基于SE-AdvGAN的图像对抗样本生成方法研究

作     者：赵宏 宋馥荣 李文改 

作者机构：兰州理工大学计算机与通信学院 

出 版 物：《计算机工程》 (Computer Engineering)

年 卷 期：2024年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081104[工学-模式识别与智能系统] 080203[工学-机械设计及理论] 0802[工学-机械工程] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金(62166025) 甘肃省重点研发计划(21YF5GA073) 

主　　题：对抗样本 生成对抗网络 稀疏扰动 深度神经网络 鲁棒性 

摘      要：对抗样本是评估深度神经网络鲁棒性和揭示其潜在安全隐患的重要手段。基于生成对抗网络(GAN)的对抗样本生成方法(AdvGAN)在生成图像对抗样本方面取得显著进展，但该方法生成的扰动稀疏性不足且幅度较大，导致对抗样本的真实性较低。为解决这一问题，基于AdvGAN提出一种改进的图像对抗样本生成方法Squeeze-and-Excitation-AdvGAN(SE-AdvGAN)。SE-AdvGAN通过构造SE注意力生成器和SE残差判别器提高扰动的稀疏性。SE注意力生成器用于提取图像关键特征限制扰动生成位置，SE残差判别器指导生成器避免生成无关扰动。同时，在SE注意力生成器的损失函数中加入以■范数为基准的边界损失以限制扰动的幅度，从而提高对抗样本的真实性。实验结果表明，在白盒攻击场景下，SE-AdvGAN相较于现有方法生成的对抗样本扰动稀疏性高、幅度小，并且在不同目标模型上均取得更好的攻击效果，说明SE-AdvGAN生成的高质量对抗样本可以更有效地评估深度神经网络模型的鲁棒性。