摘要
卷积神经网络近年来以其在各种复杂任务上的杰出性能表现而被广泛部署,但是最近的研究表明卷积神经网络对于对抗样本是不鲁棒的,这使得如何有效精准的估计卷积神经网络的鲁棒性成为了一个关键的话题。生成对抗样本的技术可以分为两类,白盒攻击与黑盒攻击。白盒攻击要求攻击者可以访问整个模型,使其实用性较低,而黑盒攻击则不需要该条件,从而能够更好的评估在真实部署的环境中卷积神经网络受到攻击的可能性。黑盒攻击通常利用对抗样本的迁移性,即在一个代理模型上生成的对抗样本有时可能够攻击成功黑盒目标模型。然而,代理模型上生成的对抗样本的迁移性通常较差,容易过拟合于代理模型,大大地限制了黑盒攻击的性能。本文关注了这一问题,即如何改善对抗样本的迁移性。通常,在代理模型上生成对抗样本时涉及到三个关键的因素:优化算法、代理模型架构和数据。本文从这三个角度出发,分别提出一种能够改善生成对抗样本的技术,具体内容如下: 1)从优化算法角度,目前普遍采用的方式是梯度下降算法或动量算法来生成对抗样本。本文发现对抗样本的迁移性可以类比为元学习中在新任务上的泛化能力,而代理模型可以类比为元学习中的旧任务。元学习能够使得在旧任务上训练得到的结果,如超参数或者模型等,能够泛化到未知的新任务上,因此可以尝试利用元学习算法来改善对抗样本的迁移性。具体的,受到元学习算法的启发,本文提出了模型不可知攻击(Model-AgnosticAttack,MAA),它巧妙地融合了对抗样本在多种代理模型上得到的梯度,从而使得生成的对抗样本更加容易泛化。 2)从模型架构角度,本文设计了多轨道网络架构(Multi-trackModelArchitecture,MMA)。MMA对原始的代理模型进行有机的分解重整,从而能够更好地破坏样本的底层特征。由于底层特征更加容易在不同的模型架构之间共享,因此使得生成的对抗样本具有更好的迁移性。 3)从数据角度,许多方法通过对输入进行多样性变换来提升对抗样本的迁移性,但是缺乏理论支持。本文发现这类方法可以被建模为贝叶斯后验推断的问题,提出了一种新颖的框架来对这类方法进行解释。进一步的,在高维空间中,后验分布通常难以解决,本文提出了一种掩码技术(MaskBlock)来对后验分布进行采样从而执行无偏的蒙特卡洛近似估计,从而进一步的提高了对抗样本的迁移性。 在基准评估数据集ImageNet上进行了一系列广泛的实验也验证所提出的三种技术能够有效性的改善对抗样本的迁移性。
NETL