隨著深度學(xué)習(xí)方法在語音識別系統(tǒng)中的廣泛應(yīng)用,尤其是在自動駕駛、身份認(rèn)證等安全等級較高的應(yīng)用,語音識別系統(tǒng)的安全問題至關(guān)重要.深度學(xué)習(xí)給語音識別系統(tǒng)帶來更便捷的訓(xùn)練步驟、更高的識別準(zhǔn)確率的同時(shí),也給系統(tǒng)的安全性帶來了潛在風(fēng)險(xiǎn).最近的研究表明深度神經(jīng)網(wǎng)絡(luò)容易受到對輸入數(shù)據(jù)添加細(xì)微擾動的對抗攻擊,導(dǎo)致模型輸出錯誤的預(yù)測結(jié)果.當(dāng)基于深度學(xué)習(xí)的語音識別系統(tǒng)被外加的細(xì)微擾動所攻擊,自動駕駛汽車將會被惡意語音攻擊執(zhí)行危險(xiǎn)操作,給自動駕駛系統(tǒng)帶來了嚴(yán)重的安全隱患.針對語音識別系統(tǒng)的安全性,本文提出了一種面向語音識別系統(tǒng)的黑盒對抗攻擊方法,采用布谷鳥搜索算法自動生成對抗語音樣本,實(shí)現(xiàn)目標(biāo)攻擊.最后,利用生成的對抗語音樣本攻擊語音識別系統(tǒng),挖掘當(dāng)前性能優(yōu)異的語音識別系統(tǒng)存在的安全漏洞,將本文提出的黑盒攻擊方法在公共語音數(shù)據(jù)集、谷歌語音命令數(shù)據(jù)集、GTZAN數(shù)據(jù)集和LibriSpeech數(shù)據(jù)集上展開實(shí)驗(yàn),驗(yàn)證了黑盒攻擊方法的有效性.更進(jìn)一步,利用對抗樣本對其他語音識別系統(tǒng)進(jìn)行攻擊,驗(yàn)證其具有較強(qiáng)攻擊遷移性,并對生成的對抗樣本進(jìn)行了主觀評價(jià)試驗(yàn),探究其隱蔽性. 

【文章來源】：小型微型計(jì)算機(jī)系統(tǒng). 2020,41(05)北大核心CSCD

【文章頁數(shù)】：11 頁

【部分圖文】：

系統(tǒng)框架

為進(jìn)一步分析對抗樣本與原樣本之間的相似性，本文在每個(gè)數(shù)據(jù)集上，成功生成的對抗樣本中，隨機(jī)選取4條樣本進(jìn)行比較，并將原始波形和對抗樣本波形疊加以可視化擾動．表3列出了所選的樣本的對應(yīng)文本，目標(biāo)短語，擾動相對強(qiáng)度等結(jié)果，為了比較所加的噪聲對原音頻的影響，將表3的結(jié)果用波形圖的形式呈現(xiàn)，如圖3～圖6所示．其中，表3中的音頻文件的命名只是為了與圖3～圖6中的波形圖對應(yīng)，與樣本的選擇無關(guān)．如圖3～圖6所示，其中淺色波形表示原音頻，深色波形表示對抗樣本，將原音頻與對抗樣本疊加后進(jìn)行比較．首先，從圖3～圖6可以發(fā)現(xiàn)所有擾動幾乎都加在原音頻波形幅值較小的位置，而這個(gè)部分通常被視為環(huán)境噪聲，這使所加擾動不易被發(fā)現(xiàn)．其次，從圖中可以發(fā)現(xiàn)，在音頻的語音部分，所加的擾動很小，因此此攻擊方法對音頻的語音部分的影響小，隱蔽性高．從圖5可以發(fā)現(xiàn)，對于GTZAN音樂數(shù)據(jù)集，所添加的擾動在各個(gè)位置的幅值都很小，這說明該攻擊方法對GTZAN音樂數(shù)據(jù)集的改動小，把指令嵌入到音樂中有極高的隱蔽性．圖4 谷歌語音命令數(shù)據(jù)集的音頻文件與相應(yīng)的對抗樣本的波形比較

谷歌語音命令數(shù)據(jù)集的音頻文件與相應(yīng)的對抗樣本的波形比較


本文編號：3622130