張 武，周星宇，鄒軍華，潘志松，段曄鑫，3，陳 軍

1.陸軍工程大學(xué) 指揮控制工程學(xué)院，南京210007

2.陸軍工程大學(xué) 通信工程學(xué)院，南京210007

3.陸軍軍事交通學(xué)院 鎮(zhèn)江校區(qū)，江蘇 鎮(zhèn)江212001

自Szegedy等人[1]首次提出深度神經(jīng)網(wǎng)絡(luò)易受對(duì)抗樣本攻擊以來，對(duì)抗樣本的生成技術(shù)研究引起了廣泛關(guān)注。Rauber等人[2]將目前對(duì)抗樣本生成方法粗略劃分為基于梯度的對(duì)抗攻擊[3-4]、基于決策的對(duì)抗攻擊[5-6]和基于得分的對(duì)抗攻擊[7]。特別是基于梯度的攻擊方法由于生成速度快和資源消耗低而得到廣泛應(yīng)用。例如，Dong等人[8]把動(dòng)量因子引入到基于梯度的攻擊方法中以避免對(duì)抗樣本生成時(shí)陷入局部極值。Xie等人[9]通過增強(qiáng)輸入樣本的多樣性來提升基于梯度的攻擊方法的遷移性。而Dong等人[10]則提出使用預(yù)定義高斯核模糊梯度信息，以使得基于梯度的攻擊方法對(duì)于防御模型具有較高的黑盒攻擊成功率。另外，Li等人[11]提出Ghost Network方法融入到基于梯度的攻擊方法以實(shí)現(xiàn)模型多樣性，來提升對(duì)抗樣本的攻擊性能。

雖然這些攻擊方法在攻擊性能上有所提升，但仍存在不足。例如，Dong等人[8]和Xie等人[9]所提方法在攻擊普通黑盒模型時(shí)性能較強(qiáng)，但在攻擊防御黑盒模型時(shí)性能卻較弱。相比一下，Dong等人[10]所提方法在攻擊防御黑盒模型時(shí)有了較大提升，但在攻擊普通黑盒模型時(shí)相對(duì)變差。此外，Ghost Network方法不能與Xie等人所提方法有效融合生成更高黑盒攻擊成功率的對(duì)抗樣本。因此，本文研究重點(diǎn)是如何改進(jìn)現(xiàn)有基于梯度的攻擊方法，進(jìn)一步增強(qiáng)對(duì)抗樣本對(duì)于普通和防御模型的黑盒攻擊性能。

現(xiàn)如今批歸一化（Batch Normalization，BN）幾乎是深度神經(jīng)網(wǎng)絡(luò)架構(gòu)中不可或缺的組件，其主要通過調(diào)整神經(jīng)網(wǎng)絡(luò)中間層的輸出分布使得網(wǎng)絡(luò)模型能快速收斂并趨于穩(wěn)定。受此啟發(fā)，本文提出一種腐蝕批歸一化（Erosion Batch Normalization，EBN）的對(duì)抗攻擊算法。該算法不僅能與Xie等人所提方法有效融合，還能有效改進(jìn)其他基于梯度的攻擊方法的黑盒攻擊性能。本文在單模型攻擊和集成模型攻擊中進(jìn)行大量實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明本文方法可實(shí)現(xiàn)在幾乎不增加額外計(jì)算開銷下提升對(duì)抗樣本的黑盒攻擊成功率。本文貢獻(xiàn)點(diǎn)總結(jié)如下：

（1）提出了一種基于腐蝕神經(jīng)網(wǎng)絡(luò)架構(gòu)中批歸一化層的對(duì)抗攻擊算法，有效改進(jìn)了現(xiàn)有基于梯度的攻擊方法，實(shí)現(xiàn)在幾乎不增加額外計(jì)算開銷下提升黑盒攻擊成功率。

（2）可視化解釋分析了腐蝕批歸一化方法相比Ghost Network方法更有效與Xie等人所提方法組合。

（3）本文方法最佳攻擊組合針對(duì)6個(gè)先進(jìn)防御模型的平均成功率達(dá)到87.2%，相比目前最強(qiáng)的基于梯度的攻擊方法提升了9.0個(gè)百分點(diǎn)。

1 相關(guān)研究的概況

1.1 對(duì)抗樣本描述

假設(shè)干凈樣本x所對(duì)應(yīng)的真實(shí)類別標(biāo)簽為ytrue，則對(duì)于預(yù)先訓(xùn)練好的網(wǎng)絡(luò)模型分類器f(?)而言可正確分類該干凈樣本，即f(x)=ytrue。然而，攻擊者通過向干凈樣本添加擾動(dòng)δ便可生成讓神經(jīng)網(wǎng)絡(luò)模型錯(cuò)誤預(yù)測(cè)的對(duì)抗樣本xadv=x+δ。對(duì)抗樣本可分為無目標(biāo)與有目標(biāo)兩種類型。無目標(biāo)對(duì)抗樣本只須讓模型分類器預(yù)測(cè)對(duì)抗樣本不為原始正確標(biāo)簽就可，即f(xadv)≠ytrue，而有目標(biāo)對(duì)抗樣本則需要使得模型分類器預(yù)測(cè)對(duì)抗樣本為指定目標(biāo)標(biāo)簽，即f(xadv)=ytarget。本文所關(guān)注的對(duì)抗樣本屬于無目標(biāo)對(duì)抗樣本，因此為了生成無目標(biāo)對(duì)抗樣本，通常需要最大化網(wǎng)絡(luò)模型分類器的損失函數(shù)J(xadv,ytrue)，以及使用L∞范數(shù)將擾動(dòng)δ約束在閾值ε領(lǐng)域內(nèi)，其可形式化表示為：

1.2 基于梯度攻擊方法

快速梯度符號(hào)方法[2]（Fast Gradient Sign Method，F(xiàn)GSM）是根據(jù)最大化損失函數(shù)的梯度方向來對(duì)輸入樣本進(jìn)行單步更新生成對(duì)抗樣本，其生成過程表示為：

其中，sign(?)是符號(hào)函數(shù)，ε使擾動(dòng)滿足L∞范數(shù)約束，?xJ(?)計(jì)算損失函數(shù)的梯度。雖然FGSM方法生成速度快，但是白盒攻擊成功率不高。

迭代快速梯度符號(hào)方法[4]（Iterative Fast Gradient Sign Method，I-FGSM）則選用小步長(zhǎng)的迭代更新方式來代替大步長(zhǎng)的單步更新方式，從而實(shí)現(xiàn)所添加擾動(dòng)的幅度更小，其迭代過程可表示為：

動(dòng)量迭代快速梯度符號(hào)方法[8]（Momentum Iterative Fast Gradient Sign Method，MI-FGSM）則將動(dòng)量因子融入到I-FGSM方法，實(shí)現(xiàn)在每一輪迭代中均能保留前面所有輪的梯度信息，有效避免更新過程中陷入局部極值，其表示為：

其中，gt+1代表第t+1次迭代時(shí)的累積梯度，μ是動(dòng)量因子。

多樣性輸入迭代快速梯度符號(hào)方法[9]（Diverse Inputs Iterative Fast Gradient Sign Method，DI2-FGSM）則在每次迭代時(shí)以一定的轉(zhuǎn)換概率p對(duì)輸入樣本隨機(jī)調(diào)整大小及填充，從而生成更具遷移性的對(duì)抗樣本。該方法可與MI-FGSM方法有效組合成M-DI2-FGSM方法。為了簡(jiǎn)潔起見，本文將M-DI2-FGSM方法簡(jiǎn)稱為DIM方法。

其中，D(?)代表轉(zhuǎn)換函數(shù)。

平移不變性迭代快速梯度符號(hào)方法[10]（Translation-Invariant Iterative Fast Gradient Sign Method，TI-FGSM）則使用預(yù)定義高斯核W模糊輸入樣本的梯度，使得所生成的對(duì)抗樣本黑盒攻擊防御模型時(shí)具有較高成功率。同樣，把TI-FGSM方法與DIM方法進(jìn)行組合，可形成目前最強(qiáng)黑盒攻擊方法TI-DIM。

1.3 集成攻擊方法

Liu等人[12]于2016年首次提出集成攻擊方法概念，即在對(duì)抗樣本生成過程中選擇集成多個(gè)網(wǎng)絡(luò)模型來代替單個(gè)網(wǎng)絡(luò)模型作為攻擊對(duì)象，使得所生成對(duì)抗樣本不會(huì)陷入某個(gè)網(wǎng)絡(luò)模型的局部最優(yōu)值，從而實(shí)現(xiàn)對(duì)抗樣本的遷移性以及黑盒攻擊性能提升。而Dong等人[8]則進(jìn)一步證明了相比集成模型的損失函數(shù)值或預(yù)測(cè)概率值，集成模型的logits值則能生成更具遷移性的對(duì)抗樣本。因此，當(dāng)要攻擊總數(shù)為k的一組模型時(shí)，模型的logits值集成可表述為：

其中，li(x)代表第i個(gè)模型的logits值，wi代表第i個(gè)模型所占權(quán)重，且所有模型的權(quán)重之和等于1。

2 方法實(shí)現(xiàn)

為了提升對(duì)抗樣本的黑盒攻擊性能，本文提出一種基于腐蝕神經(jīng)網(wǎng)絡(luò)架構(gòu)中批歸一化層的對(duì)抗算法。如圖1所示，網(wǎng)絡(luò)模型f作為源模型主要通過架構(gòu)中輸入層、卷積層、批歸一化層、激活函數(shù)及全連接層等核心組件處理輸入樣本得到損失函數(shù)Jf，然后再通過最大化損失函數(shù)Jf求得擾動(dòng)疊加到輸入樣本中以生成對(duì)抗樣本。其中，批歸一化層在經(jīng)過縮放平移參數(shù)腐蝕和方差腐蝕之后會(huì)讓網(wǎng)絡(luò)模型中間層的輸出分布與原有分布出現(xiàn)不一致，從而引起網(wǎng)絡(luò)模型性能衰減弱化，使得所生成的對(duì)抗樣本遷移性提升，最終實(shí)現(xiàn)對(duì)抗樣本的黑盒攻擊性能增強(qiáng)。同時(shí)，在對(duì)抗樣本生成過程中，由于批歸一化層腐蝕修改所形成的衰減模型與原始網(wǎng)絡(luò)模型是共享相同數(shù)量的參數(shù)和核心體系結(jié)構(gòu)，本文算法具有在幾乎不會(huì)增加額外計(jì)算開銷條件下有效提升對(duì)抗樣本攻擊性能的優(yōu)勢(shì)。

圖1 腐蝕批歸一化的對(duì)抗攻擊框架圖Fig.1 Architecture of adversarial attack based on erosion batch normalization

2.1 批歸一化概述分析

批歸一化是由Ioffe等人[13]于2015年提出，用于解決深度神經(jīng)網(wǎng)絡(luò)內(nèi)部協(xié)變量偏移的問題。由于深度神經(jīng)網(wǎng)絡(luò)在訓(xùn)練過程中會(huì)存在網(wǎng)絡(luò)中間層的輸出分布與激活函數(shù)的輸入分布不一致的差異，并且這種差異隨著神經(jīng)網(wǎng)絡(luò)層數(shù)加深而逐漸放大，最終導(dǎo)致網(wǎng)絡(luò)模型訓(xùn)練速度緩慢。于是，Ioffe等人則在神經(jīng)網(wǎng)絡(luò)訓(xùn)練時(shí)，選擇使用小批量的均值和方差進(jìn)行歸一化調(diào)整神經(jīng)網(wǎng)絡(luò)中間層的輸出分布，使其符合均值為0、方差為1的標(biāo)準(zhǔn)正態(tài)分布，從而保證各層的輸出值落在激活函數(shù)對(duì)輸入比較敏感的區(qū)域，有效解決了數(shù)據(jù)分布不斷改變所帶來的梯度消失和網(wǎng)絡(luò)收斂緩慢等問題。同時(shí)，為了避免歸一化操作可能會(huì)削弱網(wǎng)絡(luò)性能，Ioffe等人又進(jìn)一步引入縮放和平移兩個(gè)可學(xué)習(xí)參數(shù)來自由變換數(shù)據(jù)分布，使得網(wǎng)絡(luò)模型表達(dá)能力更強(qiáng)。

訓(xùn)練階段BN處理流程：

輸入：小批量輸入值b={x1…m}，縮放因子γ和平移因子β。

輸出：歸一化調(diào)整后的值{zi=BNγ,β(xi)}。

雖然訓(xùn)練階段模型都會(huì)計(jì)算每一批次的均值和方差，但是預(yù)測(cè)時(shí)所使用的均值和方差則是根據(jù)整個(gè)訓(xùn)練集中每一批量均值和方差的期望值所求得。因此，對(duì)于預(yù)先訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型而言，在預(yù)測(cè)時(shí)其所使用批歸一化公式可表達(dá)為：

其中，r是為了避免除數(shù)為0時(shí)所使用的微小正數(shù)。

由以上BN處理流程及式（10）可知，批歸一化其實(shí)可簡(jiǎn)單看作歸一化與縮放平移自由變換這兩種操作的結(jié)合體。這兩種操作的共同作用不僅調(diào)整著模型內(nèi)部輸出分布，還在一定程度上提高了模型預(yù)測(cè)精度。為此，針對(duì)批歸一化腐蝕修改可分別從對(duì)歸一化操作腐蝕和縮放平移自由變換操作腐蝕來具體實(shí)現(xiàn)。同時(shí)，為了避免過度改變?cè)芯W(wǎng)絡(luò)模型，腐蝕時(shí)應(yīng)該選擇采用類似相乘衰減系數(shù)方法來削弱原有模型性能，而不是通過減少模型參數(shù)數(shù)量或者刪減模型核心組件來破壞原有模型架構(gòu)。因此，本文腐蝕策略核心思想是既不增加對(duì)抗樣本生成的運(yùn)算成本，又要能與現(xiàn)有基于梯度的攻擊方法有效融合以提升黑盒攻擊成功率。

2.2 批歸一化腐蝕設(shè)計(jì)

批歸一化通過調(diào)整神經(jīng)網(wǎng)絡(luò)模型中間層的輸出分布使得網(wǎng)絡(luò)模型能快速收斂并趨于穩(wěn)定。因此，本文通過腐蝕神經(jīng)網(wǎng)絡(luò)架構(gòu)中批歸一化層來改變?cè)兄虚g層的輸出分布，從而實(shí)現(xiàn)所生成對(duì)抗樣本在黑盒攻擊性能有所提升。其中，縮放因子γ和平移因子β作為批歸一化層參數(shù)，在網(wǎng)絡(luò)中間層的輸出分布自由變換上發(fā)揮著關(guān)鍵作用，使得網(wǎng)絡(luò)模型表達(dá)能力和性能更強(qiáng)。受此啟發(fā)，本文首先采取讓縮放因子和平移因子同乘以一個(gè)衰減系數(shù)進(jìn)行腐蝕縮放平移自由變換操作，從而改變?cè)芯W(wǎng)絡(luò)模型中間層的輸出分布，使得原有模型下降為性能衰減模型，最終達(dá)到對(duì)抗樣本的泛化性能提升。因此，批歸一化層參數(shù)腐蝕過程可形式化為：

其中，Λ為縮放平移腐蝕因子，E[x]和Var[x]分別代表模型預(yù)測(cè)時(shí)所用均值和方差。

其次，由式（10）可知，為了避免出現(xiàn)除數(shù)為0的情況，批歸一化層還引入了恒定微小正數(shù)r實(shí)施調(diào)節(jié)。由于對(duì)抗樣本生成是基于預(yù)先訓(xùn)練好的網(wǎng)絡(luò)模型，而預(yù)先訓(xùn)練好的網(wǎng)絡(luò)模型中批歸一化層的均值和方差是已知固定的。受此啟發(fā)，本文選取以較大正數(shù)η替換原先微小正數(shù)r對(duì)批歸一化層方差進(jìn)行腐蝕，也就等價(jià)于腐蝕歸一化操作，從而實(shí)現(xiàn)對(duì)原有網(wǎng)絡(luò)模型中間層的輸出分布進(jìn)一步改變，其可形式化表達(dá)為：

其中，η為方差腐蝕因子。

此外，本文是把批歸一化腐蝕算法應(yīng)用于改進(jìn)現(xiàn)有較強(qiáng)的基于梯度的攻擊方法MI-FGSM、DIM和TI-DIM，從而形成更強(qiáng)的攻擊組合方法EBN-MI-FGSM、EBNDIM和EBN-TI-DIM，其具體轉(zhuǎn)換關(guān)系如圖2所示。

圖2 攻擊方法轉(zhuǎn)化圖Fig.2 Conversion of attack methods

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)設(shè)置

3.1.1數(shù)據(jù)集與參數(shù)設(shè)置

本文使用的數(shù)據(jù)集是NIPS 2017對(duì)抗競(jìng)賽數(shù)據(jù)集，該數(shù)據(jù)集與ImageNet相兼容且包含1 000張網(wǎng)絡(luò)模型正確分類的圖像樣本。在參數(shù)設(shè)置方面，本文設(shè)置最大擾動(dòng)量ε=16，迭代次數(shù)T=10以及動(dòng)量因子μ=1。對(duì)于DIM方法，輸入轉(zhuǎn)換概率p設(shè)置為0.7。對(duì)于TI-DIM方法，預(yù)定義高斯核W大小設(shè)置為15×15。而對(duì)于本文批歸一化腐蝕方法，縮放平移腐蝕因子Λ和方差腐蝕因子η的取值則根據(jù)3.2節(jié)所得適當(dāng)值設(shè)定。

3.1.2源模型與目標(biāo)模型

本文分別選擇了Inception-v3[14]（Inc-v3）、Inceptionv4[15]（Inc-v4）、Inception-Resnet-v2[15]（IncRes-v2）和Resnetv2-152[16]（Res-152）這4個(gè)模型作為源模型用于生成對(duì)抗樣本。此外，本文還選取了4個(gè)普通模型和6個(gè)防御模型作為目標(biāo)模型用于評(píng)價(jià)本文方法的黑盒攻擊性能。其中，4個(gè)普通模型分別是Inc-v3、Inc-v4、IncRes-v2和Res-152，其余6個(gè)防御模型分別是經(jīng)過對(duì)抗訓(xùn)練的集成模型Inc-v3ens3、Inc-v3ens4、IncRes-v2ens[17]以及NIPS 2017防御競(jìng)賽中排名前三的模型HGD[18]、R&P[19]和NIPS-r3。

3.1.3評(píng)估指標(biāo)

本文選用攻擊成功率（Attack Success Rate，ASR）作為評(píng)價(jià)攻擊性能的指標(biāo)。然而，對(duì)于不同類型攻擊，ASR定義會(huì)有所不同。例如，對(duì)于有目標(biāo)攻擊方式，ASR可定義為對(duì)抗樣本使得網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果與目標(biāo)類別一致的比例。而對(duì)于本文這種無目標(biāo)攻擊方式，ASR則定義為對(duì)抗樣本使得網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果與真實(shí)類別不一致的比例，即可公式化為：

3.2 腐蝕因子分析

由于不同神經(jīng)網(wǎng)絡(luò)模型的腐蝕因子取值可能會(huì)有所不同，本節(jié)分別針對(duì)Inc-v3、Inc-v4、IncRes-v2和Res-152這4個(gè)模型進(jìn)行批歸一化腐蝕，以探究腐蝕因子與對(duì)抗樣本攻擊性能兩者之間的關(guān)系，從而選定每個(gè)模型腐蝕因子的適當(dāng)值。

3.2.1縮放平移腐蝕因子取值

縮放平移腐蝕因子的取值在對(duì)抗樣本攻擊性能方面起著關(guān)鍵作用。如果縮放平移腐蝕因子Λ取值為0，那就意味著沒有對(duì)網(wǎng)絡(luò)模型批歸一化層進(jìn)行縮放平移腐蝕，因而所生成的對(duì)抗樣本攻擊性能會(huì)有所下降。同樣，如果Λ取值過大，則將會(huì)過度降低網(wǎng)絡(luò)模型預(yù)測(cè)精度，從而影響到所生成的對(duì)抗樣本攻擊性能。為此本節(jié)進(jìn)行實(shí)驗(yàn)以找到合適的縮放平移腐蝕因子值。

本小節(jié)首先設(shè)置縮放平移腐蝕因子取值變化范圍為0到0.14，變化間隔為0.01。然后，分別使用EBN-MIFGSM方法針對(duì)Inc-v3、Inc-v4、IncRes-v2和Res-152源模型進(jìn)行縮放平移腐蝕生成相應(yīng)的對(duì)抗樣本。圖3顯示了縮放平移腐蝕因子取值與所生成的對(duì)抗樣本攻擊性能兩者的關(guān)系。由圖3可知，隨著縮放平移腐蝕因子取值不斷增大，對(duì)抗樣本在保持較高白盒攻擊成功率時(shí)所有黑盒攻擊成功率基本呈現(xiàn)先升后降的趨勢(shì)。雖然所生成的對(duì)抗樣本針對(duì)不同模型的黑盒攻擊成功率最高值點(diǎn)會(huì)有所不同，但是本小節(jié)綜合考慮了對(duì)于3個(gè)普通模型和3個(gè)防御模型的平均攻擊成功率，選擇使平均攻擊成功率達(dá)到最大的縮放平移腐蝕因子值，即分別設(shè)置Inc-v3、Inc-v4、IncRes-v2和Res-152這4個(gè)源模型的縮放平移腐蝕因子Λ適當(dāng)值為0.05、0.04、0.07、0.11。

3.2.2方差腐蝕因子取值

此外，由于本文在縮放平移腐蝕基礎(chǔ)上還引入了方差腐蝕因子η替換原先微小正數(shù)r以進(jìn)一步對(duì)批歸一化層腐蝕。為此，本小節(jié)繼續(xù)實(shí)驗(yàn)以找到每個(gè)模型方差腐蝕因子的適當(dāng)值。因?yàn)槊總€(gè)模型對(duì)于方差腐蝕因子敏感度會(huì)有所不同，所以Inc-v3和Inc-v4源模型的η變化范圍設(shè)置為0.002到0.03，變化間隔為0.002。而IncRes-v2源模型的η變化范圍則為0.001到0.01，變化間隔為0.001，以及IncRes-v2源模型的η變化范圍為0.000 2到0.003，變化間隔為0.000 2。然后，分別運(yùn)用EBN-MI-FGSM方法腐蝕源模型批歸一化層方差生成相應(yīng)的對(duì)抗樣本。圖4顯示了源模型方差腐蝕因子取值與所生成的對(duì)抗樣本攻擊性能兩者的關(guān)系。同樣，本小節(jié)綜合考慮了3個(gè)普通模型和3個(gè)防御模型的平均攻擊成功率，選擇使平均攻擊成功率達(dá)到最大的方差腐蝕因子值，即分別設(shè)置Inc-v3、Inc-v4、IncRes-v2和Res-152這4個(gè)源模型的方差腐蝕因子η適當(dāng)值為0.02、0.01、0.003、0.001 8。

圖4 方差腐蝕因子對(duì)ASR的影響Fig.4 Influence of variance decay factor on ASR

3.3 單模型攻擊場(chǎng)景

為了表明本文所提方法能與現(xiàn)有基于梯度攻擊方法有效組合，本節(jié)做了批歸一化腐蝕攻擊方法與基準(zhǔn)攻擊方法的單模型攻擊對(duì)比實(shí)驗(yàn)，即分別使用批歸一化腐蝕攻擊方法與基準(zhǔn)攻擊方法針對(duì)Inc-v3、Inc-v4、IncRes-v2和Res-152每個(gè)源模型生成相應(yīng)的對(duì)抗樣本，測(cè)試所生成的對(duì)抗樣本攻擊10個(gè)模型的成功率。表1~表3對(duì)比了批歸一化腐蝕攻擊方法與基準(zhǔn)攻擊方法所生成的對(duì)抗樣本攻擊成功率。

表1 MI-FGSM和EBN-MI-FGSM單模型ASR對(duì)比Table 1 Comparison of single-model ASR between MI-FGSM and EBN-MI-FGSM %

表2 DIM和EBN-DIM單模型ASR對(duì)比Table 2 Comparison of single-model ASR between DIM and EBN-DIM %

從表1~表3可以看出，本文所提的批歸一化腐蝕方法可有效改進(jìn)現(xiàn)有基于梯度攻擊方法的攻擊性能，使得改進(jìn)后的對(duì)抗攻擊方法實(shí)現(xiàn)黑盒攻擊成功率整體提升。例如，由表1~表3可知，使用批歸一化腐蝕攻擊方法針對(duì)IncRes-v2源模型所生成的對(duì)抗樣本在黑盒攻擊防御模型Inc-v3ens3時(shí)的攻擊成功率依次為50.7%、63.5%和80.2%，而相應(yīng)的基準(zhǔn)方法則分別為30.2%、40.5%和60.6%，均實(shí)現(xiàn)了攻擊成功率提升19.6個(gè)百分點(diǎn)以上。

表3 TI-DIM和EBN-TI-DIM單模型ASR對(duì)比Table 3 Comparison of single-model ASR between TI-DIM and EBN-TI-DIM %

此外，雖然本文所提方法是通過腐蝕網(wǎng)絡(luò)模型的批一化層以提升對(duì)抗樣本的遷移性，但仍能保持較高白盒攻擊成功率。例如，表格中符號(hào)*標(biāo)識(shí)了白盒攻擊成功率，由表1~表3可知，除了使用EBN-MI-FGSM方法針對(duì)Inc-v3源模型外，其余批歸一化腐蝕攻擊方法的白盒攻擊性能均能保持甚至較大超過基準(zhǔn)攻擊方法。例如，使用EBN-TI-DIM方法針對(duì)IncRes-v2源模型所生成的對(duì)抗樣本白盒攻擊成功率為97.9%，而相應(yīng)的基準(zhǔn)方法則為95.7%，實(shí)現(xiàn)了攻擊成功率提升2.2個(gè)百分點(diǎn)。

3.4 集成模型攻擊場(chǎng)景

雖然集成攻擊方法會(huì)增加計(jì)算開銷，但可有效增強(qiáng)對(duì)抗樣本的黑盒攻擊成功率。為此本文進(jìn)一步把批一化腐蝕算法融入到集成攻擊方法中，用于提升對(duì)抗樣本攻擊防御模型的性能。本節(jié)選擇了將Inc-v3、Inc-v4、IncRes-v2和Res-152源模型組合成集成模型。然后，分別使用批歸一化腐蝕攻擊方法和基準(zhǔn)攻擊方法進(jìn)行集成攻擊實(shí)驗(yàn)。表4顯示了集成攻擊方法所生成的對(duì)抗樣本攻擊成功率。由表4可知，集成批歸一化腐蝕攻擊方法在攻擊性能方面均優(yōu)于集成基準(zhǔn)攻擊方法。其中，集成EBN-TI-DIM方法是所有集成攻擊方法中性能最強(qiáng)的，其能以87.2%的平均成功率欺騙六種先進(jìn)防御模型。相比于目前最強(qiáng)黑盒攻擊方法集成TI-DIM方法，在攻擊成功率上實(shí)現(xiàn)提升約9.0個(gè)百分點(diǎn)。

表4 集成模型ASR對(duì)比Table 4 Comparison of multi-model ASR %

3.5 有效性分析

3.5.1運(yùn)行時(shí)間有效性分析

由于批歸一化腐蝕方法所形成的衰減模型和原始網(wǎng)絡(luò)模型是共享相同數(shù)量的參數(shù)和核心體系結(jié)構(gòu)，在對(duì)抗樣本生成過程中，批量歸一化腐蝕方法不會(huì)過多增加額外計(jì)算開銷。表5顯示了在相同運(yùn)行環(huán)境下，批歸一化腐蝕攻擊方法與基準(zhǔn)攻擊方法針對(duì)1 000張樣本攻擊的總運(yùn)行時(shí)間。由表5可以看出，在總運(yùn)行時(shí)間上，批歸一化腐蝕攻擊方法與基準(zhǔn)攻擊方法并沒有太大的差別，從而表明了本文所提方法在生成對(duì)抗樣本方面能夠保持良好的效率。

表5 運(yùn)行時(shí)間對(duì)比Table 5 Comparison of running time s

3.5.2組合方法有效性分析

雖然本文所提方法與Li等人所提的Ghost Network方法都是通過腐蝕神經(jīng)網(wǎng)絡(luò)架構(gòu)來提升對(duì)抗樣本的攻擊性能，但是Ghost Network方法卻不能與DIM方法有效組合生成更高黑盒攻擊成功率的對(duì)抗樣本。如圖5所示，本文將Ghost Network方法組合到基準(zhǔn)攻擊方法中形成了GN-MI-FGSM、GN-DIM和GN-TI-DIM方法。從圖5可以看出，本文批歸一化腐蝕方法均能與基于梯度的攻擊方法有效組合，而Ghost Network方法在與DIM和TI-DIM方法組合時(shí)出現(xiàn)平均黑盒攻擊成功率下降的情況。

圖5 不同組合方法平均黑盒攻擊率對(duì)比Fig.5 Comparison of average black-box attack rates of different combination methods

為此，進(jìn)一步選用Grad-CAM方法[20]做可視化實(shí)驗(yàn)解釋分析上述現(xiàn)象。由于Ghost Network方法Skip-Connection腐蝕ResNet系列模型方式實(shí)現(xiàn)的，本節(jié)分別選Inc-v3模型和Res-152模型作為典型分析。圖6顯示了不同攻擊方法針對(duì)這兩種模型的結(jié)果圖。由圖6可以看出，GN-DIM方法對(duì)于Inc-v3模型而言關(guān)注區(qū)域已偏移重要區(qū)域，但DIM方法和EBN-DIM方法仍能聚焦到重要區(qū)域，并且EBN-DIM關(guān)注區(qū)域范圍更大。另外，對(duì)于Res-152模型，雖然所有方法都聚焦到重要區(qū)域，但是GN-DIM方法關(guān)注區(qū)域范圍均要小于DIM方法和EBN-DIM方法。因此，圖6直觀地驗(yàn)證了本文所提方法相比Ghost Network方法能更好與DIM方法組合。

圖6 不同攻擊方法Grad-CAM結(jié)果Fig.6 Results of Grad-CAM of different attack methods

4 結(jié)束語(yǔ)

本文針對(duì)如何在不消耗過多額外資源條件下能有效改進(jìn)現(xiàn)有基于梯度的攻擊方法的黑盒攻擊性能問題，提出了一種基于腐蝕神經(jīng)網(wǎng)絡(luò)架構(gòu)中批歸一化層的對(duì)抗樣本生成算法來增強(qiáng)對(duì)抗樣本的遷移性，從而實(shí)現(xiàn)黑盒攻擊能力提升。本文在NIPS 2017對(duì)抗競(jìng)賽數(shù)據(jù)集上做了大量對(duì)比實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明本文所提的批歸一化腐蝕算法可與現(xiàn)有基于梯度的攻擊方法有效組合，使得所生成的對(duì)抗樣本實(shí)現(xiàn)黑盒攻擊性能整體提升。同時(shí)，為了進(jìn)一步增強(qiáng)算法在黑盒攻擊中的攻擊性能，本文把批歸一化腐蝕算法融入到集成攻擊方法中，實(shí)現(xiàn)了以87.2%的平均成功率欺騙六種先進(jìn)黑盒防御模型。此外，本文還可視化分析闡述了Ghost Network方法不能與DIM方法有效組合的現(xiàn)象。