深度神经网络在物体检测、图像分类、自然语言处理、语音识别等众多领域上得到广泛应用.然而,深度神经网络很容易受到对抗样本(即在原有样本上施加人眼无法察觉的微小扰动)的攻击,而且相同的扰动可以跨模型、甚至跨任务地欺骗多个分类器.对抗样本这种跨模型迁移特性,使得深度神经网络在实际生活的应用受到了很大限制.对抗样本对神经网络的威胁,激发了研究者对对抗攻击的研究兴趣.虽然研究者们已提出了不少对抗攻击方法,但是大多数这些方法(特别是黑盒攻击方法)的跨模型的攻击能力往往较差,尤其是对经过对抗训练、输入变换等的防御模型.为此,提出了一种提高对抗样本可迁移性的方法:RLI-CI-FGSM.RLI-CI-FGSM是一种基于迁移的攻击方法,在替代模型上,使用基于梯度的白盒攻击RLI-FGSM生成对抗样本,同时使用CIM扩充源模型,使RLI-FGSM能够同时攻击替代模型和扩充模型.具体而言,RLI-FGSM算法将Radam优化算法与迭代快速符号下降法相结合,并利用目标函数的二阶导信息来生成对抗样本,避免优化算法陷入较差的局部最优.基于深度神经网络具有一定的颜色变换不变性,CIM算法通过优化对颜色变换图像集合的扰动,针对防御模型生成更多可迁移的对被攻击的白盒模型不那么敏感的对抗样本.实验结果表明,该方法在一般网络和对抗网络模型上都取得了更高的成功率.

对抗样本;对抗攻击;黑盒攻击;可迁移性;基于迁移的攻击

丁佳;许智武

深圳大学 计算机与软件学院, 广东 深圳 518060

软件学报

[1]丁佳;许智武-.基于Rectified Adam和颜色不变性的对抗迁移攻击)[J].软件学报,2022(07):2525-2537

Rectified,RLI,基于迁移的攻击,Radam

Adam,不变性,对抗迁移,深度神经网络,物体检测,图像分类,自然语言处理,语音识别,上得,对抗样本,有样,加人,人眼,察觉,小扰动,欺骗,分类器,模型迁移,迁移特性,实际生活,对对,对抗攻击,研究兴趣,攻击方法,黑盒攻击,攻击能力,对抗训练,防御模型,可迁移性,FGSM,替代模型,白盒攻击,生成对抗,CIM,充模,降法,来生,局部最优,颜色变换,变换图,模型生成,盒模型,对抗网络

0.294948