(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211246656.2 (22)申请日 2022.10.12 (71)申请人 广州大学 地址 510006 广东省广州市大 学城外环西 路230号 (72)发明人 王员根　周超　 (74)专利代理 机构 北京高航知识产权代理有限 公司 11530 专利代理师 覃钊雄 (51)Int.Cl. G06V 10/776(2022.01) G06V 10/764(2022.01) G06V 10/82(2022.01) (54)发明名称 一种兼顾L2损失与L0损失的对抗 攻击方法 (57)摘要 本发明涉及图像深度学习领域， 且公开了一 种兼顾L2损失与L0损失的对抗攻击方法， 包括以 下步骤： 第一步： 首先使用Sign ‑OPT攻击产生初 始对抗噪声方向θ0和距离λ0； 第二步： 计算噪 声维度不重要度矩阵β； 第三步： 使用二分搜索 寻找一个阈值t， 使得将β中高于t的值置0， 低于 t的值置1后， 依然满足f(x0+λ0θ0·β)！ ＝y0， 其中x0表示原始图像， y0表示神经网络对x0的正 确分类类别， 对初始对抗噪声方向θ0进行维度 优化得到最终噪声方向θ'＝β ·θ0。 该种兼顾 L2损失与L0损失的对抗攻击方法， 与现有 技术比 较， 不需要重复多次输入多个模型通路， 节省了 计算资源， 受攻击的像素少。 权利要求书2页 说明书7页 附图1页 CN 115512190 A 2022.12.23 CN 115512190 A 1.一种兼顾L2损失与L0损失的对抗 攻击方法， 其特 征在于， 包括以下步骤： 第一步： 首先使用Sign ‑OPT攻击产生初始对抗噪声方向θ0和距离 λ0； 第二步： 计算噪声维度不重要度矩阵β； 第三步： 使用二分搜索寻找一个阈值t， 使得将β 中高于t的值置0， 低于t的值置1后， 依 然满足f(x0+λ0θ0·β )！ ＝y0， 其中x0表示原始图像， y0表示神经 网络对x0的正确分类类别， 对 初始对抗噪声方向θ0进行维度优化得到最终噪声方向θ'＝β ·θ0。 2.根据权利要求1所述的一种兼顾L2损失与L0损失的对抗攻击方法， 其特征在于： 所述 第一步的具体步骤如下： S1： 随机生成大量的方向向量θ， 然后分别计算在每个方向上得到对抗样本所需的最短 距离g( θ )。 g( θ )最小时对应的θ即为一个初始的噪声方向， g( θ )即为初始距离λ0， θ求取方法 如下所示： S2： 求取θ 的更新方向 使得在新方向 上得到的对抗样本有 向 量 的求取采用符号梯度估计方式， 如下 所示： 其中Q表示随机 高斯采样次数， μq表示每次高斯采样向量， sign(g( θ+ε μ ) ‑g( θ ))表示符 号梯度， 计算方法如下： 重复过程S2， 得初始噪声方向θ0和对应的距离 λ0。 3.根据权利要求1所述的一种兼顾L2损失与L0损失的对抗攻击方法， 其特征在于： 所述 第二步中的具体步骤如下： S1： 随机置零θ0的一部分维度得到θ0*， θ0*求取方法如下 所示： ωi为随机分布的0\1矩阵， 然后计算x0+λ0θ0*是否为对抗样本， 得到符号矩阵Si： 其中R(·)表示将0\1矩阵中的元 素翻转， 即将0元 素变为1， 将1元 素变为0； S2： 计算符号矩阵权 重αi， 符号矩阵乘以一个相应的权值， 权值计算方法如下： L2(·)表示求L2距离， 其中γi反映每次θ0被置零的维度的信息， 计算方法如下：权　利　要　求　书 1/2 页 2 CN 115512190 A 2γi＝R(ωi)·θ0； S3： 计算噪声维度不重要度矩阵， 计算方法如下： 4.根据权利要求1所述的一种兼顾L2损失与L0损失的对抗攻击方法， 其特征在于： 所述 第三步中的具体内容如下： 通过二分搜索算法， 寻找一个阈值t， 使得t满足下述公式： 其中Bin( β, ξ )表示将β 中大于 ξ 的值置 0， 小于 ξ 的值置1； 首先取二分法的初始上界high和下界low分别为maxβ、 minβ， 然后可求得 并判断f(x0+λ0θ0Bin( β, ξ ))！ ＝y是否成立， 若成立则取high＝mid， 不成 立则low＝mid， 重复搜索过程， 直至high ‑low>10‑6时输出阈值t＝high， 得到阈值t后即可得 到最终的对抗样本x； x＝x0+λ0θ0Bin( β,t)。权　利　要　求　书 2/2 页 3 CN 115512190 A 3