CN114661940B - 一种适用于黑盒攻击下快速获取语音对抗样本的方法 - Google Patents

Abstract

本发明涉及一种适用于黑盒攻击下快速获取语音对抗样本的方法，所述方法包括S1、采用二分查询算法确定原始音频x的决策边界，并配合滑动窗口法进行迭代以选择最佳攻击区域[s:e]，s初始值为0，e初始值为l，l为原始音频长度；S2、在选择的攻击区域[s:e]中的低频区域添加扰动，通过计算梯度方向确定更新步长，更新扰动并利用二分查询算法获取下次迭代的对抗样本，直至完成设定的采样次数，得到最终的对抗样本x*。该方法提高了对抗样本生成效率。

Description

一种适用于黑盒攻击下快速获取语音对抗样本的方法

技术领域

本发明涉及语音处理领域，尤其涉及一种适用于黑盒攻击下快速获取语音对抗样本的方法。

背景技术

黑盒对抗样本攻击是一种公平的评价模型安全性的指标和手段，其采用查询模型的方式生成对抗样本。现有的黑盒攻击主要应用对象都是图像领域的模型，而在语音领域未有展开相应工作。

音频数据为时间序列，是一个一维数据，包含信息量少，难以估计准确的梯度信息，而图像是二维数据，包含信息量大，空间上具有较强的信息依赖性，有着更多的信息可以利用；音频常用的每秒采样点为16000以上，而一段说话人音频通常有着4s以上的时间，这导致音频信息在单个维度上具有几万个数据点，而图像在一个维度上仅有几百个采样点，相比图像而言，音频要想获取到准确的更新方向很难；图像在归一化后通常数值范围为[0，1]，而音频对应的通常是[-1，1]。

以上种种原因，造成语音相比图像而言具有较大差异，使得黑盒攻击应用于音频领域时需要更多的查询次数，对抗样本产生难度增加，无法提供公平的评判。

发明内容

鉴于上述问题，本发明的目的在于提供一种可大大降低攻击的查询次数快速产生对抗样本的适用于黑盒攻击的方法。

为了实现上述目的，本发明的技术方案为：一种适用于黑盒攻击下快速获取语音对抗样本的方法，其特征在于：所述方法包括，

S1、采用二分查询算法确定原始音频x的决策边界，并配合滑动窗口法进行迭代以选择最佳攻击区域[s:e]，s初始值为0，e初始值为l，l为原始音频长度，

S2、在选择的攻击区域[s:e]中的低频区域添加扰动，通过计算梯度方向确定更新步长，更新扰动并利用二分查询算法获取下次迭代的对抗样本，直至完成设定的采样次数，得到最终的对抗样本x*。

进一步的，所述S1具体包括，

S11、s取临时值s_curr，对s_curr初始化为0的区域进行最小函数赋值，得到区域的临时终点e_curr＝min(s+l*α，l)以及临时音频x_curr[s_curr:e_curr]＝x^t[s_curr:e_curr]，其中，x^t为目标音频，α表示攻击区域与原始音频的长度比；

S12、以临时音频距离原始音频的距离进行二分法查询，判断该二分法查询相对原始音频间的残差规模d_curr＝||B(x,x_curr)-x||₂是否小于d以及临时音频x_curr在经过模型f后的输出f(x_curr)是否等于t，其中d表示之前搜索到的最小扰动的大小，t表示目标说话人的标签；

S13、当d_curr＜d且f(x_curr)＝t时，更新当前最佳扰动规模d＝d_curr，更新攻击区域s＝s_curr，e＝e_curr，且s_curr以w为滑动步长进行下次取值后重复S12，直至s_curr大于等于l时执行S14；

S14、以0.9*α更新收缩攻击区域α，并在当前标志位为否时，结束攻击区域的选择，而以上一次的攻击区域作为最佳攻击区域。

进一步的，所述S2采用蒙特卡洛结合有限差分方法计算当前梯度方向，公式为

其中，H表示采样个数，u_h表示随机采样的扰动，表示第i次迭代时的对抗样本，∈是一个极小的常数，取值0.001，φ表示指示函数，用于确定梯度方向。

进一步的，所述S2具体包括如下步骤，

S21、设置最佳攻击区域[s:e]的低频区域长度为l′←β·(e-s)，初始化扰动对抗样本

S22、在从[0,1]随机采样长度为l′的变量u_h，并在u_h后填充l-l′长度个0，采用逆离散余弦变换IDCT变化将u_h从频域转换回时域u_h←IDCT(u_h)，并将攻击区域以外的扰动清空，即u_h[0:s)←0、u_h(e:l]←0，直至采样次数大于H时，执行S23；

S23、通过公式计算梯度，并采用网格搜索步长法计算步长ξ_i，采用如下公式更新扰动/>

S24、更新对抗样本以得到第i+1次迭代的对抗样本，直至i取值达到预先设定的查询次数，并以最后一次迭代得到对抗样本为最终对抗样本。

进一步的，所述β取值为0.65。

与现有技术相比，本发明的优点在于：

通过将对抗样本的获取过程分为两个阶段，在第一阶段采用二分查询算法结合滑动窗口算法得到最佳攻击区域，第二阶段在第一阶段选择的最佳攻击区域基础上利用梯度方向计算结合二分查询算法，经迭代得到最终对抗样本，减少了添加扰动的范围，大大降低攻击的查询次数，提高了对抗样本的生成速度。

附图说明

图1为本申请适用于黑盒攻击下快速获取对抗样本的方法的整体结构框图。

图2为添加低频扰动对应的迭代算法结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

图1-2示出了本申请适用于黑盒攻击下快速获取对抗样本的方法图示，该方法具体包括如下，

S1、采用二分查询算法确定原始音频x的决策边界，并配合滑动窗口法进行迭代以选择最佳攻击区域[s:e]，s初始值为0，e初始值为l，l为原始音频长度，

S2、在选择的攻击区域[s:e]中的低频区域添加扰动，通过计算梯度方向确定更新步长，更新扰动并利用二分查询算法获取下次迭代的对抗样本，直至完成设定的采样次数，得到最终的对抗样本x*。

黑盒攻击算法应用于说话人识别领域的查询代价较高，本申请的整个攻击流程如图1所示，攻击流程分为两步，第一步是寻找最佳的局部攻击区域以便于减少攻击范围，提高查询准确率，第二部分采用迭代的查询算法在音频的局部低频区域添加扰动，这是因为说话人的语音能量聚集于中低频区域，在低频区域可以有效提示攻击。通过此方法可以更快的产生高质量对抗样本。

对于S1而言，其具体包括，

S11、s取临时值s_curr，对s_curr初始化为0的区域进行最小函数赋值，得到区域的临时终点e_curr＝min(s+l*α，l)以及临时音频x_curr[s_curr:e_curr]＝x^t[s_curr:e_curr]，其中，x^t为目标音频，α表示攻击区域与原始音频的长度比；

S12、以临时音频距离原始音频的距离进行二分法查询，判断该二分法查询相对原始音频间的残差规模d_curr＝||B(x,x_curr)-x||₂是否小于d以及临时音频x_curr在经过模型f后的输出f(x_curr)是否等于t，其中d表示之前搜索到的最小扰动的大小，t表示目标说话人的标签；

S13、当d_curr＜d且f(x_curr)＝t时，更新当前最佳扰动规模d＝d_curr，更新攻击区域s＝s_curr，e＝e_curr，且s_curr以w为滑动步长进行下次取值后重复S12，直至s_curr大于等于l时执行S14；

S14、以0.9*α更新收缩攻击区域α，并在当前标志位为否时，结束攻击区域的选择，而以上一次的攻击区域作为最佳攻击区域。

由于音频的时序信号是一个一维的信号，一秒通常包含16000个采样值，导致音频序列在单个维度过于冗长，直接将原始残差x^t-x作为初始的扰动方向会使得初始扰动过大而降低优化效率，因此本发明采用一个不断缩小的滑动窗口寻找具有更小扰动的攻击区域，具体如下表框所示，其中B表示二分查询算法。

算法B包括两个输入x¹，x²，该算法的目标是在两个输入间寻找一个线性划分点γ·x¹+(1-γ)x²使得在划分点左右的数据被模型分类为不同的结果，通常这个划分点被称为模型的决策边界。

该上述框图中以选择的局部区域的决策边界距离原始音频的距离作为选择的标准，目的是使得产生的残差尽可能的小。如果在某次轮迭代中查询到了更合适的区域，该表框中显示的算法将会在下一轮的滑动搜索中缩小滑动窗口的大小，以便于寻找更小的攻击区域，若在某轮中未有搜索到更合适的区域，将跳出循环，将上一次得到的攻击区域作为最佳区域。

人类说话频率聚集于中低频，因此中低频率的语音信息更丰富，因此本文在局部攻击的基础上，采用边界攻击算法对局部区域添加低频的扰动作为优化过程。整个过程如图2所示是一个迭代更新的算法，每次迭代分为三步：包括梯度方向估计、步长搜索和二分寻找决策边界。

在梯度方向估计的步骤中，我们采用蒙特卡洛加上有限差分估计估算当前的梯度方向，公式如下，

其中，H表示采样个数，u_h表示随机采样的扰动，表示第i次迭代时的对抗样本，∈是一个极小的常数，取值0.001，φ表示指示函数，用于确定梯度方向。

经过查询梯度方向后，需要确定沿着梯度方向更新的步长，本发明中套用网格搜索步长法搜索步长ξ_i，在查询步长后更新扰动公式如下：

再经过第三步得到第i+1次迭代的对抗样本。

其对应的框图算法具体如下：

简言之，即S2具体包括如下步骤，

S21、设置最佳攻击区域[s:e]的低频区域长度为l′←β·(e-s)，初始化扰动对抗样本

S22、在从[0,1]随机采样长度为l′的变量u_h，并在u_h后填充l-l′长度个0，采用逆离散余弦变换IDCT变化将u_h从频域转换回时域u_h←IDCT(u_h)，并将攻击区域以外的扰动清空，即u_h[0:s)←0、u_h(e:l]←0，直至采样次数大于H时，执行S23；

S23、通过公式计算梯度，并采用网格搜索步长法计算步长ξ_i，采用如下公式更新扰动/>

S24、更新对抗样本以得到第i+1次迭代的对抗样本，直至i取值达到预先设定的查询次数，并以最后一次迭代得到对抗样本为最终对抗样本。

如此，通过将对抗样本的获取过程分为两个阶段，在第一阶段采用二分查询算法结合滑动窗口算法得到最佳攻击区域，第二阶段在第一阶段选择的最佳攻击区域基础上利用梯度方向计算结合二分查询算法，经迭代得到最终对抗样本，减少了添加扰动的范围，大大降低攻击的查询次数，更快的产生对抗样本，为说话人识别***提供更公平公正的安全性评价手段，

且该发明不基于攻击可转移性假设，也不需要获取模型或训练集的信息，仅仅通过访问模型的预测结果进行攻击，在评价过程中不会涉及到用户模型的细节，隐私等等，在评价模型安全性的同时保护用户模型的隐私，增强了对模型安全性的评价能力，弥补了说话人识别领域黑盒攻击空白的问题。

尽管已经示出和描述了本发明的实施例，本领域技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变形，本发明的范围由权利要求及其等同物限定。

Claims (2)

1.一种适用于黑盒攻击下快速获取语音对抗样本的方法，该对抗样本用于公平的评价模型安全性，其特征在于：所述方法包括，

S1、采用二分查询算法确定原始音频x的决策边界，并配合滑动窗口法进行迭代以选择最佳攻击区域[s:e]，s初始值为0，e初始值为l，l为原始音频长度；

所述S1具体包括，

S11、s取临时值s_curr，对s_curr初始化为0的区域进行最小函数赋值，得到区域的临时终点e_curr＝min(s+l*α，l)以及临时音频x_curr[s_curr:e_curr]＝x^t[s_curr:e_curr]，其中，x^t为目标音频，α表示攻击区域与原始音频的长度比；

S12、以临时音频距离原始音频的距离进行二分法查询，判断该二分法查询相对原始音频间的残差规模d_curr＝||B(x,x_curr)-x||₂是否小于d以及临时音频x_curr在经过模型f后的输出f(x_curr)是否等于t，其中B表示二分查询算法，d表示之前搜索到的最小扰动的大小，t表示目标说话人的标签；

S13、当d_curr＜d且f(x_curr)＝t时，更新当前最佳扰动规模d＝d_curr，更新攻击区域s＝s_curr，e＝e_curr，且s_curr以w为滑动步长进行下次取值后重复S12，直至s_curr大于等于l时执行S14；

S14、以0.9*α更新收缩攻击区域α，并在当前标志位为否时，结束攻击区域的选择，而以上一次的攻击区域作为最佳攻击区域；

S2、在选择的攻击区域[s:e]中的低频区域添加扰动，通过计算梯度方向确定更新步长，更新扰动并利用二分查询算法获取下次迭代的对抗样本，直至完成设定的采样次数，得到最终的对抗样本x*；

所述S2具体包括如下步骤，

S21、设置最佳攻击区域[s:e]的低频区域长度为l′←β·(e-s)，初始化扰动对抗样本β为低频区域占比；

S22、在从[0,1]随机采样长度为l′的变量u_h，并在u_h后填充l-l′长度个0，采用逆离散余弦变换IDCT变化将u_h从频域转换回时域u_h←IDCT(u_h)，并将攻击区域以外的扰动清空，即u_h[0:s)←0、u_h(e:l]←0，直至采样次数大于H时，执行S23；

S23、通过公式计算梯度，

其中H表示采样个数，u_h表示随机采样的扰动，/>表示第i次迭代时的对抗样本，∈是一个极小的常数，取值0.001，φ表示指示函数，用于确定梯度方向；并采用网格搜索步长法计算步长ξ_i，采用如下公式更新扰动/>

S24、更新对抗样本以得到第i+1次迭代的对抗样本，直至i取值达到预先设定的查询次数，并以最后一次迭代得到对抗样本为最终对抗样本。

2.根据权利要求1所述适用于黑盒攻击下快速获取语音对抗样本的方法，其特征在于：

所述β取值为0.65。