国产在线乱码一区二区三区,欧洲亚洲免费视频,九九九九九精品

一種基于局部平均有限差分的黑盒對抗攻擊方法

信息技術與網絡安全 1期

宗啟灼，徐茹枝，年家呈

(華北電力大學控制與計算機工程學院，北京102206)

摘要： 在黑盒攻擊領域，目前主流方法是利用對抗樣本遷移性實現對抗攻擊，然而此類方法效果不佳。為此提出一種基于訪問的黑盒攻擊方法，此方法運用有限差分法直接估計樣本在目標模型中的損失函數梯度。為提高攻擊效率，算法在兩方面進行優化：第一，在估計梯度時，固定區域內使用平均像素值代替區域所有像素值進行有限差分，從而每個區域只需計算一次梯度；第二，在迭代生成對抗樣本時，提出復用多代梯度生成對抗擾動的思想，顯著減少攻擊迭代次數。經過大量實驗驗證，在MNIST、CIFAR-10和ImageNet中迭代的非目標攻擊分別獲得了99.8％、99.9％和85.8％的攻擊成功率，領先當今大多數黑盒攻擊算法。

關鍵詞： 圖像識別對抗樣本局部平均有限差分黑盒攻擊

中圖分類號： TP183
文獻標識碼： A
DOI： 10.19358/j.issn.2096-5133.2022.01.004
引用格式：宗啟灼，徐茹枝，年家呈. 一種基于局部平均有限差分的黑盒對抗攻擊方法[J].信息技術與網絡安全，2022，41(1)：23-29，36.

A black-box adversarial attack method based on local average finite difference

Zong Qizhuo，Xu Ruzhi，Nian Jiacheng

(School of Control and Computer Engineering，North China Electric Power University，Beijing 102206，China)

Abstract： In the field of black box attacks, the current main method is to use the migration of adversarial samples to achieve adversarial attacks. However, the current methods are not effective. For this reason, this paper proposes an access-based black box attack method, which uses the finite difference method to directly estimate the gradient of the loss function of the sample in the target model. In order to improve the efficiency of the attack, the algorithm is optimized in two aspects. Firstly, in the finite difference process, the average pixel value in a fixed area is used instead of each pixel value in the area, so that each area only needs to be calculated once. Secondly, when generating adversarial samples iteratively, the idea of reusing multiple generations of gradient generation to resist disturbance is proposed, which significantly reduces the number of attack iterations. After a lot of experimental verification, the iterative non-target attacks in MNIST, CIFAR-10 and ImageNet have achieved 99.8%, 99.9% and 85.8% attack success rates respectively, leading most of today′s black box attack algorithms.

Key words : image recognition；adversarial sample；local average finite difference；black box attack

0 引言

目前，神經網絡由于其高效解決復雜任務的能力，特別在計算機視覺領域，受到了廣泛研究和應用。神經網絡本身具有高度不可解釋性的黑盒性質，使其行為難以控制和解釋[1]。因此在具體領域應用的安全性值得關注和重視，譬如軍事、自動駕駛、醫療等。對抗樣本概念由 Szegedy等[1]在2013年首次提出，即在原始圖像中添加微小的擾動便可生成讓神經網絡模型高置信度錯誤分類的對抗樣本。

根據攻擊者對目標模型的結構和參數了解程度由高到低，依次可將對抗攻擊分為白盒攻擊、灰盒攻擊和黑盒攻擊三種。其中黑盒攻擊更加接近現實情況，相比前兩者具有更大的研究價值[2]。在黑盒攻擊的研究中，可分為基于遷移的黑盒攻擊[3]和基于訪問的黑盒攻擊[4]。

在基于遷移的黑盒攻擊中，文獻[5]在快速梯度下降方法[6]的基礎上，通過在梯度方向上增加動量，使生成的對抗性樣本具有更強遷移性。但此攻擊方法偶然性大、適用度低，并且攻擊成功率不高。在文獻[7]中，Papernot通過重復學習和擴充收集的數據，使得新數據集可以更好地表示目標模型，并提出基于雅可比行列矩陣的數據集擴充方法，迭代地擴充和完善替代模型。但是，當樣本圖像維度很大時，計算雅可比矩陣將消耗巨大資源，并且難以完全模仿被攻擊模型的決策邊界，使得遷移攻擊成功率降低。

由于替代模型無法完全模仿目標模型，越來越多的研究者傾向于直接估計目標模型的結構和參數信息，基于梯度估計的黑盒攻擊應運而生。文獻[4]利用零階優化(ZOO)算法通過訪問目標模型來估計損失函數的梯度，其本質是通過有限差分法估計梯度[8]，此方法估計梯度時需要逐個對每個像素點進行估計，每次迭代都需要大量查詢才能生成準確的梯度估算值，攻擊效率低。文獻[9]利用有限差分法生成對抗樣本，在梯度估計過程中采用隨機分組法，減少計算量，但是減少的效果有限，并且在ImageNet數據集上攻擊成功率低。

本文詳細內容請下載：http://m.jysgc.com/resource/share/2000003932。

作者信息：

宗啟灼，徐茹枝，年家呈

(華北電力大學控制與計算機工程學院，北京102206)

原創聲明：此內容為AET網站原創，未經授權禁止轉載。

相關內容