基于雙對抗機制的圖像攻擊算法

黃靜琪，賈西平，陳道鑫，柏柯嘉，廖秀秀

（廣東技術師范大學計算機科學學院，廣州 510665）

0 概述

深度學習是學習樣本數(shù)據(jù)的內(nèi)在規(guī)律和表示層次的算法，在學習過程中獲得的信息對文字、圖像和聲音等數(shù)據(jù)的解釋具有很大的幫助［1］。由于深度學習系統(tǒng)的訓練過程和訓練模型一般是封閉的，而訓練數(shù)據(jù)集和預測數(shù)據(jù)需要與用戶交互，因此容易受到未知惡意樣本攻擊［2］。如果在訓練數(shù)據(jù)集中出現(xiàn)惡意樣本，則稱之為投毒攻擊；如果在預測數(shù)據(jù)中出現(xiàn)惡意樣本，則稱之為對抗攻擊［3］。對抗攻擊利用對抗樣本擾亂分類器的分類，使模型預測錯誤，從而破壞模型可用性。對抗樣本是在原始樣本中添加擾動而產(chǎn)生的，通過人類肉眼觀看和原始樣本基本沒有區(qū)別。對抗攻擊的難點在于攻擊成功率和擾動之間的平衡。一般地，擾動越大，攻擊成功率越高，但是攻擊樣本與原始樣本的視覺差異越明顯，反之亦然。

GOODFELLOW 等［4］提出快速梯度標志攻擊（Fast Gradient Sign Method，F(xiàn)GSM）方法，通過在梯度方向上添加增量來產(chǎn)生擾動，然后對原始圖像添加擾動生成對抗樣本，使網(wǎng)絡產(chǎn)生誤分類。SU 等［5］提出基于差分進化生成單像素的對抗性擾動，目的是通過改變輸入圖像的一個像素值，達到在最小攻擊信息的條件下對更多類型的網(wǎng)絡進行欺騙。MOOSAVI-DEZFOOLI 等［6］設計對 于任意 給定的DNN 分類器都可實現(xiàn)圖像攻擊的擾動，生成的擾動僅與模型本身相關，具有較小的范數(shù)，在不改變圖像本身結(jié)構(gòu)的情況下，能使分類器以較大概率分類錯誤，從而實現(xiàn)對于DNN 的攻擊，同時這些擾動對人類肉眼而言幾乎不可察覺。SZEGEDY 等［7］將神經(jīng)網(wǎng)絡做出誤分類的最小擾動求解方程轉(zhuǎn)化成凸優(yōu)化過程，尋找最小損失函數(shù)的添加項，使得對圖像添加小量的人類察覺不到的擾動，便可達到誤導神經(jīng)網(wǎng)絡分類的效果。XIAO 等［8］等提出一種通過學習來逼近原始實例的分布和生成對抗實例的AdvGAN 算法。一旦生成器訓練完成，該算法就可以有效地使用所有原始實例來產(chǎn)生對抗性干擾實例，從而潛在地促進防御的對抗性訓練。AdvGAN 攻擊算法在公共MNIST 攻擊挑戰(zhàn)中獲得第一名，加速了對抗樣本的產(chǎn)生，生成的樣本更加自然［9］，并且受到了研究人員的廣泛關注。

針對圖像攻擊，可以構(gòu)建魯棒的分類器或者防御模型，使其在輸入攻擊圖像時也能實現(xiàn)分類正確。防御模型基本原理分為兩種：一種是從分類器本身出發(fā)進行防御，即訓練更加魯棒的分類器；另一種是對輸入的攻擊圖像做一定的預處理后再傳給分類器，目的是盡可能減少攻擊噪聲。DZIUGAITE 等［10］通過圖像壓縮技術去除圖像攻擊所添加的抽象擾動，將圖像復原為沒有擾動的圖像，從而達到防御效果。通過實驗發(fā)現(xiàn)，該方法在少量擾動的情況下，防御效果較好，但隨著擾動的增加，難以解決神經(jīng)網(wǎng)絡的安全風險問題。LUO 等［11］提出一種基于中央凹機制的防御方法來防御生成的對抗擾動。ROSS等［12］使用輸入梯度正則化訓練模型，使其具有平滑的輸入梯度和較少的極值，同時對預測分布與真實分布之間散度的敏感性進行適當懲罰，這樣小的對抗擾動就不會對輸出具有顯著影響，提高了對抗攻擊魯棒性。LI 等［13］用變分 自編碼 器（Variational Auto-Encoder，VAE）訓練模型，通過對實例壓縮來提取符合分布的數(shù)據(jù)特征，然后根據(jù)數(shù)據(jù)特征進行解壓縮還原成實例。在壓縮和解壓縮過程中，VAE 能夠過濾許多擾動信息，實現(xiàn)對攻擊的防御。DUBEY等［14］假設對抗性擾動使圖像遠離圖像流形，通過對包含大量圖像的海量數(shù)據(jù)庫的最近鄰搜索，建立一種針對對抗圖像的成功防御機制，使圖像近似投射回圖像流形。LIU 等［15］提出一種基于感知哈希的防御方法，通過比較圖像的相似性來破壞擾動產(chǎn)生過程，從而達到防御目的?；诰矸e稀疏編碼，SUN等［16］在輸入圖像和神經(jīng)網(wǎng)絡的第一層之間引入稀疏變換層，并構(gòu)造一個分層的準自然圖像空間。該空間逼近自然圖像空間，同時消除了對抗性擾動。吳立人等［17］在基于動量的梯度迭代攻擊算法［18］的基礎上，加入動量因子，使攻擊在損失函數(shù)的梯度方向上快速迭代，穩(wěn)定更新，有效地避免了局部最優(yōu)。

現(xiàn)有圖像攻擊算法多數(shù)較為脆弱，只要對攻擊圖像做適當處理，就能使攻擊模型的攻擊性能大幅下降，導致圖像攻擊失效［19］。本文在AdvGAN 算法的基礎上，針對現(xiàn)有圖像攻擊在VAE 防御下攻擊不穩(wěn)定的問題，提出AntiVAEGAN 算法，以生成對抗網(wǎng)絡的訓練方式，訓練得到一種抵抗VAE 防御的AntiVAEGAN 模型。在AntiVAEGAN 算法的基礎上，進一步提出改進的對抗攻擊算法VAEAdvGAN，以解決防御能力提升時攻擊不穩(wěn)定的問題。

1 抵抗VAE防御的對抗攻擊算法AntiVAEGAN

1.1 AntiVAEGAN 算法原理

AntiVAEGAN 算法結(jié)構(gòu)如圖1 所示，主要由以下部分組成：

圖1 AntiVAEGAN 算法結(jié)構(gòu)Fig.1 Structure of AntiVAEGAN algorithm

1）生成器G。G的主要作用是根據(jù)輸入原始實例x，生成一個擾動G（x），添加到實例x上，組成攻擊圖像x′（x′=x+G（x））。

2）鑒別器D。D的主要作用是判別輸入的數(shù)據(jù)是生成的攻擊圖像還是原始圖像，將x+G（x）和x輸入到鑒別器進行判別訓練。鑒別器有助于促進生成器生成與原始圖像無法區(qū)分的攻擊圖像。

3）被攻擊的圖像分類模型C。C代表實驗中被攻擊的圖像分類模型。

4）VAE 防御模 型Origin_vae。Origin_vae 的 主要作用是對輸入數(shù)據(jù)進行特征提純處理。輸入數(shù)據(jù)經(jīng)過Origin_vae 模型編碼和解碼處理后會過濾掉大部分擾動，留下原始圖像特征。引入Origin_vae有助于促進生成器生成具備反VAE 防御的攻擊實例。

5）圖像分類模型VAE_Classifier。輸入數(shù)據(jù)經(jīng)過Origin_vae處理后，輸入到圖像分類模型Classifier，從而達到防御效果。

6）計算擾動均值的Mean_perturb。Mean_perturb用于計算生成擾動G（x）的均值并度量生成攻擊圖像的隱蔽性。

鑒別器D的目標是區(qū)分原始實例x和生成實例：

原始實例x是真實數(shù)據(jù)集下的一個樣本，區(qū)分原始實例和生成實例有助于生成器生成與原始實例接近的攻擊實例。

假設D（x）和D（）分別表示鑒別器鑒別原始數(shù)據(jù)和生成數(shù)據(jù)的預測值，Pt和Pf分別表示數(shù)據(jù)判別為真和假的標簽，則二分類交叉熵損失函數(shù)表示如下：

對抗神經(jīng)網(wǎng)絡的損失函數(shù)可用式（3）和式（4）表示，它們的作用分別是反向傳播優(yōu)化鑒別器和生成器。

將x+G（x）輸入圖像分類模型Classifier 后，用r表示Classifier 正確分類的概率，o表示除r之外其他類中最大的概率。欺騙圖像分類模型Classifier 的損失函數(shù)表示如下：

其 中：Ld=r-o；max(0,Ld)>0 表示攻 擊失敗，max(0,Ld)=0 表示攻擊成功。因此，Ladv有助于生成器生成能夠欺騙圖像分類模型的擾動圖像。

在x+G（x）輸入Origin_vae 后，將其輸出作為圖像分類模型Classifier 的輸入，vvae_r表示圖像分類模型Classifier 輸出的概率分布中正確分類的概率，vvae_o表示除vaer以外其他類中最大的概率。Origin_vae模型的損失函數(shù)表示如下：

其中：max(0,Lvae_d)>0 表示攻擊失敗，max(0,Lvae_d)=0表示攻擊成功。因此，Lvae有助于生成器生成能夠抵抗防御的擾動圖像。

G（x）擾動的均值損失函數(shù)表示如下：

假設LG代表Ladv、Lvae、Lp線性匯總的損失函數(shù)，α、β、λ表示權(quán)重，使用LG損失函數(shù)進行反向傳播，優(yōu)化生成器。LG損失函表示如下：

1.2 AntiVAEGAN 算法流程

AntiVAEGAN 算法流程如圖2 所示，其中，j表示第j輪迭代，i表示第i張圖像，m表示數(shù)據(jù)集中用于訓練的圖像總數(shù)；n表示模型訓練的最大迭代次數(shù)。具體步驟如下：

圖2 AntiVAEGAN 算法流程Fig.2 Procedure of AntiVAEGAN algorithm

步驟1通過對原始圖像進行大小調(diào)整和中心裁剪，得到統(tǒng)一大小的訓練圖像。

步驟2建立生成網(wǎng)絡，將訓練圖像輸入生成網(wǎng)絡，生成攻擊圖像。

步驟3建立判別網(wǎng)絡，與生成網(wǎng)絡形成Gener‐ator-Discriminator 對抗訓練。將訓練圖像和攻擊圖像輸入判別網(wǎng)絡進行判別，將判別損失結(jié)果用于優(yōu)化生成網(wǎng)絡和判別網(wǎng)絡。

步驟4建立圖像分類模型Classifier，建立Classifier 與Origin_vae 防御模型的組合圖像分類模型VAE_Classifier，將生成網(wǎng)絡生成攻擊圖像分別輸入這兩個模型，將攻擊損失結(jié)果用于優(yōu)化生成網(wǎng)絡。

步驟5將以上步驟進行多次迭代，利用Gener‐ator-Discriminator 對抗訓練方法訓練生成網(wǎng)絡，訓練得到AntiVAEGAN 攻擊模型。

步驟6在攻擊模型中輸入測試數(shù)據(jù)集，將生成的攻擊數(shù)據(jù)集分別攻擊圖像分類模型和添加防御模型的圖像分類模型，統(tǒng)計實驗數(shù)據(jù)。

1.3 AntiVAEGAN 算法評價

利用攻擊數(shù)據(jù)集中的樣本對圖像分類模型進行攻擊，統(tǒng)計圖像分類模型正確分類的樣本數(shù)目，進而計算圖像分類準確率和攻擊成功率。

圖像分類準確率指模型正確分類的樣本數(shù)占攻擊數(shù)據(jù)集樣本總數(shù)的比例maccuracy，計算公式如下：

其中：mnum表示模型正確分類數(shù)；dnum表示攻擊數(shù)據(jù)集樣本總數(shù)。

攻擊成功率指模型錯誤分類的樣本數(shù)占攻擊數(shù)據(jù)集樣本總數(shù)的比例asuccess_rate，計算公式如下：

2 改進的對抗攻擊算法VAEAdvGAN

2.1 VAEAdvGAN 算法原理

VAEAdvGAN 算法借鑒GAN 對抗訓練結(jié)構(gòu)，衍生出另一個對抗模型——生成器和VAE 防御模型的對抗模型，以Generator-Discriminator 與Generator-VAE 雙對抗結(jié)構(gòu)進行訓練，從而對抗提升防御模型的防御能力與攻擊模型的攻擊能力。VAEAdvGAN算法結(jié)構(gòu)如圖3所示。VAEAdvGAN 算法在AntiVAEGAN 算法的基礎上，添加了Further_vae 防御模型，用于與生成器對抗訓練，動態(tài)提升Further_vae 的防御能力。

圖3 VAEAdvGAN 算法結(jié)構(gòu)Fig.3 Structure of AVEAdvGAN algorithm

對抗訓練Generator-VAE 的損失函數(shù)表示如下：

2.2 VAEAdvGAN 算法流程

VAEAdvGAN算法流程如圖4所示，具體步驟如下：

圖4 VAEAdvGAN 算法流程Fig.4 Procedure of VAEAdvGAN algorithm

步驟1通過對原始圖像進行大小調(diào)整和中心裁剪，得到統(tǒng)一大小的訓練圖像。

步驟2建立生成網(wǎng)絡與防御網(wǎng)絡Further_vae，使用AntiVAEGAN 攻擊模型和Origin_vae 防御模型分別對生成網(wǎng)絡和防御網(wǎng)絡進行初始化。

步驟3將訓練圖像輸入生成網(wǎng)絡，生成攻擊圖像。

步驟4建立判別網(wǎng)絡，對訓練圖像和攻擊圖像進行判別，與生成網(wǎng)絡形成對抗訓練，將判別損失結(jié)果用于優(yōu)化生成網(wǎng)絡和判別網(wǎng)絡。

步驟5將訓練圖像和攻擊圖像輸入Further_vae防御網(wǎng)絡，與生成網(wǎng)絡形成對抗訓練，將防御損失用于優(yōu)化防御網(wǎng)絡。

步驟6建立圖像分類模型Classifier以及Classifier與Further_vae 防御模型的組合圖像分類模型Fur_VAE_Classifier，將生成網(wǎng)絡生成的攻擊圖像分別輸入這兩個模型，將攻擊損失結(jié)果用于優(yōu)化生成網(wǎng)絡。

步驟7通過以上步驟，以生成器與鑒別器、生成器與VAE 雙對抗訓練方法訓練生成網(wǎng)絡，以生成器與VAE 對抗訓練方法訓練防御網(wǎng)絡，訓練得到攻擊模型VAEAdvGAN 和防御模型Further_vae。

步驟8在攻擊模型中輸入測試數(shù)據(jù)集，將生成的攻擊數(shù)據(jù)集分別攻擊圖像分類模型和添加防御模型的圖像分類模型，統(tǒng)計實驗數(shù)據(jù)。

3 實驗結(jié)果與分析

3.1 實驗環(huán)境和數(shù)據(jù)集

實驗硬件環(huán)境為64 位Linux 操作系統(tǒng)、16 GB 內(nèi)存、Intel i7-7800X CPU、3.5 GHz×12 主頻、GeForce GTX 1080 Ti GPU。系統(tǒng)運行于PyTorch 0.4 深度學習框架，使用Python 3.6 版本。

實驗數(shù)據(jù)集包括28像素×28像素的黑白MNIST數(shù)據(jù)集［20］和32 像素×32 像素的彩色GTSRB 數(shù)據(jù)集［21］。MNIST 數(shù)據(jù)集的訓練集有50 000 張圖像，由250 個不同人手寫的數(shù)字構(gòu)成，測試集有10 000 張圖像，使用具有4 層卷積層的10 分類神經(jīng)網(wǎng)絡作為圖像分類模型。GTSRB 數(shù)據(jù)集是一個德國交通標志檢測數(shù)據(jù)集，包含43 種交通信號，訓練集有39 209 張圖像，測試集有12 630 張圖像，使用vgg16［22］作為圖像分類模型。

3.2 實驗效果對比

圖5和圖6分別是使用AntiVAEGAN和VAEAdvGAN攻擊模型對MNIST 數(shù)據(jù)集的攻擊效果。圖7 和圖8 分別是使用AntiVAEGAN 和VAEAdvGAN 攻擊模型對GTSRB 數(shù)據(jù)集的攻擊效果。由上述結(jié)果可以看出，原始交通標志圖像遭到攻擊后，圖像中出現(xiàn)了一定的干擾信息，但這些干擾信息基本不影響人眼對標志的判別，但卻能成功欺騙分類網(wǎng)絡。另外，與AntiVAEGAN算法相比，VAEAdvGAN 算法產(chǎn)生的干擾信息看起來更為復雜。

圖5 AntiVAEGAN 對MNIST 數(shù)據(jù)集的攻擊效果Fig.5 Attack effects of AntiVAEGAN on MNIST dataset

圖6 VAEAdvGAN 對MNIST 數(shù)據(jù)集的攻擊效果Fig.6 Attack effects of VAEAdvGAN on MNIST dataset

圖7 AntiVAEGAN 對GTSRB 數(shù)據(jù)集的攻擊效果Fig.7 Attack effects of AntiVAEGAN on GTSRB dataset

圖8 VAEAdvGAN 對GTSRB 數(shù)據(jù)集的攻擊效果Fig.8 Attack effects of VAEAdvGAN on GTSRB dataset

3.3 分類準確率對比

使用M1 表示MNIST 數(shù)據(jù)集的圖像分類模型，M2 表示M1 與Origin_vae 防御模型的組合圖像分類模型，M3 表示M1 與Further_VAE 結(jié)合的圖像分類模型。MNIST 數(shù)據(jù)集分別在無攻擊、FGSM［4］攻擊、AdvGAN 攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的分類準確率對比如表1 所示。由表1 可以看出，M1 圖像分類模型在FGSM 攻擊下分類準確率下降到 27.96%，而在AdvGAN、AntiVAEGAN 和VAEAdvGAN 攻擊下分類準確率明顯下降，從無攻擊的99.00%降到不到4.00%，表明FGSM 攻擊算法效果一般，而其他3 種攻擊算法效果較好。對M2 圖像分類模型，無攻擊的分類準確率為98.00%，AdvGAN 攻擊效果不佳，攻擊后分類準確率下降不明顯，為19.35 個百分點，F(xiàn)GSM 攻擊有一定效果，分類準確率下降了69.68 個百分點，AntiVAEGAN 和VAEAdvGAN 攻擊效果非常明顯，分類準確率大幅下降。對M3 圖像分類模型，AdvGAN 攻擊效果非常差，AntiVAEGAN 攻擊效果也一般，而VAEAdvGAN和FGSM 攻擊使得分類準確率下降較多，攻擊效果較好。

表1 MNIST 數(shù)據(jù)集分類準確率對比Table 1 Comparison of classification accuracy of MNIST dataset %

使用G1 表示GTSRB 數(shù)據(jù)集的圖像分類模型，G2表示G1 與Origin_vae 防御模型的組合圖像分類模型，G3 表示M1 與Further_VAE 結(jié)合的圖像分類模型。GTSRB 數(shù)據(jù)集分別在無攻擊、FGSM 攻擊、AdvGAN 攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的分類準確率對比如表2 所示。由表2 可以看出，G1 圖像分類模型在各種攻擊下的分類準確率都明顯下降，其中FGSM攻擊效果最差，而AntiVAEGAN 和VAEAdvGAN 攻擊效果較好。對G2 圖像分類模型，無攻擊的分類準確率為79.52%，AdvGAN 攻擊效果最差，VAEAdvGAN 和FGSM 攻擊效果次之，AntiVAEGAN 攻擊效果最好。對G3 圖像分類模型，AdvGAN 攻擊效果很差，AntiVAEGAN 攻擊效果也一般，而FGSM 和VAEAdvGAN 攻擊使得分類準確率下降最多，攻擊效果較好。

表2 GTSRB 數(shù)據(jù)集分類準確率對比Table 2 Comparison of classification accuracy of GTSRB dataset %

3.4 攻擊成功率對比

MNIST 數(shù)據(jù)集分別在FGSM 攻擊、AdvGAN 攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的攻擊成功率對比如表3 所示。由表3 可以看出，F(xiàn)GSM 對M1 和M2圖像分類模型的攻擊成功率都在89%以上，但對M3分類模型的攻擊成功率一般，只有42.73%。AdvGAN對M1 圖像分類模型的攻擊成功率為96.94%，但對M2圖像分類模型的攻擊成功率僅為21.35%，對M3 圖像分類模型的攻擊成功率更低，低至9.12%。這表明AdvGAN 的攻擊不穩(wěn)定，在VAE 防御模型的防御下，AdvGAN 的攻擊被大幅抵消。AntiVAEGAN 對M1 圖像分類模型的攻擊成功率為96.45%，與AdvGAN 的攻擊成功率僅相差0.49 個百分點，但對M2 圖像分類模型的攻擊成功率高達96.33%，是AdvGAN 攻擊成功率的4 倍多，攻擊效果明顯更好。AntiVAEGAN 對M3 圖像分類模型的攻擊成功率也較差，僅為23.93%，但比AdvGAN 的9.12%好。VAEAdvGAN 對M1 圖像分類模型的攻擊成功率為96.03%，與AdvGAN 和AntiVAEGAN 相差不多，對M2 圖像分類模型的攻擊成功率為93.95%，比AntiVAEGAN 的攻擊成功率低了2.38 個百分點，但仍遠高于AdvGAN 的21.35%，對M3圖像分類模型的攻擊成功率為58.94%，是AntiVAEGAN的2 倍多。

表3 MNIST 數(shù)據(jù)集攻擊成功率對比Table 3 Comparison of attack success rate of MNIST dataset %

GTSRB數(shù)據(jù)集分別在FGSM 攻擊、AdvGAN攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的攻擊成功率對比如表4 所示。由表4 可以看出，對G1 圖像分類模型，F(xiàn)GSM、AdvGAN、AntiVAEGAN、VAEAdvGAN的攻擊成功率分別為89.51%、92.54%、94.35%、94.84%，AntiVAEGAN 和VAEAdvGAN 的攻擊成功率高于AdvGAN，更高于FGSM。對G2 和G3 圖像分類模型，F(xiàn)GSM 和AdvGAN 的攻擊成功率都明顯低于AntiVAEGAN 和VAEAdvGAN，AntiVAEGAN 的攻擊成功率更高。對G3 圖像分類模型，AdvGAN 攻擊成功率最低，F(xiàn)GSM 和AntiVAEGAN 的攻擊成功率差不多，VAEAdvGAN 的攻擊成功率最高。

表4 GTSRB 數(shù)據(jù)集攻擊成功率對比Table 4 Comparison of attack success rate on GTSRB dataset %

綜合以上實驗數(shù)據(jù)可以看出，在無防御的情況下（如M1 和G1 圖像分 類模型），AntiVAEGAN 和VAEAdvGAN 幾乎能達到和AdvGAN、FGSM 一樣的攻擊效果。在VAE 防御下，AdvGAN 攻擊成功率大幅下降，但AntiVAEGAN 攻擊仍然相對穩(wěn)定，攻擊效果比AdvGAN 更好。這說明AntiVAEGAN 能成功攻擊具有VAE防御的分類器，攻擊成功率較高，攻擊性能更穩(wěn)定，魯棒性更強。Further_vae 防御模型通過對抗訓練，提升了防御能力，隨著Further_vae 模型防御能力的提升，對抗促進了VAEAdvGAN 攻擊模型攻擊能力的進一步提升。因此，VAEAdvGAN 攻擊效果比AdvGAN 更好，且在大部分情況下優(yōu)于AntiVAEGAN。

4 結(jié)束語

本文為解決現(xiàn)有圖像攻擊算法在VAE 防御下攻擊效果不穩(wěn)定的問題，提出AntiVAEGAN 算法，利用生成對抗網(wǎng)絡訓練的方式訓練得到一種抵抗VAE 防御的AntiVAEGAN 模型。針對防御模型防御能力提升時攻擊效果不穩(wěn)定的問題，進一步提出VAEAdvGAN 算法，以生成器與鑒別器、生成器與VAE 雙對抗訓練的方式訓練得到VAEAdvGAN 模型。在不同數(shù)據(jù)集上的實驗結(jié)果表明，本文提出的圖像攻擊算法提高了圖像攻擊的魯棒性和成功率。但由于圖像攻擊算法生成的擾動不夠隱蔽，后續(xù)將對此做進一步優(yōu)化，在保證算法攻擊成功率與魯棒性的同時，盡可能提升攻擊隱蔽性。