(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210639043.9 (22)申请日 2022.06.08 (71)申请人 大连理工大 学 地址 116024 辽宁省大连市甘井 子区凌工 路２ 号 (72)发明人 刘晗　黄星朔　张晓彤　张宪超　 (74)专利代理 机构 辽宁鸿文知识产权代理有限 公司 21102 专利代理师 许明章　王海波 (51)Int.Cl. G06N 3/04(2006.01) G06N 3/08(2006.01) G06V 10/74(2022.01) G06V 10/764(2022.01) G06V 10/82(2022.01) (54)发明名称 一种基于梯度先验的高效黑盒对抗攻击方 法 (57)摘要 本发明属于深度学习的对抗样 本领域， 提出 了一种基于梯度先验的高效黑 盒对抗攻击方法， 该方法建立在基于决策的边界攻击方法之上； 为 了解决边缘梯度差异问题， 通过联合双边滤波器 利用数据相关的先验， 保留了具有相似像素值的 在空间接近的像素点梯度相似的优势， 而且还使 具有不同值的像素的梯度多样化。 针对连续迭代 梯度方向问题， 同时将连续对抗样 本之间的距离 和连续步骤的梯度方向作为附加判断条件， 生成 新的梯度方向， 然后与基于决策的攻击方法相结 合。 本发明具有更少的对目标模型的查询次数， 能够对现有的深度学习模型造成更大威胁， 从而 推动业界开发出 更加安全的神经网络架构。 权利要求书2页 说明书10页 附图4页 CN 115034363 A 2022.09.09 CN 115034363 A 1.一种基于梯度先验的高效黑盒对抗攻击方法， 其特征在于， 以基于决策的边界攻击 方法为基础， 通过联合双边滤波器利用数据相关的先验以及将连续对抗样本之 间的距离和 连续步骤的梯度方向作为附加判断条件， 生成新的梯度方向； 具体包括 步骤如下： 步骤一、 根据基于决策的边界攻击方法， 估计当前对抗图片的梯度 方向； 使对抗图片 沿 着估计梯度的方向移动； 通过二分搜索策略逼近模型的决策边界； 步骤二、 通过 联合双边滤波器利用数据相关先验； 对于一张维度为n ×n图片A和一张引导图片G， 经过联合双边滤波器J后得到图片A的每 个像素的值 为： 其中， Ω是像素坐标(i， j)的一个邻域， w(i， j)是一个归一 化项： 函数gs(i， j， k， l)根据像素坐标(i， j)和(k， l)间的欧几里得距离的高斯函数于空间域 的权重， 而gr(Gi， j， Gk， l)基于强度的差异的高斯 函数设置 权重： 其中， σs和σr用于调整空间相似度和值域相似度的灵敏度； 使用联合双边滤波器处理基 于决策的边界攻击方法中的每个随机扰动ub， 其中 作为引导图像； 具体来说， 选取一个 d＝n×n维的扰动ub， 并使用当前的对抗图片 作为引导图片， 通过联合双边滤波器J得 到受约束的扰动 步骤三、 将时间相关先验整合到基于决策的黑盒攻击中； 时间相关先验是指连续步骤的梯度高度相关并且趋于高度相似， 也称为多步先验； 如 下公式来估计梯度： 其 中 ，B 是 每 次 迭 代 中 选 取 扰 动 的 次 数 ， 是被筛选出来的对抗图片集合， m是χ(t)中的图片个数， μ是一个超参数， 用来 调整加号左右两部分的权重； 表示 到 之间的距离； k表示将当 前迭代步骤之前k次迭代的梯度估计结果纳入本次梯度估计；权　利　要　求　书 1/2 页 2 CN 115034363 A 2生成一个新的 梯度方向 来 加速算法收敛 ， 用于提升查 询效率 ； 定义集合 集合中包含满足如上集合条件的 中间过程生成的对抗图片； 是 到 之间的距离； St ， i是 和 之间的余弦相似度， 是第t步迭代估计的梯度， 是第j步迭代估计的最终梯度； τ， ρ 和k是超参数； 在第t步迭代得到的最终梯度为： 其中， 是 中对抗图片被估计的梯度方向的归一化均值， 使用 作为 梯度方向的估计； (1)当 非空， 首先计算 然后计算 (2)当 为空集， 设置 使用 作为梯度方向的估计， 可更好地利用时间相关先验， 避开低效的搜索 方向， 提高基于决策的攻击的查询效率。权　利　要　求　书 2/2 页 3 CN 115034363 A 3