SCIENTIASINICAInformationis中国科学:信息科学2023年第53卷第2期:309–324c©2023《中国科学》杂志社www.scichina.cominfocn.scichina.com论文基于雾扰动的图像分类对抗性攻击方法高瑞均1,2,郭青1,3,余洪凯4,冯伟1,2*1.天津大学智能与计算学部,天津300350,中国2.国家文物局文物本体表面监测与分析研究重点科研基地,天津300350,中国3.SchoolofComputerScienceandEngineering,NanyangTechnologicalUniversity,Singapore639798,Singapore4.DepartmentofElectricalEngineeringandComputerScience,ClevelandStateUniversity,Cleveland44115,USA*通信作者.E-mail:wfeng@tju.edu.cn收稿日期:2021–10–27;修回日期:2021–12–18;接受日期:2022–03–18;网络出版日期:2023–02–06国家重点研发计划(批准号:2020YFC1522701)、天津市面上项目(批准号:18JCYBJC15200)和国家自然科学基金(批准号:62072334)资助项目摘要对抗性攻击是研究深度神经网络脆弱性的前沿技术.然而现有工作大多关注基于加性噪声扰动的攻击,无法代表现实世界中的扰动因素,阻碍了对抗性攻击的实际应用.雾作为现实世界中广泛存在的自然现象,对图像造成显著影响,不可避免地对深度模型构成潜在威胁.本文首次尝试从对抗性攻击的角度研究雾对深度神经网络的影响,并提出两种基于雾扰动的对抗性攻击方法:基于优化的雾扰动对抗性攻击OAdvHaze,在深度神经网络的指引下优化大气散射模型参数,以合成有雾图像,该方法具有较高的攻击成功率.预测式雾扰动对抗性攻击PAdvHaze,采用深度神经网络直接预测雾合成参数,提高了对抗性攻击的速度.本文在ILSVRC2012和NIPS2017两个公开数据集上验证了所提出方法的有效性,OAdvHaze和PAdvHaze取得了与最先进攻击方法相当的攻击成功率和可迁移性.该工作将有助于评估和提高深度神经网络对现实世界中潜在雾扰动的鲁棒性.关键词对抗性攻击,图像分类,雾合成,深度学习,图像处理1引言深度神经网络(deepneuralnetwork,DNN)已经在目标检测[1]、协同显著性检测[2]、视觉目标跟踪[3]等许多计算机视觉任务中取得了巨大成功.但深度神经网络潜在的安全风险也逐渐显现出来,已有研究通过对网络的输入图像添加难以察觉的噪声,或应用某些非噪声变换来生成对抗性样本,使得深度神经网络模型预测结果出错,该过程被称作对抗性攻击.这些研究的实验结果表明,精心设计的对抗性样本可以很容易地使深度神经网络失效,而深入研究对抗性攻击方法以及相关的防御技术,有助于评估和提高深度神经网络的鲁...
