(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115034363A(43)申请公布日2022.09.09(21)申请号202210639043.9(22)申请日2022.06.08(71)申请人大连理工大学地址116024辽宁省大连市甘井子区凌工路２号(72)发明人刘晗黄星朔张晓彤张宪超(74)专利代理机构辽宁鸿文知识产权代理有限公司21102专利代理师许明章王海波(51)Int.Cl.G06N3/04(2006.01)G06N3/08(2006.01)G06V10/74(2022.01)G06V10/764(2022.01)G06V10/82(2022.01)权利要求书2页说明书10页附图4页(54)发明名称一种基于梯度先验的高效黑盒对抗攻击方法(57)摘要本发明属于深度学习的对抗样本领域，提出了一种基于梯度先验的高效黑盒对抗攻击方法，该方法建立在基于决策的边界攻击方法之上；为了解决边缘梯度差异问题，通过联合双边滤波器利用数据相关的先验，保留了具有相似像素值的在空间接近的像素点梯度相似的优势，而且还使具有不同值的像素的梯度多样化。针对连续迭代梯度方向问题，同时将连续对抗样本之间的距离和连续步骤的梯度方向作为附加判断条件，生成新的梯度方向，然后与基于决策的攻击方法相结合。本发明具有更少的对目标模型的查询次数，能够对现有的深度学习模型造成更大威胁，从而推动业界开发出更加安全的神经网络架构。CN115034363ACN115034363A权利要求书1/2页1.一种基于梯度先验的高效黑盒对抗攻击方法，其特征在于，以基于决策的边界攻击方法为基础，通过联合双边滤波器利用数据相关的先验以及将连续对抗样本之间的距离和连续步骤的梯度方向作为附加判断条件，生成新的梯度方向；具体包括步骤如下：步骤一、根据基于决策的边界攻击方法，估计当前对抗图片的梯度方向；使对抗图片沿着估计梯度的方向移动；通过二分搜索策略逼近模型的决策边界；步骤二、通过联合双边滤波器利用数据相关先验；对于一张维度为n×n图片A和一张引导图片G，经过联合双边滤波器J后得到图片A的每个像素的值为：其中，Ω是像素坐标(i，j)的一个邻域，w(i，j)是一个归一化项：函数gs(i，j，k，l)根据像素坐标(i，j)和(k，l)间的欧几里得距离的高斯函数于空间域的权重，而gr(Gi，j，Gk，l)基于强度的差异的高斯函数设置权重：其中，σs和σr用于调整空间相似度和值域相似度的灵敏度；使用联合双边滤波器处理基于决策的边界攻击方法中的每个随机扰动ub，其中作为引导图像；具体来说，选取一个d＝n×n维的扰动ub，并使用当前的对抗图片作为引导图片，通过联合双边滤波器J得到受约束的扰动步骤三、将时间相关先验整合到基于决策的黑盒攻击中；时间相关先验是指连续步骤的梯度高度相关并且趋于高度相似，也称为多步先验；如下公式来估计梯度：其中，B是每次迭代中选取扰动的次数，是被筛选出来的对抗图片集合，m是χ(t)中的图片个数，μ是一个超参数，用来调整加号左右两部分的权重；表示到之间的距离；k表示将当前迭代步骤之前k次迭代的梯度估计结果纳入本次梯度估计；2CN115034363A权利要求书2/2页生成一个新的梯度方向来加速算法收敛，用于提升查询效率；定义集合集合中包含满足如上集合条件的中间过程生成的对抗图片；是到之间的距离；St，i是和之间的余弦相似度，是第t步迭代估计的梯度，是第j步迭代估计的最终梯度；τ，ρ和k是超参数；在第t步迭代得到的最终梯度为：其中，是中对抗图片被估计的梯度方向的归一化均值，使用作为梯度方向的估计；(1)当非空，首先计算然后计算(2)当为空集，设置使用作为梯度方向的估计，可更好地利用时间相关先验，避开低效的搜索方向，提高基于决策的攻击的查询效率。3CN115034363A说明书1/10页一种基于梯度先验的高效黑盒对抗攻击方法技术领域[0001]本发明涉及深度学习的对抗样本领域，尤其涉及一种基于梯度先验的高效黑盒对抗攻击方法。背景技术[0002]深度神经网络在图像分类、目标检测和语音识别等各种任务上都取得了很大的成功。然而，最近的研究表明，神经网络在面对对抗例子时非常脆弱，这些例子在人类感知中与自然数据几乎无法区分，但被模型错误地分类。这种现象在许多实际应用中可能会造成很大的风险，如垃圾邮件检测、自动驾驶等。研究对抗性例子背后的生成原理似乎是一种有希望提高神经网络的鲁棒性的方法，这激发了对抗性攻击的研究。根据受害者模型的可访问性，对抗性攻击可以分为白盒攻击和黑盒攻击。对于白盒攻击(如IanJ.Goodfellow,JonathonShlens,andChristianSzegedy.2015.ExplainingandHarnessingAdversarialExampl