基于改进积分梯度的黑盒迁移攻击算法

作     者：王正来 关胜晓 

作者机构：中国科学技术大学信息科学技术学院 

出 版 物：《计算机工程与应用》 (Computer Engineering and Applications)

年 卷 期：2023年

学科分类：08[工学] 081104[工学-模式识别与智能系统] 080203[工学-机械设计及理论] 0802[工学-机械工程] 0811[工学-控制科学与工程] 

主　　题：对抗攻击 扩展路径 信息熵基线 迁移攻击 

摘      要：对抗样本可以轻易攻击深度神经网络，影响模型的使用安全。虽然白盒攻击方法有优秀的成功率，但是在黑盒迁移攻击时通常表现出较差的效果。目前最先进的TAIG算法基于积分梯度，可以提升对抗样本的迁移性。但研究发现其积分路径缺失到饱和区的有效信息，并且使用不恰当的基线和梯度计算，限制了算法攻击成功率的上限。本文改进了积分梯度并提出了IIGA攻击算法（Improved Integrated Gradients Attack）。改进积分梯度将有限路径扩展为无限路径，融合输入到真实饱和区的梯度累计，可以表征每个分量更准确的重要性；并提出信息熵基线，确保基线相对于模型不含任何信息。IIGA将生成的改进积分梯度进行平滑处理作为攻击的反向优化方向，平滑操作过滤因神经网络在小范围偏导剧烈跳动而产生的大量噪点，使梯度信息集中于视觉特征，并在迭代过程中加入动量信息稳定梯度方向。在ImageNet数据集上进行的大量实验表明IIGA不仅在白盒攻击下优于FGSM、C&W等算法，在黑盒迁移攻击模式下也大大超过了SI-NI、VMI、AOA和TAIG等先进的算法。