基于梯度丢弃和注意力引导的稀疏对抗攻击(英文)
作者机构:东华大学信息科学与技术学院 东华大学数字化纺织服装技术教育部工程研究中心
出 版 物:《Journal of Donghua University(English Edition)》 (东华大学学报(英文版))
年 卷 期:2024年
学科分类:12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 081104[工学-模式识别与智能系统] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术(可授工学、理学学位)]
基 金:Fundamental Research Funds for the Central Universities,China (No. 2232021A-10) Shanghai Sailing Program,China (No. 22YF1401300) Natural Science Foundation of Shanghai,China (No. 20ZR1400400) Shanghai Pujiang Program,China (No. 22PJ1423400)
主 题:深度神经网络 对抗攻击 稀疏对抗攻击 对抗转移性 对抗样本
摘 要:深度神经网络极易受到外部有意生成的对抗样本的影响,这些对抗样本是通过在干净图像上叠加微小的噪声来实现的。然而,大多数现有的基于转移的攻击方法选择在原始图像的每个像素上以相同的权重添加扰动,导致对抗样本出现冗余噪声,使其更容易被检测系统识别。鉴于此,该文引入了一种新颖的由注意力引导的稀疏对抗攻击策略,该策略结合了梯度丢弃技术,可以与现有的基于梯度的算法结合使用,从而最小化扰动的强度和规模,同时确保对抗样本的有效性。具体而言,在梯度丢弃阶段,策略随机丢弃一些相对不重要的梯度信息,以限制扰动的强度;在注意力引导阶段,通过使用软掩码优化的注意力机制评估每个像素对模型输出的影响,并限制对输出影响较小的像素的扰动,以控制扰动的规模。在NeurIPS2017对抗数据集和ILSVRC 2012验证数据集上的大量实验证明了该策略可以显著减少对抗样本中的冗余噪声,同时保持算法的攻击效果。例如,在对于对抗训练模型的攻击中,将对抗攻击算法引入该策略后,注入图像的平均噪声水平下降了8.32%,而平均攻击成功率仅下降了0.34%。此外,只需引入少量扰动,该策略便能显著提高攻击成功率。
同方期刊数据库