一种评估智能安防系统鲁棒性的黑盒对抗攻击方法

本发明属于对抗攻击领域，具体涉及一种评估智能安防系统鲁棒性的黑盒对抗攻击方法。

背景技术：

1、近年来，智能安防技术的发展已经成为了当今社会安全领域的一个重要方向。这些系统利用先进的计算机视觉和深度学习技术，可以在各种环境中进行实时监控、异常检测和威胁识别，从而提高了安全防范能力和应对能力。智能安防系统在保护公共场所、商业场所和个人住宅等领域发挥着不可替代的作用。随着智能安防系统的广泛应用，对其安全性和鲁棒性的需求也日益凸显，需要开发有效的黑盒对抗攻击方发来评估智能安防系统在面对攻击时的鲁棒性，具有重要的理论和实际意义。

2、基于深度学习的对抗攻击技术在黑盒模型中展现出了出色的攻击性能，可以分为基于融合动量项改进梯度计算的方法和基于多样化输入样本的方法。其中，基于多样化输入样本的方法主要是通过对原始输入样本施加一定的转换操作来快速有效的扩充数据集，从而提升对抗样本的黑盒攻击成功率，但这类方法仅仅考虑到解决过拟合的问题，没有考虑到在梯度更新过程中如何有效的越过局部极值点。为了解决这个问题，基于融合动量项改进梯度计算的方法被提出，这类方法在动量法的基础上改进了动量累积机制，相较于传统的梯度下降算法，这类方法在训练过程中通常能够更快地收敛到损失函数的最优解，并且减少了局部震荡，有效提高模型的训练速度和性能，进而提升对抗样本的攻击成功率。

3、但是以上方法仍然存在以下问题：1)没有考虑到同时修正和稳定梯度更新方向，使得梯度更新没有朝着有效的方向进行并易陷入局部极值点，进而使得攻击成功率不高；2)没有考虑模型中间层特征对模型整体决策的影响，使得攻击的针对性不强。

技术实现思路

1、为解决以上现有技术问题，本发明提出了一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，包括：

2、s1、获取与训练智能安防系统类似的数据集d，利用数据集d训练一个替代模型，得到训练好的替代模型；

3、s2、在数据集d中获取输入图像，利用邻域数据点采样算法构建输入图像的邻域图像；

4、s3、对邻域图像进行预处理，将预处理后的图像输入训练好的替代模型，得到预测结果和中间层输出特征；

5、s4、融合空间动量算法根据预测结果和中间层输出特征计算平均梯度；

6、s5、根据平均梯度计算空间动量，根据空间动量计算对抗性扰动；

7、s6、将输入图像与对抗性扰动相结合生成对抗样本；若达到预先设定的最大迭代次数t，则得到最终的对抗样本；否则，回到步骤s2，并构建当前对抗样本的邻域图像；

8、s7、使用最终的对抗样本攻击智能安防系统，验证系统的鲁棒性。

9、获取与训练智能安防系统类似的数据集包括：与智能安防系统的输入输出接口进行交互，通过反复查询和观察智能安防系统的输出获取与训练智能安防系统类似的数据集。

10、构建对抗样本的的邻域图像包括：

11、

12、其中，表示第t次迭代生成的对抗样本，β表示对抗样本邻域采样的边界半径，u((·)d,(·)d)表示在d维空间中的均匀分布，ε表示扰动阈值，表示第t次迭代生成的对抗样本的第i个邻域图像，t为迭代次数。

13、对邻域图像进行预处理包括：将邻域图像的不同位置分割为多个子图；对所有子图以概率q施加随机的左右翻转变换。

14、融合空间动量算法并根据预测结果和中间层输出特征计算平均梯度包括：获取第t次迭代的特征动量γt，根据特征动量γt和第t+1次迭代的预测结果计算第t+1次迭代的特征动量γt+1，根据特征动量γt+1和第t+1次迭代的中间层输出特征计算损失函数值，根据损失函数值计算平均梯度：

15、

16、其中，λi为梯度更新的权重值，λi＝1/n，n为邻域图像的数量，h(·)表示预处理，表示第t次迭代生成的对抗样本的第i个邻域图像，ytrue表示输入图像对应的真实标签，θ表示替代模型的超参数，j(·)表示损失函数，表示第t+1次迭代生成的平均梯度，t为迭代次数，i为邻域图像的索引。

17、计算第t+1次迭代的特征动量γt+1包括：根据第t+1次迭代的预测结果计算替代模型第t+1次迭代的第k层的梯度根据计算第t+1次迭代的特征动量γt+1：

18、

19、其中，λ为权值，‖·‖1为l1范数，γt为第t次迭代的特征动量。

20、计算损失函数值包括：

21、

22、其中，⊙表示矩阵乘法，m为替代模型第k层输出的特征数量，为替代模型第t+1次迭代的第k层输出的第j个特征。

23、根据平均梯度计算空间动量包括：

24、

25、其中，gt为第t次迭代的空间动量，gt+1为第t+1次迭代的空间动量，μ为动量衰减因子，为第t+1次迭代生成的平均梯度，t为迭代次数，‖·‖1为l1范数。

26、将输入图像与对抗性扰动相结合生成对抗样本包括：

27、

28、其中，为第t+1次迭代生成的对抗样本，sign(gt+1)为对抗性扰动，α为更新的步长，sign(·)为符号函数，x为输入图像，gt+1为第t+1次迭代的空间动量，t为迭代次数。

29、本发明的有益效果为：

30、1、本发明将邻域数据点采样算法和空间动量算法相结合，不仅可以修正每次迭代的梯度更新方向，使得梯度更新朝着有效的方向进行，还能有效的稳定梯度更新方向，使得梯度更新不易陷入局部极值，从而提高了攻击成功率；2、本发明在损失函数中结合模型最后的预测结果和中间层特征，进一步考虑了模型中间层特征对模型整体决策的影响，使得模型的攻击更具有针对性，提高了攻击成功率；3、本发明能够生成高质量、逼真程度高的对抗样本，模拟了实际攻击场景中的挑战，这种逼真性使得评估更加准确，能够更加真实地反应智能安防系统在面对黑盒攻击时的表现，为系统设计和改进提供有价值的指导。

技术特征：

1.一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，包括：

2.根据权利要求1所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，获取与训练智能安防系统类似的数据集包括：与智能安防系统的输入输出接口进行交互，通过反复查询和观察智能安防系统的输出获取与训练智能安防系统类似的数据集。

3.根据权利要求1所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，构建对抗样本的的邻域图像包括：

4.根据权利要求1所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，对邻域图像进行预处理包括：将邻域图像的不同位置分割为多个子图；对所有子图以概率q施加随机的左右翻转变换。

5.根据权利要求1所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，融合空间动量算法并根据预测结果和中间层输出特征计算平均梯度包括：获取第t次迭代的特征动量γt，根据特征动量γt和第t+1次迭代的预测结果计算第t+1次迭代的特征动量γt+1，根据特征动量γt+1和第t+1次迭代的中间层输出特征计算损失函数值，根据损失函数值计算平均梯度：

6.根据权利要求5所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，计算第t+1次迭代的特征动量γt+1包括：根据第t+1次迭代的预测结果计算替代模型第t+1次迭代的第k层的梯度根据计算第t+1次迭代的特征动量γt+1：

7.根据权利要求5所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，计算损失函数值包括：

8.根据权利要求1所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，根据平均梯度计算空间动量包括：

9.根据权利要求1所述的一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，其特征在于，将输入图像与对抗性扰动相结合生成对抗样本包括：

技术总结本发明属于对抗攻击领域，涉及一种评估智能安防系统鲁棒性的黑盒对抗攻击方法，包括：获取数据集，利用数据集训练替代模型；利用邻域数据点采样算法构建输入图像的邻域图像；对邻域图像进行预处理后输入替代模型，得到预测结果和中间层特征；融合空间动量算法根据预测结果和中间层特征计算平均梯度；根据平均梯度计算空间动量，根据空间动量计算对抗性扰动；将输入图像与对抗性扰动结合生成对抗样本；重复上述步骤，直到达到预设的迭代次数；使用对抗样本攻击智能安防系统，验证系统的鲁棒性；本发明将邻域采样算法和空间动量算法相结合，修正和稳定梯度更新方向；在损失函数中结合中间层特征，使得模型的攻击更具有针对性，提高了攻击成功率。技术研发人员：胡军,魏广豪受保护的技术使用者：重庆邮电大学技术研发日：技术公布日：2024/7/18