一种基于DNN的黑盒模型通用对抗方法和系统

本发明涉及雷达，特别涉及一种基于dnn的黑盒模型通用对抗方法和系统。

背景技术：

1、合成孔径雷达(synthetic aperture radar，sar)凭借其具有全天时、全天候对地面目标进行高分辨率成像的优势而被广泛应用于国土安全、军事侦察、灾害监测。近年来，基于深度神经网络(deep neural networks，dnns)的sar自动目标识别技术(sar-atr)被广泛应用于sar图像解译中。然而，现有技术中基于深度神经网络的sar-atr模型仍旧存在安全问题。

2、现有的sar图像对抗攻击算法根据是否与输入数据相关可分为两类：数据相关和数据无关的算法。数据相关的算法主要包括fast c&w算法、attack-unet-gan算法以及smgaa算法等，此类算法需要针对每一张sar图像生成特定的对抗扰动图像，因此这在实际对抗攻击中存在攻击效率低的问题。数据无关的对抗攻击算法仅利用一张通用对抗扰动图像即可实现对数据集内大部分图像的攻击，因此具有较高的实际应用价值。

3、sar图像对抗攻击包括白盒攻击和黑盒攻击，在白盒攻击场景下，攻击者已知受害者模型的结构、参数和训练数据等全部信息，典型的白盒攻击方法有基于梯度的攻击，基于边界的攻击，基于显著图的攻击等。相反，在黑盒攻击场景下，攻击者难以获取受害者模型的信息，一般情况下，黑盒攻击可分为基于概率标签的攻击，基于决策的攻击，基于可转移的攻击。在上述三种黑盒攻击中，前两种黑盒攻击通常需要大量查询神经网络，然而这在实际场景中难以实现，并且被攻击的sar神经网络识别模型的信息通常是未知的，sar的数据在实际中难以大量获取。

4、综上，现有技术中的通用对抗攻击算法在黑盒环境和小样本条件下攻击成功率仍然较低并且难度较大。

技术实现思路

1、有鉴于此，本发明第一方面提供了一种基于dnn的黑盒模型通用对抗方法，以解决现有技术中黑盒对抗攻击算法成功率较低并且难度较大的技术问题。该方法包括：

2、可迁移通用对抗网络的生成器将噪声映射到对抗扰动后，将所述对抗扰动添加到输入样本中，获得对抗样本，所述可迁移通用对抗网络包括所述生成器和衰减器；

3、所述衰减器将所述对抗样本作为输入并输出变形后的衰减样本，所述可迁移通用对抗网络调用所述衰减样本对dnn模型进行攻击，判断所述衰减样本对所述dnn模型的攻击是否达到预设效果；

4、如果所述衰减样本对所述dnn模型的攻击达到预设效果，所述可迁移通用对抗网络使用所述对抗样本对目标模型进行攻击，所述目标模型为黑盒模型。

5、进一步的，所述可迁移通用对抗网络使用交替训练的方式训练所述生成器与所述衰减器，设置训练比r∈n*，n*表示正整数，每训练所述生成器r次，则训练所述衰减器一次。

6、进一步的，所述生成器的损失函数lg由lg1、lg2和lg3三部分组成，在对所述生成器的训练过程中通过线性加权的方式分别确定lg1、lg2和lg3的权重系数，所述可迁移通用对抗网络的攻击场景包括目标攻击和非目标攻击，不同攻击场景下的所述生成器具有不同的损失函数。

7、进一步的，所述衰减器的损失函数la由la1、la2和la3三部分组成，在对所述衰减器的训练过程中通过线性加权的方式分别确定la1、la2和la3的权重系数。

8、进一步的，所述dnn模型包括多个，所述dnn模型包括以mstar数据集为训练数据的dnn模型，和，以sen1-2数据集为训练数据的dnn模型，所述衰减样本对多个所述dnn模型进行攻击。

9、进一步的，所述生成器和所述衰减器均使用u-net作为模型结构。

10、本发明第二方面还提供了一种基于dnn的黑盒模型通用对抗系统，以解决现有技术中黑盒对抗攻击算法成功率较低并且难度较大的技术问题。该系统包括：

11、训练模块，用于通过可迁移通用对抗网络的生成器将噪声映射到对抗扰动后，将所述对抗扰动添加到输入样本中，获得对抗样本，所述可迁移通用对抗网络包括所述生成器和衰减器；

12、测试模块，用于所述衰减器将所述对抗样本作为输入并输出变形后的衰减样本，所述可迁移通用对抗网络调用所述衰减样本对dnn模型进行攻击，判断所述衰减样本对所述dnn模型的攻击是否达到预设效果，如果所述衰减样本对所述dnn模型的攻击达到预设效果，所述可迁移通用对抗网络使用所述对抗样本对目标模型进行攻击，所述目标模型为黑盒模型。

13、本发明第三方面还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述任意的一种基于dnn的黑盒模型通用对抗方法的计算机程序。

14、本发明第四方面还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有上述任意的一种基于dnn的黑盒模型通用对抗方法的计算机程序。

15、与现有技术相比，本说明书实施例采用的上述至少一个技术方案能够达到的有益效果至少包括：本发明提供了一个基于生成器和衰减器的可迁移通用对抗网络，能够结合sar图像的特点实时生成具有可迁移性的通用对抗扰动，本发明提高了sar通用对抗攻击算法的黑盒攻击成功率，降低了黑盒攻击的实现难度。

技术特征：

1.一种基于dnn的黑盒模型通用对抗方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种基于dnn的黑盒模型通用对抗方法，其特征在于，所述方法还包括：

3.根据权利要求2所述的一种基于dnn的黑盒模型通用对抗方法，其特征在于，所述方法还包括：

4.根据权利要求2所述的一种基于dnn的黑盒模型通用对抗方法，其特征在于，所述方法还包括：

5.根据权利要求1所述的一种基于dnn的黑盒模型通用对抗方法，其特征在于，所述可迁移通用对抗网络调用所述衰减样本对dnn模型进行攻击，还包括：

6.根据权利要求1所述的一种基于dnn的黑盒模型通用对抗方法，其特征在于，所述方法还包括：

7.一种基于dnn的黑盒模型通用对抗系统，其特征在于，包括：

8.根据权利要求7所述的一种基于dnn的黑盒模型通用对抗系统，其特征在于，所述系统还包括：

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的一种基于dnn的黑盒模型通用对抗方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1至6中任一项所述的一种基于dnn的黑盒模型通用对抗方法的计算机程序。

技术总结
本发明提供了一种基于DNN的黑盒模型通用对抗方法和系统，涉及雷达技术领域，所述方法包括：可迁移通用对抗网络的生成器将噪声映射到对抗扰动后，将所述对抗扰动添加到输入样本中，获得对抗样本；可迁移通用对抗网络的衰减器将所述对抗样本作为输入并输出变形后的衰减样本，如果所述衰减样本对DNN模型的攻击达到预设效果，则所述可迁移通用对抗网络使用所述对抗样本对目标黑盒模型进行攻击。本发明提供了一种可迁移性的攻击算法，解决了现有技术中黑盒对抗攻击算法成功率较低并且难度较大的技术问题，提高了SAR通用对抗攻击算法的黑盒攻击成功率，降低了黑盒攻击的实现难度。

技术研发人员：刘伟,万烜申,牛朝阳,卢万杰,李卓越
受保护的技术使用者：中国人民解放军战略支援部队信息工程大学
技术研发日：
技术公布日：2024/7/18