面向图像分类的对抗攻击技术研究

作     者：冉钰 

作者单位：广州大学 

学位级别：硕士

导师姓名：王员根

授予年度：2024年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081104[工学-模式识别与智能系统] 080203[工学-机械设计及理论] 0802[工学-机械工程] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：对抗样本 对抗攻击 面向决策的黑盒攻击 补丁攻击 

摘      要：给定一个训练有素的用于图像分类任务的深度神经网络模型,向原始图像中添加精心设计的微小扰动所构造的恶意输入将使得分类器以高概率分类错误,这个构造恶意输入样本的过程称为对抗攻击。面向图像分类任务的对抗攻击技术对人工智能的安全应用构成严重威胁,其中黑盒对抗攻击因不需要访问模型的网络结构和内部参数,因此更具有实践研究意义。本学位论文着重研究面向图像分类任务的黑盒对抗攻击关键技术,具体内容如下: (1)提出了一种改进的符号优化攻击方法(An Improved Sign Optimization Adversarial Attack,Sign-OPT+)。当前主流的优化攻击方法在查询复杂度方面取得了巨大进展。其中两种最具代表性的优化攻击方法(OPT和Sign-OPT)都采用了回溯线搜索来确定梯度下降的步长,从而帮助更新搜索方向。但他们都使用了二分查找方法来实现这个过程,消耗了大量的查询代价。针对该问题,本论文提出了一种改进的符号优化攻击方法来减少查询次数,命名为Sign-OPT+方法。在每个线搜索阶段,SignOPT+直接判断沿着新搜索方向的试探样本是否位于决策边界之内,进而判断是否需要使用二分查找计算沿新搜索方向到决策边界的距离以减少查询次数。该判断仅需要一次查询即可找到新的搜索方向,从而显著减少了整体查询数量。测试在MNIST、CIFAR-10和Image Net数据集上的实验结果表明,与主流的面向决策的黑盒对抗攻击方法相比,本论文提出的Sign-OPT+方法节省了15%的平均查询次数,且最大能提升15.38%的攻击成功率。 (2)提出了一种十字交叉形补丁的攻击方法(Cross-Shaped Adversarial Patch Attack,CSPA)。现有的补丁形状主要为矩形、正方形或网格形等局部化样式,忽视了非局部样式的形状。本论文提出了一种十字交叉形补丁攻击范式,本研究的交叉形补丁由两条相交且相互垂直的线段组成,这两条线段相交于中点,且两条线段被设计得足够细长以使得补丁能够具有更广泛的扰动能力。基于该形状范式,本研究精心设计了随机搜索算法和贪心迭代策略来优化交叉形补丁的内容和位置。测试在多个图像分类基准数据集和多种分类模型上的实验结果表明,本论文提出的CSPA攻击方法在Image Net上的攻击成功率最高能提高20%,同时能节省大约7倍的平均查询次数。