(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211060993.2 (22)申请日 2022.09.01 (71)申请人 贵州大学 地址 550025 贵州省贵阳市花溪区贵州大 学西校区科 学技术处 (72)发明人 彭长根　林志怡　何兴　丁红发　 (74)专利代理 机构 北京高沃 律师事务所 1 1569 专利代理师 刘芳 (51)Int.Cl. G06V 10/764(2022.01) G06V 10/82(2022.01) G06V 10/774(2022.01) (54)发明名称 基于改进自适应差分进化算法的对抗样本 攻击方法及系统 (57)摘要 本发明涉及一种基于改进自适应差分进化 算法的对抗样本攻击方法及系统， 包括： 获取原 始图像； 对原始图像的每一像素点添加对抗性扰 动， 得到对抗扰动像素； 利用改进的自适应差分 进化算法对对抗扰动像素进行迭代优化， 得到对 抗扰动像素的最优解； 改进的自适应差分进化算 法为对经典差分进化算法中的变异因子和交叉 概率根据种群迭代次数不断更新； 将对抗扰动像 素的最优解添加到原始图像中， 得到对抗样本； 利用对抗样 本攻击图像分类器模 型。 本发明根据 迭代次数对变异因子和交叉概率进行更新， 使 得 变异因子和交叉概率自适应调节， 考虑了差分进 化算法中种群进化过程的反馈信息以及迭代次 数对种群进化的动态需求， 提高了对抗样本攻击 的成功率。 权利要求书3页 说明书10页 附图3页 CN 115272774 A 2022.11.01 CN 115272774 A 1.一种基于改进自适应差分进化 算法的对抗样本攻击方法， 其特 征在于， 包括： 获取原始图像； 对所述原 始图像的每一像素点添加对抗 性扰动， 得到对抗扰动像素； 利用改进自适应差分进化算法对所述对抗扰动像素进行迭代优化， 得到对抗扰动像素 的最优解； 所述改进自适应差 分进化算法对经典差 分进化算法中的变异因子和交叉概率根 据种群迭代次数不断更新； 将所述对抗扰动像素的最优解添加到所述原 始图像中， 得到对抗样本； 利用所述对抗样本攻击图像分类 器模型。 2.根据权利要求1所述的基于改进自适应差分进化算法的对抗样本攻击方法， 其特征 在于， 所述利用改进的自适应差分进化算法对所述对抗扰动像素进行迭代优化， 得到对抗 扰动像素的最优解， 具体包括： 对所述对抗扰动像素进行编码生成初始对抗扰动像素种群； 判断是否达到迭代终止条件； 所述迭代终止条件包括当前迭代次数达到最大迭代次数 或当前对抗扰动像素种群的个体对应的攻击类别概率大于预设概率值； 当前所述对抗扰动 像素种群的个体对应的攻击类别概率为样本图像输入至所述图像分类器模型后被分类为 攻击目标的概率； 所述样本图像由所述原始图像添加当前所述对抗扰动像素种群的个体得 到； 若是， 则当前 所述对抗扰动像素种群中的个 体为所述对抗扰动像素的最优解； 若否， 则对当前所述对抗扰动像素种群中的个体进行变异操作和 交叉操作， 得到交叉 种群； 所述变异操作的变异因子和所述交叉操作的交叉概率根据当前所述迭代次数计算得 到； 分别计算所述交叉种群和上一代对抗扰动像素种群中个体的适应度， 根据所述适应度 对所述交叉种群和所述上一代对抗扰动像素种群中个体进 行选择操作， 生成下一代对抗扰 动像素种群； 令所述下一代对抗扰动像素种群为当前所述对抗扰动像素种群， 并返回步骤 “判断是 否达到迭代终止条件 ”。 3.根据权利要求2所述的基于改进自适应差分进化算法的对抗样本攻击方法， 其特征 在于， 所述变异操作的变异因子的表达式为： 所述交叉操作的交叉概 率的表达式为： 其中， Fg为第g代对 抗扰动像素种群对应的变异因子， g表示种群当前迭代次数， G表示种 群最大迭代次数， F0为初始变异因子， CRg为第g代对抗扰动像素种群对应的交叉概率， CR0为 初始交叉概 率。 4.根据权利要求3所述的基于改进自适应差分进化算法的对抗样本攻击方法， 其特征 在于， 所述变异操作具体包括： 从当前所述对抗扰动像素种群中的个 体中选择五个互异个 体；权　利　要　求　书 1/3 页 2 CN 115272774 A 2从五个所述互异个 体中任意选取三个所述互异个 体生成第一中间变异个 体； 根据五个所述互异个体中剩余两个所述互异个体与当前最优个体生成第二中间变异 个体； 当前所述对抗扰动像素种群中的个体适应度与上一代种群中的个体适应度进行比 较， 适应度高的个 体选取为所述当前最优个 体； 根据当前迭代次数计算所述第一中间变异个体的第一权重和所述第二中间变异个体 的第二权 重； 根据所述第一中间变异个体及对应的所述第一权重和所述第二中间变异个体及对应 的所述第二权 重生成目标变异个 体； 所有所述目标变异个 体构成变异种群。 5.根据权利要求4所述的基于改进自适应差分进化算法的对抗样本攻击方法， 其特征 在于， 所述第一中间变异个 体的表达式为： v1i,g＝xr1,g+Fg×(xr2,g‑xr3,g) 所述第二中间变异个 体的表达式为： v2i,g＝xbest,g+Fg×(xr4,g‑xr5,g) 其中， v1i,g为第g代第i个第一中间变异个体， xr1,g、 xr2,g、 xr3,g、 xr4,g、 xr5,g为选取的第g代 对抗扰动像素种群的五个 互异个体， Fg为第g代种群对应的变异因子， v2i,g为第g代第i个第 二中间变异个 体， xbest,g为当前最优个 体。 6.根据权利要求5所述的基于改进自适应差分进化算法的对抗样本攻击方法， 其特征 在于， 所述目标变异个 体的表达式为： 其中， vi,g为第g代第i个目标变异个体， G表示种群最大迭代次数， v1i,g为第g代第i个第 一中间变异个 体， v2i,g为第g代第i个第二中间变异个 体。 7.根据权利要求4所述的基于改进自适应差分进化算法的对抗样本攻击方法， 其特征 在于， 所述交叉操作具体包括： 在区间[0,1]中随机 选取第一目标值； 在整数区间(1,D)中随机选取第二目标值； D为大于1且小于等于5的整数； D表示种群个 体的数据维度总数； 判断所述第一目标值是否小于第g次迭代次数对应的交叉概 率， 得到第一判断结果； 判断所述第二目标值是否等于种群个体的数据维度数， 得到第二判断结果， 所述种群 个体的数据维度数为所述对抗性扰动像素的元素维度数； 所述对抗性扰动像素的元素包括 位置元素及色彩元 素； 当所述第 一判断结果为是或所述第 二判断结果为是时， 将第g代变异种群 中第i个目标 变异个体第j维的元素作为第g代交叉种群中第i个交叉个体的第j维的元素； 否则选取第g 代对抗扰动像素种群中的第i个个体的第j维的元素作为第g代交叉种群第i个交叉个体的 第j维的元 素； 第0代对抗扰动像素种群为所述初始对抗扰动像素种群。 8.根据权利要求2所述的基于改进自适应差分进化算法的对抗样本攻击方法， 其特征 在于， 所述选择操作的计算公式为：权　利　要　求　书 2/3 页 3 CN 115272774 A 3