结合扰动约束的低感知性对抗样本生成方法

扫码查看

原文链接

NETL
NSTL
万方数据
维普

中文摘要：目的对抗样本是指在原始数据中添加细微干扰使深度模型输出错误结果的合成数据.视觉感知性和攻击成功率是评价对抗样本的两个关键指标.当前大多数对抗样本研究侧重于提升算法的攻击成功率,对视觉感知性的关注较少.为此,本文提出了一种低感知性对抗样本生成算法,构造的对抗样本在保证较高攻击成功率的情况下具有更低的视觉感知性.方法提出在黑盒条件下通过约束对抗扰动的面积与空间分布以降低对抗样本视觉感知性的方法.利用卷积网络提取图像中对输出结果影响较大的关键区域作为约束,限定扰动的位置.之后结合带有自注意力机制的生成对抗网络在关键区域添加扰动,最终生成具有低感知性的对抗样本.结果在3种公开分类数据集上与多种典型攻击方法进行比较,包括7种白盒算法FGSM(fast gradient sign method)、BIM(basic iter-ative method)、DeepFool、PerC-C&W(perceptual color distance C&W)、JSMA(Jacobian-based saliency map attacks)、APGD(auto projected gradient descent)、AutoAttack和2种黑盒算法OnePixel、AdvGAN(adversarial generative adversar-ial network).在攻击成功率(attack success rate,ASR)上,本文算法与对比算法处于同一水平.在客观视觉感知性对比中,本文算法较AdvGAN在低分辨率数据集上,均方误差(mean square error,MSE)值降低了42.1％,结构相似性值(structural similarity,SSIM)提升了8.4％;在中高分辨率数据集上,MSE值降低了72.7％,SSIM值提升了12.8％.与视觉感知性最好的对比算法DeepFool相比,在低分辨率数据集上,本文算法的MSE值降低了29.3％,SSIM值提升了0.8％.结论本文分析了当前算法在视觉感知性上存在的问题,提出了一种对抗样本生成方法,在攻击成功率近似的情况下显著降低了对抗样本的视觉感知性.

外文标题：A perturbation constraint related weak perceptual adversarial example generation method

作者：

王杨、曹铁勇、杨吉斌、郑云飞、方正、邓小桐

展开 >

作者单位：

陆军工程大学指挥控制工程学院,南京 210007

陆军炮兵防空兵学院南京校区火力系,南京 211100

安徽省偏振成像与探测重点实验室,合肥 230031

关键词：

对抗样本视觉感知性对抗扰动生成对抗网络(GAN) 黑盒攻击

基金：

国家自然科学基金国家自然科学基金江苏省优秀青年基金

项目编号：

6207148461801512BK20180080

出版年：

2022

中国图象图形学报

中国科学院遥感应用研究所,中国图象图形学学会 ,北京应用物理与计算数学研究所

中国图象图形学报

CSTPCDCSCD北大核心

影响因子：1.111

ISSN：1006-8961

年,卷(期)：2022.27(7)

被引量2
参考文献量2