本发明涉及深度学习图像对抗攻击领域,具体涉及一种高迁移性和弱感知性的对抗样本生成方法。
背景技术:
::1、近年来,深度神经网络(dnn)在计算机视觉领域取得了巨大的成功。然而,神经网络的安全与可靠性依然面临巨大的挑战,研究表明,神经网络对于对抗样本极其脆弱。攻击者仅需在干净样本上添加小小的扰动就可以欺骗最先进的深度神经网络。而且,这些对抗样本具有迁移性,即在代理模型上生成的对抗样本可以用于攻击其他的模型。因此,需要尽可能多地发现dnn的缺陷,从而提高dnn的鲁棒性,避免其潜在的风险。2、自从2014年szegedy等人发现了对抗样本的存在,各种攻击算法被提出,以此来研究dnn的脆弱性。攻击者在黑盒设置下只拥有对目标模型的查询权限,无法访问目标模型的结构、参数等信息。基于迁移的对抗攻击可以轻松地越过这些限制,因为它只需要在本地代理模型上生成对抗样本就可以成功地误导目标模型。基于lp范数约束进行攻击是目前的主流方法,2021年,wang等人提出破坏模型决策的重要特征,引导对抗样本的搜索朝向破坏关键特征的方向进行,从而获得更强的可转移性。2023年,li等人引入模型集成的思想,通过对代理模型的权重和偏差引入概率度量,从一次训练中获得无限多个dnn的集合,在这样的模型分布上制造对抗样本,以此获得高迁移性的对抗样本。另一方面,无约束的对抗攻击也开始得到广泛关注,此类攻击通常会修改图像但是会产生人类无法察觉的对抗样本。2022年,yuan等人从公开数据集中采样图像颜色,构建一个颜色分布库,以该库为指导,通过邻域搜索和初始化重置来优化对抗样本。然而,研究表明基于lp范数约束生成的对抗样本具有较佳迁移效果,但其扰动非常明显,并且其噪声与高频噪声极度相似,不仅会阻碍对抗样本向其他黑箱模型迁移,还很容易被净化防御。相反,不受约束的攻击产生的扰动更多地集中在具有高级语义的区域上隐蔽性得到增强,可迁移性远远落后于受约束的攻击方法。因此,如何平衡对抗样本的高迁移性与不可感知性成了难题。技术实现思路1、本发明针对现有技术的不足,发明了一种高迁移性和弱感知性的对抗样本生成方法,旨在通过对特征引导进行三元组损失约束,确保对抗样本的特征远离原始分类区域,增强其迁移性。此外,本发明将攻击扰动限制在低频分量空间中,能够将扰动集中在图像的语义特征上,增强攻击的隐蔽性,同时保持图像的视觉一致性,使得对抗样本更难以被察觉。2、本发明所采用的技术方案包括以下步骤:3、s1.将原始图像xclean输入到stable diffusion模型,通过编码器将xclean从图像空间映射到潜在空间得到z0,对潜在变量z0进行前向扩散得到zt;在反向扩散阶段,采用unet模型对zt进行去噪处理得到z′,将z′经过解码器得到x′;4、s2.将x′,xclean,xguide三个样本进行离散小波变换,其中xguide为采用pgd算法攻击代理模型生成的对抗样本;每个样本均分解得到一个低频分量和三个高频分量即x′ll、x′h、x′hl、x′hh,和三个样本的高频分量均丢弃,仅使用低频分量x′ll,进行图像恢复,分别得到5、s3.利用与对进行特征引导,其过程为,获取在代理模型的第l层特征,分别为其中代理模型为基于深度神经网络的图像分类器;将构成三元组损失ltri,对zt进行三元组损失优化,进行特征引导;6、s4.进行n次攻击迭代,在迭代的过程中通过优化损失函数对x′进行更新;优化过程中包含四个子损失函数,分别为用于攻击的损失lattack,用于增强迁移性的损失ltransfer,用来保留内容结构的损失lstructure以及用于特征引导的损失ltri,经过对x′进行n次更新后得到最终的对抗样本xadv。7、本发明与现有技术相比,主要有如下的优点:8、1.本发明将攻击扰动限制在低频分量空间中,确保生成的扰动主要集中在图像的语义特征部分,能够使对抗样本更难以被人眼察觉。9、2.本发明利用特征引导,扰动更多的特征,以确保在优化过程中,生成的对抗样本特征尽可能地远离原始干净样本的类别区域,生成更高迁移性的不可感知对抗样本。技术特征:1.一种高迁移性和弱感知性的对抗样本生成方法,其特征在于,包括以下步骤:2.根据权利要求1所述一种高迁移性和弱感知性的对抗样本生成方法,其特征在于,所述将原始图像xclean经过前向扩散和反向去噪得到重构的样本x′,首先通过编码器将xclean从图像空间映射到潜在空间,经过前向扩散阶段,潜在变量z0扩散t个步长得到zt;在反向去噪阶段,采用unet模型对zt进行去噪处理得到z′,将z′经过解码器得到x′。3.根据权利要求1所述一种高迁移性和弱感知性的对抗样本生成方法,其特征在于,所述的将x′,xclean,xguide三个样本进行离散小波变换,其中xguide为采用pgd算法攻击代理模型生成的对抗样本;每个样本均分解得到一个低频分量和三个高频分量即x′ll、x′lh、x′hl、x′hh,和三个样本的高频分量均丢弃,仅使用低频分量x′ll,进行图像的恢复,分别得到4.根据权利要求1所述一种高迁移性和弱感知性的对抗样本生成方法,其特征在于,所述的特征引导进行对抗攻击,将使用三元组损失进行优化;在优化过程中,使用三元对构成三元组损失ltri,其中表示三元组损失的锚定项,表示三元组损失的正项,表示三元组损失的负项,用于进行特征引导的三元组损失ltri定义为:5.根据权利要求1所述一种高迁移性和弱感知性的对抗样本生成方法,其特征在于,所述的在迭代的过程中对x′进行更新,优化过程中包含四个子损失函数,分别为用于攻击的损失lattack,用于增强迁移性的损失ltransfer,用来保留内容结构的损失lstructure以及用于进行特征引导的三元组损失ltri,技术总结本发明公开了一种高迁移性和弱感知性的对抗样本生成方法,该方法包括:首先,将原始图像分别输入扩散模型和代理模型,得到经过扩散模型重构的重构样本和采用PGD算法攻击代理模型生成的引导样本;然后,对原始样本、重构样本以及引导样本进行离散小波变换,仅使用分解后的低频分量进行图像恢复,得到仅含低频分量的三个样本;接着,获取这三个仅含低频分量的样本在代理模型的第L层特征,构成三元组损失,实现特征引导;最后,在迭代攻击次数达到预设次数的情况下生成高迁移性和弱感知性的对抗样本。本发明生成迁移性更高且难以被察觉的对抗样本。技术研发人员:朱江,谭玲平,李艳春,许海霞,贺振东,田淑娟,刘昊霖受保护的技术使用者:湘潭大学技术研发日:技术公布日:2024/1/15