基于注意力机制的低扰动对抗攻击方法

技术特征：
1.一种基于注意力机制的低扰动对抗攻击方法，其特征在于，包括：首先，获得输入样本的梯度矩阵；选择对抗样本的重要区域进行对抗样本的更新；将对抗样本的扰动分组，逐组减半降低扰动；通过注意力机制，选择模型的非注意力区域进一步降低扰动，得到最终的对抗样本；其中，获得输入样本的梯度矩阵的方法为：在对抗攻击的过程中，将原始样本输入攻击网络，并利用损失函数得到反向传播后的梯度值矩阵：并利用基于动量的更新方法优化梯度更新方向:其中，u为动量因子，j为模型使用的损失函数，为第t轮迭代产生的对抗样本，y表示原始图片的真实标签，表示第t轮迭代产生的动量。2.根据权利要求1所述的基于注意力机制的低扰动对抗攻击方法，其特征在于：选择对抗样本的重要区域进行更新的方法如下：步骤2.1：选择梯度的绝对值大小作为区域重要性的判定依据，将其进行排序，找到梯度绝对值最小的n个像素点的索引位置为；其中，l(.)表示获取值的对应索引的损失函数；步骤2.2：基于索引位置，获得对应的掩码矩阵；其中，i,j,k表示每个像素点在矩阵中的索引位置；步骤2.3：在每轮对抗样本的更新过程中，只选择重要的像素点根据梯度方向进行更新，根据梯度矩阵的符号和掩码矩阵的符号来更新对抗样本式中，为扰动的更新步长， 为获取梯度矩阵符号的函数。3.根据权利要求1所述的基于注意力机制的低扰动对抗攻击方法，其特征在于：将对抗样本的扰动分组，逐组减半降低扰动，具体方式如下：首先根据扰动noise的大小，从大到小进行排序，并进行分组，接着对每组的扰动进行降扰，具体为noise
i
=noise
i
/2，其中i为组号；然后，利用查询机制对降扰后的对抗样本进行验证，即f(x noise
i
)，其中x为原始样本，f为黑盒模型模拟的查询函数；若失去攻击效果，则取消该分组的降扰操作；否则，保留具有攻击效果的对抗样本的降扰操作。4.根据权利要求1所述的基于注意力机制的低扰动对抗攻击方法，其特征在于：通过注意力机制，选择模型的非注意力区域进一步降低扰动，得到最终的对抗样本，具体方式如下：步骤4.1：首先根据grad-cam注意力提取方法获得攻击模型的注意力特征图att
i,j,k
；
步骤4.2：根据特征图的数值分布特点，根据转换因子，获得二进制类型的注意力掩码矩阵：步骤4.3：根据步骤4.2中的获得的注意力掩码矩阵，选择非注意力区域，更为精确地进行降低扰动的操作；在非注意力区域中根据扰动的大小进行排序和分组，接着对每组的扰动进行减半降扰操作，并利用查询机制对降扰后的对抗样本进行验证；若失去攻击效果，则取消该分组的降扰操作；否则，保留具有攻击效果的对抗样本的降扰操作。

技术总结
本发明公开一种基于注意力机制的低扰动对抗攻击方法，属于人工智能安全领域。包括获得输入样本的梯度矩阵；选择对抗样本的重要区域进行更新；将对抗样本的扰动分组，逐组减半降低扰动；通过注意力机制，选择模型的非注意力区域进一步降低扰动，得到最终的对抗样本。本发明利用注意力机制的特点，来提取模型的感兴趣的特征区域，在对注意力区域进行攻击的同时，减少非注意力区域的冗余噪声，即保证了对抗样本的攻击有效性，又增强了对抗样本扰动的不可见性，提高对抗样本的图像质量。提高对抗样本的图像质量。提高对抗样本的图像质量。


技术研发人员：练智超 黄庆福 李千目
受保护的技术使用者：南京理工大学
技术研发日：2022.03.17
技术公布日：2022/4/12