吳立人，劉政浩，張 浩，岑悅亮，周 維*

（1.云南大學(xué)軟件學(xué)院，昆明650091； 2.昆明理工大學(xué)信息工程與自動化學(xué)院，昆明650500）

（?通信作者電子郵箱zwei@ynu.edu.cn）

0 引言

深度學(xué)習(xí)近年來在各個(gè)領(lǐng)域的貢獻(xiàn)頗為顯著，卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network,CNN）在自動駕駛汽車［1-2］、監(jiān)視［3］、惡意代碼檢測［4］、無人機(jī)［5］等領(lǐng)域已經(jīng)成功得以應(yīng)用，并且在其應(yīng)用中都扮演著關(guān)鍵性角色，因此保證網(wǎng)絡(luò)模型的安全運(yùn)行尤為重要。雖然深度學(xué)習(xí)網(wǎng)絡(luò)模型精確度越來越高，但是仍然存在被對抗樣本攻擊的安全隱患，因此，深度學(xué)習(xí)網(wǎng)絡(luò)模型安全的研究具有很強(qiáng)的現(xiàn)實(shí)意義。

對抗攻擊［6］是深度學(xué)習(xí)模型攻擊中最常用的攻擊方法，其目的是通過給輸入樣本添加微小的噪聲擾動，使模型的預(yù)測結(jié)果為錯(cuò)誤結(jié)果，甚至能根據(jù)特定的噪聲擾動輸出攻擊者所需的預(yù)測結(jié)果。具體來說，對抗攻擊方法通過限制擾動的L∞或L2范數(shù)的值以使對抗樣本中的擾動無法被人察覺。如圖1所示：以最常用的圖片分類模型為例，對于訓(xùn)練好的深度學(xué)習(xí)模型在給定原始圖片x（x表示未加上擾動的原始圖片）時(shí)能準(zhǔn)確識別出圖片內(nèi)容為“雨靴”，然而當(dāng)圖片x加入特定的擾動μ后生成圖片x*，將x*輸入到同樣的模型其預(yù)測結(jié)果變成了“抹布”，也就是說通過添加擾動μ后輸入x*成功地騙過了模型，但對于人類而言這兩個(gè)輸入x和x*卻很容易被判斷為同一種分類。想象一下，如果這種攻擊被應(yīng)用到自動駕駛領(lǐng)域，神經(jīng)網(wǎng)絡(luò)模型可能會出現(xiàn)誤判，導(dǎo)致嚴(yán)重的后果。

其實(shí)采用限制性擾動L0范數(shù)對神經(jīng)網(wǎng)絡(luò)模型進(jìn)行攻擊的JSMA（Jacobian-based Saliency Map Attack）方法已經(jīng)在2015年被Papernot等［7］提出，但是其方法只修改圖像中的幾個(gè)像素，而沒有考慮通過擾亂整個(gè)圖像來欺騙分類器。Moosavi-Dezfooli等［8］通過迭代計(jì)算的方法生成最小規(guī)范對抗擾動，該算法通過一個(gè)小的向量來擾動圖像，將位于分類邊界內(nèi)的圖像逐步推到邊界外，直到出現(xiàn)錯(cuò)誤分類。

然而目前的攻擊算法中仍然存在通過像素級別擾動來實(shí)現(xiàn)攻擊，這種方法導(dǎo)致要想達(dá)到預(yù)期的目的會損失對抗樣本與原樣本之間產(chǎn)生極大的差異，通過分析發(fā)現(xiàn)，對于深度神經(jīng)網(wǎng)絡(luò)提取任務(wù)需要的特征時(shí)，更關(guān)注包含特定信息區(qū)域［9-10］，本文針對這一啟發(fā)提出一種聚焦圖像攻擊算法——PSMIFGSM（Perceptual-Sensitive Momentum Iterative Fast Gradient Sign Method）：通過Grad-CAM［9］提取卷積神經(jīng)網(wǎng)絡(luò)對圖像的重點(diǎn)關(guān)注區(qū)域，然后再對這些區(qū)域采用MI-FGSM（Momentum Iterative Fast Gradient Sign Method）［11］攻擊算法進(jìn)行攻擊，保持圖像其他區(qū)域不變。

圖1 生成對抗攻擊樣本Fig.1 Generation of adversarial attack sample

1 相關(guān)工作

盡管深度神經(jīng)網(wǎng)絡(luò)在很多研究和應(yīng)用領(lǐng)域都表現(xiàn)出色，然而Szegedy等［12］于2014年第一次提出神經(jīng)網(wǎng)絡(luò)存在安全性漏洞，通過在一張圖片上做微小的擾動，就能讓圖片以很高的置信度被網(wǎng)絡(luò)模型錯(cuò)誤分類，甚至可以讓圖片被分類成一個(gè)指定的標(biāo)簽。從此學(xué)術(shù)界展開了對圖像對抗攻擊的進(jìn)一步研究。GoodFellow等［13］于2015年提出了產(chǎn)生對抗攻擊根本原因的猜測：深度神經(jīng)網(wǎng)絡(luò)在高維空間中的線性特性已經(jīng)足以產(chǎn)生這種攻擊行為，而非之前人們猜測的神經(jīng)網(wǎng)絡(luò)的復(fù)雜性，同時(shí)在這個(gè)假設(shè)前提下提出了一種高效生成對抗樣本的算法FGSM（Fast Gradient Sign Method），并通過實(shí)驗(yàn)加以驗(yàn)證。實(shí)驗(yàn)結(jié)論表明：一個(gè)測試效果良好的分類器，其實(shí)并不像人類一樣學(xué)習(xí)到了所分類樣本的真正底層意義，只不過剛好構(gòu)建了一個(gè)在訓(xùn)練數(shù)據(jù)上運(yùn)行相當(dāng)良好的模型，而這個(gè)模型實(shí)際上就像是一個(gè)富麗堂皇的假象，當(dāng)遇到一些空間中不太可能出現(xiàn)的點(diǎn)時(shí)，模型能力的有限性就會隨之暴露出來。當(dāng)深度神經(jīng)網(wǎng)絡(luò)應(yīng)用于需要極高安全性的領(lǐng)域時(shí)，對抗樣本必將對其帶來不小的安全隱患。

2017年Madry等［14］提出的I-FGSM（Iterative-Fast Gradient Sign Method）算法是對FGSM算法的改進(jìn)，I-FGSM在FGSM算法基礎(chǔ)上增加了多次迭代攻擊，其效果更加顯著。Dong等［11］于2018年提出MI-FGSM攻擊，MI-FGSM在迭代攻擊的基礎(chǔ)下添加了動量因子使得實(shí)驗(yàn)中攻擊效果更好。上述方法中的攻擊方式都覆蓋了整張圖像，雖然取得了良好的效果，但是這種方式會增大對抗樣本和真實(shí)樣本的差異。Su等［15］在2017年提出一種極端的對抗攻擊方法，使用差分進(jìn)化算法對每個(gè)像素迭代地修改生成對抗樣本，并與真實(shí)樣本對比，根據(jù)一定標(biāo)準(zhǔn)選擇保留攻擊效果最好的對抗樣本，實(shí)現(xiàn)對抗攻擊。這種對抗攻擊不需要知道網(wǎng)絡(luò)參數(shù)或梯度的任何信息，僅改變圖像中的一個(gè)像素值就可以實(shí)現(xiàn)對抗攻擊。

另一方面，CNN最早由LeCun等［16］提出并在手寫數(shù)字識別應(yīng)用中取得了突破性的進(jìn)展，之后被廣泛應(yīng)用于圖像識別［17］、語音檢測［18］、生物信息學(xué)［19-20］等多個(gè)領(lǐng)域。因?yàn)镃NN在圖像處理中可以直接作用于圖像中像素值，能夠提取更廣泛、更深層次和更有區(qū)別度的特征信息。Selvaraju等［9］提出Grad-CAM直接尋找圖像中對分類貢獻(xiàn)最大的區(qū)域，因?yàn)榫矸e層包含了豐富的語義信息，而這些語義信息經(jīng)過池化操作后，會使人類不可理解。故Grad-CAM［9］利用池化前最后一個(gè)卷積層的特征圖進(jìn)行可視化，以此解釋CNN是根據(jù)圖像中的哪些區(qū)域作出相應(yīng)的預(yù)測。上述研究表明：深度神經(jīng)網(wǎng)絡(luò)模型在處理圖像信息過程并非是對整張圖像的信息獲取量都相等，對某些特定的區(qū)域關(guān)注度更高，并且可以通過上述方法得到這些關(guān)注度高的區(qū)域。

本文受MI-FGSM和Grad-CAM的啟發(fā)，提出一種新型的聚焦圖像攻擊算法PS-MIFGSM。本文的工作主要包括：1）提出PS-MIFGSM圖像攻擊算法，在MI-FGSM中引入Grad-CAM，提取出網(wǎng)絡(luò)對圖像的重點(diǎn)關(guān)注區(qū)域，針對重點(diǎn)關(guān)注區(qū)域進(jìn)行基于動量的梯度迭代攻擊，以盡可能少地添加擾動。2）探究PS-MIFGSM在攻擊單模型和集合模型時(shí)的不同效果。

2 PS-MIFGSM攻擊方法

2.1 MI-FGSM攻擊

MI-FGSM方法是Dong等［11］在2018年提出來的圖像攻擊算法，該算法是一種基于動量的梯度迭代攻擊算法。FGSM［13］通過最大化損失函數(shù)J(x，y)來生成對抗樣本，其中J(x，y)通常是交叉熵?fù)p失，生成的對抗樣本滿足L2范數(shù)約束≤μ，μ為擾動大小。對抗樣本x*迭代公式如下：

與FGSM算法相比，MI-FGSM中加入了動量因子，每一輪迭代的梯度方向會影響下一輪的迭代，這種方式可以讓攻擊在損失函數(shù)的梯度方向快速迭代，穩(wěn)定更新，有效地避免了局部最優(yōu)。MI-FGSM算法具體描述如下。

算法1 MI-FGSM。

輸入 分類模型f的損失函數(shù)J，真實(shí)樣本x，真實(shí)類別y，擾動大小μ，迭代次數(shù)T，衰減系數(shù)u；

輸出 對抗樣本x*。

1）a=μ/T；

2.2 Grad-CAM方法

Grad-CAM是Selvaraju等［9］在2017年提出的用來解決卷積神經(jīng)網(wǎng)絡(luò)可解釋性問題的方法。Grad-CAM利用神經(jīng)網(wǎng)絡(luò)中最后一層卷積層來獲取特征激活圖，因?yàn)樯顚泳矸e神經(jīng)網(wǎng)絡(luò)中，最后一層卷積層包含了最豐富的分類信息，也是最容易可視化出來的。首先用類別輸出結(jié)果對最后一層卷積層求導(dǎo)其中yc是分類結(jié)果，Akij是第k個(gè)特征圖的(i，j)位置的值。然后通過如下公式計(jì)算出權(quán)重ack。

其中Z是特征圖的大小。然后通過下式得到Grad-CAM的可視化結(jié)果，計(jì)算出的權(quán)重信息就是特征圖中決定分類結(jié)果的重要區(qū)域。Relu函數(shù)是為了去除負(fù)值的影響，只關(guān)注特征圖中的正值對分類結(jié)果的影響。

使用 Grad-CAM［9］對 Vgg_16［20］分類模型的分類結(jié)果做可視化實(shí)驗(yàn)，結(jié)果如圖2，從圖中可以看出，Vgg_16將圖片正確分類的原因是重點(diǎn)關(guān)注了圖中的亮點(diǎn)區(qū)域。

圖2 Grad-CAM結(jié)果Fig.2 Result of Grad-CAM

2.3 PS-MIFGSM方法

目前主流攻擊算法 FGSM、MI-FGSM、DeepFool［8］都是將對抗擾動作用于圖像所有區(qū)域，雖然攻擊成功率高，但是對原始圖像的擾動和改變范圍較大，使得攻擊隱蔽性降低。如果能夠準(zhǔn)確定位出卷積神經(jīng)網(wǎng)絡(luò)在分類任務(wù)中的重點(diǎn)關(guān)注區(qū)域，那么就可以只對這些重點(diǎn)關(guān)注區(qū)域做攻擊，以降低對圖像中非關(guān)鍵區(qū)域的影響。該方法一方面可以使得圖像攻擊變得更加細(xì)微，以增加攻擊隱蔽性；另一方面又能確保攻擊的成功率。

為了在保證攻擊成功率的前提下降低對原圖的擾動大小，本文提出了PS-MIFGSM算法，具體架構(gòu)如圖3所示，從圖中可以看出PS-MIFGSM主要分為三個(gè)主要部分：第一部分主要是借助Grad-CAM算法得到樣本的關(guān)注區(qū)域，后續(xù)處理中根據(jù)Grad-CAM生成的結(jié)果區(qū)域即可將樣本分為攻擊區(qū)域和非攻擊區(qū)域；第二部分主要是通過MI-FGSM算法計(jì)算得到攻擊干擾信息；第三部分則是根據(jù)攻擊區(qū)域和非攻擊區(qū)域?qū)⒏蓴_信息作用于原樣本圖像上，最終得到攻擊樣本。

圖3 PS-MIFGSM算法架構(gòu)Fig.3 Architectureof PS-MIFGSMalgorithm

PS-MIFGSM算法的目的在于在保證攻擊準(zhǔn)確率不變的前提下，盡量減小擾動對原圖像的影響，以達(dá)到更好的隱蔽效果。公式如下：

算法偽代碼如下：

算法1 PS-MIFGSM（單一模型）。

輸入 分類模型f的損失函數(shù)J，真實(shí)樣本x，真實(shí)類別y，擾動大小μ，迭代次數(shù)T，衰減系數(shù)u，攻擊的前q個(gè)位點(diǎn)。

輸出 對抗樣本x*。

算法2 PS-MIFGSM（集合模型）。

輸 入n種 分 類 模 型f（f1，f2，…，fn)的 損 失 函 數(shù)J(J1，J2，…，Jn)，真實(shí)樣本x，真實(shí)類別y，擾動大小μ，迭代次數(shù)T，衰減系數(shù)u，攻擊的前q個(gè)位點(diǎn)。

輸出 對抗樣本x*。

首先利用Grad-CAM獲取到對應(yīng)分類網(wǎng)絡(luò)在圖像分類任務(wù)中所重點(diǎn)關(guān)注的圖像區(qū)域，分類網(wǎng)絡(luò)對圖像的重點(diǎn)關(guān)注區(qū)域就是本文算法要對圖像進(jìn)行攻擊的區(qū)域。然后通過MIFGSM算法［11］獲取到整張圖像對抗攻擊的對抗擾動，將對抗擾動加到相同圖像對應(yīng)的攻擊區(qū)域，并且保持其他區(qū)域信息不變。

3 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)中本文所提出的PS-MIFGSM算法以及對比實(shí)驗(yàn)均基于Linux（Ubuntu 16.04LTS）下python3.5以及Tensorflow1.2深度學(xué)習(xí)框架實(shí)現(xiàn)，具體硬件參數(shù)為CPU Inter Core i7-6700K，32 GB內(nèi)存，為了加快訓(xùn)練過程，實(shí)驗(yàn)中大部分過程選用NVIDIA GTX1080GPU加速完成。

3.1 數(shù)據(jù)集

本文的數(shù)據(jù)集采用天池IJCAI-19阿里巴巴人工智能對抗算法競賽的官方數(shù)據(jù)集，包括110個(gè)種類的11萬張商品圖片的訓(xùn)練集，這些商品圖片均來自阿里巴巴的電商平臺，每個(gè)圖片對應(yīng)一個(gè)種類ID。實(shí)驗(yàn)中還有三種基礎(chǔ)分類模型Inception_v1［22］、Resnet_v1［23］、Vgg_16［21］為本次實(shí)驗(yàn)的攻擊對象，三種基礎(chǔ)分類模型均加載訓(xùn)練好的權(quán)值參數(shù)，其在本實(shí)驗(yàn)數(shù)據(jù)集的測試集上的top1正確率均在70%以上。

本次實(shí)驗(yàn)的側(cè)重點(diǎn)在于生成可以干擾分類模型進(jìn)行分類的對抗樣本，實(shí)驗(yàn)本文選取110張?jiān)谌齻€(gè)基礎(chǔ)模型中識別率均為100%的圖片作為真實(shí)樣本，以這110張真實(shí)樣本為輸入數(shù)據(jù)集，用PS-MIFGSM算法和MI-FGSM算法生成對抗樣本來評估這兩種攻擊算法的結(jié)果。

3.2 評價(jià)指標(biāo)

實(shí)驗(yàn)中使用MI-FGSM和PS-MIFGSM兩種攻擊算法對輸入數(shù)據(jù)集的110張圖片做攻擊訓(xùn)練，生成對抗樣本，然后使用模型對每個(gè)對抗樣本進(jìn)行分類識別，如果模型識別錯(cuò)誤的對抗樣本數(shù)量越多，同時(shí)對抗樣本相對于真實(shí)樣本的擾動越小，那么攻擊算法越有效。

實(shí)驗(yàn)采用如下距離度量公式來評估攻擊算法：其中：I表示真實(shí)樣本，I a表示生成的對抗樣本，M表示分類模型，y表示真實(shí)樣本I的真是標(biāo)簽。如果模型對對抗樣本I a的種類識別正確，那么此次攻擊不成功，擾動量計(jì)算為上限64，如果模型對對抗樣本I a的種類識別錯(cuò)誤，那么就是對抗樣本攻擊成功，采用L2距離來計(jì)算對抗樣本I a和真實(shí)樣本I的擾動量。

同時(shí)本文也會計(jì)算不同攻擊算法生成的對抗樣本和真實(shí)樣本在不同模型上的分類準(zhǔn)確率，作為更為直觀的攻擊算法評價(jià)指標(biāo)，模型對對抗樣本的分類準(zhǔn)確率越低，說明對抗樣本越具有欺詐性，攻擊算法更有效。

3.3 攻擊單一模型的結(jié)果分析

攻擊單一模型是指在攻擊算法中只針對一個(gè)單獨(dú)的分類模型進(jìn)行攻擊。本文將所提方法PS-MIFGSM與MI-FGSM［11］攻擊方法做了攻擊單一模型的對比實(shí)驗(yàn)，用兩種方法生成的110個(gè)對抗樣本分別對三種圖像分類模型進(jìn)行攻擊，這三種圖像分類模型分別是Inception_v1、Resnet_v1、Vgg_16。實(shí)驗(yàn)中，輸入圖像大小為224×224。整個(gè)圖像的像素點(diǎn)一共是50 176。本文只選擇在Grad-CAM輸出的權(quán)重特征圖中權(quán)重最大的25 000個(gè)像素點(diǎn)上進(jìn)行攻擊，其他像素點(diǎn)不變，其中，單個(gè)像素值的最大擾動設(shè)置為20，攻擊迭代的衰減系數(shù)μ為0.04，像素值攻擊迭代的數(shù)量是3次。用兩種方法生成的對抗樣本交叉攻擊三種模型，評估其分類準(zhǔn)確率和原樣本與對抗樣本的L2距離。

從表1中可以看出當(dāng)白盒攻擊時(shí)，PS-MIFGSM和MIFGSM的攻擊成功率很高，模型對對抗樣本的分類準(zhǔn)確率幾乎為0%：一方面，PS-MIFGSM保持了和MI-FGSM同等的攻擊成功率；另一方面，PS-MIFGSM有效降低了原樣本和對抗樣本的差異化。這也說明本文使用Grad-CAM提取的卷積神經(jīng)網(wǎng)絡(luò)關(guān)注區(qū)域是正確有效的，對這些區(qū)域進(jìn)行攻擊確實(shí)能達(dá)到對整張圖像進(jìn)行攻擊的效果。但是PS-MIFGSM在黑盒攻擊時(shí)，攻擊成功率稍低于MI-FGSM［11］算法，因?yàn)楣羰〉膱D片的D(I，I a)值會是設(shè)定的最大值 64，所以總D(I，Ia)值也會偏高一些。由于不同模型在圖像分類任務(wù)上所提取到的特征圖不同，所以PS-MIFGSM在單模型攻擊時(shí)，它只會在本模型的重點(diǎn)關(guān)注區(qū)域加上對抗擾動。但是MI-FGSM［11］是對整張圖所有像素點(diǎn)增加對抗擾動，所以它在單模型攻擊中的黑盒攻擊效果要好一些。

表1 攻擊單模型的結(jié)果比較Tab.1 Result comparison of singlemodel attack

從表1中也可以看出，PS-MIFGSM方法和FGSM以及DeepFool相比，攻擊成功率提高很多，并且原樣本和對抗樣本的差異也降低很多。DeepFool方法著重尋找最小擾動來作攻擊，但是它在攻擊成功率方面表現(xiàn)很差；PS-MIFGSM同樣也是著重于尋找最小擾動來作攻擊，但是在攻擊成功率和擾動量上都優(yōu)于DeepFool和FGSM，所以PS-MIFGSM方法在能夠保證優(yōu)秀的攻擊成功率的前提下，可以降低攻擊樣本和原始樣本的差異化。在對關(guān)鍵區(qū)域有針對性的圖像攻擊方法中，PS-MIFGSM做出了創(chuàng)新性的工作。

目前工業(yè)界采用的分類模型種類繁多，但是圖像攻擊算法的本質(zhì)就是對神經(jīng)網(wǎng)絡(luò)做攻擊，需要考慮到不同神經(jīng)網(wǎng)絡(luò)模型在圖像分類任務(wù)上的損失等信息。為了提高PSMIFGSM算法在黑盒攻擊中的成功率，本文提出攻擊集合模型的方式。

3.4 攻擊集合模型的結(jié)果分析

攻擊集合模型是指在攻擊算法中，融合了多種分類模型的分類結(jié)果。在迭代生成對抗干擾量時(shí)，實(shí)驗(yàn)融合三種分類模型（Inception_v1、Resnet_v1、Vgg_16）的logits來計(jì)算目標(biāo)函數(shù)J（x，y），公式如下：其中：k代表第k個(gè)模型；K是模型數(shù)量；wk代表了第k個(gè)模型logits的權(quán)重值，在實(shí)驗(yàn)中，設(shè)置三個(gè)模型的wk相同。

使用MI-FGSM和PS-MIFGSM兩種方法對集合模型進(jìn)行攻擊，實(shí)驗(yàn)參數(shù)設(shè)置和單模型攻擊相同，實(shí)驗(yàn)結(jié)果如表2所示。從表2中可以看出使用以集合模型攻擊生成的對抗樣本攻擊成功率很高，對于三種基礎(chǔ)模型的攻擊成功率都接近100%，這說明攻擊集合模型的對抗樣本具有良好的魯棒性。并且還可以觀察到，PS-MIFGSM 算法的D（I，I a）值比 MIFGSM小，這是因?yàn)楣艏夏Ｐ蜁r(shí)，融合了多種圖像分類模型的logits來計(jì)算目標(biāo)函數(shù)J（x，y），使用Grad-CAM提取的卷積神經(jīng)網(wǎng)絡(luò)關(guān)注區(qū)域也是融合了多種分類模型對圖像的共同關(guān)注區(qū)域，所以它在生成的對抗干擾信息時(shí)，會考慮多種分類模型對圖像的損失信息，而不是像在單模型攻擊中，只考慮單一分類模型的損失信息，所以攻擊集合模型的方法更為魯棒，它能以更高的效率和成功率來攻擊大部分的分類模型。同時(shí)，由于PS-MIFGSM方法需要提取神經(jīng)網(wǎng)絡(luò)對圖像在分類任務(wù)中的關(guān)注區(qū)域，所以和MI-FGSM相比，它在時(shí)間復(fù)雜度上略差。說明，在攻擊集合模型時(shí)，PS-MIFGSM可以在確保攻擊成功率的同時(shí)，降低對抗樣本的干擾信息量，具有比MIFGSM具有更好的攻擊效率。

表2 攻擊集合模型的結(jié)果比較Tab.2 Result comparison of attack set model

3.5 對抗樣本可視化結(jié)果

實(shí)驗(yàn)通過直觀的方式對比了MI-FGSM和PS-MIFGSM兩種方法生成的對抗樣本，如圖4所示。

圖4 不同算法對抗攻擊樣本展示Fig.4 Adversarial attack samplesof different algorithms

從圖4可以看出，PS-MIFGSM只在圖中的部分關(guān)注區(qū)域加上了對抗擾動，而其他區(qū)域仍然保持原圖不變。同時(shí)，也輸出了Grad-CAM的結(jié)果來和兩種方法的對抗樣本進(jìn)行對比觀察，發(fā)現(xiàn)PS-MIFGSM是在Grad-CAM的關(guān)注區(qū)域加上了對抗擾動。

4 結(jié)語

本文提出的PS-MIFGSM算法是一種高效的聚焦圖像攻擊算法，引入 Grad-CAM［9］算法對 MI-FGSM［11］算法進(jìn)行改進(jìn)，只在卷積神經(jīng)網(wǎng)絡(luò)對圖像重點(diǎn)關(guān)注的區(qū)域進(jìn)行攻擊，而其他區(qū)域保持不變。在攻擊單模型實(shí)驗(yàn)中，該算法生成的對抗樣本在白盒攻擊中能夠保證很高的攻擊成功率，并且對原始樣本的改動量最少；在黑盒攻擊中，該算法性能只差于MIFGSM，但是優(yōu)于其他算法。為了提高算法在黑盒攻擊中的攻擊性能，本文提出了攻擊集合模型的方法，融合多種分類模型的損失信息進(jìn)行攻擊，實(shí)驗(yàn)結(jié)果與MI-FGSM［11］算法相比，對抗樣本的攻擊成功率不變，但對抗攻擊樣本與原始樣本的差異較小。

采用PS-MIFGSM算法進(jìn)行圖像攻擊時(shí)，可以在保證較高攻擊成功率的同時(shí)，使對抗攻擊樣本更接近于真實(shí)樣本。這種帶有針對性的只對圖像極少區(qū)域進(jìn)行攻擊的方法，讓對抗攻擊樣本具有更好的偽裝效果。除此之外，PS-MIFGSM算法也有一些待優(yōu)化之處，如在單模型的黑盒攻擊時(shí)，攻擊性能低于MI-FGSM；如何應(yīng)對不同的卷積神經(jīng)網(wǎng)絡(luò)關(guān)注區(qū)域的不同，這也將是我們下一步深入研究的內(nèi)容。