一种面向替代模型的分类边界敏感的数据增广方法

1.本发明涉及一种面向替代模型的分类边界敏感的数据增广方法，属于数据增广、替代模型构建技术领域。


背景技术：

2.现如今人工智能已蔓延至众多领域，包括语音识别、自然语言处理、计算机视觉等，且已取得不错的成果。就计算机视觉领域而言，一个正常的样本输入到模型中，模型会以很高的置信度输出正确的标签；然而在深度学习领域中却存在着这样一种情况：在正常的样本上加入人为故意添加的细微干扰，人眼依然能够做出正确的判断，但是将其输入到模型中，模型则会以很高的置信度输出一个错误的标签。添加细微扰动之后的图片称为对抗样本。对抗样本的存在吸引了越来越多学者的关注，同时越来越多的学者也投身到智能对抗领域的发展中。智能对抗领域主要分为对抗样本生成和对抗样本防御两个子领域。在对抗样本生成领域中，依据攻击方掌握的被攻击方模型信息程度的不同，可将攻击分为白盒攻击和黑盒攻击。所谓白盒攻击即攻击方知道被攻击方模型的一切信息，包括网络架构、所有的参数和超参数。现有的白盒攻击方法有l-bfgs、fgsm、jsma、c&w、mi-fgsm等。所谓黑盒攻击即攻击方不知道被攻击方模型的内部信息，仅可以通过给被攻击方模型提供输入从而获得输出分类。黑盒攻击有边界攻击、自然进化策略攻击和替代模型攻击等攻击方法。白盒攻击相对于黑盒攻击更容易生成对抗样本，且生成的对抗样本可转移性更强。基于此情况，替代模型攻击应运而生。替代模型攻击的初衷是训练一个和黑盒模型非常相似的模型，然后在替代模型上通过较为容易的白盒攻击方法生成对抗样本，继而通过模型的可转移性去攻击黑盒模型，因此替代模型的好坏很大程度上影响了攻击的成功率。本发明所提出的一种面向替代模型的分类边界敏感的数据增广方法，使得替代模型对黑盒模型的分类边界拟合地更加精确，从而使对抗样本在替代模型与黑盒模型上的可转移性增强。


技术实现要素：

3.本发明一种面向替代模型的分类边界敏感的数据增广方法的目的在于提高替代模型精度、增强替代模型的可转移性。
4.本发明一种面向替代模型的分类边界敏感的数据增广方法的核心思想是利用基于分类边界敏感的数据增广和黑盒模型返回的标签及置信度迭代训练替代模型。
5.本发明的前设条件：已有一个黑盒模型(记作o)作为攻击目标，并且此黑盒模型返回的是各个类别的置信度而不只是标签。
6.本发明一种面向替代模型的分类边界敏感的数据增广方法包括如下步骤：
7.步骤一：超参数设定
8.选取替代模型f架构；
9.选取初始数据集s0；
10.设置最大迭代轮数ρ
max
；
11.步骤二：初始参数设定
12.设置替代模型的训练数据集d：空集；
13.设置d对应的置信度集c：空集(c后期将存放黑盒模型返回的训练数据集中对应位置数据的全部类别的置信度列表)；
14.设置当前迭代轮数ρ：0；
15.设置当前轮次替代模型f-1
＝f；
16.步骤三：在黑盒模型上查询得到数据集s
ρ
对应的置信度集o(s
ρ
)；
17.步骤四：更新训练集
18.对训练数据集d进行更新：将s
ρ
追加到d中；
19.对置信度集c进行更新：将在步骤三中得到的置信度集o(s
ρ
)追加到c中；
20.步骤五：替代训练
21.使用(d，c)对替代模型f
ρ-1
进行替代训练，得到替代模型f
ρ
；
22.此处由于每次替代训练后替代模型的参数都会变化。为了以示区分，将每一轮的替代模型都用带下标的形式表示。
23.步骤六：终止条件判别
24.判断当前迭代轮数ρ是否小于设定的最大迭代轮数ρ
max
，如果是则继续向下执行；否则输出替代模型f
ρ
，结束；
25.步骤七：数据增广
26.对初始数据集s0增广求得s
ρ 1
，公式如下：其中为初始数据集s0中的每一张图片；λ为超参数；sgn为符号函数，如果参数大于0则返回1，如果参数等于0则返回0，否则返回-1；为输入在替代模型f
ρ
上对应的logits层对求得的雅可比矩阵；为黑盒模型对于输入的判别标签；为在雅可比矩阵中获取到对应的索引位置数据，即为对应的全连接层的输出，也就是logits层数据对输入数据的导数；
27.步骤八：更新ρ
28.令其加1，转步骤三。
29.至此，经过步骤一到步骤八，完成了一种面向替代模型的分类边界敏感的数据增广方法。
30.最后，我们得到了黑盒模型o的替代模型f，后续可以使用此替代模型通过白盒的方法来生成对抗样本，从而实现对黑盒模型的攻击。
31.有益效果
32.本发明一种面向替代模型的分类边界敏感的数据增广方法与现有的替代模型数据增广方法相比，具有如下有益效果：
33.在相同查询次数的条件下，本发明生成的替代模型的精度有了很大的提升，为黑盒模型的靶向攻击提高了成功率；
34.本发明能够充分利用查询黑盒模型的次数，最大化地拟合黑盒模型分类边界，提升对抗样本在替代模型与黑盒模型间的可转移性。
附图说明
35.图1是面向替代模型的分类边界敏感的数据增广方法流程示意图；
36.图2是黑盒模型具体结构；
37.图3是替代模型具体结构。
具体实施方式
38.下面结合附图和实施例对本发明做进一步说明和详细描述。
39.实施例1
40.本实施例详细阐述了本发明一种面向替代模型的分类边界敏感的数据增广方法的工作过程。
41.本实施例使用的数据集为mnist；实验环境为tensorflow，使用的是以tensorflow为后端的keras工具包；运行在gpu中，gpu版本为geforce gtx 1080。
42.本实施例选用的黑盒模型为一典型的卷积神经网络，使用keras的sequential创建模型，模型的损失函数为交叉熵损失函数，优化算法为adam优化算法，并使用keras内置的60000张mnist训练集中的57000张作为训练集，3000张作为验证集，训练10轮，得到一个较好的模型。其在验证集上的精度为99.10％。我们保存了这一模型作为黑盒模型，记作o，并在以后的步骤中只使用其对输入数据的输出标签及置信度，以满足黑盒假设。黑盒模型具体结构见图2。
43.本实施例的详细步骤如下：
44.本实施例选用的替代模型为另一种卷积神经网络，与黑盒模型结构完全不同。替代模型的初始训练集为从10000张mnist测试集中随机选取的600张图片，优化算法及其他未变，迭代停止条件为6000限额。
45.步骤一：超参数设定
46.选取替代模型结构f：一种卷积神经网络，替代模型具体结构见图3；
47.选取初始数据集s0：从10000张mnist测试集中随机选取600张作为s0；
48.设置最大迭代轮数ρ
max
：9(本发明限定的查询黑盒模型次数为6000次，同时每次迭代过程中只对s0进行增广，因s0为600，所以计算得出最大迭代轮次为9)。
49.步骤二：初始参数设定
50.设置替代模型的训练数据集d：空集；
51.设置d对应的置信度集c：空集(c后期将存放黑盒模型返回的训练数据集中对应位置数据的全部类别的置信度列表)；
52.设置当前迭代轮数ρ：0；
53.设置当前轮次替代模型f-1
＝f。
54.步骤三：查询黑盒
55.在黑盒模型上查询得到数据集s
ρ
对应的置信度集o(s
ρ
)。
56.步骤四：更新训练集
57.对训练数据集d进行更新：将s
ρ
追加到d中；
58.对置信度集c进行更新：将在步骤三中得到的置信度集o(s
ρ
)追加到c中。
59.步骤五：替代训练
60.使用(d，c)对替代模型f
ρ-1
进行替代训练，得到替代模型f
ρ
。
61.步骤六：终止条件判别
62.判断当前迭代轮数ρ是否小于设定的最大迭代轮数ρ
max
，如果是则继续向下执行；否则输出替代模型f
ρ
，结束。
63.步骤七：数据增广
64.对初始数据集s0增广求s
ρ 1
，具体的公式在之前已经给出。
65.在具体实现中，我们使用keras后端中的gradient函数来构建雅可比矩阵的计算图，然后对每张图片计算其具体的雅可比矩阵对应的梯度值，即最后代入公式，求得下一轮的数据集s
ρ 1
。
66.步骤八：更新当前迭代次数ρ，ρ＝ρ 1，转步骤三。
67.最后，我们使用mnist测试集中剩余的9400张图片进行替代模型f的精度测试。具体是使用所属keras的model类中的evaluate函数直接计算，求得精度为96.03％，而现有替代模型的精度不超过81％，因此在相同查询次数的条件下，本发明生成的替代模型的精度有了很大的提升，为黑盒模型的靶向攻击提高了成功率。在训练好的替代模型f上使用c&w白盒方法生成靶向的对抗样本集。我们随机选取10张图片，每张图片都对除了本类之外的其它9个类进行攻击，最终生成了90张对抗样本，将其输入到黑盒模型中，然后获取到黑盒模型返回的标签，将这些标签分别和对抗样本的指定靶向标签进行对比，最终求得黑盒攻击的成功率为62.2％，而现有替代模型攻击的成功率不超过48％；说明本发明能够充分利用查询黑盒模型的次数，最大化地拟合黑盒模型分类边界，提升对抗样本在替代模型与黑盒模型间的可转移性。
68.以上所述为本发明的较佳实施例而已，本发明不应该局限于该实施例和附图所公开的内容。凡是不脱离本发明所公开的精神下完成的等效或修改，都落入本发明保护的范围。