一种面向图像分类模型的黑盒对抗样本生成方法与装置与流程

本发明涉及智能算法对抗领域，特别是涉及一种面向图像分类模型的黑盒对抗样本生成方法与装置。

背景技术：

1、当前，以深度学习为代表的人工智能技术不断发展，在图像分类等计算机视觉任务中取得了极大的成功，但对抗样本的出现给深度神经网络的广泛应用带来了不容忽视的安全隐患，对抗样本通常用于攻击图像分类模型或者检测图像分类模型的鲁棒性，通过在图像上添加微小扰动，诱导图像分类模型分类错误。根据攻击者对图像分类模型了解程度的多少，可以将对抗样本的攻击分为白盒攻击和黑盒攻击两类，其中白盒攻击为已知图像分类模型内部参数设计的情况下生成对抗样本，黑盒攻击为无法得知图像分类模型内部参数设计的情况下生成对抗样本，目前已有的黑盒攻击方法大多是在对图像进行全局扰动的情况下生成对抗样本。

2、已有研究表明，对于图像的不同区域，图像分类模型的关注程度不同。图像分类模型主要关注图像中语义信息比较丰富的区域，当该区域被去除时，图像分类模型的正确分类概率会显著下降。因此，在添加扰动生成对抗样本时，非重点区域的图像特征可能不是分类器主要关心的目标，在其上添加扰动可能不会对产生对抗样本起到积极作用，并且会增加整个图像的噪声，导致攻击的隐蔽性不佳，使得对抗样本易被检测和发现，无法达到隐蔽攻击效果。此外，黑盒对抗攻击条件下模型内部结构和参数完全未知，生成对抗样本的速度往往较慢。

3、鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

技术实现思路

1、本发明要解决的技术问题是在黑盒攻击的前提下，如何通过遗传算法迭代生成对抗样本，并优化对抗样本的隐蔽性和生成速度。

2、第一方面，提供一种面向图像分类模型的黑盒对抗样本生成方法，包括：

3、选取图像中的重要特征区域；

4、在所述重要特征区域上添加随机扰动，获取初始对抗样本，将所述初始对抗样本进行编码得到初始种群；

5、将所述初始种群作为输入种群输入至第一轮迭代中；

6、每轮迭代中包括：将输入种群中各个个体输入至图像分类模型中，获取各个个体的置信度值和样本信息，将每个个体的置信度值和样本信息输入至适应度函数中得到每个个体的适应度值，将所有个体按照适应度值进行排序，判断本轮迭代是否满足终止条件；

7、当本轮迭代不满足所述终止条件时，根据所述排序选出父代个体，将所述父代个体进行交叉和变异，得到子代个体，将所述子代个体作为输入种群输入至下一轮迭代中；

8、当本轮迭代满足所述终止条件时，根据所述排序获取适应度值最小的个体作为输出个体，将所述输出个体进行解码得到最优解。

9、优选的，所述选取图像中的重要特征区域，具体包括：

10、将所述图像分割为预设数量的图块，对每个图块随机施加扰动作为近似样本；

11、将所述近似样本输入至所述图像分类模型中，输出近似分类结果；

12、根据所述近似样本和对应的近似分类结果训练生成代理模型；

13、根据所述代理模型获取所述图像中的重要特征区域。

14、优选的，所述在所述重要特征区域上添加随机扰动，获取初始对抗样本，将所述初始对抗样本进行编码得到初始种群，具体包括：

15、在所述重要特征区域上随机添加噪声得到所述初始对抗样本

16、将所述初始对抗样本中每个像素用一个基因进行对应。

17、优选的，根据每个个体的对抗性指标、扰动隐蔽性指标和扰动平滑度指标得到所述适应度函数，将每个个体的置信度值和样本信息输入至适应度函数中得到每个个体的适应度值，所述适应度函数为：

18、fit(x*)＝fadv(x*)+α·flp(x*,x)+β·fpsr(x*)；

19、其中，fit(x*)为适应度函数，x为原图像，x*为对抗样本，fadv(x*)为对抗性指标，flp(x*,x)为扰动隐蔽性指标，fpsr(x*)为扰动平滑度指标，α和β为系数，α∈[0.001,0.8]，β∈[0.001,0.8]；

20、所述置信度值为每个个体中对抗样本被图像分类模型分配到正确分类的概率，所述样本信息包括每个个体中对抗样本与原图像之间的欧氏距离，以及每个个体中对抗样本的图像平滑度。

21、优选的，所述fadv(x*)为对抗性指标，具体包括：

22、fadv(x*)＝f(x*)y；

23、其中，f(x*)y为对抗样本x*被分类到第y正确分类的置信度，当f(x*)y越大时，对抗样本x*被正确分类的概率越高，当f(x*)y越小时，对抗样本x*被错误分类的概率越高。

24、优选的，所述flp(x*,x)为扰动隐蔽性指标，其中：

25、flp(x*,x)＝||x*-x||2；

26、其中，||x*-x||2为对抗样本x*与原图像x之间的欧氏距离，当flp(x*,x)越小时，所述对抗样本x*和原图像x之间越相似，扰动隐蔽性越高，当flp(x*,x)越大时，所述对抗样本x*和原图像x之间差异越大，扰动隐蔽性越低。

27、优选的，所述fpsr(x*)为扰动平滑度指标，其中：

28、

29、其中，p为像素点，i和j为坐标值，为相邻像素点的欧式距离，当fpsr(x*)越小时，所述对抗样本的图像平滑度越高，当fpsr(x*)越大时，所述对抗样本的图像平滑度越低。

30、优选的，所述判断本轮迭代是否满足终止条件，具体包括：

31、判断本轮迭代的轮次数是否大于或等于预设迭代轮次；

32、当本轮迭代的轮次数大于或等于预设迭代轮次时，则本轮迭代满足终止条件；

33、当本轮迭代的轮次数小于预设迭代轮次时，则本轮迭代不满足终止条件。

34、优选的，所述每个个体的适应度值选出父代个体，将所述父代个体进行交叉和变异，得到子代个体，将所述子代个体作为输入种群输入至下一轮迭代中，具体包括：

35、将所有个体按照适应度值大小进行排序，将排序中适应度值相对更小的前预设数量的个体作为所述父代个体；

36、在所有父代个体中随机选取至少两个父代个体，将两个父代个体中各自的重要特征区域的预设部分的基因，按照预设概率进行交换，得到第一子代个体；

37、在每个所述第一子代个体的重要特征区域所对应的基因中，随机选取两个不同的基因，将所述两个不同的基因上的值进行交换，得到所述子代个体。

38、第二方面，提供一种面向图像分类模型的黑盒对抗样本生成装置，包括至少一个处理器，以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，用于执行所述的面向图像分类模型的黑盒对抗样本生成方法。

39、本发明提供了一种面向图像分类模型的黑盒对抗样本生成方法与装置，通过预先在图像上获取重要特征区域，对所述重要特征区域上施加扰动，得到初始对抗样本，将所述初始对抗样本进行编码并进行遗传算法的迭代，获得相对更优异的对抗样本；上述过程中，一方面缩小了添加扰动的区域，减少了在图像上添加的扰动噪声，降低对抗样本被发现的概率，提升对抗样本的攻击隐蔽性，另一方面由于仅需对图像中重要特征区域添加扰动，无需对图像全局添加扰动，提升了基于遗传算法的对抗样本的生成速度。