摘要
以深度学习为代表的人工智能技术在计算机视觉、自然语言处理等诸多领域均取得了突破性进展,开启规模化应用时代。然而,现有深度学习模型在实际应用中易出现鲁棒性不足的问题,容易被攻击者恶意构造的对抗样本欺骗,从而产生错误的预测结果,对深度学习的实际应用带来现实的安全威胁。同时,研究发现对抗样本具有一定的迁移能力,使得针对某个特定模型生成的对抗样本也可以成功欺骗其他模型,这种利用对抗样本的迁移能力来欺骗黑盒模型的方法被称为黑盒迁移攻击方法。 然而,现有黑盒迁移攻击方法存在生成的对抗样本多样性不足、迁移能力较差,在无法获取目标模型结构和参数信息的黑盒场景下攻击成功率较低的问题。为解决上述关键问题,本文以图像分类任务为研究背景,围绕对抗样本的迁移能力开展系统性研究,并面向梯度计算和输入变换两个不同场景研发高效黑盒迁移攻击方法。主要创新点概括如下: (1)针对现有基于梯度计算的方法黑盒迁移攻击成功率较低的问题,提出损失平滑黑盒迁移攻击方法,通过在生成对抗样本的迭代优化过程中对模型损失函数曲面进行局部平滑处理,有效缓解损失函数曲面存在的局部振荡现象,从而稳定梯度更新方向,避免对抗样本落入优化问题的局部极值点。在ImageNet数据集上的实验结果表明,该方法能够显著提升生成的对抗样本的迁移能力,从而提高针对各类模型的黑盒迁移攻击成功率。 (2)针对现有基于输入变换的方法黑盒迁移攻击成功率较低的问题,提出显著性混合黑盒迁移攻击方法,通过将输入图像和其他类别随机采样的一组图像中的特征显著区域以主从方式进行混合来生成对抗样本。该方法能够引导模型学习其他类别的图像特征,利用更接近决策边界的数据点计算梯度,从而获得更加准确的梯度更新方向。在ImageNet数据集上的实验结果表明,与现有攻击方法相比,本文提出的攻击方法生成的对抗样本迁移能力更强,可以显著提高针对各类模型的黑盒迁移攻击成功率。
NETL