗攻击的鲁棒性。

11、据本公开的第三个方面，提供了一种计算设备，包括：处理器；以及存储器，其上存储有可执行代码，当可执行代码被处理器执行时，使处理器执行如上述第一方面所述的方法。

12、根据本公开的第四个方面，提供了一种计算机程序产品，包括可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行第一方面所述的方法。

13、根据本公开的第五个方面，提供了一种非暂时性机器可读存储介质，其上存储有可执行代码，当可执行代码被电子设备的处理器执行时，使处理器执行如上述第一方面所述的方法。

14、由此，本发明提出了一种新颖而有效的攻击方法，该方法涉及平坦度感知正则化项，以鼓励针对平坦区域制作的对抗示例，从而提高制作的对抗示例的可迁移性。我们设计了一个平坦度可感知正则化项，它由围绕精心制作的对抗样本的样本梯度组成，并推导出一个近似解决方案来规避海森矩阵的构造，使本发明的对抗样本生成方法更高效且成本更低。在基准数据集中对各种代理-目标模型对进行了广泛的实验，结果表明，与最先进的攻击相比，本发明制作的对抗样本攻击效率更高。

技术特征：

1.一种基于迁移的图片对抗样本生成方法，包括：

2.如权利要求1所述的方法，其中，调整图片样本，以使得从经调整图片样本获取的预测分类损失值增大并且朝向所述代理模型的平坦极值区域偏移包括：

3.如权利要求2所述的方法，其中，所述优化任务被公式化为对应于使得预测分类损失值增大的高分类损失项以及使经调整图片样本朝向所述代理模型的平坦极值区域偏移的平坦度可感知正则化项。

4.如权利要求3所述的方法，其中，使用图片对抗样本周围采样梯度的范数表征所述平坦度可感知正则化项。

5.如权利要求4所述的方法，其中，使用一阶梯度近似求解所述图片对抗样本周围采样梯度的范数。

6.如权利要求1所述的方法，其中，调整图片样本包括：

7.如权利要求1所述的方法，其中，所述预定终止条件包括如下至少一项：

8.如权利要求1所述的方法，其中，所述图片推理代理模型包括如下至少一项：

9.一种目标模型测试系统，包括：

10.一种计算设备，包括：

11.一种计算机程序产品，包括可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行如权利要求1-8中任一项所述的方法。

12.一种非暂时性机器可读存储介质，其上存储有可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行如权利要求1-8中任一项所述的方法。

技术总结
本公开涉及一种基于迁移的图像对抗样本生成方法和目标模型测试系统。所述方法包括：将图片样本送入图片推理代理模型以求取预测损失值；调整图片样本，以使得从经调整图片样本获取的预测损失值增大并且朝向所述代理模型的平坦极值区域偏移；以及重复所述图片样本调整过程，直至预定终止条件，以获取最终的图片对抗样本。本发明通过在优化目标中显式地添加了一个平坦度可感知正则化项，促使生成的对抗样本朝向平坦极值区域偏移。平坦度可感知正则化项可以由生成的对抗样本周围采样的梯度表征，并且本发明推导出一个一阶近似解来规避优化梯度需要在高维空间中评估的海森矩阵，从而实现基于迁移的对抗样本的低成本高效生成。

技术研发人员：范洺源,汪诚愚
受保护的技术使用者：阿里云计算有限公司
技术研发日：
技术公布日：2024/2/1