• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    Nesterov動(dòng)量迭代降噪對(duì)抗攻擊算法NMI-FGSM & Whey

    2021-07-08 08:27:44陶永才李子晨石育澄
    關(guān)鍵詞:白盒黑盒擾動(dòng)

    陶永才,李子晨,石育澄,石 磊,,衛(wèi) 琳

    1(鄭州大學(xué) 信息工程學(xué)院,鄭州 450001)2(鄭州大學(xué) 軟件學(xué)院,鄭州 450002)

    1 引 言

    隨著深度學(xué)習(xí)的發(fā)展,應(yīng)用于深度神經(jīng)網(wǎng)絡(luò)(Deep neural network)的一些機(jī)器學(xué)習(xí)任務(wù)取得了重大成果.如圖像分類[1],語音識(shí)別[2],自然語言處理[3]等.最近研究發(fā)現(xiàn),深度學(xué)習(xí)很容易受到一些精心設(shè)計(jì)的輸入樣本的影響,這些通常被稱為對(duì)抗樣本[4](Adversarial example)的輸入可以輕易地愚弄一個(gè)性能良好的深度學(xué)習(xí)模型,且不易被人肉眼察覺.受這一現(xiàn)象影響,對(duì)于深度學(xué)習(xí)模型在安全和安保領(lǐng)域的探索變得更加敏感且具有很強(qiáng)的現(xiàn)實(shí)意義.通過研究對(duì)抗樣本,可以有助于理解神經(jīng)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),以便進(jìn)一步提高神經(jīng)網(wǎng)絡(luò)的魯棒性.

    近年來的研究表明,對(duì)抗樣本能以較高的置信度欺騙現(xiàn)有且已經(jīng)成熟的圖像分類模型[5].如圖 1 所示.原先的圖片以94.39%的置信度被分類為阿爾卑斯山,加上算法生成的噪聲之后以99.99%的置信度被分類為狗,出于觀察角度而言現(xiàn)這是不可思議的.通常來說,攻擊者給圖片添加擾動(dòng)的目的包含于以下3條[6]:1)降低圖片輸出置信度;2)輸出與正確分類不同的任何類,又稱為非目標(biāo)攻擊(non-targeted attack);3)輸出與正確分類不同的指定類(targeted attack).白盒攻擊指對(duì)目標(biāo)模型的結(jié)構(gòu)和參數(shù)等信息完全了解.許多方法可以以白盒的方式成功生成對(duì)抗樣本,如基于梯度的FGSM[7]方法、基于優(yōu)化的L-BFGS[4]方法、基于雅可比顯著圖的JSMA[8]方法以及基于Lp范式的C & W[9]方法.黑盒攻擊[10]假設(shè)攻擊者對(duì)模型知識(shí)有限,一般只知道模型所應(yīng)用于某種類型的任務(wù),而對(duì)模型的結(jié)構(gòu)和參數(shù)等重要信息一概不知.在這種情況下,通過訓(xùn)練良好的替代模型從而生成對(duì)抗樣本,再利用神經(jīng)網(wǎng)絡(luò)之間的遷移性對(duì)目標(biāo)模型進(jìn)行攻擊[11],已經(jīng)成為了一種主流的黑盒攻擊方法.

    圖1 對(duì)抗樣本攻擊實(shí)例Fig.1 Example of adversarial example attack

    回歸物理世界,多數(shù)情況下對(duì)于攻擊模型的具體信息一般很難被攻擊者知曉,于是著眼于黑盒攻擊的研究變得更具有現(xiàn)實(shí)意義[12].然而,白盒攻擊方法在攻擊黑盒模型時(shí)展現(xiàn)出較低的性能,這主要?dú)w因于攻擊能力和遷移性之間的權(quán)衡問題.針對(duì)這一情況,2018年,Yinpeng Dong等[13]提出MI-FGSM攻擊算法,在迭代攻擊的基礎(chǔ)上添加了動(dòng)量項(xiàng),并在實(shí)驗(yàn)中取得了良好的效果,但其只是簡單地設(shè)置了最大擾動(dòng)值,并未關(guān)注噪聲冗余這一現(xiàn)象.2019年,Yucheng Shi等[14]提出了Whey優(yōu)化,一定程度上解決了生成對(duì)抗樣本圖片時(shí)噪聲過多的問題.本文主要圍繞黑盒情境中的非目標(biāo)攻擊任務(wù)展開,針對(duì)通過研究圖像分類任務(wù)中攻擊能力和可遷移性之間的權(quán)衡以及噪聲過多現(xiàn)象,提出了NMI-FGSM & Whey攻擊方法.本文創(chuàng)新點(diǎn)如下:

    1)提出一種基于Nesterov-Momentum優(yōu)化的對(duì)抗攻擊方法,增強(qiáng)對(duì)抗攻擊的魯棒性.

    2)加入Whey優(yōu)化,在保證攻擊魯棒性的情況下,減少對(duì)抗樣本中的噪聲.

    3)通過NMI-FGSM & Whey方法在單模型及融合模型上生成對(duì)抗樣本,對(duì)比探究其在不同情況下攻擊效果.

    2 相關(guān)工作

    針對(duì)圖像識(shí)別領(lǐng)域的對(duì)抗樣本研究可追溯到2014年,Szegedy等人首先發(fā)現(xiàn)深度神經(jīng)網(wǎng)絡(luò)很容易受到一類添加過微小擾動(dòng)圖像的愚弄[4].這種有趣的現(xiàn)象引起了人們的高度關(guān)注.具體來講,對(duì)抗任務(wù)可以描述為:x是輸入的原始樣本,f(x)是一個(gè)已經(jīng)受過良好訓(xùn)練的模型,是分類器針對(duì)原始輸入x所給出的正確預(yù)測(cè)(ground-truth).η為通過某種方法所生成的擾動(dòng),將該擾動(dòng)添加于原始樣本,從而生成對(duì)抗樣本xadv.分類器預(yù)測(cè)對(duì)抗樣本的標(biāo)簽為y′,最終目標(biāo)是使得y≠y′.通常對(duì)抗攻擊方法使用Lp范數(shù)的值來限制原始圖像與對(duì)抗樣本的噪聲大小[9],其中p一般取值為0,1,2,∞.具體如公式(1)所示.

    (1)

    許多攻擊方法基于以上任務(wù)描述產(chǎn)生.簡單的一步生成方法[15]由于可以快速生成對(duì)抗樣本,相比較而言它們?cè)诤诤泄糁械男Ч?而基于迭代的方法由于實(shí)現(xiàn)的難度增加且需要更多的處理時(shí)間,因此在白盒攻擊中占據(jù)主權(quán)[5].接下來將攻擊方法總分為3類并對(duì)其進(jìn)行介紹.

    基于優(yōu)化的攻擊方法.Szegedy等人首先揭示了深度神經(jīng)網(wǎng)絡(luò)對(duì)對(duì)抗性例子的敏感性,并緊接著提出使用有限存儲(chǔ)盒約束優(yōu)化L-BFGS[4]來直接逼近對(duì)抗樣本與原始輸入之間的距離,從而得到最小擾動(dòng).其標(biāo)準(zhǔn)形式如公式(2)所示.

    (2)

    其中J是以交叉熵為典型代表的損失函數(shù).它通過使用盒約束(Box-constraint)方法最小化了真實(shí)輸入與對(duì)樣本之間的距離,同時(shí)達(dá)到了攻擊目的.但其由于復(fù)雜的計(jì)算問題使得訓(xùn)練過程較為緩慢,此外,其在黑盒攻擊中呈現(xiàn)出的低魯棒性等原因使得它在面對(duì)大型數(shù)據(jù)集時(shí)并不是一個(gè)好的選擇.同樣的,基于超平面分類思想的Deepfool[16]攻擊方法本質(zhì)也是基于Lp距離的優(yōu)化,這里不再贅述.

    基于一步生成的攻擊方法.Goodfellow等人提出對(duì)抗樣本的存在因于深度神經(jīng)網(wǎng)絡(luò)的高層的線性結(jié)果,從而提出FGSM[7]攻擊.這是一種基于梯度生成對(duì)抗樣本的算法,也是一種經(jīng)典的一步(one-step)攻擊方法.其目標(biāo)為最大化交叉熵?fù)p失函數(shù)以獲取對(duì)抗樣本xadv.公式(3)揭示了其對(duì)抗樣本的生成過程.

    η=ε·sign(?xJ(x,y)),
    xadv=x+η

    (3)

    ε是控制噪聲大小的超參數(shù),sign代表sign函數(shù).值得一提的是,一般FGSM方法生成的對(duì)抗樣本需要滿足L∞約束從而可以推廣到L2約束演變成如公式(4)所示的FGM方法.

    (4)

    FGSM因?yàn)橄啾扔贚-BFGS而言更加迅速從而在白盒攻擊中廣泛使用,但其在黑盒攻擊中仍表現(xiàn)出較低的魯棒性.

    基于迭代的攻擊方法.I-FGSM[12]是FGSM的迭代版本,如公式(5)所示,它以一個(gè)小的步長?對(duì)FGSM進(jìn)行多次使用,同時(shí)為了使對(duì)抗樣本滿足Lp約束,其在每次迭代過后會(huì)對(duì)圖像進(jìn)行像素裁剪.?一般設(shè)置為為ε/T,T為最大迭代次數(shù).

    (5)

    I-FGSM在白盒攻擊中取得了近乎完美的效果,但最終實(shí)驗(yàn)表明,隨著迭代次數(shù)的增加,增加或減小步長?已經(jīng)沒有多大意義,最終效果并無明顯改善.同時(shí)其在黑盒攻擊中所表現(xiàn)出的遷移能力也并不高效.

    3 NMI-FGSM & Whey攻擊

    3.1 MI-FGSM算法

    由于一般的SGD算法較為容易收斂到局部最優(yōu),在某些情況更易受困于鞍點(diǎn),同時(shí)普通的迭代方法在黑盒攻擊中并未表現(xiàn)出較高的成功率.2018年,Yinpeng Dong等人[13]提出MI-FGSM攻擊算法.該算法通過在迭代法中引入動(dòng)量項(xiàng)使得噪聲增加方向平滑,從而避免了迭代過程中可能出現(xiàn)的更新震蕩和落入較差的局部極值等問題,并成功生成了能夠欺騙目標(biāo)模型的對(duì)抗樣本.基礎(chǔ)迭代方法將每一步計(jì)算的當(dāng)前梯度累加到對(duì)抗樣本,所以基本無法愚弄未知的黑盒模型.因此,盡管I-FGSM等方法在白盒攻擊中所達(dá)到的效果已經(jīng)接近極值,但在模擬現(xiàn)實(shí)物理世界應(yīng)用的黑盒情況下仍舊受到很大的限制.

    為了提升在黑盒情境下的攻擊效果,MI-FGSM攻擊在攻擊中加入動(dòng)量項(xiàng)進(jìn)行迭代.通過設(shè)置衰減因子μ來控制動(dòng)量項(xiàng)momentum對(duì)迭代本身的影響.該算法假設(shè)最大迭代次數(shù)為T,定義gt收集每一次迭代的梯度,并通過μ來控制當(dāng)前迭代對(duì)下一次迭代的影響程度.同時(shí)受FGM啟發(fā)使得梯度由自身的L1距離規(guī)范化,從而使得下一次梯度改變方向時(shí)能夠減少更新.一般I-FGSM在攻擊目標(biāo)模型時(shí),隨著迭代次數(shù)增加容易出現(xiàn)過擬合等現(xiàn)象,并在攻擊黑盒模型時(shí)呈現(xiàn)出較差的結(jié)果.而MI-FGSM在有效攻擊白盒模型的同時(shí),也保留了一定的遷移能力進(jìn)行黑盒攻擊.該算法通過公式(6)所示的內(nèi)容生成新的對(duì)抗樣本.

    (6)

    3.2 Whey優(yōu)化算法

    現(xiàn)有的大部分攻擊在生成對(duì)抗樣本時(shí)著重考慮攻擊效果,而并未著眼于如何處理圖像中的多余噪聲,加上對(duì)抗樣本不可被人類肉眼察覺這一要求并不是硬性規(guī)定,所以冗余擾動(dòng)的存在是普遍的.考慮這一特質(zhì),Yucheng Shi等人在2019年提出Whey[14]優(yōu)化用于進(jìn)行噪聲的減少.公式(7)很好地說明了Whey優(yōu)化的目的.x,xadv,xadv*分別代表原始圖像,對(duì)抗樣本以及經(jīng)過優(yōu)化后的對(duì)抗樣本.在保證xadv和xadv*分類結(jié)果不變的情況下,使得二者相對(duì)于原始圖像的擾動(dòng)差異最大化.

    max(‖xadv-x‖2-‖xadv*-x‖2),
    s.t.f(xadv*)=f(xadv)

    (7)

    具體來講,該優(yōu)化方法先將對(duì)抗性擾動(dòng)按像素值進(jìn)行分組,降序選擇一組進(jìn)行除以2的操作,迭代至設(shè)置的最大次數(shù)或直到添加對(duì)抗擾動(dòng)后的圖像不能再成功攻擊目標(biāo)模型時(shí),再隨機(jī)抽取對(duì)抗擾動(dòng)中的單個(gè)像素進(jìn)行噪聲剔除,做法是生成與噪聲相同規(guī)格的mask與原噪聲相乘,按概率使得某些噪聲的值為0.Whey優(yōu)化算法描述如下:

    算法1.whey優(yōu)化算法

    輸入:分類模型f(x);初始圖像x,原始標(biāo)簽y,

    對(duì)抗樣本xadv;

    兩次優(yōu)化的最大迭代次數(shù)T1,T2;像素集p

    隨機(jī)函數(shù)random();

    輸出:去噪后的對(duì)抗樣本xadv*

    1.z=xadv-x

    2.t1=0,t2=0

    3. for eachpinpandt1

    4.z=z/2 //按像素值一半縮減噪聲

    5. if(f(z)=y)

    6. cancel this update

    7. end if

    8.t1=t1+1

    9. end for

    10. fort2

    11. generateamask //生成面具

    12. if(random()<0.01)

    13.mask=0

    14. else

    15.mask=1

    16.z=z·mask

    17. if(f(z)=y)

    18. cancel this update

    19. end if

    20.t2=t2+1

    21.end for

    22.xadv*=x+z

    23.returnxadv*

    3.3 NMI-FGSM & Whey

    本文提出的NMI-FGSM攻擊在原本的momentum優(yōu)化中加入nesterov項(xiàng).nesterov項(xiàng)在梯度更新時(shí)做一個(gè)校正,梯度更新由原來的?J(x,y)變?yōu)?J(x-η·μ·g,y),其中μ為衰減因子,η為更新步長,然后再使用sign函數(shù)迭代獲取對(duì)抗樣本.所以Nesterov的改進(jìn)就是讓之前的動(dòng)量直接影響當(dāng)前的動(dòng)量.如公式(8)、公式(9)所示.

    (8)

    (9)

    這樣做的目的是可以避免梯度前進(jìn)太快,同時(shí)提高更新方向靈敏度,在更大程度上優(yōu)化了動(dòng)量迭代的過程.在此說明,本算法是基于L2距離度量所提出的,同理也可以擴(kuò)展到L2或L∞的情況.使用NMI-FGSM攻擊算法生成對(duì)抗樣本后再對(duì)其實(shí)行Whey優(yōu)化,以在確保攻擊性能的情況下降低圖像噪聲,如圖 2 所示.

    圖2 NMI-FGSM & Whey算法構(gòu)架圖Fig.2 NMI-FGSM & Whey algorithm architecture

    NMI-FGSM攻擊的算法描述如下:

    算法2.NMI-FGSM攻擊算法

    輸入:分類模型f(x);模型的損失函數(shù)J;

    原始樣本及對(duì)應(yīng)標(biāo)簽x,y;

    擾動(dòng)大小ε,最大迭代次數(shù)T,衰減系數(shù)μ;

    輸出:對(duì)抗樣本xadv;

    1.η=ε/T

    3.fort≤T

    6. end for

    同樣也可以用此算法攻擊集和模型.融合模型的方法[17]在研究和對(duì)抗競(jìng)賽中皆取得了不錯(cuò)的效果.集和模型攻擊的思想十分直觀,如果說一個(gè)對(duì)抗樣本對(duì)多個(gè)模型來說仍不失魯棒性,那么它很有可能滿足大多數(shù)模型的決策邊界,從而也有理由相信它能以更大的概率遷移到其他模型上,進(jìn)一步使得它擁有強(qiáng)大的黑盒攻擊能力.這里使用logit集成方法,將多個(gè)logit激活融合在一起計(jì)算目標(biāo)的損失函數(shù)J(x,y).如公式(10)、公式(11)所示.

    (10)

    J(x,y)=-1y·log(softmax(l(x)))

    (11)

    其中k代表第k個(gè)模型,K是融合模型總數(shù),ωk代表了第k個(gè)模型的權(quán)重值,所有的ωk的和為1,所以一般設(shè)置權(quán)重值為1/K.-1y是y的獨(dú)熱編碼(one-hot).NMI-FGSM融合模型攻擊算法描述如下:

    算法3.NMI-FGSM攻擊融合模型

    輸入:n種分類模型l1,l2,…,ln;

    模型對(duì)應(yīng)的權(quán)重ω1,ω2,…,ωn;

    原始圖像以及對(duì)應(yīng)標(biāo)簽x,y;

    擾動(dòng)大小ε,最大迭代次數(shù)T,衰減系數(shù)μ;

    輸出:對(duì)抗樣本xadv;

    1.n=ε/T

    3. whilet≤T

    4. fork≤K

    9. end while

    4 實(shí)驗(yàn)與分析

    實(shí)驗(yàn)中所使用的NMI-FGSM & WHEY算法及其相關(guān)對(duì)比實(shí)驗(yàn)均基于Linux(Ubuntu 16.04.2 LTS)下python2.7.12以及pytorch0.4.1深度學(xué)習(xí)框架實(shí)現(xiàn).具體CPU參數(shù)為 Intel Xeon E5-2650 v4 @ 2.20GHz,64G 內(nèi)存.為了加快訓(xùn)練過程,實(shí)驗(yàn)內(nèi)容使用 NVIDIA GTX 1080 TI GPU加速完成.

    4.1 實(shí)驗(yàn)設(shè)置

    選擇從ImageNet[18]數(shù)據(jù)集中隨機(jī)抽取2000幅圖像,這些圖片被使用的所有網(wǎng)絡(luò)正確分類,圖像的大小為224×224×3.實(shí)驗(yàn)使用3個(gè)經(jīng)過正規(guī)訓(xùn)練的網(wǎng)絡(luò),即Inception-v3[19](Inc-v3)、Res net-v2-152[20](Res-152)、和Inception-Resnet-v2[21](IncRes-v2).參考之前相關(guān)實(shí)驗(yàn)[13,14],其已就各項(xiàng)參數(shù)值做了對(duì)比實(shí)驗(yàn)及深入研究,而本算法是在其基礎(chǔ)上加以改進(jìn),普適性有一定的保證.所以在此次實(shí)驗(yàn)中不妨借鑒已得出的近優(yōu)解.設(shè)置大擾動(dòng)量ε被設(shè)置為16,像素值取值在[0,255] 中.最大迭代次數(shù)T為10,衰減因子μ為0.8.

    4.2 單模型攻擊

    首先在一個(gè)網(wǎng)絡(luò)上生成對(duì)抗樣本,然后使用該對(duì)抗樣本對(duì)所有網(wǎng)絡(luò)逐一進(jìn)行攻擊.為了數(shù)據(jù)能展示出攻擊性能和噪聲量,使用從替代模型轉(zhuǎn)移到目標(biāo)模型的對(duì)抗性擾動(dòng)的平均值大小AVG[22]來做為攻擊算法的評(píng)估標(biāo)準(zhǔn).如公式(12)所示.

    (12)

    其中sub和N分別代表替代模型和目標(biāo)模型,X表示測(cè)試集,x以及xadv分別代表原始圖像和對(duì)抗樣本.公式(12)返回的原始圖像與對(duì)抗樣本的L2距離表現(xiàn)出攻擊算法的性能和對(duì)抗樣本與原始輸入間的擾動(dòng)差異.一般來說,AVG值越小,所使用的攻擊方法就越有效.同時(shí),使用攻擊成功率,即對(duì)抗樣本使得分類器錯(cuò)誤分類的比例來直觀的顯示出攻擊方法的性能.由于基于優(yōu)化的方法不能顯式地控制對(duì)抗樣本和原始樣本之間的距離,因此使用它們與本論文的方法直接比較意義不大,但它們與第2節(jié)中討論的迭代方法具有相似的性質(zhì).實(shí)驗(yàn)結(jié)果如表1所示.使用FGSM,I-FGSM,MI-FGSM,NMI-FGSM以及加入了 Whey優(yōu)化的CURLS,NMI-FGSM攻擊方法分別生成了基于Inc-v3、IncRes-v2、Res-152網(wǎng)絡(luò)的對(duì)抗樣本.對(duì)角線表示白盒攻擊,非對(duì)角線上表示黑盒攻擊.其中行表示受攻擊模型,列表示生成對(duì)抗樣本的攻擊模型.

    觀察表1,白盒攻擊情況下迭代攻擊的效果要遠(yuǎn)好于一步攻擊(one-step),攻擊的成功率接近百分之百.但在黑盒情況下,F(xiàn)GSM方法生成的對(duì)抗樣本要強(qiáng)于普通迭代,基于動(dòng)量的MI-FGSM攻擊和加入Nesterov項(xiàng)的NMI-FGSM攻擊在絕大多數(shù)情況要強(qiáng)于基礎(chǔ)迭代法和FGSM方法.多數(shù)情況下NMI-FGSM同CURLS & Whey相比也有著更高的成功率.同時(shí),在Inc-v3網(wǎng)絡(luò)上生成的對(duì)抗樣本攻擊IncRes-v2時(shí)MI-FGSM表現(xiàn)出更強(qiáng)的攻擊性,說明在某些情況下NMI-FGSM的效果不如MI-FGSM.這是因?yàn)閙omentum和Nesterov計(jì)算梯度的方法不一樣.momentum對(duì)梯度先進(jìn)行方向校正,而后進(jìn)行梯度跳躍.Nesterov先進(jìn)行梯度跳躍,而后進(jìn)行方向校正.針對(duì)不同的網(wǎng)絡(luò)結(jié)構(gòu),兩種方法的適應(yīng)性不一.不過在大多數(shù)情況下,NMI-FGSM的效果要強(qiáng)于MI-FGSM,因此并不失為一種更加有效的攻擊方法.

    表1 單模型攻擊實(shí)驗(yàn)結(jié)果,帶(*)表示白盒攻擊Table 1 Experimental results of single model,attack with(*) forwhite box attack

    一個(gè)共識(shí)是,隨著噪聲的增大,圖像會(huì)變得越來越難以被正確識(shí)別.但是在L2距離的約束下,一個(gè)好的對(duì)抗樣本應(yīng)在擾動(dòng)盡可能小的情況下依舊保持攻擊性.為了平衡噪聲的大小和對(duì)抗樣本魯棒性之間的關(guān)系,在NMI-FGSM生成對(duì)抗樣本之后對(duì)其進(jìn)行Whey優(yōu)化.實(shí)驗(yàn)結(jié)果表明在白盒情況下,Whey優(yōu)化壓縮噪聲的效果并不明顯.但在黑盒攻擊中,它可以顯著的平衡攻擊效果與噪聲量間的關(guān)系,效果也加入了Whey優(yōu)化可以減少輸入與輸出樣本間的差異.甚至在某些情況下,使用Whey優(yōu)化處理NMI-FGSM方法生成的對(duì)抗樣本不但使得噪聲明顯降低,而且還提升了攻擊效果.一個(gè)有力的證據(jù)是對(duì)抗樣本與原始圖像之間L2距離均值(AVG)下降,同時(shí)NMI-FGSM & Whey算法呈現(xiàn)出更強(qiáng)的攻擊性.圖3顯示了該攻擊算法在ImageNet數(shù)據(jù)集上攻擊的結(jié)果,由左至右依次為原始圖像,噪聲,對(duì)抗樣本.

    圖3 NMI-FGSM & Whey攻擊實(shí)例Fig.3 Example of NMI-FGSM & Whey attacks

    4.3 融合模型攻擊

    將Inc-v3、Res-152和IncRes-v2的模型的兩兩組合以及它們的總體集合對(duì)單個(gè)模型進(jìn)行攻擊.使用I-FGSM、MI-FGSM、CULRS & Whey,NMI-FGSM & Whey方法攻擊剩余的網(wǎng)絡(luò),由于FGSM在白盒模型上的成功率較低,因此在這里被忽略.實(shí)驗(yàn)結(jié)果如表2所示.

    表2 融合模型攻擊實(shí)驗(yàn)結(jié)果Table 2 Experimental results of ensemble

    融合模型的權(quán)重ωk設(shè)置為相同即1/3.表2中可以看出,融合模型攻擊生成的對(duì)抗樣本具有很強(qiáng)的魯棒性,攻擊所有單個(gè)模型的成功率幾乎可以達(dá)到100%.這是因?yàn)榭紤]的模型越多,越可以符合多個(gè)模型的決策邊界,針對(duì)神經(jīng)網(wǎng)絡(luò)的深層結(jié)構(gòu)便越發(fā)具有針對(duì)性和可解釋性.同樣也可以看出,當(dāng)被攻擊模型受到包含自身集和模型攻擊時(shí),成功率相比于自身白盒攻擊更高.在受攻擊模型受到另外兩個(gè)模型的集和攻擊,也就是黑盒情況,攻擊魯棒性也有顯著的提升.CURLS & Whey有時(shí)會(huì)有更好的降噪效果,但綜合起來NMI-FGSM & Whey攻擊能很好的平衡降噪和成功率間的比重,使其在有效去除噪聲的同時(shí)保持穩(wěn)定甚至展現(xiàn)更高的攻擊效果.如當(dāng)使用IncRes-v2和Res-152集成攻擊Inc-v3網(wǎng)絡(luò)時(shí),I-FGSM,MI-FGSM,CULRS & Whey,NMI-FGSM & Whey的攻擊成功率分別為52.53%,71.88%,74.29%,76.21%.這就說明在融合模型攻擊下,NMI-FGSM & Whey依舊保持了很高的攻擊水準(zhǔn).

    NMI-FGSM & Whey攻擊在保證攻擊效率的同時(shí),也有效減少了對(duì)抗樣本的擾動(dòng)信息量.圖 4顯示為4種攻擊方法以集合網(wǎng)絡(luò)為替代模型攻擊單個(gè)網(wǎng)絡(luò)所生成對(duì)抗擾動(dòng)的L2平均距離.這說明本論文的方法在保證對(duì)抗樣本有效的同時(shí),降低了自身噪聲的大小,從而使得對(duì)抗樣本更加不容易被機(jī)器和人類所識(shí)別,進(jìn)一步增強(qiáng)了攻擊算法的魯棒性.

    圖4 融合模型攻擊產(chǎn)生噪聲的平均L2距離比較Fig.4 Comparison of the average L2 distance of noise generated by ensemble model attack

    5 結(jié) 語

    本文提出的NNI-FGSM & Whey算法是一種針對(duì)圖像識(shí)別的迭代攻擊算法,其目的是在保證攻擊算法效率的同時(shí),降低圖像自身的擾動(dòng)量.為了驗(yàn)證這一結(jié)論,設(shè)置單一模型攻擊和集和模型攻擊實(shí)驗(yàn).最終結(jié)果表明,在MI-FGSM攻擊算法中引入Nesterov項(xiàng)這一舉措穩(wěn)固了攻擊算法的效率,在涉及到的大部分網(wǎng)絡(luò)上表現(xiàn)出了更高的攻擊水準(zhǔn).NMI-FGSM & Whey算法在這一基礎(chǔ)上設(shè)法清除了多余的圖像噪聲,使得對(duì)抗樣本更接近于原始樣本,從而進(jìn)一步提升了對(duì)抗攻擊的魯棒性.

    此外NMI-FGSM算法也有待優(yōu)化之處.實(shí)驗(yàn)表明并不是所有網(wǎng)絡(luò)都更加適應(yīng)于NMI-FGSM攻擊.某些網(wǎng)絡(luò)中NMI-FGSM算法的攻擊效果并非最優(yōu),這是由于CURLS有著獨(dú)特的攻擊途徑,且Nesterov和momentum的梯度更新方式不一樣所造成的.另一方面,Whey在黑盒攻擊中所展現(xiàn)出的有效性在白盒情境下并不明顯,且噪聲仍有余留.因此,尋找不同的替代模型結(jié)以更優(yōu)的實(shí)驗(yàn)參數(shù)以面對(duì)種類繁多的神經(jīng)網(wǎng)絡(luò),在保證攻擊效果更加穩(wěn)定的情況下,進(jìn)一步針對(duì)各種攻擊模式去除多余的噪聲量,將是下一步深入研究的內(nèi)容.

    猜你喜歡
    白盒黑盒擾動(dòng)
    一種基于局部平均有限差分的黑盒對(duì)抗攻擊方法
    Bernoulli泛函上典則酉對(duì)合的擾動(dòng)
    面向未來網(wǎng)絡(luò)的白盒交換機(jī)體系綜述
    DWB-AES:基于AES 的動(dòng)態(tài)白盒實(shí)現(xiàn)方法
    (h)性質(zhì)及其擾動(dòng)
    網(wǎng)絡(luò)“黑”“白”之爭(zhēng)
    通信世界(2018年29期)2018-11-21 06:34:44
    小噪聲擾動(dòng)的二維擴(kuò)散的極大似然估計(jì)
    用于光伏MPPT中的模糊控制占空比擾動(dòng)法
    基于EEPROM數(shù)據(jù)讀寫的智能電能表白盒測(cè)試方法
    翁牛特旗| 孝昌县| 安岳县| 阜新市| 梅河口市| 海伦市| 宜黄县| 类乌齐县| 静乐县| 临漳县| 嵩明县| 丽水市| 苗栗市| 晋中市| 山东省| 绥阳县| 天镇县| 财经| 邳州市| 柳林县| 麟游县| 英超| 新丰县| 铁岭县| 衡阳市| 白银市| 昭苏县| 丰镇市| 景洪市| 峨眉山市| 安平县| 浮梁县| 永顺县| 茌平县| 杭锦旗| 延长县| 金溪县| 察哈| 镇坪县| 饶平县| 阳信县|