摘要
神经网络模型很容易受到对抗样本的攻击而失效,这对深度学习技术在现实生活中的部署产生了极大的威胁。从对抗攻击的角度出发,深刻理解对抗样本的生成机制,对于提升神经网络模型的鲁棒性具有重要的意义。当前大多数研究都是面向2D对抗攻击,直接在数字空间中改变图像的像素值,难以在真实环境下应用。3D对抗攻击将扰动添加到物体的表层纹理,考虑物体在真实环境下的物理特性,更具有现实意义。然而,3D对抗样本面临多视角下攻击效果不好,对于黑盒模型的迁移性差,且在陌生环境中容易失效的问题。针对上述问题,本文聚焦于3D对抗攻击中的多视角鲁棒性、黑盒模型迁移性、陌生环境鲁棒性等难点展开研究,取得的研究成果包括: (1)提出了一种基于动量和梯度滤波的多视角鲁棒对抗攻击方法。由于3D对抗样本在不同视角下的扰动会产生冲突并且纹理图像会出现梯度缺失的现象,导致3D对抗样本在多视角下攻击效果不好。针对该问题,本文引入动量,记录物体在不同视角下的梯度,并使用动量作为扰动更新的方向,达到多视角协同更新的效果。另外,对于缺失梯度的像素点,使用梯度滤波将周围有梯度的像素点按照特定的权重对其进行梯度补全,进一步提升了3D对抗样本在多视角下的攻击成功率。实验表明,所提方法在多视角测试环境下要明显好于现有的3D对抗攻击方法。 (2)提出了一种基于多类别引导的黑盒迁移对抗攻击方法。由于现有的3D对抗攻击方法在扰动生成过程中只使用原始类别作为引导,监督信息不明确,会导致对抗样本陷入局部最优的情况,从而使得其对黑盒模型的迁移性差。针对该问题,本文采用最小置信度类别与原始类别共同监督的方式,使得对抗样本在模型的决策空间中朝着最小类别并且远离原始类别的方向进行扰动更新,扩大对抗样本与原始图像在模型的决策空间中的差异性。实验表明,所提方法能够提升对抗样本对于黑盒模型的迁移性。 (3)提出了一种基于仿真变换的环境鲁棒对抗攻击方法。由于现有的基于数据变换的对抗攻击方法是对2D图像进行数据变换,在3D对抗攻击场景中不适用,导致3D对抗样本在陌生环境中攻击效果不好。针对该问题,本文将数据变换应用到3D物体的表层纹理,保证数据变换的合理性,同时引入仿真光照,在扰动生成的过程中对3D物体添加多种数据变换及光照模拟,提升了3D对抗样本在陌生环境中的鲁棒性。另外,开发了一个演示系统,可以实时展示3D对抗样本对于不同模型的攻击效果。
NETL