随着深度学习相关技术在计算机视觉、自然语言处理等领域的快速发展和广泛应用,深度学习模型逐渐成为了高价值攻击目标,其固有的易受噪声干扰的安全隐患也逐步暴露出来,如基于生成对抗网络(GAN)或机器学习的方式,通过添加少量特定的噪声来生成对抗样本,导致现有的深度学习模型失效.目前的对抗攻击技术一般针对特定深度学习模型,使用海量算力搜索特定扰动噪声,无论是GAN还是传统机器学习方式,其计算效率和对抗攻击成功率受制于数据、算力和模型网络结构.为了解决对抗攻击的计算效率和对抗攻击成功率问题,着眼于深度学习模型的结构化分析,以ResNeXt50/ResNeXt101为例,基于数据增强技术,经过调制干预,由非序列图像数据生成序列数据,进而分析ResNeXt50/ResNeXt101模型的结构弱点-时不变稳定结构,提出一种基于Wasserstein距离,仅需少量样本即可定位该结构性弱点的方法,最后基于L范数提出一种针对其结构性弱点的新型对抗攻击方法,对算力、数据的要求大幅下降.基于ImageNet数据集的测试表明,新方法能大幅降低对抗攻击所需的算力要求,以C&W方法为基准进行的理论分析和实验结果均表明,在同样环境下,该对抗攻击方法的成功率为0.99,相对于C&W方法提高了5.32％;平均攻击时间为6.52 s,相对于C&W算法降低了10.81％;对抗样本的失真度为0.50,相对于C&W算法降低了18.03％,各指标分析均表明本方法显著优于C&W方法.

对抗攻击;时不变稳定结构;Wasserstein距离;小样本学习;ResNeXt

王志勇;邢凯;邓洪武;李亚鸣;胡璇

中国科学技术大学 网络空间安全学院,合肥 230026;中国科学技术大学 苏州研究院,江苏 苏州 215123

计算机工程与应用

[1]王志勇;邢凯;邓洪武;李亚鸣;胡璇-.基于小样本学习和因果干预的ResNeXt对抗攻击)[J].计算机工程与应用,2022(07):68-76

时不变稳定结构

小样本学习,因果干预,对抗攻击,计算机视觉,自然语言处理,深度学习模型,高价值,攻击目标,噪声干扰,生成对抗网络,GAN,来生,对抗样本,攻击技术,定深,用海,量算,算力,学习方式,计算效率,受制于,结构化分析,ResNeXt50,ResNeXt101,数据增强技术,过调制,制干,序列图像,图像数据,数据生成,序列数据,弱点,Wasserstein,少量样本,范数,攻击方法,ImageNet,测试表明,失真度,指标分析,法显

0.285708