图像分类技术因其优秀的性能而被广泛应用于自动驾驶、人脸识别等领域,但目前的图像分类技术很容易受到对抗攻击的影响,导致其分类功能近乎失效。然而现有对抗攻击算法过度依赖源模型的参数和梯度信息来进行攻击,忽略了泛化性更强的特征信息,从而导致其所制作的对抗样本的迁移性和隐蔽性较差,在黑盒测试模型上攻击成功率较低。针对此缺点,本文研究图像的黑盒攻击算法,主要的研究工作和创新如下:(1)在图像的经典对抗攻击算法中,通过分析引入动量手段、引入数据增强方法、引入注意力机制这三种经典攻击算法,得出基于迁移的对抗攻击算法的研究框架。通过实验结果与分析,发现:1)对抗攻击实质是基于特征的攻击;2)对抗攻击算法中引入随机数据增强方法,会存在效率低和隐蔽性差的缺点。因此,在充分考虑上述算法优点的基础上,提出针对泛化性更强的特征进行攻击的算法设计思路。(2)针对随机数据增强方法存在的不足,提出基于Grad-CAM区域的对抗攻击算法(Grad-CAM Guided Data Augmentation Attack Method,GCG-DAAM)。GCG-DAAM通过模型对于图片的加权梯度类激活映射图(Gradient-weighted Class Activation Map,Grad-CAM)来获取到模型在图片上的主要判决区域,再基于此特征区域进行攻击可以进一步提高所制作对抗样本的迁移性;并且设计平滑掩膜的损失函数来使对抗样本更加自然。实验结果表明,GCG-DAAM所制作的对抗样本的迁移性更好,所需要添加的平均扰动量更少。(3)为进一步获得泛化性更强的特征来进行攻击,且考虑到有监督学习的特征泛化性不足的问题,提出引入自监督特征的GCG-DAAM。基于自监督学习,设计改进后的Grad-CAM获取模块,将自监督模型的Grad-CAM与有监督模型的Grad-CAM进行加权融合,使最终结果兼顾判决性和全局性;同时,由于人眼对于物体的形状变化更加敏感,设计边缘损失函数来限制对物体边缘区域的扰动。实验结果表明,引入自监督特征的GCG-DAAM在对抗样本的迁移性和不同模型上的攻击成功率都有所提高,在Image Net数据集上的测试结果较基准方法提升了1%至3%。
暂无评论