(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210106435.9 (22)申请日 2022.01.28 (71)申请人 宁波大学 地址 315211 浙江省宁波市江北区风 华路 818号 (72)发明人 董理　邓佳程　王让定　王冬华　 彭成斌　 (74)专利代理 机构 宁波诚源专利事务所有限公 司 33102 专利代理师 袁忠卫　李娜 (51)Int.Cl. G06F 16/63(2019.01) G06F 16/23(2019.01) (54)发明名称 一种适用 于黑盒攻击下快速获取语音对抗 样本的方法 (57)摘要 本发明涉及一种适用于黑盒攻击下快速获 取语音对抗样本的方法， 所述方法包括S1、 采用 二分查询算法确定原始音频x的决策边界， 并配 合滑动窗口法进行迭代以选 择最佳攻击区域[s: e]， s初始值为0， e初 始值为l， l为原始音频长度； S2、 在选择的攻击区域[s:e]中的低频区域添加 扰动， 通过计算梯度方向确定更新步长， 更新扰 动并利用二分查询算法获取下次迭代的对抗样 本， 直至完成设定的采样次数， 得到最终的对抗 样本x*。 该方法提高了对抗样本生成效率， 提高 了攻击效率。 权利要求书2页 说明书6页 附图1页 CN 114661940 A 2022.06.24 CN 114661940 A 1.一种适用于黑盒攻击下 快速获取语音对抗样本的方法， 其特 征在于： 所述方法包括， S1、 采用二分查询算法确定原始音频x的决策边界， 并配合滑动窗口法进行迭代以选择 最佳攻击区域[s:e]， s初始值 为0， e初始值 为l， l为原始音频长度； S2、 在选择的攻击区域[s:e]中的低频区域添加扰动， 通过计算梯度方向确定更新步 长， 更新扰动并利用二分查询算法获取下次迭代的对抗样 本， 直至完成设定的采样次数， 得 到最终的对抗样本x* 。 2.根据权利要求1所述适用于黑盒攻击下快速获取语音对抗样本的方法， 其特征在于： 所述S1具体包括， S11、 s取临时值scurr， 对scurr初始化为0的区域进行最小函数赋值， 得到区域的临时终点 ecurr＝min(s+l*α， l)以及临时音频xcurr[scurr:ecurr]＝xt[scurr:ecurr]， 其中， xt为目标音频， α 表示攻击区域与原 始音频的长度比； S12、 以临时音频距离原始音频的距离进行二分法查询， 判断该二分法查询相对原始音 频间的残差规模dcurr＝||B(x,xcurr)‑x||2是否小于d:以及 临时音频xcurr在经过模型f后的 输出f(xcurr)是否等于t， 其中d:表示之前搜索到的最小扰动的大小， t表示目标说话人的标 签； S13、 当dcurr＜d:且f(xcurr)＝t时， 更新当前最佳扰动规模d＝dcurr， 更新攻击区域s ＝scurr， e＝ecurr， 且scurr以w为滑动步长进行下次取值后重复S12， 直至scurr大于等于l 时执行S14； S14、 以0.9*α 更新收缩攻击区域α， 并在当前标志位为否时， 结束攻击区域的选择， 而以 上一次的攻击区域作为 最佳攻击区域。 3.根据权利要求2所述适用于黑盒攻击下快速获取语音对抗样本的方法， 其特征在于： 所述S2采用蒙特卡洛结合有限差分方法计算当前梯度方向， 公式为 其中， H表示采样个数， uh表示随机采样的扰动， 表示第i次迭代时的对抗样本， ∈是一 个极小的常数， 取值0.0 01， φ表示指示 函数， 用于确定梯度方向。 4.根据权利要求3所述适用于黑盒攻击下快速获取语音对抗样本的方法， 其特征在于： 所述S2具体包括如下步骤， S21、 设置最佳攻击区域[s:e]的低频区域长度为l ′ ←β·(e‑s)， 初始化扰动对抗样本 S22、 在从[0,1]随机采样长度为l ′的变量uh， 并在uh后填充l‑l′长度个0， 采用逆离散余 弦变换IDCT变化将uh从频域转换回时域uh←IDCT(uh)， 并将攻击区域以外的扰动 清空， 即uh [0:s)←0、 uh(e:l]←0， 直至采样次数 大于H时， 执行S23； S23、 通过公式 计算梯度， 并采用网格搜索步长法计算步长ξi， 采用如下公式更新扰动 权　利　要　求　书 1/2 页 2 CN 114661940 A 2S24、 更新对抗样本 以得到第i+1次迭代的对 抗样本， 直至i取值达到 预先 设定的查询次数， 并以最后一次迭代得到对抗样本为 最终对抗样本 。 5.根据权利要求3所述 适用于黑盒攻击下 快速获取语音对抗样本的方法， 其特 征在于： 所述β 取值 为0.65。权　利　要　求　书 2/2 页 3 CN 114661940 A 3