深度图像识别的黑盒对抗攻击算法研究

作     者：刘科 

作者单位：东华大学 

学位级别：硕士

导师姓名：韩芳;唐雪嵩

授予年度：2022年

学科分类：08[工学] 0839[工学-网络空间安全] 080203[工学-机械设计及理论] 0802[工学-机械工程] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：对抗样本 深度图像识别 黑盒攻击 蒙特卡洛采样 数据增强 

摘      要：近年来,伴随着深度神经网络的异军突起,现代人工智能技术在人们的日常生活中得到了广泛应用,比如图像识别、目标检测、自然语言处理以及语音识别等等。然而,深度神经网络存在“视觉盲区,即对于将人为设计的微小扰动加入干净样本形成对抗样本,虽然人眼识别不受影响,但是模型会以很高的置信度将其错误分类,这导致深度神经网络在自动驾驶等安全敏感领域的落地受到严重威胁。本文以物体分类任务为例,针对现有黑盒攻击方法的缺陷和不足,从梯度估计和迁移性两个方面对对抗样本生成算法进行了深入研究,主要研究工作如下:首先,针对目前大部分基于梯度估计的攻击算法计算开销较大(梯度估计时间复杂度为O(n))以及缺乏数学证明,无法保证攻击的收敛性等问题,本文提出了一种基于蒙特卡洛采样的对抗攻击算法,主要是通过蒙特卡洛采样对梯度进行无偏性估计,将梯度估计的时间复杂度降到了O(1),再将估计的梯度与基于梯度优化的攻击方法相结合来产生对抗样本,并且在MNIST、CIFAR10和TinyImage Net等数据集上的大量对比实验证明,无论是在非目标攻击还是目标攻击场景下,我们的方法都达到了与白盒C&W攻击相当的成功率,在攻击效率、隐蔽性和迁移性方面均优于目前其他较为先进的基于梯度估计的攻击算法,且消耗的计算资源也被大大降低。其次,本文提出了一种基于数据增强的对抗攻击算法,大幅提高了对抗样本的迁移性。由于基于迁移的攻击方法往往容易过拟合,因此受到数据增强策略的启发,之前的研究者通过手动调整参数对图像进行一些简单的随机变换来提高对抗样本的迁移性,但由于这些变换和失真的组合过于单一,难以覆盖图像的大部分变换组合,导致对抗样本的迁移性较差。针对此问题本文提出的基于数据增强的攻击方法通过在固定权重的集成模型前面训练简单的CNN网络从而进行丰富的数据增强变换,这些变换可以破坏对抗噪声,使最后生成的对抗样本能够抵抗这种数据增强变换,最终实现对抗样本迁移性的提高。在Tiny-Image Net数据集上的对比实验结果表明,我们提出的攻击方法对于有无防御模型的攻击成功率明显优于目前较为先进的基于迁移的攻击方法,但在隐蔽性方面与其还有一定的差距,并且如果用作替代模型的集成模型内部结构越复杂,其生成对抗样本的攻击成功率自然就更高。同时我们的方法还可以与其他基于迁移的攻击方法相结合,以进一步提高它们的攻击性能。