一种图像对抗样本生成方法与流程

本发明涉及机器学习和ai安全领域，具体地，涉及一种神经网络模型图像对抗样本的生成方法。

背景技术：

神经网络系统如今被广泛应用于诸多方面，其安全性和稳定性也越来越受到重视。神经网络的对抗样本是指在原数据集中添加肉眼不可见或不影响整体观感的扰动(噪音)，所形成的一类样本。对抗样本可以使得神经网络模型以较高的置信度给出与原样本不同的分类结果。

自szegedyc等提出对抗样本的概念，到goodfellowi等证明了神经网络的高维线性是导致对抗样本产生的根本原因，逐渐产生了一系列对抗样本生成方法。goodfellowi提出的fgsm(快速梯度符号法)通过再梯度方向上添加增量来诱导网络对生成的图片进行误分类。alexeykurakin等提出了基础迭代法(i-fgsm),其基本思想是通过多个小步增大损失函数的处理，来优化一大步运算增大损失函数从而生成图像的扰动。seyed-mohsen等人提出的deepfool，对深度网络也有很强的对抗性和鲁棒性。chaoweixiao等人提出了一种利用生成对抗网络来构造对抗样本的方法，这种网络架构可以学习和模拟出真实的图像分布。一旦网络架构中的生成器训练完毕，对于任何的图像输入都可以高效的生成带有扰动的对抗样本。该方法生成的对抗样本更加自然真实且有极高的攻击成功率且能够同时应用于白盒攻击和黑盒攻击，但是这种方法针对每一个原始样本只能生成一个对抗样本，大大限制了对抗样本的数量，导致对抗样本缺乏多样性，揭错能力不足。

技术实现要素：

为解决上述问题，本发明提供一种图像对抗样本生成方法，用于解决现有利用生成对抗网络法生成图像对抗样本时数量受限、样本多样性差、揭错能力不足的问题。

本发明的技术方案如下：

(1)训练双生成器的生成对抗网络模型；

具体实施过程为：

首先输入原始样本类型、攻击样本类型和扰动系数；

判断样本生成器g1(以下称g1)是否已经训练完毕，若g1没被训练过(不可用)，则使用原始样本训练g1；

具体地，g1的作用是生成符合原始样本类型的数据样本，其中g1的输入是高维随机噪音数据和原始样本类型，输出是符合原始样本类型的图像，将g1的输出作为输入，输入到判别器d，判别器d的作用是验证g1的输出是否与源数据集一致,以保证g1的输出能够以假乱真，当判别器d的输出接近纳什均衡，g1训练完毕；

若g1已被训练(可用)，则将g1生成的图像数据作为训练数据，训练一个攻击样本类型所对应的扰动生成器g2(以下称g2)，g2通过对目标模型的黑盒查询访问，得到由数据图像计算所得的、符合攻击样本类型的扰动；

(2)生成目标对抗样本

输入原始类别、目标攻击类别和要生成的样本数量；

将原始类别和随机生成的高维噪音输入g1，生成与所需样本数量一致的原始样本；

将原始样本和目标攻击类别输入g2,生成所对应的扰动；

将扰动规格化，使其范围在扰动系数范围之内(±扰动系数)；

然后将图像数据与扰动相加，得到对抗样本；

将得到的对抗样本规范化，使其范围在像素点灰度范围之内(0-255)，得到最终的有目标攻击图像对抗样本。

上述技术方案有如下优点或有益效果：

本发明提供的对抗样本生成方法，通过一种双生成器(样本生成器g1、扰动生成器g2)的生成对抗网络架构，扩大了原始对抗样本集的规模，以此来达到扩大对抗样本集规模的目的。使得生成的对抗样本差异化增大，数量增多，揭错能力大大提升，不受原始对抗样本集大小的影响。同时只需对目标模型进行接口式的访问而不需获取其内部架构信息，因此可以对目标模型进行黑盒攻击。整体上将会大大提高生成对抗样本的质量和速度。

附图说明

附图仅为更加充分的说明本发明的流程，并不构成对本发明范围的限制。

图1为本发明中对抗模型的训练流程图；

图2为本发明中生成对抗样本的流程图。

具体实施方案

为了使本领域相关人员能够更好的理解本方法的工作流程，下面将结合附图对本方法做出系统、完整地阐述。其中，众所周知的模块构成、运行方式没有明示或详细说明。

图1绘示了本发明的开始阶段模型训练工作，其主要功能包括：

步骤s11，输入目标对抗样本的原始类别lab、预期使模型误判的类别labtar以及扰动系数thresh；

步骤s12，判断生成器g1是否存在，若不存在：步骤s13利用原始样本img0训练生成器g1；若存在：步骤s14使用g1生成lab的数据样本img1；

具体地，步骤s13训练g1的过程：

将img0的类别记为lab0，lab0和高维噪音z作为输入，输入到g1，得到img1；

将img1输入到判别器d中，得到真伪判别结果dis1和类别结果labf1；

将img0输入到判别器d中，得到真伪判别结果dis0和类别结果labt0；

将img0的预期判别结果记为dist0，将img1的预期判别结果记为disf1；

计算dis0和dist0的交叉熵损失，记为ldf；

计算dis1和dist1的交叉熵损失，记为ldt；

计算lab0和labf1的交叉熵损失，记为lgf；

计算lab0和labt0的交叉熵损失，记为lgt；

计算损失函数lossg1＝ldf+ldt+lgf+lgt；

在每次迭代过程中最小化lossg1，并利用反向传播方式更改模型参数，保存模型，生成器g1训练完成。

具体地，步骤s14生成数据样本img1的过程：

由lab构建高维随机噪音z，z经过g1的计算生成img1。

步骤s15，将生成的数据样本img1、lab和labtar作为输入，训练labtar对应的生成器g2，g2生成以lab为原类别，以labtar为攻击类别，以img1为基础的对抗样本。

具体地，生成以img1为基础的对抗样本的训练过程：

使用cnn网络模型生成img1所对应的扰动pert0；

对pert0进行裁切，使得pert0的范围在(-thresh,thresh)之间，得到pert1；

将img1与pert1相加得到advimg；

将img1输入判别器d，得到真伪判别结果dis2和类别结果labt2；

将advimg输入判别器d，得到真伪判别结果dis3和类别结果labf3；

将advimg输入待攻击模型，得到模型的判别结果labm；

将img1的预期判别结果记为dist2，advimg的预期判别结果记为disf3；

计算dis2和dist2的均方误差，记为dislabt；

计算dis3和disf3的均方误差，记为dislabf；

计算损失函数lossd＝dislabt+dislabf；

计算pert1的损失函数，保证扰动最小，记为l_pert；

计算labm和labtar的均方误差，记为l_avdimg；

计算损失函数lossg2＝l_pert+l_advimg；

在每次迭代过程中最小化lossd和lossg2，并利用反向传播方式更改模型参数，保存模型，labtar所对应的生成器g2训练完成。

步骤s16，将训练好的g1和g2进行封装并进行保存。

在上述实施例中，采用g1生成数据样本，g1采用卷积网络构建，可以生成质量较高的图像数据，生成新的图像旨在提高原始数据集的规模。g1只需在初次调用时训练一次，训练完毕将模型保存，在后续过程中可以直接调用。g1采用高维随机噪音作为输入，可以最大程度上保证数据之间的差异性，同时将此数据作为g2的输入，可以加快g2的训练速度和生成噪音的质量。

进一步地，图2绘示了对抗样本生成的过程，具体如下：

步骤s21，输入原始类别lab、攻击类别labtar和要生成的样本数量num；

步骤s22，由生成器g1生成lab的原始样本img，其数量为num；

步骤s23，由labtar所对应的生成器g2生成以img为基础以labtar为攻击目标的扰动pert；

步骤s24，计算对抗样本advimg＝img+pert；

将advimg返回。

在上述实施例中，假设对于一个识别手写数字数据集的模型m，要构造100张对抗样本图像使分类模型将数字“0”误识别为数字“5”，那么输入参数：原始攻击类别为“0”、攻击类别为“5”，生成的样本数量为100。首先生成器g1将会生成100张数字“0”的数据样本，然后由生成器g2构造出使模型误判的对应扰动，将扰动与数据样本相加后再规范化，即得到100张使目标模型将数字“0”误判为数字“5”的图像对抗样本。

下面通过实验结果分析，来说明本发明的优势和可行性。

在实验对比方面，以dnn架构的手写数字识别模型m(以下称m)为目标模型，对m进行对抗攻击。其中m的判别正确率为97.56％。具体地，m的层信息为(784,1024,2048,1024,512,10)，输入层为784维，输出层为10维。对于手写数字(0-9)数据集，构造十个扰动生成器g2,分别用以对于任意输入，生成(0-9)之间的扰动，从而构造所对应的对抗样本。

利用常规生成对抗网络生成对抗样本的方式和本发明生成对抗样本的方式，生成1000组对抗样本，判别其平均差异性指标，如表1所示：

表1差异性指标对比

相比较于常规利用对抗生成网络生成对抗样本的方式，本发明生成对抗样本攻击模型m的准确率如表2所示：

表2攻击准确率对比表

其中表1中正相关的数值代表数值越大，图像的差异性就越大，负相关反之。表2中的目标模型准确率表示在对抗样本的攻击下模型m的判断准确率；有目标攻击准确率表示在对抗样本的误导下，模型m将对抗样本误识别为目标类别的准确率。经过比较可知：本发明生成对抗样本的方法相较于原始方法，能够在略微对抗样本质量的同时，显著提升样本间的差异性，并且对于生成对抗样本的数量没有限制。

由以上可知，本发明所提出的一种基于改进生成对抗网络的图像对抗样本生成方法，至少具有以下优点：

1)创新性的在生成对抗网络中采用双生成器结构，使得生成所需对抗样本的质量更高，同时对抗样本间差异性更强，揭错能力更强。

2)相比较于传统的对抗样本生成方式，本发明所提出的对抗样本生成方式更为简洁，模型训练完毕后，构造对抗样本时不需准备原始样本，生成对抗样本的数量不受限制。