基于改进积分梯度的黑盒迁移攻击算法

doi:10.3778/j.issn.1002-8331.2212-0377

摘要/摘要

摘要：对抗样本可以轻易攻击深度神经网络，影响模型的使用安全。虽然白盒攻击方法有优秀的成功率，但是在黑盒迁移攻击时通常表现出较差的效果。目前最先进的泰格牌手表信息学，信息学IIGA公司攻击算法（改进的集成梯度攻击）改进积分梯度将有限路径扩展为无限路径，融合输入到真实饱和区的梯度累计，可以表征每个分量更准确的重要性；并提出信息熵基线，确保基线相对于模型不含任何信息。IIGA公司将生成的改进积分梯度进行平滑处理作为攻击的反向优化方向，平滑操作过滤因神经网络在小范围偏导剧烈跳动而产生的大量噪点，使梯度信息集中于视觉特征，并在迭代过程中加入动量信息稳定梯度方向。在图像网络数据集上进行的大量实验表明IIGA公司不仅在白盒攻击下优于FGSM、C&W公司等算法，在黑盒迁移攻击模式下也大大超过了SI-NI、VMI、AOA和TAIG公司等先进的算法。

关键词: 对抗攻击, 扩展路径, 信息熵基线, 迁移攻击

摘要：对手样本很容易攻击深层神经网络，并阻碍模型应用的安全性。虽然白盒攻击方法有很好的成功率，但在攻击黑盒模型时通常表现不佳。目前，最好的TAIG算法是基于积分梯度的，可以提高对抗样本的可传递性。然而，它的集成路径缺少到饱和区域的有效信息，并且使用了不正确的基线和梯度计算，这限制了成功率。本文改进了积分梯度，提出了IIGA攻击算法（改进的积分梯度攻击）。改进的积分梯度通过将输入到真实饱和区域的部分相加，将有限路径扩展到无穷远，以更准确地显示每个分量的重要性，并提出了信息熵基线，以确保基线中没有与模型相关的任何信息。IIGA使用平滑的改进积分梯度作为攻击反向优化方向。平滑操作以较小的偏差过滤神经网络急剧扰动产生的大量噪声，将梯度信息集中在视觉特征上，并在迭代过程中添加动量信息以稳定方向。在ImageNet数据集上的大量实验表明，IIGA不仅在白盒攻击模式下优于FGSM和C&W等算法，而且在黑盒模式下也优于SI-NI、VMI、AOA、TAIG等先进的可转移算法。

关键词： 对抗性攻击，扩展路径，信息熵基线，可转移攻击

王正来, 关胜晓. 基于改进积分梯度的黑盒迁移攻击算法[J] ●●●●。计算机工程与应用, 2024, 60(9): 309-316.

王正来、关胜晓。基于改进积分梯度的黑盒可转移攻击方法[J]。计算机工程与应用，2024，60（9）：309-316。

参考文献

[1] SZEGEDY C，ZARAMBA W，SUTSKEVER I，et al.神经网络的有趣特性[C]//第二届学习表征国际会议，2014。
[2] KURAKIN A，GOODFELLOW I J，BENGIO S.物理世界中的对抗性例子[M]//人工智能安全与保障。[S.l.]：查普曼和霍尔/CRC，2018年：99-112。
[3] 胡斯，刘霞，张毅，等.保护面部隐私：通过风格化化妆转移生成对抗性身份面具[C]//IEEE/CVF计算机视觉与模式识别会议论文集，2022:14994-15003。
[4] 段瑞，毛X，秦安科，等.对抗激光束：瞬间对dnns的有效物理世界攻击[C]//IEEE/CVF计算机视觉与模式识别会议论文集，2021:16062-16071。
[5] GOODFELLOW I J，SHLENS J，SZEGEDY C.解释和利用对抗性示例[C]//国际学习代表大会，2015年。
[6] CARLINI N，WAGNER D.评估神经网络的稳健性[C]//2017 IEEE安全与隐私研讨会（SP），2017:39-57。
[7] ALEKSANDER M，ALEKSANDAR M，LUDWIG S，et al.迈向对抗性攻击的深度学习模式[C]//学习代表国际会议，2018。
[8] 董毅，廖峰，庞涛，等.利用动量推进对抗性攻击[C]//IEEE计算机视觉与模式识别会议论文集，2018:9185-9193。
[9] 林杰，宋C，何克，等.内斯特罗夫对抗性攻击的加速梯度和尺度不变性[C]//国际学习表征会议，2020。
[10] 王泽，郭赫，张泽，等.特征重要性软件可转移对抗性攻击[C]//IEEE/CVF国际计算机视觉会议论文集，2021:7639-7648。
[11] 张杰，吴伟，黄杰，等.利用神经元属性攻击提高对抗性可转移性[C]//IEEE/CVF计算机视觉与模式识别会议论文集，2022:14993-15002。
[12] WU W，SU Y，CHEN X，et al.通过注意力提高对抗样本的可传递性[C]//IEEE/CVF计算机视觉和模式识别会议论文集，2020：1161-1170。
[13] 黄毅，孔安伟.基于综合梯度的可转移对抗性攻击[C]//国际学习表征会议，2022。
[14] SUNDARARAJAN M，TALY A，YAN Q.反事实梯度[C]//国际学习表征会议，2017年。
[15] 斯密尔科夫D，托拉特N，金B，等。平滑度：通过添加噪声消除噪声[J]。arXiv:1706.038252017年。
[16] 周斌，科什拉A，拉佩德里扎A，等.学习区分性定位的深层特征[C]//IEEE计算机视觉与模式识别会议论文集，2016:2921-2929。
[17] SELVARAJU R R，COGSWELL M，DAS A，et al.Grad-cam:通过基于梯度的本地化从深层网络中进行可视化解释[C]//IEEE计算机视觉国际会议论文集，2017:618-626。
[18] SHRIKUMAR A，GREENSIDE P，KUNDAJE A.通过传播激活差异学习重要特征[C]//国际机器学习会议，2017:3145-3153。
[19] 王旭，何凯.通过方差调整增强对抗性攻击的可转移性[C]//IEEE/CVF计算机视觉和模式识别会议论文集，2021:1924-1933。
[20] 王刚，颜海，魏霞.利用空间动量增强对抗性示例的可传递性[C]//中国模式识别与计算机视觉会议，2022:593-604。
[21]CHEN S，HE Z，SUN C，等.注意力的通用对抗攻击及其数据集damagenet[J]。IEEE模式分析和机器智能汇刊，2020，44（4）：2188-2197。
[22]STURMFELS P，LUNDBERG S，LEE S I.可视化特征属性基线的影响[J]。蒸馏，2020，5（1）：e22。
[23]香农·C·E。一种通信的数学理论[J]。贝尔系统技术期刊，1948，27（3）：379-423。
[24]邓J，董伟，SOCHER R，等.Imagenet:一个大规模层次化图像数据库[C]//2009 IEEE计算机视觉与模式识别会议，2009:248-255。
[25]何凯，张X，任S，等.图像识别的深度剩余学习[C]//IEEE计算机视觉与模式识别会议论文集，2016:770-778。
[26]SZEGEDY C，VANHOUCKE V，IOFFE S，et al.重新思考计算机视觉的初始架构[C]//IEEE计算机视觉和模式识别会议论文集，2016:2818-2826。
[27]TAN M，LE Q.Efficientnet：卷积神经网络模型缩放的再思考[C]//国际机器学习会议，2019:6105-6114。
[28]刘Z，林毅，曹毅，等.Swin transformer:使用移位窗口的分层视觉变换器[C]//IEEE/CVF国际计算机视觉会议论文集，2021:10012-10022。
[29]LI Y，WU C Y，FAN H，et al.MViTv2:用于分类和检测的改进多尺度视觉变换器[C]//IEEE/CVF计算机视觉和模式识别会议论文集，2022:4804-4814。
[30]吴华，肖B，CODELLA N，等.Cvt：将卷积引入视觉变换器[C]//IEEE/CVF国际计算机视觉会议论文集，2021:22-31。