查看更多>>摘要:目的 传统的基于对抗补丁的对抗攻击方法通常将大量扰动集中于图像的掩膜位置,然而要生成难以察觉的扰动在这类攻击方法中十分困难,并且对抗补丁在人类感知中仅为冗余的密集噪声,这大大降低了其迷惑性.相比之下,二维码在图像领域有着广泛的应用,并且本身能够携带附加信息,因此作为对抗补丁更具有迷惑性.基于这一背景,本文提出了一种基于二维码掩膜的对抗补丁攻击方法.方法 首先获取目标模型对输入图像的预测信息,为提高非目标攻击的效率,设定伪目标标签.通过计算能够远离原标签同时靠近伪目标标签的梯度噪声,制作掩膜将扰动噪声限制在二维码的有色区域.同时,本文利用基于Lp-Box的交替方向乘子法(alternating direction method of multipliers,ADMM)算法优化添加扰动点的稀疏性,在实现高效攻击成功率的条件下保证二维码本身携带的原有信息不被所添加的密集高扰动所破坏,最终训练出不被人类察觉的对抗补丁.结果 使用ImageNet数据集分别在Inception-v3及ResNet-50(residual networks-50)模型上进行对比实验,结果表明,本文方法在非目标攻击场景的攻击成功率要比基于L∞的快速梯度符号法(fast gradient sign method,FGSM)、DeepFool和投影梯度下降(projected gradient descent,PGD)方法分别高出8.6%、14.6%和4.6%.其中,对抗扰动稀疏度L0和扰动噪声值在L2、L1、L∞范数指标上对比目前典型的攻击方法均取得了优异的结果.对于量化对抗样本与原图像的相似性度量,相比FSGM方法,在峰值信噪比(peak signal-to-noise ratio,PSNR)和相对整体维数综合误差(erreur relative globale adimensionnelle de synthèse,ERGAS)指标上,本文方法分别提高4.82 dB和576.3,并在可视化效果上实现真正的噪声隐蔽.同时,面对多种先进防御算法时,本文方法仍能保持100%攻击成功率的高鲁棒性.结论 本文提出的基于二维码掩膜的对抗补丁攻击方法于现实攻击场景中更具合理性,同时采用稀疏性算法保护二维码自身携带信息,从而生成更具迷惑性的对抗样本,为高隐蔽性对抗补丁的研究提供了新思路.
NETL
NSTL
万方数据