一种基于进化策略和注意力机制的黑盒对抗攻击算法

作     者：黄立峰 庄文梓 廖泳贤 刘宁 HUANG Li-Feng;ZHUANG Wen-Zi;LIAO Yong-Xian;LIU Ning

作者机构：中山大学计算机学院(软件学院)广东广州510006 广东省信息安全技术重点实验室广东广州510006 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2021年第32卷第11期

页      面：3512-3529页

核心收录：

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 081104[工学-模式识别与智能系统] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金(61772567) 中央高校基本科研业务费专项资金(19lgjc11) 

主　　题：对抗样本 黑盒攻击 进化策略 注意力机制 压缩优化 

摘      要：深度神经网络在许多计算机视觉任务中都取得了优异的结果,并在不同领域中得到了广泛应用.然而研究发现,在面临对抗样本攻击时,深度神经网络表现得较为脆弱,严重威胁着各类系统的安全性.在现有的对抗样本攻击中,由于黑盒攻击具有模型不可知性质和查询限制等约束,更接近实际的攻击场景.但现有的黑盒攻击方法存在攻击效率较低与隐蔽性弱的缺陷,因此提出了一种基于进化策略的黑盒对抗攻击方法.该方法充分考虑了攻击过程中梯度更新方向的分布关系,自适应学习较优的搜索路径,提升攻击的效率.在成功攻击的基础上,结合注意力机制,基于类间激活热力图将扰动向量分组和压缩优化,减少在黑盒攻击过程中积累的冗余扰动,增强优化后的对抗样本的不可感知性.通过与其他4种最新的黑盒对抗攻击方法(AutoZOOM、QL-attack、FD-attak、D-based attack)在7种深度神经网络上进行对比,验证了该方法的有效性与鲁棒性.