基于adam算法的对抗样本生成方法及系统
技术领域
1.本发明属于计算机视觉图像识别技术领域,特别涉及一种基于adam算法的对抗样本生成方法及系统。
背景技术:
2.在图像识别领域,卷积神经网络能够以人类精度对图像进行分类,然而,研究人员发现神经网络很容易受到攻击。现有研究中,通过加入少量的扰动,使得神经网络模型以高置信度给出一个错误输出,添加了扰动的图像就是对抗样本。通常情况下,对抗扰动是肉眼不可见的,即对抗样本与原始样本在人眼观感上无明显区别。按照对模型的了解程度,对抗攻击可分为白盒攻击和黑盒攻击。在给定模型结构和参数的前提下,有多种方法可以生成对抗样本并对模型进行白盒攻击。通常情况下,对抗样本具有一定的迁移性,即针对一个模型生成的对抗样本可能对另一个模型而言也是对抗的,这种现象使得黑盒攻击成为可能,这也正是其具有威胁性的重要原因。对抗样本具有迁移性的原因是由于对抗扰动与模型权重高度相似,而不同模型在相同的图像分类任务中会学习到相似的决策边界,具有相似的模型权重,因此对抗样本在不同模型之间表现出一定的泛化性能。
3.虽然对抗样本具有一定的迁移性,但如何进一步提高其迁移性以进行有效的黑盒攻击仍然有待研究。在白盒场景下,迭代攻击往往比单步攻击所生成的对抗样本攻击成功率高,但如果将这些对抗样本输入到其他黑盒网络中进行测试,则单步攻击的成功率更高,即基于单步梯度生成的对抗样本具有更强的迁移性。这是由于对抗样本在攻击性能与迁移性之间的权衡,在白盒攻击中,迭代攻击由于过度拟合特定的网络参数,表现出强大的白盒攻击能力,但难以有效将对抗性泛化至其他模型。对抗样本发生了“过拟合”,相同的对抗样本在白盒和黑盒情况下的攻击能力类似于同一个神经网络在训练集与测试集上的表现差异。与白盒攻击相比,黑盒攻击更符合实际攻击场景,目前黑盒攻击主要通过三种方式进行:1)基于决策的攻击,即攻击者不能访问模型的结构与参数,只能对模型进行多次的查询,将图像输入模型然后获取模型分类的结果,以此为根据来生成对抗样本;2)替代模型攻击,攻击者将图像输入模型并获取输出标签,然后训练一个可以模仿目标模型的替代模型;3)基于迁移性的攻击,通过在白盒情况下生成具有较好迁移性的对抗样本对未知模型进行黑盒攻击。前两种黑盒攻击方法都需要对模型进行大量的查询,这对于像imagenet这样的大规模数据集来说是不切实际的。
技术实现要素:
4.为此,本发明提供一种基于adam算法的对抗样本生成方法,利用衰减步长增加对抗样本在模型之间的迁移性来获取较高质量的对抗样本,有助于提高深度学习分类模型鲁棒性,能够有效保障视觉图像分类识别的质量和效率。
5.按照本发明所提供的设计方案,一种基于adam算法的对抗样本生成方法,用于视觉图像分类识别,包含如下内容:
6.收集用于视觉图像分类识别的样本数据,该样本数据中包含输入图像、与输入图像对应的标签数据;
7.构建用于对抗样本生成的神经网络模型;
8.针对样本数据,利用无穷范数对样本数据中的输入图像和生成的对抗样本两者之间的对抗扰动进行限制,对神经网络模型目标损失函数进行优化,并利用adam算法对优化模型进行迭代求解,在对抗样本迭代求解中使用衰减步长并通过最大化网络模型的目标损失函数来生成对抗样本。
9.作为本发明基于adam算法的对抗样本生成方法,进一步地,神经网络模型目标损失函数表示为:j(θ,x,y),其中,x为输入图像,y为与输入图像x对应的标签,θ为神经网络模型的参数,通过最大化j(θ,x,y)来生成与输入图像x对应的对抗样本x
*
。
10.作为本发明基于adam算法的对抗样本生成方法,进一步地,对抗扰动限制的网络模型优化问题表示为:s.t.||x
*
‑
x||
∞
≤ε,ε为对抗扰动大小。
11.作为本发明基于adam算法的对抗样本生成方法,进一步地,通过设置迭代步长梯度并利用adam算法对优化模型进行迭代求解。
12.作为本发明基于adam算法的对抗样本生成方法,进一步地,迭代求解中,收集迭代过程中的所有轮次的梯度并结合对应衰减因子生成当前迭代轮次过程中的第一动量,收集迭代过程中的所有轮次的梯度平方并结合对应衰减因子生成当前迭代轮次过程中的第二动量,通过第一动量、第二动量和分母稳定系数来获取梯度更新方向;利用梯度对应的衰减因子和梯度平方对应的衰减因子确定梯度更新的步长,并得到衰减步长;采用二范数约束下的衰减步长并结合梯度更新方向,利用裁剪函数将当前迭代轮次过程中生成的对抗样本约束在无穷范数范围内。
13.作为本发明基于adam算法的对抗样本生成方法,进一步地,迭代求解中,通过判断当前迭代是否满足设置的迭代轮数来结束求解过程。
14.作为本发明基于adam算法的对抗样本生成方法,进一步地,利用由梯度和梯度平方对应的衰减因子组成的衰减公式来计算衰减步长。
15.作为本发明基于adam算法的对抗样本生成方法,进一步地,当前迭代轮次t的衰减步长α
t
计算公式表示为:其中,t为迭代轮数,β1、β2为分别与梯度和梯度平方对应的衰减因子,总步长ε为对抗扰动大小,n为输入图像维度。
16.作为本发明基于adam算法的对抗样本生成方法,进一步地,裁剪函数表示为其中,x为输入图像,x
t 1*
为当前迭代轮次t中生成的对抗样本。
17.进一步地,本发明还提供一种基于adam算法的对抗样本生成系统,用于视觉图像分类识别,包含:数据收集模块、模型构建模块和对抗样本生成模块,其中,
18.数据收集模块,用于收集用于视觉图像分类识别的样本数据,该样本数据中包含输入图像、与输入图像对应的标签数据;
19.模型构建模块,用于构建用于对抗样本生成的神经网络模型;
20.对抗样本生成模块,用于针对样本数据,利用无穷范数对样本数据中的输入图像和生成的对抗样本两者之间的对抗扰动进行限制,对网络模型目标损失函数进行优化,并
利用adam算法对优化模型进行迭代求解,在对抗样本迭代求解中使用衰减步长并通过最大化网络模型的目标损失函数来生成对抗样本。
21.本发明的有益效果:
22.本发明考虑在白盒情况下生成具有较强迁移性的对抗样本来攻击黑盒模型,在对抗样本迭代过程中使用衰减步长,提高了对抗样本在黑盒模型上的迁移性。并进一步在白盒和黑盒的情景下在多个网络模型上进行测试,在黑盒模型上表现出更高的攻击成功率,同时能够攻击多个网络集成模型,提高对抗样本生成质量,能够有效保障视觉图像分类识别的准确度和效率,具有较好的应用前景。
附图说明:
23.图1为实施例中基于adam算法的对抗样本生成流程示意;
24.图2为实施例中不同网络模型攻击成功率受衰减因子影响示意;
25.图3为实施例中不同网络模型攻击成功率受迭代轮数影响示意;
26.图4为实施例中不同网络模型攻击成功率受对抗扰动大小影响示意。
具体实施方式:
27.为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
28.卷积神经网络在图像识别任务中已经达到了超越人类的水平,但仍然容易受到对抗样本的攻击,由于对抗样本是在原始图像的基础上添加的人视觉不可见的噪声,因此其存在会给深度学习系统带来潜在的安全威胁。攻击性能强的对抗样本也可以作为评估模型鲁棒性的重要工具。但是,在黑盒情况下,对抗样本的攻击成功率还有待提高。本发明实施例,提供一种基于adam算法的对抗样本生成方法,参见图1所示,用于视觉图像分类识别,包含如下内容:
29.s101、收集用于视觉图像分类识别的样本数据,该样本数据中包含输入图像、与输入图像对应的标签数据;
30.s102、构建用于对抗样本生成的神经网络模型;
31.s103、针对样本数据,利用无穷范数对样本数据中的输入图像和生成的对抗样本两者之间的对抗扰动进行限制,对网络模型目标损失函数进行优化,并利用adam算法对优化模型进行迭代求解,在对抗样本迭代求解中使用衰减步长并通过最大化对抗网络模型的目标损失函数来生成对抗样本。
32.adam算法运用至对抗样本生成的迭代过程中,利用衰减步长进行快速梯度迭代生成对抗样本,提高对抗样本的迁移性和网络模型的鲁棒性。
33.作为本发明实施例中基于adam算法的对抗样本生成方法,进一步地,对抗网络模型目标损失函数表示为:j(θ,x,y),其中,x为输入图像,y为与输入图像x对应的标签,θ为对抗网络模型的参数,通过最大化j(θ,x,y)来生成与输入图像x对应的对抗样本x
*
。通常是交叉熵损失函数。在对抗样本生成中,我们的目标是通过最大化j(θ,x,y)来生成一个与x视觉上不可区分的对抗样本x
*
来愚弄模型,即让模型的预测标签y
pre
≠y。进一步地,本案实施例
中,对抗扰动限制的网络模型优化问题表示为:s.t.||x
*
‑
x||
∞
≤ε,ε为对抗扰动大小。
34.作为本发明实施例中基于adam算法的对抗样本生成方法,进一步地,通过设置迭代步长梯度并利用adam算法对优化模型进行迭代求解。
35.adam算法是一个结合了动量法和rmsprop的优化算法,在迭代过程中不仅沿损失函数的梯度方向累积速度矢量,而且还对梯度的平方进行加权累积,结合两个向量得出参数更新的方向后,再根据逐步衰减的步长对需要更新的参数进行调整,目的是加快损失函数在梯度较小的维度上的下降,跳出局部极小值,并且使之更好地收敛。
36.作为本发明实施例中基于adam算法的对抗样本生成方法,进一步地,迭代求解中,收集迭代过程中的所有轮次的梯度并结合对应衰减因子生成当前迭代轮次过程中的第一动量,收集迭代过程中的所有轮次的梯度平方并结合对应衰减因子生成当前迭代轮次过程中的第二动量,通过第一动量、第二动量和分母稳定系数来获取梯度更新方向;利用梯度对应的衰减因子和梯度平方对应的衰减因子确定梯度更新的步长,并得到衰减步长;采用二范数约束下的衰减步长并结合梯度更新方向,利用裁剪函数将当前迭代轮次过程中生成的对抗样本约束在无穷范数范围内。进一步地,迭代求解中,通过判断当前迭代是否满足设置的迭代轮数来结束求解过程。进一步地,利用由梯度和梯度平方对应的衰减因子组成的衰减公式来计算衰减步长。
37.fast gradient sign method(fgsm)是最简单的对抗样本生成方法之一,在损失函数关于输入的梯度方向上寻找对抗样本,在对抗噪声限制为最大范数时,通过计算下式生成对抗样本:
[0038][0039]
iterative fast gradient sign method(i
‑
fgsm)是fgsm方法的迭代版本,其思想是将fgsm中的梯度运算分成多步迭代进行,可以表达为下式:
[0040][0041][0042]
其中,α是每次迭代的步长,α=ε/t,t为迭代次数,clip函数的作用是将对抗样本约束在原始图像x的ε邻域内,以满足无穷范数约束,实验表明,i
‑
fgsm比fgsm的白盒攻击成功率要高,但迁移性较差。
[0043]
momentum iterative fast gradient sign method(mi
‑
fgsm)将动量运用到对抗样本生成过程中,稳定梯度更新方向,有助于跳出局部极小点,与i
‑
fgsm相比,不同点在于对抗样本的更新方向不一样:
[0044][0045][0046][0047]
μ是动量项的衰减因子,g
i
是前i轮迭代的梯度加权累积。
[0048]
i
‑
fgsm和mi
‑
fgsm在迭代中都采用了固定的步长,在算法执行到后期时,会在局部
最大值附近震荡,无法很好地收敛,为了解决这个问题,本案实施例中,将adam算法进行改进,并且引入到梯度迭代中,提出基于adam算法的的迭代快速梯度方法(adam iterative fast gradient method,以下简称ai
‑
fgm),如算法1所示:
[0049]
算法1基于adam算法的的迭代快速梯度方法
[0050][0051][0052]
具体来讲,关于更新方向,每一步迭代的梯度要通过自身的l1距离来进行归一化,因为不同迭代轮数的梯度差距非常大。与mi
‑
fgsm相似,m
t
收集前t轮迭代的梯度,其衰减因子为β1,如等式10所示,可称为第一动量。v
t
,即第二动量,收集前t轮迭代的梯度的平方,其衰减因子为β2,如等式11所示,值得注意的是,这里的平方运算是基于每个元素进行的,即g
t2
由g
t
中每一个元素求平方后得到,超参数β1和β2取值通常介于(0,1)。x更新的方向由等式12给出,其中δ是为了防止分母为零设置的稳定系数,这样做的好处是加快x在梯度较小的维度上的更新。
[0053]
关于迭代步长,若β1和β2选的恰当,会随着t的增加减小,当t从0变化到t
‑
1时,能够形成一个递减的序列,将此序列归一化,便得到每一步迭代步长在总步长α中所占的权重,这样就可以得到一个衰减的步长序列,如等式13所示。
[0054]
本案实施例中,对对抗噪声采用了无穷范数限制,与以往方法不同的是,我们并没有采用对梯度取符号函数的方法来满足无穷范数限制要求,而是采用对应的二范数约束下的步长与梯度方向,之后再采用裁减函数clip将对抗样本约束在相应的无穷范数范围内,如等式14和等式15所示。二范数限制α与无穷范数限制ε的关系被定义在等式8中,其中n为
输入图像的维度。
[0055]
因为如果一个对抗样本对多个网络是对抗的,那它就更有可能转移到其他模型,即具有更强的黑盒攻击能力。为此,本案实施例还提供一种集成策略,即通过融合不同模型的逻辑值来攻击多个模型:
[0056][0057]
其中l
k
(x)为第k个模型的逻辑值,ω
k
是集成权重并且ω
k
≥0,
[0058]
进一步地,基于上述的方法,本发明实施例还提供一种基于adam算法的对抗样本生成系统,用于视觉图像分类识别,包含:数据收集模块、模型构建模块和对抗样本生成模块,其中,
[0059]
数据收集模块,用于收集用于视觉图像分类识别的样本数据,该样本数据中包含输入图像、与输入图像对应的标签数据;
[0060]
模型构建模块,用于构建用于对抗样本生成的神经网络模型;
[0061]
对抗样本生成模块,用于针对样本数据,利用无穷范数对样本数据中的输入图像和生成的对抗样本两者之间的对抗扰动进行限制,对网络模型目标损失函数进行优化,并利用adam算法对优化模型进行迭代求解,在对抗样本迭代求解中使用衰减步长并通过最大化网络模型的目标损失函数来生成对抗样本。
[0062]
为验证本案方案有效性,下面结合实验数据做进一步解释说明:
[0063]
数据集:若原始图像不能被网络正确分类,那么基于这些图像生成对抗样本也意义不大。因此,可随机地从imagenet验证集的1000个类别中选取了1000张图像,这些图像都能够被测试的网络正确分类。所有图像都被缩放至299
×
299
×
3,因此,可设置n=299
×
299
×
3。
[0064]
网络:可选取七个网络,其中包括四个普通的网络,即inception
‑
v3(inc
‑
v3),inception
‑
v4(inc
‑
v4),inception
‑
resnet
‑
v2(incres
‑
v2)和resnet
‑
v2
‑
152(res
‑
152),以及三个经过对抗训练的网络,即ens3
‑
adv
‑
inception
‑
v3(inc
‑
v3
ens3
),ens4
‑
adv
‑
inception
‑
v3(inc
‑
v3
ens4
)和ens
‑
adv
‑
inception
‑
resnet
‑
v2(incres
‑
v2
ens
)。
[0065]
所有的实验都是基于无穷范数进行的,对于动量法,公式5中衰减因子μ被设置为1,公式12中稳定系数δ=10
‑8。首先对单个网络进行攻击,使用fgsm,i
‑
fgsm,mi
‑
fgsm以及ai
‑
fgm针对inc
‑
v3,inc
‑
v4,incres
‑
v2以及res
‑
152生成对抗样本,再去攻击所有网络。如表1所示,其中成功率是指以对抗样本作为输入的模型分类错误率。在实验中,最大扰动ε=16,迭代轮数t=10,在ai
‑
fgm中的衰减因子β1=0.99和β2=0.999。
[0066]
通过表中的结果可以观察到,三种迭代方法都能够对白盒模型以接近100%的成功率进行攻击,在所有的黑盒模型上,ai
‑
fgm均优于其他三种方法。例如,如果针对inc
‑
v3生成对抗样本,则ai
‑
fgm在inc
‑
v4上的攻击成功率为52.4%,而mi
‑
fgsm为48.0%,fgsm和i
‑
fgsm和都不超过30.0%,这证明本案方案中的算法有效性。
[0067]
表1在七个网络上分别攻击单个模型的成功率(%),表格中对角线上表示白盒攻击,其余的表示黑盒攻击
[0068][0069][0070]
β1与β2决定了步长的衰减幅度以及m
t
和v
t
对历史梯度的累计强度,会对攻击成功率造成很大的影响。因此,可在实验中运用网格搜索的方法来寻找最优的一组β1与β2的值。可将扰动大小ε设置为16,迭代轮数t设置为10。衰减因子β1与β2从0变化到1。注意,为了尽可能全面地研究β1与β2的影响,除了从0.1均匀地变化到0.9之外,还取了接近0和1的几个值,如图2所示,当β1与β2在(0,1)之间变化时,针对inc
‑
v3生成对抗样本攻击inc
‑
v3(白盒),inc
‑
v4(普通训练的网络,黑盒),inc
‑
v3
ens4
(对抗训练网络,黑盒)的成功率(%)。用本案中方案算法ai
‑
fgm针对inc
‑
v3生成对抗样本并对inc
‑
v3,inc
‑
v4以及inc
‑
v3
ens4
进行攻击,从图中可以看出,对白盒模型来说,无论β1与β2如何变化,攻击成功率都在100%左右。对黑盒模型来说,无论是正常训练的网络还是对抗训练的网络,攻击成功率似乎都对β1更加敏感。并且当β1和β2都接近1时,攻击成功率达到最大。
[0071]
迭代轮数t对迭代方法攻击成功率的影响。在实验中,可将扰动大小ε设置为16,衰减因子β1=0.99,β2=0.999。迭代轮数从1均匀地变化到20,对抗样本是用i
‑
fgsm,mi
‑
fgsm以及ai
‑
fgm针对inc
‑
v3生成的,用来攻击inc
‑
v3和inc
‑
v4,结果如图3所示,当迭代轮数变化时,用i
‑
fgsm,mi
‑
fgsm以及ai
‑
fgm针对inc
‑
v3生成对抗样本用来攻击inc
‑
v3(白盒)和inc
‑
v4(黑盒)的成功率(%),注意在图中攻击inc
‑
v3的三条曲线重合了。从图3中可以看出,随着迭代轮数的增加,几种迭代方法的黑盒攻击成功率均出现了下降,但是在迭代轮数相同的情况下,本案方案所对应的算法ai
‑
fgm始终高于mi
‑
fgsm和i
‑
fgsm。
[0072]
扰动大小ε对攻击成功率的影响。在实验中,可将迭代轮数t设置为10,衰减因子β1=0.99,β2=0.999,ε从1均匀地变化到30,并用i
‑
fgsm,mi
‑
fgsm以及ai
‑
fgm针对inc
‑
v3生成对抗样本攻击inc
‑
v3和inc
‑
v4,结果如图4所示,当扰动大小变化时,用i
‑
fgsm,mi
‑
fgsm以及ai
‑
fgm针对inc
‑
v3生成对抗样本用来攻击inc
‑
v3(白盒)和inc
‑
v4(黑盒)的成功率(%),注意在图中攻击inc
‑
v3的三条曲线重合了。从图4中可以看出,对白盒攻击来说,攻击成功率很快就能到达100%,对于黑盒攻击,攻击成功率随着ε的增加稳定增长。在扰动大小相同的情况下,本案方案所对应算法ai
‑
fgm始终高于mi
‑
fgsm和i
‑
fgsm,即ai
‑
fgm能以更小的扰动大小达到指定的黑盒攻击成功率。
[0073]
尽管根据上面的实验结果来看ai
‑
fgm能够增加对抗样本在黑盒模型上的迁移性,但还能够通过攻击集成模型来进一步增加黑盒攻击成功率。本案实施例中还可通过对多个网络逻辑值的集成来进行攻击。即可使用上述中的7个网络,分别运用fgsm,i
‑
fgsm,mi
‑
fgsm以及ai
‑
fgm针对六个网络的集成来生成对抗样本,再攻击这个集成网络以及剩下的一个保留网络。在实验中,可令衰减因子β1=0.99,β2=0.999,迭代方法中的迭代轮数t=10,扰动大小ε=16,每个网络的集成权重相等,即ω
k
=1/6,结果如表2所示。
[0074]
表2攻击集成网络的成功率(%),
“‑”
符号表示该网络为保留网络,第一行为集成模型(白盒),第二行为保留模型(黑盒)
[0075][0076]
从表中可以看出,在白盒情况下,ai
‑
fgm保持了很高的攻击成功率,在黑盒情况下,ai
‑
fgm比其他三种方法攻击成功率都要高。比如,当
‑
inc
‑
v4为保留网络时,ai
‑
fgm攻击
‑
inc
‑
v4的成功率为76.7%,而fgsm,i
‑
fgsm,mi
‑
fgsm分别为38.3%,48.2%,69.8%。
[0077]
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
[0078]
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
[0079]
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0080]
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
