[0001] 本发明基于深度学习技术，设计了一种闭环的迁移对抗攻击范式Closed‑loop Migratable Adversarial Attack(CMAA)。在该范式中，首先训练了一个特殊的代理模型。训练目标是：对该代理模型的对抗攻击能够迁移到未知的目标模型上。为了实现这个训练目标，本发明也设计一个种新的白盒攻击方法。最终通过这个新的对抗攻击框架，比现有方法生成了更具有可迁移性的对抗攻击样本。本发明属于神经网络鲁棒性领域，具体涉及深度学习，对抗攻击，图像识别等技术。

[0002] 人工神经网络在识别正常图像方面已经取得了非常高的准确率，然而，当在正常图像上添加一些肉眼难以察觉的特殊噪音之后，人工神经网络就难以正常识别这样的图像。然而人类视觉能够正常识别这种添加了噪音之后的图像。因此，人工神经网络就存在鲁棒性问题，即人工神经网络对于输入图像的扰动不鲁邦。

[0003] 为了研究人工神经网络的鲁棒性问题，研究学者们提出了很多对抗样本生成方法，一方面用对抗样本评估神经网络的鲁棒性，另一方面研究神经网络鲁棒性的原因。目前在对抗样本生成方面的方法大概可以分为三种类型。第一类是白盒对抗攻击。这类方法默认被攻击的目标神经网络模型对攻击方法是透明的，即对抗攻击方法可以获取该目标模型的全部信息。这种透明的模型也被称为白盒模型。第二类方法是基于查询的黑盒对抗攻击。这类方法默认被攻击的目标神经网络对攻击方法是不透明的，攻击方法只能通过查询的方式去估算目标模型的梯度。这种不透明的模型也被称为黑盒模型。第三类方法是迁移对抗攻击。这类方法相对前两类方法更加符合真实情况，其默认目标模型对攻击方法既不透明也不可查询。第三类方法通常在一个或多个白盒模型上生成对抗样本，并直接用生成的对抗样本攻击目标模型。第三类方法里的白盒模型也经常被称为代理模型。

[0004] 本发明要研究的也是第三类方法：迁移对抗攻击。目前的迁移对抗攻击方法通常通过优化在代理模型上生成对抗样本的过程来提高对抗样本的可迁移性，从而提高对抗样本在目标黑盒模型上的攻击成功率。

[0065] 在本发明的实施过程中，在公开的Cifar‑10数据集上验证了本发明。Cifar‑10数据集包含10种自然图像类别。

[0066] 在对代理模型的训练阶段，总共在Cifar‑10数据集的训练集上对代理模型Pβ迭代训练50000次，每次训练都从所有训练数据中随机采样64个图像，也就是说Batch Size＝64。选用了3个白盒模型来评估在代理模型上生成的对抗样本的可迁移能力。

[0067] 在代理模型的测试阶段，选用所有Cifar‑10数据集的测试集中的图片，测试在代理模型上生成的对抗样本的对3个目标模型的攻击成功率。攻击成功率越高，则说明对抗样本的可迁移性越好。

[0068] 攻击成功率的计算方式如下：如果对于某测试图像x，目标模型H对x的预测是正确的标签(即H(x)＝y)，则生成x的对抗样本 如果目标模型H对 的预测还是正确的标签(即)，则对抗样本 对H的攻击成功率为0，如果目标模型H对 的预测是错误的(即 y)，则对抗样本 对H的攻击成功率为1。综合所有的测试图像以及对应的对抗样本，可以得到平均攻击成功率，一般为0到100％之间的一个数值。

[0069] 以下的参数设置以及神经网络结构的设置是实施本发明的例子，本发明的有效性并不局限于这种特定的设置方式。

[0070] 1.参数设置

[0071] 在验证本发明效果的过程中，本人使用了以下的参数设置：

[0072] ε：即测试阶段使用的对抗噪音的幅值，被设置为15/255

[0073] θ：即训练阶段使用的对抗噪音的幅值，被设置为从1600/255开始指数衰减，每隔4000次训练衰减到之前的0.9倍

[0074] M：即训练阶段在代理模型上生成对抗样本时的梯度上升迭代次数，被设置为7[0075] K：即测试阶段在代理模型上生成对抗样本时的梯度上升迭代次数，被设置为10[0076] F:即损失函数，被设置为crossentropy

[0077] N：即白盒模型的数量，被设置为3，本发明并不需要单独设置目标模型的数量，因为在每个目标模型上的对抗攻击成功率都是独立测试的α：即学习率，被设置为0.001[0078] 批大小(Batch size):在Cifar10数据集上为64

[0079] 代理模型的训练迭代次数：50000

[0080] 2.网络结构

[0081] 在验证本发明的过程中，代理模型的网络结构如图4所示，其中‘Conv，32’表示包含了32个卷积核的卷积神经网络层，‘Conv，64’表示包含了64个卷积核的卷积神经网络层，所有卷积层的stride＝2，padding＝1，所有棕色卷积神经网络层的卷积核为3x3，透明色的卷积神经网络层的卷积核为1x1。BN是batchnormalization，ReLU是激活函数，MaxPool是最大池化(stride＝2，size＝2)，Ave Pool是全局平均池化。分类器的神经元数量与图像类别的数量相等，例如在Cifar‑10上，分类器的神经元数量为10。

[0082] 白盒模型是公开的神经网络结构：ResNet‑18、ShuffleNet‑V1、DenseNet‑26。目标模型也是公开的神经网络结构：ResNet‑34、VGG‑16、DenseNet40_12，这些模型的神经网络结构以及代码都是开源的，可以从该网址(https://github.com/yxlijun/cifar‑tensorflow/tree/master/network)找到详细的代码，因此本发明不再赘述这些开源模型的神经网络结构。

[0083] 本发明在多项实验中都取得了全球最佳的效果，超越了现有的可迁移对抗样本方法，例如本方法与现有最新方法在Cifar‑10数据集上的实际效果对比如下表。

[0084]

[0085]