融合高斯噪聲和翻轉策略的對抗攻擊

張 武，段曄鑫，2，鄒軍華，潘志松，周星宇

（1.陸軍工程大學指揮控制工程學院，南京210007；2.陸軍軍事交通學院鎮江校區，鎮江212001；3.陸軍工程大學通信工程學院，南京210007）

引 言

對抗樣本概念由Szegedy等［1］在2013年首次提出，即在原始圖像中添加微小的擾動便可生成讓神經網絡模型高置信度錯誤分類的對抗樣本。對抗樣本在白盒攻擊場景下生成較為容易，即攻擊者能訪問到目標模型的體系結構和參數。然而，在現實場景中，攻擊者所遇到的目標模型大多為黑盒模型，即攻擊者無法獲取到其內部結構和參數，此時對抗樣本生成較為困難。目前，對于黑盒模型的攻擊方法，大致可分為基于查詢的方法和基于模型遷移的方法［2］。其中，基于查詢的方法需要大量訪問黑盒模型的反饋結果，因此十分耗時且易被察覺。例如，Brendel等［3］提出的基于邊界探索的黑盒攻擊就是一種基于查詢的方法，該攻擊方式完全依賴于模型的反饋結果來生成對抗樣本。除了基于查詢的方法外，對抗樣本的遷移性［4］為攻擊者提供了另一種可行性，即針對白盒模型所生成的對抗樣本往往能夠成功攻擊同一任務其他黑盒模型。

雖然研究者已提出許多方法來提高對抗樣本的遷移性，但仍存在不足。例如，Dong等［5］和Xie等［6］提出的方法對于普通黑盒模型的攻擊性較強，但對于防御黑盒模型的攻擊性卻較弱。相比一下，Dong等［7］在2019年提出的方法在攻擊防御黑盒模型方面有了較大提升，但在攻擊普通黑盒模型時相對變差。一般而言，迭代攻擊比單步攻擊更容易出現特定模型過擬合現象，所得對抗樣本的遷移性較差［5］。受數據增強技術啟發，該技術可以有效降低特定模型過擬合現象并提升泛化能力［8］。為此，本文在迭代攻擊基礎上利用高斯噪聲和翻轉組合策略方法來增強遷移對抗攻擊，從而整體提升針對普通和防御模型的黑盒攻擊成功率。本文在單模型和多模型條件下測試了所提出方法的攻擊成功率。大量實驗表明，本文方法既能使黑盒攻擊性能優于基線方法，又能讓白盒攻擊保持較高的成功率。

1 相關研究

1.1 對抗樣本生成描述

設輸入樣本為x∈Rd，其對應的類別標簽為y∈{1，2，3，···，k}，深度神經網絡分類器f(x)：x→y是d維輸入樣本x到類別標簽y的映射函數。攻擊者通過添加小幅度的擾動δ來制作對抗樣本xadv=x+δ，使得神經網絡錯誤分類，即f(xadv)≠y。為了生成對抗樣本，既要最大化網絡模型分類器的損失函數J(xadv，y)，又要使用L∞范數將對抗樣本xadv約束在x附近，即擾動δ的無窮范數應小于閾值ε。因此，對抗樣本生成過程可描述為

1.2 基于梯度攻擊方法

快速梯度符號方法（Fast gradient sign method，FGSM）［9］是一種基于梯度的經典方法，只需要對輸入樣本進行一次梯度更新，就能快速生成對抗樣本。該方法根據損失函數的梯度方向來對輸入樣本中的每個像素進行等值增加或者減少，其對抗樣本生成公式為

迭代快速梯度符號方法（Iterative fast gradient sign method，I-FGSM）［10］是FGSM的迭代版本，即將單步更新分解為多輪迭代更新，以實現添加更小幅度的擾動，其迭代過程可表示為

動量迭代快速梯度符號方法（Momentum iterative fast gradient sign method，MI-FGSM）［5］則是在IFGSM基礎上增加了動量因子，即在每一輪迭代中加入前面所有輪的梯度信息。因此，該方法在迭代過程中能穩定更新方向，有效避免陷入局部極值，其更新過程表示為

式中：gt+1表示第t+1次迭代時的累積梯度；μ為動量衰減因子。

多樣性輸入迭代快速梯度符號方法（Diverse inputs iterative fast gradient sign method，DI2-FGSM）［6］是在每次迭代時以一定的概率對輸入圖像進行隨機調整大小及填充變換操作，從而生成更具遷移性的對抗樣本。此方法可與MI-FGSM方法有效結合，從而形成更強的對抗攻擊方法M-DI2-FGSM。為了簡潔起見，本文將M-DI2-FGSM方法簡稱為DIM方法。

式中：D(·)表示變換函數；p為變換概率。

平移不變性迭代快速梯度符號方法（Translation-invariant iterative fast gradient sign method，TIFGSM）［7］方法則使用預定義的高斯核卷積未平移輸入圖像的梯度來代替對一組已平移圖像的梯度計算，從而大大提高了攻擊的計算效率，并且生成的對抗樣本黑盒攻擊防御模型時效果很好。同樣，將TI-FGSM方法與DIM方法進行融合，可形成目前最強黑盒攻擊方法TI-DIM。

2 方法實現

本文提出將高斯噪聲和翻轉策略（Gaussian noise and flipping strategy，GF）應用到基于梯度的攻擊方法中，生成可遷移性更強的對抗樣本。其中，GF策略對抗攻擊方法的整體框架如圖1所示。

圖1 GF策略對抗攻擊框架圖Fig.1 Architecture graph of GF strategy adversarial attack

2.1 GF策略方法

高斯噪聲是指其概率密度函數服從正態分布的一類噪聲。高斯噪聲注入作為一種數據增強技術，其主要把隨機高斯噪聲點添加到輸入樣本中以幫助模型降低過擬合現象。為此，本文采取類似方法，即將高斯噪聲添加到樣本中以降低所得對抗樣本過度擬合于特定模型，從而提升其可遷移性。

此外，在對抗樣本生成過程中，樣本的像素值是有范圍限定的，而對于添加了高斯噪聲的樣本其部分像素值可能會發生越界情況。若此時直接采用像素值裁剪方式來處理越界像素值，會使得所添加的噪聲信息部分丟失，最終影響到所生成的對抗樣本的可遷移性。為此，本文采取像素值歸一化方式來處理添加了高斯噪聲的樣本，這樣既能保留所添加的噪聲信息，又能保持原有樣本數據分布。

翻轉是一種簡單又有效的幾何空間變換增強技術，其中水平翻轉比垂直翻轉更為常見［11］。因此，文中選擇將隨機水平翻轉（Random horizontal flipping，RHF）與高斯噪聲相結合以生成遷移性更強的對抗樣本。該組合策略可形式化表示為

式中：RHF表示隨機水平翻轉輸入；noise為高斯噪聲點；std為高斯噪聲標準差。

2.2 GF策略單模型攻擊

由于FGSM白盒攻擊成功率不高和I-FGSM黑盒攻擊性能相對較弱，本文主要將GF策略整合到諸如MI-FGSM，DIM和TI-DIM較強基線方法中，從而衍生出GF-MI-FGSM、GF-DIM和GF-TI-DIM方法。根據3.3節結果可知，對抗攻擊強度最強為GF-TI-DIM方法，其次是GF-DIM方法，最后為GFMI-FGSM方法。為此，本文主要對GF-DIM和GF-TI-DIM方法進行闡述。

由于GF策略與隨機調整大小填充屬于兩種不同的圖像變換方式，將它們融合在一起可進一步緩解過度擬合現象，并形成攻擊力更強的GF-DIM攻擊方法，其融合公式為

同樣，若將GF策略整合到TI-DIM方法中，則可衍生成GF-TI-DIM攻擊算法，其融合過程與GFDIM攻擊方法大致一樣，唯一不同之處是要在式（9）中加入高斯核，即為

式中W為預定義高斯核。

2.3 GF策略集成模型攻擊

假如對抗樣本能夠欺騙多個模型，則意味著它對于其他模型具有較強遷移性［12］。因此，攻擊一組模型可實現更強的黑盒攻擊。本文采用Dong等［5］提出的logit集成方案來構造GF策略集成模型攻擊方法。根據3.4節結果可知，黑盒攻擊成功率最好的是MGF-TI-DIM算法，該算法是GF-TI-DIM集成攻擊方法，其偽代碼如下。

輸入：k個分類模型，圖像樣本x，真實類別標簽y，迭代次數T，高斯核W，隨機調整大小填充概率p，衰減因子μ，wi為第i個模型權重，最大擾動ε，則步長α=εT。

輸出：對抗樣本xadv

步驟1初始化參數

步驟2循環迭代T次

步驟3求解k個模型logit值

步驟4將k個模型logit值乘以對應權重進行累加

步驟5求解交叉熵損失函數

步驟6計算梯度

步驟7疊加擾動

步驟8迭代結束

end while

步驟9輸出對抗樣本

若把MGF-TI-DIM算法中第6步操作修改為式（9），則MGF-TI-DIM算法就演變為MGF-DIM算法。同樣，若在輸入時將概率p設置為0，MGF-DIM算法就退化為MGF-MI-FGSM算法。詳細轉化關系如圖2所示。

圖2 集成攻擊算法轉化圖Fig.2 Conversion graph of ensemble-based attack algorithm

3 實驗結果與分析

3.1 實驗設置

3.1.1 數據集與超參數設置

本文采用了一個與ImageNet相兼容的數據集。該數據集包含1 000張大小為299像素×299像素×3像素的圖像，且在NIPS 2017對抗競賽所用。在超參數設置方面，本文設置最大擾動ε=16，適用于輸入樣本像素值在[0，255]范圍內計算，以及總迭代次數T=10和動量衰減因子μ=1。對于DIM方法，變換概率p=0.7，而對于MI-FGSM方法，則變換概率p=0。對于TI-DIM方法，高斯核W大小設置為15×15。本文在GF策略單模型攻擊方法和集成模型攻擊方法上作了對比實驗，每種GF策略攻擊方法與其相應的基線攻擊方法在超參數設置方面相同。

3.1.2 評估指標

目前，在對抗攻擊研究領域里，用于評價攻擊效果的指標主要是攻擊成功率（Attack success rate，ASR），即被攻擊模型的錯誤分類率。然而，對于不同類型攻擊，ASR定義有所不同。本文攻擊方法屬于一種無目標攻擊方式，即生成的對抗樣本使得分類模型預測結果與真實類別不一致就已達到攻擊效果，其相應的ASR可定義為

此外本文還考慮了10個模型作為攻擊對象，用于評價本文方法的黑盒攻擊性能。其中4個是普通模 型，分別 是Inception-v3（Inc-v3）［13］、Inception-v4（Inc-v4）［14］、Inception-Resnet-v2（IncRes-v2）［14］和Resnet-v2-152（Res-152）［15］。其余6個為防御模型，分別是經過對抗訓練的集成模型Inc-v3ens3、Incv3ens4和IncRes-v2ens［16］以及NIPS 2017防御競賽中排名前三的模型HGD［17］，R&P［18］和NIPS-r3。集成防御模型是利用其他模型生成的對抗樣本來擴充訓練數據，使得對抗樣本與特定模型脫鉤，從而提高防御性能。HGD模型則使用降噪網絡作為防御措施來去除對抗性噪聲。R&P模型和NIPS-r3模型是先將圖像經過隨機變換后再傳遞給卷積神經網絡進行分類，以減輕對抗效果。

3.2 消融分析

3.2.1 標準差取值

本文翻轉策略是通過對輸入進行隨機水平翻轉方式來實現。雖然隨機水平翻轉在提高對抗樣本的黑盒攻擊性能方面低于高斯噪聲，但它可與高斯噪聲有效組合生成黑盒攻擊能力更強的對抗樣本。然而，高斯噪聲的標準差值選擇對于提高對抗樣本的攻擊性起著關鍵作用。如果標準差設置為0，則高斯噪聲和翻轉組合策略方法就將變為只有隨機水平翻轉，所得對抗樣本的攻擊性能將會變弱。同樣，如果標準差std設置過大，則會導致原有樣本失真嚴重，從而影響所得對抗樣本的攻擊性能，為此進行消融研究以找到合適的高斯噪聲標準差值。

本節設置標準差值變化范圍為0.0～0.25，并分別使用GF-MI-FGSM、GF-DIM和GF-TI-DIM方法白盒攻擊Inc-v3模型生成相應的對抗樣本。為了精確地測量標準差效果，開始階段變化間隔設置為0.02，隨著趨于穩定時變化間隔設置為0.01。圖3顯示了生成的對抗樣本對于4種普通模型和4種防御模型的攻擊成功率。從圖3中可以看到，在白盒攻擊保持較高成功率的同時，對于所有黑盒攻擊，普通模型要比防御模型稍微較早趨于穩定。此外，當防御模型攻擊成功率趨于最大值時普通模型開始輕微下降。為此，本文綜合考慮8個模型平均攻擊成功率，選擇使平均攻擊成功率達到最大的標準差值，即std=0.2。因此在以下實驗中將高斯噪聲標準差值設置為0.2。

圖3 高斯噪聲標準差值對ASR影響Fig.3 Influence of Gaussian noise standard deviation on ASR

3.2.2 滑動平均系數取值

滑動平均系數β用于權衡GF策略和隨機調整大小填充兩種變換方式影響。如果β=0，則GFDIM降級為DIM，GF-TI-DIM降級為TI-DIM。因此，本節進行消融實驗以找到適當的β值，設置滑動平均系數變化范圍從0.0到1.0，變化間隔為0.1，并分別使用GF-DIM和GF-TI-DIM方法白盒攻擊Incv3模型生成相應的對抗樣本。圖4顯示了生成的對抗樣本針對4種普通模型及和4種防御模型的攻擊成功率。同樣，實驗中綜合考慮8個模型平均攻擊成功率，當β為0.6時獲得最大值。因此，以下實驗中將β設置為0.6。此外，β=0.6也表明了在提高對抗攻擊性能方面GF策略所占比重更大，即GF策略發揮的作用要比隨機調整大小填充變換方式更強。

圖4 滑動平均系數對ASR影響Fig.4 Influence of moving average factor on ASR

3.2.3 高斯噪音與翻轉有效性

GF策略是一種組合策略，包括了高斯噪聲添加和隨機水平翻轉兩種操作。為此，本節進行消融分析各自在提高對抗樣本的黑盒攻擊性能方面的有效性。首先，分別只考慮把隨機水平翻轉策略或者高斯噪聲策略整合到諸如MI-FGSM、DIM和TI-DIM基線方法，從而形成F-MI-FGSM、F-DIM、F-TIDIM、G-MI-FGSM、G-DIM和G-TI-DIM方法。然后，分別使用上述6種方法以及GF-MI-FGSM、GFDIM和GF-TI-DIM方法白盒攻擊Inc-v3模型生成相應的對抗樣本。表1中顯示了生成的對抗樣本對于3種普通模型和6種防御模型的黑盒攻擊成功率。從表1可以看到，對于所有黑盒攻擊，高斯噪聲策略要比隨機水平翻轉策略更強，這表明高斯噪聲策略在提高對抗樣本的黑盒攻擊性能方面要優于隨機水平翻轉策略。此外，高斯噪聲和翻轉組合策略方式均比只考慮高斯噪聲策略或者隨機水平翻轉策略表現得更好，從而說明高斯噪聲能夠與隨機水平翻轉有效融合，進一步增加了輸入的多樣性，從而得到更具遷移性的對抗樣本。

3.2.4 歸一化處理有效性

本文使用像素值歸一化方式來處理添加了高斯噪聲的樣本，既能保留所添加的噪聲信息，又能滿足像素值限定范圍。為此，本節進行消融分析像素值歸一化方式在提高對抗樣本的黑盒攻擊性能方面的有效性。分別在像素值未歸一化與歸一化兩種方式下采用G-MI-FGSM、G-DIM和G-TI-DIM方法白盒攻擊Inc-v3模型生成相應的對抗樣本。從表2可以看到，對于所有黑盒攻擊，經過像素值歸一化的方法均要比未經過像素值歸一化的方法更強。例如，經過像素值歸一化處理的G-MI-FGSM、G-DIM和G-TI-DIM方法的黑盒攻擊平均成功率分別為45.1%、53.1%和61.9%。然而，未經過像素值歸一化處理的G-MI-FGSM、G-DIM和G-TI-DIM方法的黑盒攻擊平均成功率則為40.3%、46.9%和60.2%，這表明像素值歸一化方式有效提升了對抗樣本的黑盒攻擊性能。

表1 高斯噪聲與翻轉策略對黑盒攻擊成功率影響Table 1 Influence of Gaussian noise and flipping strategy on black-box attack success rate %

表2 像素值歸一化對黑盒攻擊成功率影響Table 2 Influence of pixel value normalization on black-box attack success rate %

3.3 單模型攻擊

本文將GF策略攻擊方法與基線攻擊方法做了單模型攻擊的對比實驗，即分別針對4個普通模型Inc-v3、Inc-v4、IncResv2和Res-152生成相應的對抗樣本，測試其對于所有10個模型的攻擊成功率。從表3～5可以看出，GF策略方法可有效改進現有基于梯度攻擊方法的攻擊性能，使得改進后的對抗攻擊方法在保持較高的白盒攻擊成功率前提下整體提升其黑盒攻擊成功率。例如，GF-TI-DIM方法在Incv3ens3模型和Inc-v3模型上的攻擊成功率分別為67.9%和97.9%。然而，相應的基線方法TI-DIM則分別為45.5%和97.2%。

雖然本文方法對樣本進行了高斯噪聲添加處理，但是對于HGD這種采用降噪網絡從輸入中消除對抗性噪聲的防御方法仍然有效。從表3～5可以看出，對于HGD防御模型，該方法的成功率大大超過了基線方法，這表明所生成的對抗樣本仍對HGD防御模型保持很強攻擊性。

此外，本文還采用直觀的方式對比了GF策略攻擊方法與基線攻擊方法所生成的對抗樣本。由圖5可知，本文方法所生成的對抗樣本相比于基線攻擊方法并沒有增加對抗噪聲尺度。

表3 MI-FGSM和GF-MI-FGSM單 模型ASR對 比Table 3 Comparison of single-model ASR of MI-FGSM and GF-MI-FGSM %

表4 DIM和GF-DIM單 模型ASR對 比Table 4 Comparison of single-model ASR of DIM and GF-DIM %

表5 TI-DIM和GF-TI-DIM單模型ASR對比Table 5 Comparison of single-model ASR of TI-DIM and GF-TI-DIM %

圖5 對抗樣本Fig.5 Adversarial examples

3.4 集成模型攻擊

盡管生成的對抗樣本的黑盒攻擊成功率得到了提升，但在攻擊防御模型方面仍然相對較弱。為此本文采用了集成模型攻擊方法來進一步提升對抗樣本的攻擊性能。首先，將4個普通模型Inc-v3、Incv4、Res-152和IncRes-v2融合為集成模型。然后，采用GF策略攻擊方法與基線攻擊方法進行集成模型攻擊對比。在實驗中，集成模型里4個模型的權重值設置為相同。

從表6中可以看出，GF策略集成攻擊算法在攻擊防御模型的效果上均要優于基線集成攻擊算法。同時，MGF-TI-DIM算法所生成的對抗樣本黑盒攻擊性能是所有集成攻擊算法中最強的，能以86.2%的平均成功率欺騙6種先進防御模型。相比于目前最強黑盒攻擊方法M-TI-DIM算法，MGF-TI-DIM算法在攻擊成功率上提升約8.0%。

表6 集成模型ASR對比Table 6 Comparison of ensemble-model ASR %

此外，為了表明在對抗攻擊性能方面GF策略要比其他數據增強技術攻擊方法［6-7］更強，本文做了單模型攻擊和集成模型攻擊下的攻擊成功率對比。如圖6所示，DIM代表文獻［6］方法，TI-MI-FGSM代表文獻［7］方法，GF-MI-FGSM則為本文方法。由圖6可以看出，本文方法在單模型和集成模型下黑盒攻擊性能均優于文獻［6-7］方法，從而進一步驗證GF策略方法的有效性。

圖6 攻擊成功率對比Fig.6 Comparison of attack success rate

4 結束語

本文針對如何整體提升普通和防御模型的黑盒攻擊成功率問題，提出一種基于高斯噪聲和翻轉組合策略方法來增強對抗樣本的可遷移性，從而提升對抗攻擊能力。在NIPS 2017對抗競賽的ImageNet數據集做了對比實驗，實驗結果表明所生成的對抗樣本對于普通和防御黑盒模型均具有更強的攻擊性，并且在白盒攻擊方面仍能保持較高的成功率。同時，為了進一步增強算法在黑盒攻擊中的攻擊性能，本文采用了集成模型攻擊方法，實現了以86.2%的平均成功率欺騙6種先進黑盒防御模型。下一步將繼續研究如何將高斯噪聲和翻轉組合策略增強技術應用到諸如基于生成網絡和基于優化的攻擊方法中。