(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113704758A(43)申请公布日2021.11.26(21)申请号202110867054.8(22)申请日2021.07.29(71)申请人西安交通大学地址710049陕西省西安市咸宁西路28号(72)发明人孙钦东林凯(74)专利代理机构西安通大专利代理有限责任公司61200代理人朱海临(51)Int.Cl.G06F21/56(2013.01)G06N3/04(2006.01)G06N3/08(2006.01)权利要求书2页说明书7页附图3页(54)发明名称一种黑盒攻击对抗样本生成方法及系统(57)摘要本发明公开了一种黑盒攻击对抗样本生成方法及系统，在原始测试图像上添加相同维度的随机扰动生成多个候选解集合并计算每个候选解的适应度值，选择适应度值最小的候选解作为当前最优解，根据当前最优解的适应度值与原始图像的正确类别置信度值的比值将候选解集合划分为两部分，对每一部分分别进行候选解计算，依据贪婪选择确定最终下一代的候选解并更新当前最优解，采用自适应最优引导局部寻优策略，本发明不需要攻击者了解模型的具体细节信息，并且无需要利用梯度信息或训练替代模型，就可以成功生成对抗样本，对图像分类模型进行规避攻击的情境，适用于目标攻击和非目标攻击，能够以高效率、低成本生成对抗样本，实现测试深度学习模型的可信性。CN113704758ACN113704758A权利要求书1/2页1.一种黑盒攻击对抗样本生成方法，其特征在于，包括以下步骤：S1，在原始测试图像上添加相同维度的随机扰动生成多个候选解集合并计算每个候选解的适应度值，选择适应度值最小的候选解作为当前最优解；S2，根据当前最优解的适应度值与原始图像的正确类别置信度值的比值将候选解集合划分为两部分，对每一部分分别进行候选解计算，依据贪婪选择确定最终下一代的候选解并更新当前最优解；S3，根据更新后的最优解获取对应候选解的选择概率，根据选择概率值Prob选择满足rand(0,1)<Probi的候选解进一步探索，采用自适应最优引导局部寻优策略；S4，检查当前所有候选解的评估次数trial，如果某候选解对应的trial值大于设定的阈值时，通过初始化生成新的候选解替换当前候选解；对步骤S2到步骤S4迭代执行，直到生成对抗样本或者查询数量达到最大查询数量，完成对抗样本的生成。2.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，随机扰动由均匀分布生成，每一个元素均处于[‑a×δmax，a×δmax]区间内，每一个候选解遵循公式进行初始化，共生成En个候选解集合S，在目标攻击中计算非目标攻击下计算为适应度值，同一个候选解每查询一次，其评估次数trial加1，选择适应度值最小的候选解作为当前最优解。3.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，将候选解集合S划分为S1和S2两部分，划分方法为：其中，BF为当前最优解对应的适应度值，confori为原始测试图像X在模型f上的输出类别c的置信度。4.根据权利要求3所述的一种黑盒攻击对抗样本生成方法，其特征在于，对S1中的每一个候选解采用人工蜂群算法的搜索方式生成新的候选解，搜索公式为5.根据权利要求3所述的一种黑盒攻击对抗样本生成方法，其特征在于，对S2中的每一个候选解集采用最优解引导探索可行解，具体搜索策略为6.根据权利要求3所述的一种黑盒攻击对抗样本生成方法，其特征在于，在生成下一代候选解后，计算每一个的候选解适应度值，并比较候选解和的适应度值，依据贪婪选择确定最终下一代的候选解，若被抛弃，设置新候选解评估次数trial为1，否则其对应trial加1，并更新当前最优解。7.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，根据更新后的最优解获取对应候选解的选择概率，选择概率公式为：2CN113704758A权利要求书2/2页式中，是t+1代中食物源i的适应度值，是第i个解的概率。8.根据权利要求1所述的一种黑盒攻击对抗样本生成方法，其特征在于，采用自适应最优引导局部寻优策略，更新每一个候选解中以概率rate随机选择的个元素的值，rate计算公式如下，式中，ME为设置的最大查询数量，evalCount表示当下所用的查询数量。9.根据权利要求8所述的一种黑盒攻击对抗样本生成方法，其特征在于，设Points为选择的元素集合，采用最优解引导策略为Points计算更新值探索新蜜源，计算更新值的适应度并进行贪婪选择。10.一种黑盒攻击对抗样本生成系统，其特征在于，包括初始化候选模块，优化模块，选择模块和生成模块；初始化候选模块用于在原始测试图像上添加相同维度的随机扰动生成多个候选解集合并计算每个候选解的适应度值，选择适应度值最小的候选解作为当前最