基于决策边界及信赖域的对抗样本优化方法

技术特征：
1.一种基于决策边界及信赖域的对抗样本优化方法，其特征在于：利用白盒攻击方法生成对抗样本，之后基于决策边界及信赖域对对抗样本进行多层次优化，引导生成扰动最小的对抗样本。2.根据权利要求1所述的一种基于决策边界及信赖域的对抗样本优化的方法，其特征在于：所述基于决策边界及信赖域对对抗样本进行多层次优化，包括如下内容：一、确定用于选择精英样本的适应度函数；二、对基于所述对抗样本生成的样本迭代更新直至样本最优，即扰动最小；三、对所述样本迭代更新过程中的超参数进行调整。3.根据权利要求2所述的方法，其特征在于：所述适应度函数为交叉熵损失函数与原始样本和当前样本的距离之和。4.根据权利要求3所述的方法，其特征在于：所述原始样本和当前样本的距离为欧几里得距离。5.根据权利要求3所述的方法，其特征在于：所述交叉熵损失函数值为样本查询攻击模型最后一层全连接层的输出向量与真实标签独热编码的交叉熵。6.根据权利要求2所述的方法，其特征在于：所述迭代更新过程为：
①
令样本t为所述对抗样本，迭代次数k为0；
②
对t添加对抗噪声，生成临时样本群；
③
使用所述适应度函数对所述临时样本群中的所有样本进行打分，选取分值最优的作为精英样本；
④
将所述精英样本向原始样本进行投影，得到临时对抗样本；
⑤
令t为所述临时对抗样本，k＝k 1；
⑥
如果k等于预设的最大迭代次数maxiter，则将t作为扰动最小的对抗样本输出；结束；
⑦
最近10次迭代得到的所述临时对抗样本与原始样本之间的均方误差数值均相同，则将t作为扰动最小的对抗样本输出；结束；
⑧
返回
②
继续迭代。7.根据权利要求6所述的方法，其特征在于：所述对抗噪声为l∞限制下的对抗噪声；其中，l∞表示所述对抗样本和原始样本之间的相似程度。8.根据权利要求7所述的方法，其特征在于：所述投影时确保生成的所述临时对抗样本的视觉噪声效果一直收敛在所述l∞限制范围内。9.根据权利要求8所述的方法，其特征在于：所述投影的步长根据如下原则调整：统计所述临时样本群内的临时样本满足如下条件的比例λ：对于目标攻击而言，临时样本的查询标签应等于目标标签；对于非目标攻击而言，临时样本的查询标签不等于原始样本；如果0.3≤λ≤0.7时，所述步长无需调整；如果λ小于0.3，增大步长；如果λ大于0.7，减少步长。

技术总结
本发明涉及一种基于决策边界及信赖域的对抗样本优化生成方法，属于深度学习以及图像识别领域。本发明利用白盒攻击方法生成对抗样本，之后基于决策边界及信赖域对对抗样本进行多层次优化，引导生成扰动最小的对抗样本。进一步通过选取合适的适应度函数评价对抗样本，从众多添加了对抗噪声的样本中优选出精英样本。进一步通过迭代对精英样本向原始样本在L∞限制范围内投影优选扰动最小的对抗样本。对比现有技术，本发明生成的对抗样本扰动明显减小，并且对抗样本更符合人类视觉认知。并且对抗样本更符合人类视觉认知。


技术研发人员：王亚杰 李元章 邱克帆 赵语杭 武上博
受保护的技术使用者：北京理工大学
技术研发日：2022.03.09
技术公布日：2022/7/1