基于特征混合和Curls迭代的对抗样本跨模型攻击研究

作     者：卢尚佳 

作者单位：广州大学 

学位级别：硕士

导师姓名：王显珉

授予年度：2024年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081104[工学-模式识别与智能系统] 080203[工学-机械设计及理论] 0802[工学-机械工程] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：对抗样本 跨模型攻击 干净特征混合 Curls迭代 

摘      要：深度神经网络在计算机视觉、自然语言处理等众多领域得到了广泛应用,特别是在人脸识别、自动驾驶等安全敏感场景中。然而,这些场景正面临日益严重的对抗样本攻击问题。对抗样本攻击通过向输入数据添加细微且几乎无法被人眼察觉的扰动,就能轻易地使深度学习模型做出错误的判断。对抗样本通常还具有跨模型误导的能力,即在一个模型上生成的对抗样本也可能会误导其他不同的模型。研究对抗样本的跨模型攻击是为了深入理解不同深度学习模型间共有的脆弱性,有助于评估不同模型在面对未知攻击时的安全性,并为设计针对性的防御措施提供了科学依据。尽管对抗样本跨模型攻击的研究已经取得了一定的成果,但是跨模型攻击的成功率还有待进一步提高。针对上述问题,本论文旨在研究高效又通用的对抗样本的跨模型攻击方法。主要的研究工作如下: (1)提出了基于注意力机制和干净特征混合的自通用性攻击(SU-CFM)。传统的自通用性攻击虽然采用特征相似性损失来增强局部图像与全局图像间对抗样本特征的联系,但其随机裁剪可能会引入无关的目标信息,且会过度聚焦于少数对源模型分类影响较大的特征,导致跨模型攻击成功率的降低。针对以上问题,本研究提出了基于注意力机制和干净特征混合的自通用性攻击。首先,通过融入注意力机制,筛选出具有较大影响力的局部特征来指导裁剪过程;随后,在模型推断阶段引入自身的干净特征或同批次中其他图像的干净特征,模拟对正确类别的友好友扰动或不同目标类别间的对抗扰动,使得对抗样本在优化过程中能够探索更多元化的特征扰动方法,适应不同的模型和噪声环境。最后,通过最小化两个输出的分类损失以及最大化它们的特征相似性损失来更新对抗样本。实验结果表明,该改进方法在ImageNet数据集上相较于现有的方法展现出了更优越的跨模型迁移性能。 (2)提出了基于Curls迭代的结构不变攻击(CSITA)。传统的结构不变攻击(SIA)虽然构建出了一个包含多种形态特征的图像集合,但其依赖单一方向梯度迭代的方法可能会使SIA在优化过程中陷入局部最小值,从而难以跨越目标模型的决策边界。针对以上问题,本研究提出了基于Curls迭代的结构不变攻击。首先,将输入图像分块并对每一块随机进行局部变换;随后,通过Curls迭代方法对各图像块进行梯度下降以寻找局部最小值区域操作,当梯度下降的方向或强度未能有效误导模型分类时,便采取梯度上升操作,目的在于跨越决策边界以误导模型分类;最后,根据该集合中每个图像块的平均梯度来更新对抗扰动。通过结合梯度上升与下降方法,形成了一条复杂且动态的迭代路径,这不仅扩展了对抗扰动的搜索范围,避免了陷入局部最优,还减少了生成对抗样本所需的扰动量,从而提升了对抗样本在不同模型间的跨模型攻击能力。实验结果表明,相较于原始SIA方法,该改进方法在减少扰动程度的同时,显著提高了跨模型攻击的成功率。