(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211157051.6 (22)申请日 2022.09.22 (71)申请人 中国海洋大学 地址 266100 山东省青岛市崂山区松岭路 238号 (72)发明人 夏辉　张睿　康姿　姜曙亮　 封学财　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 崔清杨 (51)Int.Cl. G06V 10/34(2022.01) G06V 10/764(2022.01) G06F 21/55(2013.01) (54)发明名称 一种黑盒对抗攻击方法、 装置、 设备及存储 介质 (57)摘要 本申请公开了一种黑盒对抗攻击方法、 装 置、 设备及存储介质， 涉及对抗攻击技术领域， 包 括： 对原始图像中的所有线性纹理特征进行平滑 处理得到初始对抗样本集； 分别判断初始对抗样 本集中的图像是否能够欺骗预先创建的目标分 类器， 若是则记录能够欺骗目标分类器的图像， 得到候选对抗样本集； 分别判断候选对抗样本集 中的图像与原始 图像之间的差异是否满足预设 的视觉不易感知条件， 若满足则将满足视觉不易 感知条件的图像作为目标对抗样 本。 本申请在原 始图像中平滑掉对视觉来说无意义但对深度神 经网络却十分重要的细微纹理特征来生成对抗 样本， 能够不依赖目标模型的细节构造， 使生成 的对抗样 本具有较强的迁移性和规避能力， 并具 有较高的攻击成功率。 权利要求书2页 说明书10页 附图2页 CN 115471664 A 2022.12.13 CN 115471664 A 1.一种黑盒对抗 攻击方法， 其特 征在于， 包括： 对原始图像中的所有 线性纹理特征进行平 滑处理， 以得到初始对抗样本集； 分别判断所述初始对抗样本集中的图像是否能够欺骗预先创建的目标分类器， 若是则 记录能够欺骗所述目标分类 器的图像， 得到候选对抗样本集； 分别判断所述候选对抗样本集中的图像与所述原始图像之间的差异是否满足预设的 视觉不易感知条件； 若所述差异满足预设的所述视觉不易感知条件， 则将满足所述视觉不易感知条件的图 像作为目标对抗样本 。 2.根据权利要求1所述的黑盒对抗攻击方法， 其特征在于， 所述对原始图像中的所有线 性纹理特征进行平 滑处理， 以得到初始对抗样本集， 包括： 利用预先创建的Gabor滤波器对原始图像中的所有线性纹理特征进行平滑处理， 得到 初始对抗样本集。 3.根据权利要求2所述的黑盒对抗攻击方法， 其特征在于， 所述利用预先创建的Gabor 滤波器对原 始图像中的所有 线性纹理特征进行平 滑处理， 得到初始对抗样本集， 包括： 利用预先创建的Gabor滤波器并通过所述Gabor滤波器中记录的滤波核尺度与平行条 带方向的不同参数组合对原始图像中的所有线性纹理特征进 行平滑处理， 得到初始对抗样 本集。 4.根据权利要求3所述的黑盒对抗 攻击方法， 其特 征在于， 还 包括： 通过距离约束阈值确定出有效的所述滤波核尺度与所述平行条带方向的不同参数组 合。 5.根据权利要求4所述的黑盒对抗攻击方法， 其特征在于， 所述通过距离约束阈值确定 出有效的所述滤波 核尺度与所述平行 条带方向的不同参数组合， 包括： 通过距离约束阈值确定出有效的所述滤波核尺度与所述平行条带方向的不同参数组 合， 得到第一 参数组合； 按照结构相似性指标去除所述第 一参数组合中无效的参数组合， 得到有 效的所述滤波 核尺度与所述平行条带方向的不同参数组合； 所述结构相似性指标由亮度对比、 对比度对 比、 结构对比三部分组成。 6.根据权利要求5所述的黑盒对抗攻击方法， 其特征在于， 所述按照结构相似性指标去 除所述第一参数组合中无效的参数组合， 得到有效的所述滤波核尺度与所述平行条带方向 的不同参数组合， 包括： 按照结构相似性指标去除所述第一 参数组合中无效的参数组合， 得到第二 参数组合； 通过预先设置的归一化后的均方误差阈值去除所述第二班参数组合中攻击成功率低 于预设阈值的参数组合， 得到有效的所述滤波核尺度与所述平行条带方向的不同参数组 合。 7.根据权利要求6所述的黑盒对抗攻击方法， 其特征在于， 所述通过预先设置的归一化 后的均方误差阈值去除所述第二班参数组合中攻击成功 率低于预设阈值的参数组合， 得到 有效的所述滤波 核尺度与所述平行 条带方向的不同参数组合， 包括： 通过预先设置的归一化后的均方误差阈值去除所述第二班参数组合中攻击成功率低 于预设阈值的参数组合， 得到第三 参数组合；权　利　要　求　书 1/2 页 2 CN 115471664 A 2利用L∞范数去除所述第 三参数组合中无效的参数组合， 得到有效的所述滤波核尺度与 所述平行 条带方向的不同参数组合。 8.一种黑盒对抗 攻击装置， 其特 征在于， 包括： 纹理特征平滑模块， 用于对原始图像中的所有线性纹理特征进行平滑处理， 以得到初 始对抗样本集； 第一判断模块， 用于分别判断所述初始对抗样本集中的图像是否能够欺骗预先创建的 目标分类 器； 候选对抗样本生成模块， 用于如果所述初始对抗样本集中的图像能够欺骗预先创建的 所述目标分类 器， 则记录能够欺骗所述目标分类 器的图像， 得到候选对抗样本集； 第二判断模块， 用于分别判断所述候选对抗样本集中的图像与 所述原始图像之间的差 异是否满足预设的视 觉不易感知条件； 目标对抗样本生成模块， 用于如果所述差异满足预设的所述视觉不易感知条件， 则将 满足所述视 觉不易感知条件的图像作为目标对抗样本 。 9.一种电子设备， 其特征在于， 包括处理器和存储器； 其中， 所述处理器执行所述存储 器中保存的计算机程序时实现如权利要求1至7任一项所述的黑盒对抗 攻击方法。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机程序； 其中， 所述计算机程 序被处理器执行时实现如权利要求1至7任一项所述的黑盒对抗 攻击方法。权　利　要　求　书 2/2 页 3 CN 115471664 A 3