基于图像颜色随机变换的对抗样本生成方法_白祉旭.pdf

h t t p:/ww w.j s j k x.c o mD O I:1 0.1 1 8 9 6/j s j k x.2 1 1 1 0 0 1 6 4到稿日期:2 0 2 1-1 1-1 5 返修日期:2 0 2 2-0 6-1 5通信作者:王衡军(b 3 4 7 0 7 2 2 7 21 6 3.c o m)基于图像颜色随机变换的对抗样本生成方法白祉旭王衡军郭可翔战略支援部队信息工程大学 郑州4 5 0 0 0 1(3 4 7 0 7 2 2 7 2q q.c o m)摘 要 尽管深度神经网络(D e e pN e u r a lN e t w o r k s,D NN s)在大多数分类任务中拥有良好的表现,但在面对对抗样本(A d v e r-s a r i a lE x a m p l e)时显得十分脆弱,使得D NN s的安全性受到质疑。研究设计生成强攻击性的对抗样本可以帮助提升D NN s的安全性和鲁棒性。在生成对抗样本的方法中,相比需要依赖模型结构参数的白盒攻击,黑盒攻击更具实用性。黑盒攻击一般基于迭代方法来生成对抗样本,其迁移性较差,从而导致其黑盒攻击的成功率普遍偏低。针对这一问题,在对抗样本生成过程中引入数据增强技术,在有限范围内随机改变原始图像的颜色,可有效改善对抗样本的迁移性,从而提高对抗样本黑盒攻击的成功率。在I m a g e N e t数据集上利用所提方法对正常网络及对抗训练网络进行对抗攻击实验,结果显示该方法能够有效提升所生成对抗样本的迁移性。关键词:深度神经网络;对抗样本;白盒攻击;黑盒攻击;迁移性中图法分类号 T P 3 9 3.0 8 A d v e r s a r i a lE x a m p l e sG e n e r a t i o nM e t h o dB a s e do nI m a g eC o l o rR a n d o mT r a n s f o r m a t i o nB A IZ h i x u,WANG H e n g j u na n dGUOK e x i a n gS t r a t e g i cS u p p o r tF o r c e I n f o r m a t i o nE n g i n e e r i n gU n i v e r s i t y,Z h e n g z h o u4 5 0 0 0 1,C h i n a A b s t r a c t A l t h o u g hd e e pn e u r a l n e t w o r k s(D NN s)h a v eg o o dp e r f o r m a n c e i nm o s t c l a s s i f i c a t i o nt a s k s,t h e ya r ev u l n e r a b l e t oa d-v e r s a r i a l e x a m p l e s,m a k i n g t h e s e c u r i t yo fD NN sq u e s t i o n a b l e.R e s e a r c hd e s i g n s t og e n e r a t e s t r o n g l ya g g r e s s i v e a d v e r s a r i a l e x a m-p l e sc a nh e l p i m p r o v e t h es e c u r i t ya n dr o b u s t n e s so fD NN s.Am o n gt h em e t h o d sf o rg e n e r a t i n ga d v e r s a r i a l e x a m p l e s,b l a c k-b o xa t t a c k sa r em o r ep r a c t i c a l t h a nw h i t e-b o xa t t a c k s,w h i c hn e e d t or e l yo nm o d e l s t r u c t u r a l p a r a m e t e r s.B l a c k-b o xa t t a c k s a r eg e n e-r a l l yb a s e do n i t e r a t i v em e t h o d s t og e n e r a t e a d v e r s a r i a l e x a m p l e s,w h i c ha r e l e s sm i g r a t o r y,l e a d i n g t oag e n e r a l l y l o ws u c c e s s r a t eo f t h e i rb l a c k-b o xa t t a c k s.T oa d d r e s st h i sp r o b l e m,i n t r o d u c i n gd a t ae n h a n c e m e n tt e c h n i q u e si nt h ep r o c e s so fc o u n t e r m e a s u r ee x a m p l eg e n e r a t i o n t o r a n d o m l y c h a n g e t h e c o l o r o f t h e o r i g i n a l i m a g ew i t h i na l i m i t e d r a n g e c a ne f f e c t i v e l y i m p r o v e t h em i g r a t i o no f c o u n t e r m e a s u r e e x a m p l e s,t h u s i n c r e a s i n g t h e s u c c e s s r a t eo f c o u n t e r m e a s u r e e x a m p l eb l a c kb o xa t t a c k s.T h i sm e t h o d i s v a l i d a-t e dt h r o u g ha d v e r s a r i a l a t t a c ke x p e r i m e n t so nI m a g e N e td a t a s e tw i t hn o r m a ln e t w o r ka n da d v e r s a r i a l t r a i n i n gn e t w o r k,a n dt h ee x p e r i m e n t a l r e s u l t s i n d i c a t e t h a t t h em e t h o dc a ne f f e c t i v e l y i m p r o v e t h em o b i l i t yo f t h eg e n e r a t e da d v e r s a r i a l e x a m p l e s.K e y w o r d s D e e pn e u r a ln e t w o r k,A d v e r s a r i a l e x a m p l e,W h i t e-b o xa t t a c k,B l a c k-b o xa t t a c k,M i g r a t i o n 随着深度学习的崛起,人工智能迎来了新一轮的热潮,在越来越多的领域中发挥着重要的作用,如计算机视觉、自然语言处理等1-2。在大数据的支撑下,深度神经网络在图像识别和目标检测领域拥有惊人的表现,使得大量基于深度学习的应用在现实世界中得到广泛使用,尤其是在很多与安全相关的环境中的实际应用,如人脸识别系统、自动驾驶汽车、无人机侦察等3,深度神经网络的安全逐渐成为了人工智能安全问题中的研究重点。尽管深度神经网络在大多数分类任务中拥有良好的表现,但在面对对抗样本时则显得十分脆弱。对抗样本是在数据集中通过故意添加细微扰动所形成的一类样本,这些样本能够诱导机器学习模型进行错误的分类,对模型的安全形成威胁。另一方面,对于模型设计者来说,对抗样本可以作为评估模型安全性和鲁棒性的有效工具,通过对抗训练,能有效提升模型分类的正确率和安全性。目前对抗样本的研究主要分为两方面:1)面向防御的对抗样本检测与防御技术;2)面向攻击的对抗样本生成技术。面向对抗攻击的研究在提高对抗样本攻击机器学习模型成功率的同时也能为对抗防御提供思路,具有重要意义4-6。对抗样本生成技术按照主流的分类方法可以分为黑盒攻击和白盒攻击两类,虽然白盒攻击的成果更多,但以对抗样本迁移性为基础的黑盒攻击更具现实意义。对抗样本的可迁移性指基于特定模型构造的对抗样本对其他模型同样具有攻击性。基于梯度计算的黑盒攻击方法,通常使用替代模型生成对抗样本,根据对抗样本的可迁移性完成黑盒攻击,但主流的基于对抗样本可迁移性的黑盒攻击方法普遍存在对抗样本可迁移性差的缺点,导致算法最终的攻击成功率不高。针对这一问题,本文提出了一种基于图像颜色随机变换的黑盒攻击技术,以解决基于梯度迭代的对抗攻击方法迁移性不足的问题。可迁移性的提升有助于更好地提高对抗样本的黑盒攻击成功率。同样,将可迁移性更好的对抗样本应用于模型的对抗评估与对抗训练中,能够更好地检验模型的防御能力,帮助提高模型的安全性和鲁棒性7。本文的主要贡献是:1)利用颜色空间变换,将图像亮度分量分离,从而对图像进行语义无损变换;2)提出基于图像颜色随机变换的对抗样本生成方法,有效提升了对抗样本的黑盒攻击成功率;3)在I m a g e N e t数据集上对正常网络及对抗训练网络进行了大量对抗攻击实验,通过实验结果对超参数进行了分析。本文第1节介绍了相关研究进展,包括几种对抗样本的生成方法、数据增强攻击方法及两种颜色空间;第2节介绍了本文的主要研究成果,即基于图像颜色变换的对抗样本生成方法;第3节通过大量实验,对基于图像颜色随机变换的对抗样本生成方法进行了验证,并对其中的超参数进行了讨论;最后总结全文并展望未来。1 相关工作1.1 对抗样本的生成方法对抗样本指,经过故意添加扰动能够诱导分类模型产生错误判断的一类样本。这类具有伪装能力的样本能够利用模型自身的脆弱性对其进行攻击,诱导模型将其以大概率误分。目前该领域提出了多种对抗样本生成方法,下面对其中较具代表性的对抗样本生成方法进行了介绍。2 0 1 3年S z e g e d y等8首次提出了“对抗样本”这一概念,对抗样本利用难以察觉的扰动,使 网络 的 预测 误 差 最 大 化,导 致 网 络 进 行 错 误分类。这些“扰动”并非学习过程中的随机干扰,而是人为构造的能“欺骗”神经网络的扰动,如式(1)所示:m i n2 s.t.C(x+)=I;x+0,1m(1)其中,表示需要添加的扰动,C表示神经网络分类器,x表示原始图像,将样本x正则化处理到0,1,I表示指定的类。由于2的最小值实际上是不容易计算的,因此通过引入损失函数的方法,将求解最小扰动的问题转化为寻找最小的损失函数添加项问题,将式(1)变为式(2):m i n L|+J(X+,I)s.t.X+0,1m(2)其中,参数L0,通过线性查找的方式逐渐变大直到分类出现错误,J(X+,I)表示损失函数,通过计算交叉熵实现。G o o d f e l l o w等9的研究 发现,深度 神经 网络 模 型在 高维空间呈线性是对抗样本产生的主要原因,他们提出了快速梯度符 号 法(F a s tG r a d i e n tS i g n M e t h o d)这 一 单 步 对 抗攻击 方 法,为 后 续F G S M类 方