Nesterov動(dòng)量迭代降噪對(duì)抗攻擊算法NMI-FGSM & Whey

陶永才，李子晨，石育澄，石 磊，，衛(wèi) 琳

1(鄭州大學(xué) 信息工程學(xué)院，鄭州 450001)2(鄭州大學(xué) 軟件學(xué)院，鄭州 450002)

1 引 言

隨著深度學(xué)習(xí)的發(fā)展，應(yīng)用于深度神經(jīng)網(wǎng)絡(luò)(Deep neural network)的一些機(jī)器學(xué)習(xí)任務(wù)取得了重大成果.如圖像分類[1]，語音識(shí)別[2]，自然語言處理[3]等.最近研究發(fā)現(xiàn)，深度學(xué)習(xí)很容易受到一些精心設(shè)計(jì)的輸入樣本的影響，這些通常被稱為對(duì)抗樣本[4](Adversarial example)的輸入可以輕易地愚弄一個(gè)性能良好的深度學(xué)習(xí)模型，且不易被人肉眼察覺.受這一現(xiàn)象影響，對(duì)于深度學(xué)習(xí)模型在安全和安保領(lǐng)域的探索變得更加敏感且具有很強(qiáng)的現(xiàn)實(shí)意義.通過研究對(duì)抗樣本，可以有助于理解神經(jīng)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，以便進(jìn)一步提高神經(jīng)網(wǎng)絡(luò)的魯棒性.

近年來的研究表明，對(duì)抗樣本能以較高的置信度欺騙現(xiàn)有且已經(jīng)成熟的圖像分類模型[5].如圖 1 所示.原先的圖片以94.39%的置信度被分類為阿爾卑斯山，加上算法生成的噪聲之后以99.99%的置信度被分類為狗，出于觀察角度而言現(xiàn)這是不可思議的.通常來說，攻擊者給圖片添加擾動(dòng)的目的包含于以下3條[6]：1)降低圖片輸出置信度；2)輸出與正確分類不同的任何類，又稱為非目標(biāo)攻擊(non-targeted attack)；3)輸出與正確分類不同的指定類(targeted attack).白盒攻擊指對(duì)目標(biāo)模型的結(jié)構(gòu)和參數(shù)等信息完全了解.許多方法可以以白盒的方式成功生成對(duì)抗樣本，如基于梯度的FGSM[7]方法、基于優(yōu)化的L-BFGS[4]方法、基于雅可比顯著圖的JSMA[8]方法以及基于Lp范式的C & W[9]方法.黑盒攻擊[10]假設(shè)攻擊者對(duì)模型知識(shí)有限，一般只知道模型所應(yīng)用于某種類型的任務(wù)，而對(duì)模型的結(jié)構(gòu)和參數(shù)等重要信息一概不知.在這種情況下，通過訓(xùn)練良好的替代模型從而生成對(duì)抗樣本，再利用神經(jīng)網(wǎng)絡(luò)之間的遷移性對(duì)目標(biāo)模型進(jìn)行攻擊[11]，已經(jīng)成為了一種主流的黑盒攻擊方法.

圖1 對(duì)抗樣本攻擊實(shí)例Fig.1 Example of adversarial example attack

回歸物理世界，多數(shù)情況下對(duì)于攻擊模型的具體信息一般很難被攻擊者知曉，于是著眼于黑盒攻擊的研究變得更具有現(xiàn)實(shí)意義[12].然而，白盒攻擊方法在攻擊黑盒模型時(shí)展現(xiàn)出較低的性能，這主要?dú)w因于攻擊能力和遷移性之間的權(quán)衡問題.針對(duì)這一情況，2018年，Yinpeng Dong等[13]提出MI-FGSM攻擊算法，在迭代攻擊的基礎(chǔ)上添加了動(dòng)量項(xiàng)，并在實(shí)驗(yàn)中取得了良好的效果，但其只是簡單地設(shè)置了最大擾動(dòng)值，并未關(guān)注噪聲冗余這一現(xiàn)象.2019年，Yucheng Shi等[14]提出了Whey優(yōu)化，一定程度上解決了生成對(duì)抗樣本圖片時(shí)噪聲過多的問題.本文主要圍繞黑盒情境中的非目標(biāo)攻擊任務(wù)展開，針對(duì)通過研究圖像分類任務(wù)中攻擊能力和可遷移性之間的權(quán)衡以及噪聲過多現(xiàn)象，提出了NMI-FGSM & Whey攻擊方法.本文創(chuàng)新點(diǎn)如下：

1)提出一種基于Nesterov-Momentum優(yōu)化的對(duì)抗攻擊方法，增強(qiáng)對(duì)抗攻擊的魯棒性.

2)加入Whey優(yōu)化，在保證攻擊魯棒性的情況下，減少對(duì)抗樣本中的噪聲.

3)通過NMI-FGSM & Whey方法在單模型及融合模型上生成對(duì)抗樣本，對(duì)比探究其在不同情況下攻擊效果.

2 相關(guān)工作

針對(duì)圖像識(shí)別領(lǐng)域的對(duì)抗樣本研究可追溯到2014年，Szegedy等人首先發(fā)現(xiàn)深度神經(jīng)網(wǎng)絡(luò)很容易受到一類添加過微小擾動(dòng)圖像的愚弄[4].這種有趣的現(xiàn)象引起了人們的高度關(guān)注.具體來講，對(duì)抗任務(wù)可以描述為：x是輸入的原始樣本，f(x)是一個(gè)已經(jīng)受過良好訓(xùn)練的模型，是分類器針對(duì)原始輸入x所給出的正確預(yù)測(cè)(ground-truth).η為通過某種方法所生成的擾動(dòng)，將該擾動(dòng)添加于原始樣本，從而生成對(duì)抗樣本xadv.分類器預(yù)測(cè)對(duì)抗樣本的標(biāo)簽為y′，最終目標(biāo)是使得y≠y′.通常對(duì)抗攻擊方法使用Lp范數(shù)的值來限制原始圖像與對(duì)抗樣本的噪聲大小[9]，其中p一般取值為0，1，2，∞.具體如公式(1)所示.

(1)

許多攻擊方法基于以上任務(wù)描述產(chǎn)生.簡單的一步生成方法[15]由于可以快速生成對(duì)抗樣本，相比較而言它們?cè)诤诤泄糁械男Ч?而基于迭代的方法由于實(shí)現(xiàn)的難度增加且需要更多的處理時(shí)間，因此在白盒攻擊中占據(jù)主權(quán)[5].接下來將攻擊方法總分為3類并對(duì)其進(jìn)行介紹.

基于優(yōu)化的攻擊方法.Szegedy等人首先揭示了深度神經(jīng)網(wǎng)絡(luò)對(duì)對(duì)抗性例子的敏感性，并緊接著提出使用有限存儲(chǔ)盒約束優(yōu)化L-BFGS[4]來直接逼近對(duì)抗樣本與原始輸入之間的距離，從而得到最小擾動(dòng).其標(biāo)準(zhǔn)形式如公式(2)所示.

(2)

其中J是以交叉熵為典型代表的損失函數(shù).它通過使用盒約束(Box-constraint)方法最小化了真實(shí)輸入與對(duì)樣本之間的距離，同時(shí)達(dá)到了攻擊目的.但其由于復(fù)雜的計(jì)算問題使得訓(xùn)練過程較為緩慢，此外，其在黑盒攻擊中呈現(xiàn)出的低魯棒性等原因使得它在面對(duì)大型數(shù)據(jù)集時(shí)并不是一個(gè)好的選擇.同樣的，基于超平面分類思想的Deepfool[16]攻擊方法本質(zhì)也是基于Lp距離的優(yōu)化，這里不再贅述.

基于一步生成的攻擊方法.Goodfellow等人提出對(duì)抗樣本的存在因于深度神經(jīng)網(wǎng)絡(luò)的高層的線性結(jié)果，從而提出FGSM[7]攻擊.這是一種基于梯度生成對(duì)抗樣本的算法，也是一種經(jīng)典的一步(one-step)攻擊方法.其目標(biāo)為最大化交叉熵?fù)p失函數(shù)以獲取對(duì)抗樣本xadv.公式(3)揭示了其對(duì)抗樣本的生成過程.

η=ε·sign(?xJ(x，y))，
xadv=x+η

(3)

ε是控制噪聲大小的超參數(shù)，sign代表sign函數(shù).值得一提的是，一般FGSM方法生成的對(duì)抗樣本需要滿足L∞約束從而可以推廣到L2約束演變成如公式(4)所示的FGM方法.

(4)

FGSM因?yàn)橄啾扔贚-BFGS而言更加迅速從而在白盒攻擊中廣泛使用，但其在黑盒攻擊中仍表現(xiàn)出較低的魯棒性.

基于迭代的攻擊方法.I-FGSM[12]是FGSM的迭代版本，如公式(5)所示，它以一個(gè)小的步長?對(duì)FGSM進(jìn)行多次使用，同時(shí)為了使對(duì)抗樣本滿足Lp約束，其在每次迭代過后會(huì)對(duì)圖像進(jìn)行像素裁剪.?一般設(shè)置為為ε/T，T為最大迭代次數(shù).

(5)

I-FGSM在白盒攻擊中取得了近乎完美的效果，但最終實(shí)驗(yàn)表明，隨著迭代次數(shù)的增加，增加或減小步長?已經(jīng)沒有多大意義，最終效果并無明顯改善.同時(shí)其在黑盒攻擊中所表現(xiàn)出的遷移能力也并不高效.

3 NMI-FGSM & Whey攻擊

3.1 MI-FGSM算法

由于一般的SGD算法較為容易收斂到局部最優(yōu)，在某些情況更易受困于鞍點(diǎn)，同時(shí)普通的迭代方法在黑盒攻擊中并未表現(xiàn)出較高的成功率.2018年，Yinpeng Dong等人[13]提出MI-FGSM攻擊算法.該算法通過在迭代法中引入動(dòng)量項(xiàng)使得噪聲增加方向平滑，從而避免了迭代過程中可能出現(xiàn)的更新震蕩和落入較差的局部極值等問題，并成功生成了能夠欺騙目標(biāo)模型的對(duì)抗樣本.基礎(chǔ)迭代方法將每一步計(jì)算的當(dāng)前梯度累加到對(duì)抗樣本，所以基本無法愚弄未知的黑盒模型.因此，盡管I-FGSM等方法在白盒攻擊中所達(dá)到的效果已經(jīng)接近極值，但在模擬現(xiàn)實(shí)物理世界應(yīng)用的黑盒情況下仍舊受到很大的限制.

為了提升在黑盒情境下的攻擊效果，MI-FGSM攻擊在攻擊中加入動(dòng)量項(xiàng)進(jìn)行迭代.通過設(shè)置衰減因子μ來控制動(dòng)量項(xiàng)momentum對(duì)迭代本身的影響.該算法假設(shè)最大迭代次數(shù)為T，定義gt收集每一次迭代的梯度，并通過μ來控制當(dāng)前迭代對(duì)下一次迭代的影響程度.同時(shí)受FGM啟發(fā)使得梯度由自身的L1距離規(guī)范化，從而使得下一次梯度改變方向時(shí)能夠減少更新.一般I-FGSM在攻擊目標(biāo)模型時(shí)，隨著迭代次數(shù)增加容易出現(xiàn)過擬合等現(xiàn)象，并在攻擊黑盒模型時(shí)呈現(xiàn)出較差的結(jié)果.而MI-FGSM在有效攻擊白盒模型的同時(shí)，也保留了一定的遷移能力進(jìn)行黑盒攻擊.該算法通過公式(6)所示的內(nèi)容生成新的對(duì)抗樣本.

(6)

3.2 Whey優(yōu)化算法

現(xiàn)有的大部分攻擊在生成對(duì)抗樣本時(shí)著重考慮攻擊效果，而并未著眼于如何處理圖像中的多余噪聲，加上對(duì)抗樣本不可被人類肉眼察覺這一要求并不是硬性規(guī)定，所以冗余擾動(dòng)的存在是普遍的.考慮這一特質(zhì)，Yucheng Shi等人在2019年提出Whey[14]優(yōu)化用于進(jìn)行噪聲的減少.公式(7)很好地說明了Whey優(yōu)化的目的.x，xadv，xadv*分別代表原始圖像，對(duì)抗樣本以及經(jīng)過優(yōu)化后的對(duì)抗樣本.在保證xadv和xadv*分類結(jié)果不變的情況下，使得二者相對(duì)于原始圖像的擾動(dòng)差異最大化.

max(‖xadv-x‖2-‖xadv*-x‖2)，
s.t.f(xadv*)=f(xadv)

(7)

具體來講，該優(yōu)化方法先將對(duì)抗性擾動(dòng)按像素值進(jìn)行分組，降序選擇一組進(jìn)行除以2的操作，迭代至設(shè)置的最大次數(shù)或直到添加對(duì)抗擾動(dòng)后的圖像不能再成功攻擊目標(biāo)模型時(shí)，再隨機(jī)抽取對(duì)抗擾動(dòng)中的單個(gè)像素進(jìn)行噪聲剔除，做法是生成與噪聲相同規(guī)格的mask與原噪聲相乘，按概率使得某些噪聲的值為0.Whey優(yōu)化算法描述如下：

算法1.whey優(yōu)化算法

輸入：分類模型f(x)；初始圖像x，原始標(biāo)簽y，

對(duì)抗樣本xadv；

兩次優(yōu)化的最大迭代次數(shù)T1，T2；像素集p

隨機(jī)函數(shù)random()；

輸出：去噪后的對(duì)抗樣本xadv*

1.z=xadv-x

2.t1=0，t2=0

3. for eachpinpandt1

4.z=z/2 //按像素值一半縮減噪聲

5. if(f(z)=y)

6. cancel this update

7. end if

8.t1=t1+1

9. end for

10. fort2

11. generateamask //生成面具

12. if(random()<0.01)

13.mask=0

14. else

15.mask=1

16.z=z·mask

17. if(f(z)=y)

18. cancel this update

19. end if

20.t2=t2+1

21.end for

22.xadv*=x+z

23.returnxadv*

3.3 NMI-FGSM & Whey

本文提出的NMI-FGSM攻擊在原本的momentum優(yōu)化中加入nesterov項(xiàng).nesterov項(xiàng)在梯度更新時(shí)做一個(gè)校正，梯度更新由原來的?J(x，y)變?yōu)?J(x-η·μ·g，y)，其中μ為衰減因子，η為更新步長，然后再使用sign函數(shù)迭代獲取對(duì)抗樣本.所以Nesterov的改進(jìn)就是讓之前的動(dòng)量直接影響當(dāng)前的動(dòng)量.如公式(8)、公式(9)所示.

(8)

(9)

這樣做的目的是可以避免梯度前進(jìn)太快，同時(shí)提高更新方向靈敏度，在更大程度上優(yōu)化了動(dòng)量迭代的過程.在此說明，本算法是基于L2距離度量所提出的，同理也可以擴(kuò)展到L2或L∞的情況.使用NMI-FGSM攻擊算法生成對(duì)抗樣本后再對(duì)其實(shí)行Whey優(yōu)化，以在確保攻擊性能的情況下降低圖像噪聲,如圖 2 所示.

圖2 NMI-FGSM & Whey算法構(gòu)架圖Fig.2 NMI-FGSM & Whey algorithm architecture

NMI-FGSM攻擊的算法描述如下：

算法2.NMI-FGSM攻擊算法

輸入：分類模型f(x)；模型的損失函數(shù)J；

原始樣本及對(duì)應(yīng)標(biāo)簽x，y；

擾動(dòng)大小ε，最大迭代次數(shù)T，衰減系數(shù)μ；

輸出：對(duì)抗樣本xadv；

1.η=ε/T

3.fort≤T

6. end for

同樣也可以用此算法攻擊集和模型.融合模型的方法[17]在研究和對(duì)抗競(jìng)賽中皆取得了不錯(cuò)的效果.集和模型攻擊的思想十分直觀，如果說一個(gè)對(duì)抗樣本對(duì)多個(gè)模型來說仍不失魯棒性，那么它很有可能滿足大多數(shù)模型的決策邊界，從而也有理由相信它能以更大的概率遷移到其他模型上，進(jìn)一步使得它擁有強(qiáng)大的黑盒攻擊能力.這里使用logit集成方法，將多個(gè)logit激活融合在一起計(jì)算目標(biāo)的損失函數(shù)J(x，y).如公式(10)、公式(11)所示.

(10)

J(x，y)=-1y·log(softmax(l(x)))

(11)

其中k代表第k個(gè)模型，K是融合模型總數(shù)，ωk代表了第k個(gè)模型的權(quán)重值，所有的ωk的和為1，所以一般設(shè)置權(quán)重值為1/K.-1y是y的獨(dú)熱編碼(one-hot).NMI-FGSM融合模型攻擊算法描述如下：

算法3.NMI-FGSM攻擊融合模型

輸入：n種分類模型l1，l2，…，ln；

模型對(duì)應(yīng)的權(quán)重ω1，ω2，…，ωn；

原始圖像以及對(duì)應(yīng)標(biāo)簽x，y；

擾動(dòng)大小ε，最大迭代次數(shù)T，衰減系數(shù)μ；

輸出：對(duì)抗樣本xadv；

1.n=ε/T

3. whilet≤T

4. fork≤K

9. end while

4 實(shí)驗(yàn)與分析

實(shí)驗(yàn)中所使用的NMI-FGSM & WHEY算法及其相關(guān)對(duì)比實(shí)驗(yàn)均基于Linux(Ubuntu 16.04.2 LTS)下python2.7.12以及pytorch0.4.1深度學(xué)習(xí)框架實(shí)現(xiàn).具體CPU參數(shù)為 Intel Xeon E5-2650 v4 @ 2.20GHz，64G 內(nèi)存.為了加快訓(xùn)練過程，實(shí)驗(yàn)內(nèi)容使用 NVIDIA GTX 1080 TI GPU加速完成.

4.1 實(shí)驗(yàn)設(shè)置

選擇從ImageNet[18]數(shù)據(jù)集中隨機(jī)抽取2000幅圖像，這些圖片被使用的所有網(wǎng)絡(luò)正確分類，圖像的大小為224×224×3.實(shí)驗(yàn)使用3個(gè)經(jīng)過正規(guī)訓(xùn)練的網(wǎng)絡(luò)，即Inception-v3[19](Inc-v3)、Res net-v2-152[20](Res-152)、和Inception-Resnet-v2[21](IncRes-v2).參考之前相關(guān)實(shí)驗(yàn)[13，14]，其已就各項(xiàng)參數(shù)值做了對(duì)比實(shí)驗(yàn)及深入研究，而本算法是在其基礎(chǔ)上加以改進(jìn)，普適性有一定的保證.所以在此次實(shí)驗(yàn)中不妨借鑒已得出的近優(yōu)解.設(shè)置大擾動(dòng)量ε被設(shè)置為16，像素值取值在[0，255] 中.最大迭代次數(shù)T為10，衰減因子μ為0.8.

4.2 單模型攻擊

首先在一個(gè)網(wǎng)絡(luò)上生成對(duì)抗樣本，然后使用該對(duì)抗樣本對(duì)所有網(wǎng)絡(luò)逐一進(jìn)行攻擊.為了數(shù)據(jù)能展示出攻擊性能和噪聲量，使用從替代模型轉(zhuǎn)移到目標(biāo)模型的對(duì)抗性擾動(dòng)的平均值大小AVG[22]來做為攻擊算法的評(píng)估標(biāo)準(zhǔn).如公式(12)所示.

(12)

其中sub和N分別代表替代模型和目標(biāo)模型，X表示測(cè)試集，x以及xadv分別代表原始圖像和對(duì)抗樣本.公式(12)返回的原始圖像與對(duì)抗樣本的L2距離表現(xiàn)出攻擊算法的性能和對(duì)抗樣本與原始輸入間的擾動(dòng)差異.一般來說，AVG值越小，所使用的攻擊方法就越有效.同時(shí)，使用攻擊成功率，即對(duì)抗樣本使得分類器錯(cuò)誤分類的比例來直觀的顯示出攻擊方法的性能.由于基于優(yōu)化的方法不能顯式地控制對(duì)抗樣本和原始樣本之間的距離，因此使用它們與本論文的方法直接比較意義不大，但它們與第2節(jié)中討論的迭代方法具有相似的性質(zhì).實(shí)驗(yàn)結(jié)果如表1所示.使用FGSM，I-FGSM，MI-FGSM，NMI-FGSM以及加入了 Whey優(yōu)化的CURLS，NMI-FGSM攻擊方法分別生成了基于Inc-v3、IncRes-v2、Res-152網(wǎng)絡(luò)的對(duì)抗樣本.對(duì)角線表示白盒攻擊，非對(duì)角線上表示黑盒攻擊.其中行表示受攻擊模型，列表示生成對(duì)抗樣本的攻擊模型.

觀察表1，白盒攻擊情況下迭代攻擊的效果要遠(yuǎn)好于一步攻擊(one-step)，攻擊的成功率接近百分之百.但在黑盒情況下，F(xiàn)GSM方法生成的對(duì)抗樣本要強(qiáng)于普通迭代，基于動(dòng)量的MI-FGSM攻擊和加入Nesterov項(xiàng)的NMI-FGSM攻擊在絕大多數(shù)情況要強(qiáng)于基礎(chǔ)迭代法和FGSM方法.多數(shù)情況下NMI-FGSM同CURLS & Whey相比也有著更高的成功率.同時(shí)，在Inc-v3網(wǎng)絡(luò)上生成的對(duì)抗樣本攻擊IncRes-v2時(shí)MI-FGSM表現(xiàn)出更強(qiáng)的攻擊性，說明在某些情況下NMI-FGSM的效果不如MI-FGSM.這是因?yàn)閙omentum和Nesterov計(jì)算梯度的方法不一樣.momentum對(duì)梯度先進(jìn)行方向校正，而后進(jìn)行梯度跳躍.Nesterov先進(jìn)行梯度跳躍，而后進(jìn)行方向校正.針對(duì)不同的網(wǎng)絡(luò)結(jié)構(gòu)，兩種方法的適應(yīng)性不一.不過在大多數(shù)情況下，NMI-FGSM的效果要強(qiáng)于MI-FGSM，因此并不失為一種更加有效的攻擊方法.

表1 單模型攻擊實(shí)驗(yàn)結(jié)果，帶(*)表示白盒攻擊Table 1 Experimental results of single model，attack with(*) forwhite box attack

一個(gè)共識(shí)是，隨著噪聲的增大，圖像會(huì)變得越來越難以被正確識(shí)別.但是在L2距離的約束下，一個(gè)好的對(duì)抗樣本應(yīng)在擾動(dòng)盡可能小的情況下依舊保持攻擊性.為了平衡噪聲的大小和對(duì)抗樣本魯棒性之間的關(guān)系，在NMI-FGSM生成對(duì)抗樣本之后對(duì)其進(jìn)行Whey優(yōu)化.實(shí)驗(yàn)結(jié)果表明在白盒情況下，Whey優(yōu)化壓縮噪聲的效果并不明顯.但在黑盒攻擊中，它可以顯著的平衡攻擊效果與噪聲量間的關(guān)系，效果也加入了Whey優(yōu)化可以減少輸入與輸出樣本間的差異.甚至在某些情況下，使用Whey優(yōu)化處理NMI-FGSM方法生成的對(duì)抗樣本不但使得噪聲明顯降低，而且還提升了攻擊效果.一個(gè)有力的證據(jù)是對(duì)抗樣本與原始圖像之間L2距離均值(AVG)下降，同時(shí)NMI-FGSM & Whey算法呈現(xiàn)出更強(qiáng)的攻擊性.圖3顯示了該攻擊算法在ImageNet數(shù)據(jù)集上攻擊的結(jié)果，由左至右依次為原始圖像，噪聲，對(duì)抗樣本.

圖3 NMI-FGSM & Whey攻擊實(shí)例Fig.3 Example of NMI-FGSM & Whey attacks

4.3 融合模型攻擊

將Inc-v3、Res-152和IncRes-v2的模型的兩兩組合以及它們的總體集合對(duì)單個(gè)模型進(jìn)行攻擊.使用I-FGSM、MI-FGSM、CULRS & Whey，NMI-FGSM & Whey方法攻擊剩余的網(wǎng)絡(luò)，由于FGSM在白盒模型上的成功率較低，因此在這里被忽略.實(shí)驗(yàn)結(jié)果如表2所示.

表2 融合模型攻擊實(shí)驗(yàn)結(jié)果Table 2 Experimental results of ensemble

融合模型的權(quán)重ωk設(shè)置為相同即1/3.表2中可以看出，融合模型攻擊生成的對(duì)抗樣本具有很強(qiáng)的魯棒性，攻擊所有單個(gè)模型的成功率幾乎可以達(dá)到100%.這是因?yàn)榭紤]的模型越多，越可以符合多個(gè)模型的決策邊界，針對(duì)神經(jīng)網(wǎng)絡(luò)的深層結(jié)構(gòu)便越發(fā)具有針對(duì)性和可解釋性.同樣也可以看出，當(dāng)被攻擊模型受到包含自身集和模型攻擊時(shí)，成功率相比于自身白盒攻擊更高.在受攻擊模型受到另外兩個(gè)模型的集和攻擊，也就是黑盒情況，攻擊魯棒性也有顯著的提升.CURLS & Whey有時(shí)會(huì)有更好的降噪效果，但綜合起來NMI-FGSM & Whey攻擊能很好的平衡降噪和成功率間的比重，使其在有效去除噪聲的同時(shí)保持穩(wěn)定甚至展現(xiàn)更高的攻擊效果.如當(dāng)使用IncRes-v2和Res-152集成攻擊Inc-v3網(wǎng)絡(luò)時(shí)，I-FGSM，MI-FGSM，CULRS & Whey，NMI-FGSM & Whey的攻擊成功率分別為52.53%，71.88%，74.29%，76.21%.這就說明在融合模型攻擊下，NMI-FGSM & Whey依舊保持了很高的攻擊水準(zhǔn).

NMI-FGSM & Whey攻擊在保證攻擊效率的同時(shí)，也有效減少了對(duì)抗樣本的擾動(dòng)信息量.圖 4顯示為4種攻擊方法以集合網(wǎng)絡(luò)為替代模型攻擊單個(gè)網(wǎng)絡(luò)所生成對(duì)抗擾動(dòng)的L2平均距離.這說明本論文的方法在保證對(duì)抗樣本有效的同時(shí)，降低了自身噪聲的大小，從而使得對(duì)抗樣本更加不容易被機(jī)器和人類所識(shí)別，進(jìn)一步增強(qiáng)了攻擊算法的魯棒性.

圖4 融合模型攻擊產(chǎn)生噪聲的平均L2距離比較Fig.4 Comparison of the average L2 distance of noise generated by ensemble model attack

5 結(jié) 語

本文提出的NNI-FGSM & Whey算法是一種針對(duì)圖像識(shí)別的迭代攻擊算法，其目的是在保證攻擊算法效率的同時(shí)，降低圖像自身的擾動(dòng)量.為了驗(yàn)證這一結(jié)論，設(shè)置單一模型攻擊和集和模型攻擊實(shí)驗(yàn).最終結(jié)果表明，在MI-FGSM攻擊算法中引入Nesterov項(xiàng)這一舉措穩(wěn)固了攻擊算法的效率，在涉及到的大部分網(wǎng)絡(luò)上表現(xiàn)出了更高的攻擊水準(zhǔn).NMI-FGSM & Whey算法在這一基礎(chǔ)上設(shè)法清除了多余的圖像噪聲，使得對(duì)抗樣本更接近于原始樣本，從而進(jìn)一步提升了對(duì)抗攻擊的魯棒性.

此外NMI-FGSM算法也有待優(yōu)化之處.實(shí)驗(yàn)表明并不是所有網(wǎng)絡(luò)都更加適應(yīng)于NMI-FGSM攻擊.某些網(wǎng)絡(luò)中NMI-FGSM算法的攻擊效果并非最優(yōu)，這是由于CURLS有著獨(dú)特的攻擊途徑，且Nesterov和momentum的梯度更新方式不一樣所造成的.另一方面，Whey在黑盒攻擊中所展現(xiàn)出的有效性在白盒情境下并不明顯，且噪聲仍有余留.因此，尋找不同的替代模型結(jié)以更優(yōu)的實(shí)驗(yàn)參數(shù)以面對(duì)種類繁多的神經(jīng)網(wǎng)絡(luò)，在保證攻擊效果更加穩(wěn)定的情況下，進(jìn)一步針對(duì)各種攻擊模式去除多余的噪聲量，將是下一步深入研究的內(nèi)容.