一种基于动态化网络结构学习的黑盒攻击系统

1.本发明属于计算机视觉图像处理领域，具体涉及一种基于动态化网络结构学习的黑盒攻击系统。


背景技术：

2.随着深度网络模型在现实世界中各个任务上的广泛应用，越来越多的研究者们开始关注深度网络模型的安全性和鲁棒性。逐渐发现了在干净图片上添加扰动后生成的对抗样本可以成功攻击深度网络模型，从而引起模型的预测错误。
3.针对深度模型的对抗攻击主要可以分为两类：其一，白盒攻击，即攻击者可以获取到目标深度模型的具体网络结构和参数，现有的方法往往通过目标模型的梯度进行反向攻击直接生成对抗样本，从而达到较高的攻击成功功率；其二，黑盒攻击，即攻击者无法直接获取目标深度模型的具体网络结构和参数，现有的方法往往通过提升在其他白盒模型上生成的对抗样本的攻击迁移性，或通过训练一个近似目标模型的替代模型来生成对抗样本实现攻击，然而这些现有的黑盒攻击技术仍存在攻击成功率低并且需要依赖对目标模型一定的先验知识上，例如，模型任务，训练数据，类别数目等。
4.为了更好实现具有实用性和高强度的黑盒攻击，现有技术提出了无数据条件下的黑盒攻击，即，在黑盒攻击任务上另外要求了不采用真实数据进行替代模型的训练。第一种通过噪声输入生成器生成大量样本，同时借助了知识蒸馏的网络结构，通过约束目标模型和替代模型的输出一致性来提升攻击样本的质量。第二种通过关注于生成器生成样本的质量，提高生成样本的多样性，来进一步提升知识蒸馏训练的高效性。然而，它们都依赖于对目标模型的分类数量的先验知识，并且需要从多个不同网络结构的替代模型中择其最优。


技术实现要素：

5.本发明提出了一种在无真实数据参与条件下的基于动态化网络结构学习的黑盒攻击系统。对于未知场景下的目标黑盒模型和隐私保护需求，在无法直接获取目标深度模型的具体网络结构和参数，并且不了解目标黑盒模型的任务需求、训练数据、分类数量等先验知识的情况下，实现高质量的动态化结构的替代模型训练，从而完成高成功率的黑盒攻击任务。
6.前面，曾分析到现有的相关对抗样本生成算法往往依赖于对目标模型的分类数量的先验知识，并且需要从多个不同网络结构的替代模型中择其最优，这会导致这些算法的实用性大大降低并且需要耗费较多的计算资源。因而，如何在没有任何关于目标模型先验知识的情况下，通过一次性训练学习的方式直接获得最优的替代模型是本发明的技术要点。
7.为了实现以上目标，本发明提出了动态化网络结构学习的替代模型训练方法，摆脱了固定静态化的替代模型网络结构限制，从而实现了根据不同目标模型实现自主化网络结构优化生成的目标。与此同时，为了进一步提升知识蒸馏训练的质量和效率，我们根据目
标模型的多个输出构建结构化信息图，并促使替代模型从多个输出之间的结构化特征间学习到更为关键和隐蔽的知识信息，提高基于该替代模型的对抗样本的攻击强度。
8.本发明的具体步骤如下：
9.一种基于动态化网络结构学习的黑盒攻击系统，包括基于结构化信息图的优化约束和动态化网络结构学习的替代训练，所述替代训练具体包括以下步骤：
10.s1：生成替代训练数据；
11.s2：基于结构化信息图的优化约束的替代训练；
12.s3：生成动态化网络结构学习的替代模型；
13.s4：将测试数据送入替代模型，通过白盒攻击方式生成对抗样本，并对目标黑盒模型进行攻击测试。
14.所述步骤s1具体包括以下步骤：
15.s11：根据高斯分布随机生成噪声样本；
16.s12：将噪声样本送入生成器中生成替代训练数据。
17.所述步骤s2具体包括以下步骤：
18.步骤21：将生成器生成的替代训练数据分别送入目标模型和替代模型中获得相应的输出；
19.步骤22：根据目标模型和替代模型的多个输出计算点节点和边特征，并构建相应的结构化信息图；
20.步骤23：根据目标模型和替代模型输出得到的结构化信息图，计算基于结构化信息图的优化损失函数；
21.步骤24：根据基于结构化信息图的优化损失函数缩小目标模型和替代模型输出间的距离，更新并优化替代模型网络参数；
22.步骤25：根据基于结构化信息图的优化损失函数扩大目标模型和替代模型输出间的距离，更新并优化生成器网络参数；
23.所述步骤22的结构化信息图包括点节点和边特征，所述点节点由模型的输出本身表达，所述边特征为两两点节点之间的特征欧氏距离差。
24.所述步骤23采用kullback-leibler散度来衡量点节点之间的距离，用mse损失函数来表示边特征之间的距离。
25.所述步骤s3具体包括以下步骤：
26.步骤31：根据输入的特征向量，经过平均池化层和全连接层进行简单处理；
27.步骤32：通过门函数来预测是否跳过当前残差分支。
28.所述步骤32采用hard-sigmoid函数作为门函数h，并设定阈值为0.5，实现动态门输出的二值化。
29.综上所述，本发明的创新之处在于：
30.(1)针对多样化的目标黑盒模型，提出了动态化网络结构学习的替代模型训练方法，利用动态门结构的学习，针对不同的目标模型自主性地生成最优的替代模型结构，从而避免了训练多个不同网络结构的替代模型中择其最优的消耗计算量的问题。
31.(2)基于知识蒸馏的替代模型训练方式，提出了基于结构化信息图的优化约束，通过多个输出之间结构化的信息约束提升替代模型的学习质量与效率，从而进一步提高其生
成的对抗样本的攻击性能。
附图说明
32.附图1是本发明提出的基于动态化网络结构学习的黑盒攻击系统图；
33.附图2是本发明提出的动态化网络结构学习的替代模型训练方法示意图；
34.附图3是本发明提出的基于动态化网络结构学习的黑盒攻击流程图。
35.实施方式
36.为了使本发明实现的技术手段、创作特征、达成目的与功效易于理解，以下结合附图对本发明的技术方案进行详细阐述。
37.图1为本发明提出的针对分类任务模型的基于动态化网络结构学习的黑盒攻击系统图。该系统100包括媒体数据101,计算机设备110和展示设备191。媒体数据101可以是视频内容,如电影等,也可以是图像内容。媒体数据101可以通过电视、因特网传播。在某些具体案例中,媒体数据101还可以是包含多种类别多样化的图片数据。计算设备110是处理媒体数据101的计算设备,主要包括计算机处理器120和内存130。处理器120是一个用于计算设备110的硬件处理器，如中央处理器cpu,图形计算处理器gpu。内存130是一个非易失的存储设备，用于储存计算机代码用于处理器120的计算过程，同时，内存130也会存储各类中间数据及参数。内存130包括高斯随机噪声135及其相关数据、可执行代码140。可执行代码140包括一至多个软件模块,用于执行计算机处理器120的计算。如图1所示,可执行代码140包括训练数据生成模块141、知识蒸馏替代训练模块143、结构化信息图学习模块144和动态化网络结构学习模块147。
38.训练数据生成模块141，是处理媒体数据101并进行数据生成的代码模块，采用训练数据生成算法可以实现仅有高斯随机噪声作为输入的情况下，生成用于后续知识蒸馏替代模型训练的大规模数据。
39.知识蒸馏替代训练模块143，是基于训练数据生成模块141生成的训练数据上，通过同步给目标模型和替代模型进行数据输入，约束二者的输出尽可能接近，从而实现替代模型的优化训练学习目标。
40.结构化信息图学习模块144，是基于多个目标模型和替代模型的输出上构建结构化信息图，并计算基于结构化信息图的优化损失函数，从而在具有结构化输出的基础上高效准确的实现替代训练目标。
41.动态化网络结构学习模块147，是在网络训练过程中，根据不同的目标模型，通过动态门的自适应性的学习过程，自主生成相应的最佳的替代模型的网络结构，从而提升黑盒攻击的攻击性能。
42.展示设备191是适合播放媒体数据101和显示计算设备110输出的预测分数的设备,可以是电脑、电视或者移动设备。
43.本发明的具体实施方式主要以7个步骤进行实现，具体细节如下：
44.步骤1，生成替代训练数据。根据输入的基于高斯分布的随机噪声z，通过生成器网络模型g生成相应的替代训练数据x，具体表达如下，
45.z～n(0，1)
46.x＝g(z)∈r3×h×w47.其中，h和w分别表示生成数据的长和宽的尺寸。
48.步骤2，基于结构化信息图的优化约束的替代训练。将生成器生成的替代训练数据x分别送入目标模型t和替代模型s中，并得到相应的模型输出结果。通过约束目标模型t和替代模型s的输出保持一致，来帮助替代模型s更好的从目标模型t中学习到丰富而准确的知识，并由此来更新优化替代模型s中的参数，
49.ls＝d(t(x)，s(x))
50.其中，d表示的是目标模型t和替代模型s的输出距离的衡量标准。
51.步骤3，生成器的优化训练。受启发于对抗生成网络，在训练替代模型s的时候，希望目标模型t和替代模型s的输出之间的距离差距尽可能小，与此同时，生成器g的训练目标是尽可能扩大目标模型t和替代模型s的输出之间的距离，从而使得生成器g不断生成更具有学习价值和难度的替代训练数据，因而，生成器g的优化更新方式为，
52.lg＝-d(t(x)，s(x))
53.步骤4，构建结构化信息图。根据目标模型t和替代模型s的多个输出，通过输出之间的俩俩关系构建相应的结构化信息图，其中包括点节点和边特征。其中，点节点主要由模型的输出本身表达，边特征则为两两点节点之间的特征欧氏距离差表示，具体的结构化信息图可表示如下，
[0054][0055]
a(j，k)＝||x
j-xk||e，j，k＝1，...，b
[0056]
其中，b代表着每轮迭代训练中的训练数据数量，e表示采用欧氏距离来衡量俩点之间的特征距离作为边特征的表达。
[0057]
步骤5，计算基于结构化信息图的优化损失函数。基于已得到的目标模型t和替代模型s的结构化信息图graph
t
和graphs，通过提出的基于结构化信息图的优化损失函数graph-based structural information learning constrain(gsil)来计算并优化步骤2和步骤3，其中具体的优化损失函数表达如下，
[0058][0059]
其中，和分别是目标模型t和替代模型s的点节点，a
t
和as分别是目标模型t和替代模型s的边特征。我们采用kullback-leibler散度来衡量点节点之间的距离，用mse损失函数来表示边特征间的距离。
[0060]
步骤6，动态化替代模型的网络结构学习。为了实现对不同的目标模型都可以生成相应的最优的替代模型网络结构，我们设计了动态门dg来预测输出one-hot向量，来控制是否跳过当前残差分支。该动态门由一系列简单的操作组成，从而实现其功能，
[0061]
dg(f)＝h(wp(f) b)
[0062]
其中，f为输入的特征向量，p表示的为全局平均池化层，w和b分别是全连接层的网络参数。为了实现路径选择的二值化，我们选择了hard-sigmoid函数作为门函数h，具体表
示为，
[0063][0064]
其中，我们设定阈值为0.5，从而将经过h的结果归为0或1，其中k则是用作阶跃函数的近似值参数，实验中设定为10。
[0065]
步骤7，训练神经网络模型，生成动态化网络结构学习的替代模型。我们采用sgd优化器对网络进行训练，初始状态下，生成器g的学习率为lr＝0.0001，替代模型s的学习率为lr＝0.001，系数betas＝(0.9,0.999)，权重衰减系数为0.1，批处理数据量batchsize＝500，参数α1＝1，α2＝1。网络一共训练大约80轮收敛。
[0066]
步骤8，在评估攻击强度时，将测试数据送入步骤7练得到的替代模型中，通过白盒攻击方式生成对抗样本，并对目标黑盒模型进行攻击测试。
[0067]
图2展示了我们的动态化网络结构学习的替代模型训练方法。该图展示了在替代训练过程中，通过对动态门结构的学习和更新，针对不同目标模型生成相应的最优的替代模型网络结构。
[0068]
图3展示了我们的基于动态化网络结构学习的黑盒攻击方法。该图详细地描绘了网络模型的数据流，并包括了替代训练的训练数据生成、基于知识蒸馏的替代训练方式、以及基于结构化信息图的优化约束。