技术特征:
1.一种改进的符号优化对抗攻击方法,其特征在于,包括以下步骤:s1:初始化搜索方向;s2:估计目标函数梯度;s3:更新搜索方向。2.根据权利要求1所述的一种改进的符号优化对抗攻击方法,其特征在于:所述s1中对于非定向攻击,随机采样n个服从的扰动,通过调用模型找到其中具有对抗性的扰动。3.根据权利要求1所述的一种改进的符号优化对抗攻击方法,其特征在于:所述s1中通过二分查找法计算出沿各个对抗扰动方向的边界对抗样本。4.根据权利要求1所述的一种改进的符号优化对抗攻击方法,其特征在于:所述s3中使用回溯线性查找方法找到最佳的搜索方向,在符号优化攻击的线性查找过程中,每一次迭代都会使用二分查找方法计算出沿每个搜索方向的边界对抗样本。5.根据权利要求1所述的一种改进的符号优化对抗攻击方法,其特征在于:所述s3中使用一个单次查询判断候选样本是落在决策边界还是落在决策边界内来判断当前搜索方向是否正确;若不正确,不使用二分查找方法计算沿这个错误方向的边界对抗样本,节省了查询次数。
技术总结
本发明公开了一种改进的符号优化对抗攻击方法,包括初始化搜索方向,估计目标函数梯度和更新搜索方向,对于非定向攻击,随机采样N个服从的扰动来得到初始搜索方向;利用回溯线性查找方法来找到最佳的搜索方向,在线性查找的每一次迭代中,仅使用一个单次查询即可判断新搜索方向是否正确,如果该方向不正确将不会使用二分查找方法计算边界对抗样本。该改进的符号优化对抗攻击方法,减少了大量的查询次数;不在决策边界上随机游走,有引导方向进行指引;对抗样本的失真收敛速度快;且不需要目标模型暴露置信分数,只需要模型的top-1最终决策即可实现;不需要自己额外构建数据集并训练替代模型,简单易操作。简单易操作。简单易操作。
技术研发人员:王员根 冉钰
受保护的技术使用者:广州大学
技术研发日:2022.03.01
技术公布日:2022/6/3