面向语音识别系统的黑盒对抗攻击方法
发布时间:2022-02-12 17:23
随着深度学习方法在语音识别系统中的广泛应用,尤其是在自动驾驶、身份认证等安全等级较高的应用,语音识别系统的安全问题至关重要.深度学习给语音识别系统带来更便捷的训练步骤、更高的识别准确率的同时,也给系统的安全性带来了潜在风险.最近的研究表明深度神经网络容易受到对输入数据添加细微扰动的对抗攻击,导致模型输出错误的预测结果.当基于深度学习的语音识别系统被外加的细微扰动所攻击,自动驾驶汽车将会被恶意语音攻击执行危险操作,给自动驾驶系统带来了严重的安全隐患.针对语音识别系统的安全性,本文提出了一种面向语音识别系统的黑盒对抗攻击方法,采用布谷鸟搜索算法自动生成对抗语音样本,实现目标攻击.最后,利用生成的对抗语音样本攻击语音识别系统,挖掘当前性能优异的语音识别系统存在的安全漏洞,将本文提出的黑盒攻击方法在公共语音数据集、谷歌语音命令数据集、GTZAN数据集和LibriSpeech数据集上展开实验,验证了黑盒攻击方法的有效性.更进一步,利用对抗样本对其他语音识别系统进行攻击,验证其具有较强攻击迁移性,并对生成的对抗样本进行了主观评价试验,探究其隐蔽性.
【文章来源】:小型微型计算机系统. 2020,41(05)北大核心CSCD
【文章页数】:11 页
【部分图文】:
系统框架
为进一步分析对抗样本与原样本之间的相似性,本文在每个数据集上,成功生成的对抗样本中,随机选取4条样本进行比较,并将原始波形和对抗样本波形叠加以可视化扰动.表3列出了所选的样本的对应文本,目标短语,扰动相对强度等结果,为了比较所加的噪声对原音频的影响,将表3的结果用波形图的形式呈现,如图3~图6所示.其中,表3中的音频文件的命名只是为了与图3~图6中的波形图对应,与样本的选择无关.如图3~图6所示,其中浅色波形表示原音频,深色波形表示对抗样本,将原音频与对抗样本叠加后进行比较.首先,从图3~图6可以发现所有扰动几乎都加在原音频波形幅值较小的位置,而这个部分通常被视为环境噪声,这使所加扰动不易被发现.其次,从图中可以发现,在音频的语音部分,所加的扰动很小,因此此攻击方法对音频的语音部分的影响小,隐蔽性高.从图5可以发现,对于GTZAN音乐数据集,所添加的扰动在各个位置的幅值都很小,这说明该攻击方法对GTZAN音乐数据集的改动小,把指令嵌入到音乐中有极高的隐蔽性.图4 谷歌语音命令数据集的音频文件与相应的对抗样本的波形比较
谷歌语音命令数据集的音频文件与相应的对抗样本的波形比较
本文编号:3622130
【文章来源】:小型微型计算机系统. 2020,41(05)北大核心CSCD
【文章页数】:11 页
【部分图文】:
系统框架
为进一步分析对抗样本与原样本之间的相似性,本文在每个数据集上,成功生成的对抗样本中,随机选取4条样本进行比较,并将原始波形和对抗样本波形叠加以可视化扰动.表3列出了所选的样本的对应文本,目标短语,扰动相对强度等结果,为了比较所加的噪声对原音频的影响,将表3的结果用波形图的形式呈现,如图3~图6所示.其中,表3中的音频文件的命名只是为了与图3~图6中的波形图对应,与样本的选择无关.如图3~图6所示,其中浅色波形表示原音频,深色波形表示对抗样本,将原音频与对抗样本叠加后进行比较.首先,从图3~图6可以发现所有扰动几乎都加在原音频波形幅值较小的位置,而这个部分通常被视为环境噪声,这使所加扰动不易被发现.其次,从图中可以发现,在音频的语音部分,所加的扰动很小,因此此攻击方法对音频的语音部分的影响小,隐蔽性高.从图5可以发现,对于GTZAN音乐数据集,所添加的扰动在各个位置的幅值都很小,这说明该攻击方法对GTZAN音乐数据集的改动小,把指令嵌入到音乐中有极高的隐蔽性.图4 谷歌语音命令数据集的音频文件与相应的对抗样本的波形比较
谷歌语音命令数据集的音频文件与相应的对抗样本的波形比较
本文编号:3622130
本文链接:https://www.wllwen.com/kejilunwen/xinxigongchenglunwen/3622130.html
