0 引言
目前,神经网络由于其高效解决复杂任务的能力,特别在计算机视觉领域,受到了广泛研究和应用。神经网络本身具有高度不可解释性的黑盒性质,使其行为难以控制和解释[1]。因此在具体领域应用的安全性值得关注和重视,譬如军事、自动驾驶、医疗等。对抗样本概念由 Szegedy等[1]在2013年首次提出,即在原始图像中添加微小的扰动便可生成让神经网络模型高置信度错误分类的对抗样本。
根据攻击者对目标模型的结构和参数了解程度由高到低,依次可将对抗攻击分为白盒攻击、灰盒攻击和黑盒攻击三种。其中黑盒攻击更加接近现实情况,相比前两者具有更大的研究价值[2]。在黑盒攻击的研究中,可分为基于迁移的黑盒攻击[3]和基于访问的黑盒攻击[4]。
在基于迁移的黑盒攻击中,文献[5]在快速梯度下降方法[6]的基础上,通过在梯度方向上增加动量,使生成的对抗性样本具有更强迁移性。但此攻击方法偶然性大、适用度低,并且攻击成功率不高。在文献[7]中,Papernot通过重复学习和扩充收集的数据,使得新数据集可以更好地表示目标模型,并提出基于雅可比行列矩阵的数据集扩充方法,迭代地扩充和完善替代模型。但是,当样本图像维度很大时,计算雅可比矩阵将消耗巨大资源,并且难以完全模仿被攻击模型的决策边界,使得迁移攻击成功率降低。
由于替代模型无法完全模仿目标模型,越来越多的研究者倾向于直接估计目标模型的结构和参数信息,基于梯度估计的黑盒攻击应运而生。文献[4]利用零阶优化(ZOO)算法通过访问目标模型来估计损失函数的梯度,其本质是通过有限差分法估计梯度[8],此方法估计梯度时需要逐个对每个像素点进行估计,每次迭代都需要大量查询才能生成准确的梯度估算值,攻击效率低。文献[9]利用有限差分法生成对抗样本,在梯度估计过程中采用随机分组法,减少计算量,但是减少的效果有限,并且在ImageNet数据集上攻击成功率低。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003932。
作者信息:
宗启灼,徐茹枝,年家呈
(华北电力大学 控制与计算机工程学院,北京102206)
