摘要
近年来,随着海量数据标注质量的提高与硬件算力的大幅提升,深度学习技术迎来了蓬勃发展,以卷积神经网络为代表的深度学习模型在计算机视觉等任务上取得巨大成功。但是,基于卷积神经网络的视觉模型存在鲁棒性与安全性等问题,容易受到对抗样本的攻击。本文从对抗样本的攻击角度出发,分别对图像分类与目标检测这两大计算机视觉基本任务展开对抗攻击研究。 对抗样本技术首先在图像分类领域被提出,通过在干净的图片上加入精心设计的人为扰动,从而使卷积神经网络输出错误的分类结果。尽管在图像分类领域对抗样本技术已有许多研究,但这些研究多为白盒攻击方法,即可以获取模型的参数与结构。然而现实场景中,模型结构大多是未知的,是一种典型的黑盒攻击场景。同时,如目标检测、图像分割等计算机视觉任务都是在图像分类模型的基础上进行微调从而得到的。因此,本文也同时对目标检测任务的对抗攻击展开研究。近年来基于无锚框技术的检测方法异军突起,检测性能逐渐追上甚至超越基于锚框技术的检测方法。然而,目前针对无锚框技术检测方法的对抗攻击鲜有讨论。 针对图像分类黑盒攻击方法较少与针对无锚框检测技术的对抗攻击鲜有研究的问题,本文主要从优化角度出发,分别对图像分类任务与目标检测任务提出基于Nesterov动量的投影梯度下降对抗样本生成方法(Nesterov Projected Gradient Descent,N-PGD)与基于无锚框技术目标检测的对抗样本生成方法(Anchor-Free Attack,AFK)。具体工作如下: (1)针对图像分类任务提出一种基于Nesterov动量加速优化的N-PGD对抗样本生成方法。针对PGD白盒攻击方法容易“过拟合”被攻击模型从而造成黑盒攻击能力不足的问题,本文受黑盒攻击算法MIM启发,将Momentum动量替换为Nesterov动量并引入PGD算法的迭代流程,提出了N-PGD算法,利用目标函数的二阶导数加速了优化的收敛过程。本文在MNIST,CIFAR10两个数据集上进行了白盒攻击实验,在ILSVRC2012数据集上选取的1000张图片同时进行了白盒攻击与黑盒攻击实验,与FGSM、PGD和MIM方法做对比,以攻击成功率为评价指标,证明了本文方法在MNIST与CIFAR10数据集上具有优异的白盒攻击能力,在ILSVRC2012数据集的1000张图片上相较于MIM方法具有优异的黑盒攻击能力。 (2)针对基于无锚框技术的检测框架设计了一种AFK方法,该方法利用高层语义信息确定目标关键点位置,并利用位置掩膜与梯度信息生成局部区域性对抗扰动。本文利用AFK方法对不同骨干网络的CenterNet在PASCAL VOC与MS COCO两个数据集的1000张图片上进行了实验,结果表明AFK相较于DAG方法在PASCAL VOC数据集上具有良好的迁移性,不仅可以攻击基于无锚框技术的检测器,同时还可以迁移至基于锚框技术的检测器。在MS COCO数据集上,由攻击不同骨干网络的CenterNet生成的对抗样本具有鲁棒性,可以在不同骨干网络的CenterNet之间进行迁移。
NETL