目的 对抗样本是指在原始数据中添加细微干扰使深度模型输出错误结果的合成数据.视觉感知性和攻击成功率是评价对抗样本的两个关键指标.当前大多数对抗样本研究侧重于提升算法的攻击成功率,对视觉感知性的关注较少.为此,本文提出了一种低感知性对抗样本生成算法,构造的对抗样本在保证较高攻击成功率的情况下具有更低的视觉感知性.方法 提出在黑盒条件下通过约束对抗扰动的面积与空间分布以降低对抗样本视觉感知性的方法.利用卷积网络提取图像中对输出结果影响较大的关键区域作为约束,限定扰动的位置.之后结合带有自注意力机制的生成对抗网络在关键区域添加扰动,最终生成具有低感知性的对抗样本.结果 在3种公开分类数据集上与多种典型攻击方法进行比较,包括7种白盒算法FGSM(fast gradient sign method)、BIM(basic iter-ative method)、DeepFool、PerC-C&W(perceptual color distance C&W)、JSMA(Jacobian-based saliency map attacks)、APGD(auto projected gradient descent)、AutoAttack和2种黑盒算法OnePixel、AdvGAN(adversarial generative adversar-ial network).在攻击成功率(attack success rate,ASR)上,本文算法与对比算法处于同一水平.在客观视觉感知性对比中,本文算法较AdvGAN在低分辨率数据集上,均方误差(mean square error,MSE)值降低了42.1％,结构相似性值(structural similarity,SSIM)提升了8.4％;在中高分辨率数据集上,MSE值降低了72.7％,SSIM值提升了12.8％.与视觉感知性最好的对比算法DeepFool相比,在低分辨率数据集上,本文算法的MSE值降低了29.3％,SSIM值提升了0.8％.结论 本文分析了当前算法在视觉感知性上存在的问题,提出了一种对抗样本生成方法,在攻击成功率近似的情况下显著降低了对抗样本的视觉感知性.

对抗样本;视觉感知性;对抗扰动;生成对抗网络(GAN);黑盒攻击

王杨;曹铁勇;杨吉斌;郑云飞;方正;邓小桐

陆军工程大学指挥控制工程学院,南京 210007;陆军炮兵防空兵学院南京校区火力系,南京 211100;安徽省偏振成像与探测重点实验室,合肥 230031

中国图象图形学报

[1]王杨;曹铁勇;杨吉斌;郑云飞;方正;邓小桐-.结合扰动约束的低感知性对抗样本生成方法)[J].中国图象图形学报,2022(07):2287-2299

视觉感知性,iter,PerC,AutoAttack,OnePixel,AdvGAN,adversar

对抗样本生成,生成方法,原始数据,加细,细微,深度模型,模型输出,出错,合成数据,关键指标,大多数对,对视,生成算法,过约束,对抗扰动,卷积网络,输出结果,结果影响,关键区域,自注意力机制,生成对抗网络,加扰,终生,分类数据,攻击方法,FGSM,fast,gradient,sign,method,BIM,basic,DeepFool,perceptual,color,distance,JSMA,Jacobian,saliency,map,attacks,APGD,auto,projected,descent,adversarial,generative,network,success,rate,ASR,对比算法,低分辨率,均方误差,mean,square,error,MSE,结构相似性,structural,similarity,SSIM,黑盒攻击

0.286516