◆趙永泉

基于擬合決策邊界表達(dá)式的對抗攻擊方法

◆趙永泉

（云南電網(wǎng)有限責(zé)任公司西雙版納供電局 云南 666100）

基于深度學(xué)習(xí)的圖像分類器已經(jīng)被廣泛使用，由于模型魯棒性問題導(dǎo)致其不能正確分類，進(jìn)而增加微小擾動(dòng)的樣本，稱之為對抗攻擊。現(xiàn)有黑盒攻擊算法難以在較低的訪問次數(shù)下獲得準(zhǔn)確決策邊界信息，本文提出基于擬合決策邊界表達(dá)式的對抗攻擊方法。該方法定義根據(jù)目標(biāo)函數(shù)以及決策邊界的定義，推導(dǎo)出決策邊界表達(dá)式，并利用投影操作尋找決策邊界附近的對抗樣本。試驗(yàn)結(jié)果標(biāo)明，該方法相比現(xiàn)有的黑盒攻擊方法具有更高的攻擊成功率。

對抗攻擊；計(jì)算機(jī)視覺；深度學(xué)習(xí)

對抗攻擊指的是在原始樣本中加入擾動(dòng)，以獲得一個(gè)可以欺騙目標(biāo)深度學(xué)習(xí)分類器的樣本。文獻(xiàn)[1]首次發(fā)現(xiàn)深度學(xué)習(xí)模型易受攻擊的特點(diǎn)，進(jìn)而提出框約束L-BFGS算法進(jìn)行迭代對抗攻擊。L-BFGS算法針對特定的原始圖像隨機(jī)添加擾動(dòng)生成對抗樣本。文獻(xiàn)[2]提出的生成方法基于隱空間聚類。文獻(xiàn)[3]提出了一種基于快速邊界攻擊的有目標(biāo)攻擊樣本生成方法，將搜索拆分為面上和線上兩部分，并通過二分法減少搜索規(guī)模。文獻(xiàn)[4]提出了基于AE-WGAN的定向?qū)箻颖旧煞椒ǎㄟ^高質(zhì)量映射轉(zhuǎn)換和隱層編碼遷移算法生成指定標(biāo)簽的對抗樣本。文獻(xiàn)[5]提出的ZOO方法通過目標(biāo)模型的輸出來擬合模型梯度，其在攻擊成功率和擾動(dòng)大小兩個(gè)指標(biāo)上都很優(yōu)秀。本文通過轉(zhuǎn)換模型擬合目標(biāo)函數(shù)構(gòu)建決策邊界近似表達(dá)式，根據(jù)決策邊界近似的表達(dá)式，利用投影操作進(jìn)行對抗樣本生成，提升攻擊成功率。

1 對抗樣本定義

在對抗攻擊的過程中，根據(jù)攻擊目標(biāo)的不同，可以分為有目標(biāo)攻擊和無目標(biāo)攻擊，其形式化定義如公式（1）所示：

其中，C代表可以對樣本進(jìn)行分類的深度學(xué)習(xí)模型（目標(biāo)模型），是模型參數(shù)。y為目標(biāo)模型對x的分類結(jié)果,是原始樣本的正確類別。在有目標(biāo)攻擊中，目標(biāo)模型將x分類到攻擊者指定的類別。在無目標(biāo)攻擊中，目標(biāo)模型將對抗樣本分類到樣本正確類別外的其他類別（不指定誤分類的類別）。

2 基于決策邊界的圖像對抗攻擊算法

Croce等人[6]嘗試尋找目標(biāo)模型的決策邊界，通過使用目標(biāo)模型的梯度信息、模型的結(jié)構(gòu)與模型的參數(shù)，精確地將樣本投影在目標(biāo)模型決策邊界附近，從而獲得性能良好的對抗樣本。

在獲得決策邊界近似的表達(dá)式后，Croce等人根據(jù)決策邊界的平面表達(dá)式，計(jì)算樣本到?jīng)Q策邊界的距離，如式（3）所示：

3 基于擬合決策邊界表達(dá)式的對抗攻擊方法

受到Croce等人[6]在白盒攻擊中利用模型的決策邊界信息進(jìn)行對抗攻擊（FAB算法）的啟發(fā)，本文提出一種在黑盒場景下，基于擬合決策邊界的對抗攻擊方法，結(jié)構(gòu)如圖1所示。

圖1 算法框架

在黑盒場景中進(jìn)行對抗攻擊，攻擊者不能獲得目標(biāo)模型的結(jié)構(gòu)以及參數(shù)信息，即模型的內(nèi)部信息，本文通過定義含有決策邊界的目標(biāo)函數(shù)，并利用轉(zhuǎn)換模型擬合目標(biāo)函數(shù)，求解決策邊界表達(dá)式，在黑盒場景中利用決策邊界信息進(jìn)行對抗攻擊。此方法與已有的基于替代模型的攻擊方法相似，但基于替代模型的攻擊方法在擬合替代模型時(shí)，考慮訓(xùn)練樣本與所有類別之間的關(guān)聯(lián)，根據(jù)目標(biāo)模型關(guān)于所有類別預(yù)測概率對替代模型進(jìn)行擬合，目的是使替代模型學(xué)習(xí)到目標(biāo)模型對樣本每個(gè)類別的預(yù)測概率，并擬合目標(biāo)模型中所有類別之間的決策邊界，使替代模型分類的性能接近目標(biāo)模型，之后通過對替代模型進(jìn)行白盒攻擊獲得對抗樣本，最終利用得到的對抗樣本對目標(biāo)模型進(jìn)行攻擊。與替代模型相比，本文提出的基于擬合決策邊界的攻擊方法，方法框架如圖2所示，首先根據(jù)對抗攻擊的目的，構(gòu)建相應(yīng)的模型。在模型擬合的過程中，本方法只針對與攻擊相關(guān)的兩個(gè)類別的信息進(jìn)行擬合，在迭代過程中忽略與攻擊目標(biāo)無關(guān)的類別，相比于替代模型方法，能夠更有針對性的擬合在攻擊過程中所需的目標(biāo)模型的內(nèi)部信息。在進(jìn)行對抗攻擊時(shí)，本方法利用擬合模型的信息生成對抗樣本進(jìn)行攻擊，并且在對抗樣本生成過程的同時(shí)，利用目標(biāo)模型對對抗樣本的分類概率指導(dǎo)轉(zhuǎn)換模型的擬合。此外，在利用模型的分類概率擬合替代模型時(shí)，替代模型方法希望擬合每一個(gè)類別的輸出概率，而本方法只需要擬合兩個(gè)類別概率之間的差值，并且在兩個(gè)類別的預(yù)測概率不同的情況下，預(yù)測概率之間的差值也可能相同，因此本方法需要擬合的目標(biāo)模型信息少于替代模型方法，在相同的訪問次數(shù)情況下，本方法擬合的信息更接近對抗攻擊所需的目標(biāo)模型的內(nèi)部信息，使得其在進(jìn)行對抗攻擊時(shí)，可獲得比替代模型方法更好的效果。

3.1 決策邊界函數(shù)

（5）

3.2 擬合轉(zhuǎn)換模型

圖2 轉(zhuǎn)換模型構(gòu)建框架

擬合構(gòu)建的轉(zhuǎn)換模型由標(biāo)簽映射模塊以及轉(zhuǎn)換模型的訓(xùn)練模塊組合。由于在白盒場景中，攻擊者可以獲得目標(biāo)模型的內(nèi)部信息，因此可以分別計(jì)算關(guān)于兩個(gè)類別的梯度信息獲取決策邊界表達(dá)式中需要的梯度信息。但是在黑盒場景中，只能獲取到目標(biāo)模型的輸出結(jié)果，構(gòu)建的目標(biāo)函數(shù)擬合的信息為兩個(gè)類別分類概率之間的差值，所以決策邊界表達(dá)式中的導(dǎo)數(shù)求解過程由分別計(jì)算兩個(gè)輸出概率的梯度信息，并將它們轉(zhuǎn)換為利用轉(zhuǎn)換模型的一個(gè)位置的輸出信息計(jì)算目標(biāo)函數(shù)的梯度信息。因此，在進(jìn)行目標(biāo)函數(shù)擬合過程前，本方法需要對原始樣本的初始類別以及攻擊的目標(biāo)類別進(jìn)行標(biāo)簽映射，將兩個(gè)類別的標(biāo)簽映射為轉(zhuǎn)換模型的一個(gè)類別，使獲取的目標(biāo)模型的輸出結(jié)果對轉(zhuǎn)換模型的訓(xùn)練有指導(dǎo)意義，從而擬合轉(zhuǎn)換模型，標(biāo)簽轉(zhuǎn)換過程如圖3所示。

在標(biāo)簽轉(zhuǎn)換過程中，根據(jù)原始類別的標(biāo)簽以及目標(biāo)類別的標(biāo)簽的組合進(jìn)行映射，將每兩個(gè)類別的組合映射到新標(biāo)簽中的一個(gè)位置，獲得圖中所示的映射矩陣，對應(yīng)位置的值的計(jì)算如式（9）所示：

根據(jù)標(biāo)簽轉(zhuǎn)換矩陣每個(gè)位置值的計(jì)算方式，本方法獲得的映射矩陣是關(guān)于主對角線反對稱的矩陣，因此在計(jì)算標(biāo)簽映射過程只考慮映射矩陣對角線上半部分的映射，并通過構(gòu)建因子（Negative-Positive Factor）表示主對角線下半部分的標(biāo)簽，因子計(jì)算公式如式（10）所示：

3.3 對抗樣本生成

在完成迭代搜索后，對生成的對抗樣本進(jìn)行微調(diào)，進(jìn)一步降低對抗樣本的平均擾動(dòng)，獲得滿足攻擊條件的對抗樣本。

4 實(shí)驗(yàn)

4.1 數(shù)據(jù)源

數(shù)據(jù)源采用的是圖像識別領(lǐng)域經(jīng)典的數(shù)據(jù)集, 包含十個(gè)類別的手寫數(shù)字（0-9）的圖像信息，每一張圖片的大小為28x28，并且每一個(gè)像素點(diǎn)只由一個(gè)灰度值進(jìn)行表示，圖像的維度是784。

4.2 實(shí)驗(yàn)環(huán)境

硬件環(huán)境：處理器i9-9820X、顯卡2080Ti、服務(wù)器內(nèi)存64GB。

軟件環(huán)境：Ubuntu 16.04 64位，編程語言Python3.5，框架tensorflow 1.13.1，CUDA版本：10.0.130。

4.3 實(shí)驗(yàn)方法

本文為研究決策邊界信息在對抗攻擊中的作用，提出了基于擬合決策邊界表達(dá)式的攻擊方法，使用MNIST數(shù)據(jù)集驗(yàn)證算法性能。同時(shí)根據(jù)黑盒攻擊常用的攻擊成功率、平均擾動(dòng)以及平均訪問次數(shù)三個(gè)評價(jià)指標(biāo)[7]，與ZOO算法、隱空間聚類方法以及AdvGAN算法[8]進(jìn)行對比。平均訪問次數(shù)影響了目標(biāo)模型是否能覺察到攻擊的存在，因此越低的訪問次數(shù)對應(yīng)著越好的攻擊性能。實(shí)驗(yàn)結(jié)果如表1所示。

4.4 實(shí)驗(yàn)結(jié)果

表1 無目標(biāo)攻擊結(jié)果

表2 有目標(biāo)攻擊結(jié)果

通過實(shí)驗(yàn)結(jié)果可以看出，無論是有目標(biāo)攻擊還是無目標(biāo)攻擊，本方法在對目標(biāo)模型查詢次數(shù)不高于其他方法的條件下，本方法在攻擊成功率上要優(yōu)于其他方法。此外，本方法生成的對抗樣本的擾動(dòng)大小無目標(biāo)攻擊下與其他方法大致相當(dāng)，而在有目標(biāo)攻擊中優(yōu)于其他方法。

5 結(jié)束語

為在黑盒場景中獲得決策邊界表達(dá)式，本文提出基于擬合決策邊界信息的對抗攻擊方法，構(gòu)建與決策邊界相關(guān)的目標(biāo)函數(shù)，通過目標(biāo)模型的輸出信息，利用轉(zhuǎn)換模型對目標(biāo)函數(shù)進(jìn)行擬合，根據(jù)擬合后的轉(zhuǎn)換模型與構(gòu)建的決策邊界信息，對原始樣本進(jìn)行投影操作，進(jìn)而生成對抗樣本。并且在MNIST數(shù)據(jù)集上進(jìn)行驗(yàn)證，利用決策邊界的信息生成對抗樣本，生成性能較好的對抗樣本，減少對目標(biāo)模型的訪問次數(shù)。

[1]Szegedy C，Zaremba W，Sutskever I， et al. Intriguing Properties of Neural Networks[C]//International Conference on Learning Representations. 2014.

[2]周世杰，張準(zhǔn)，劉啟和，等. 一種基于隱空間聚類的黑盒對抗樣本生成算法，CN111191717A[P]，2020.

[3]郭書杰. 基于快速邊界攻擊的黑盒對抗樣本生成方法[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2020．

[4]張潔，張志昊. 基于AE-WGAN的定向?qū)箻颖旧杉袄肹J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2020.

[5]Chen P-Y， Zhang H， Sharma Y， et al. Zoo： Zeroth Order Optimization based Black-box Attacks to Deep Neural Networks without Training Substitute Models[C]//Proceedings of the 10th ACM Workshop on Artificial Intelligence and Security. 2017.

[6]Croce F，Hein M. Minimally distorted Adversarial Examples with a Fast Adaptive Boundary Attack[C]//Proceedings of the International Conference on Machine Learning，2020.

[7]Papernot N，McDaniel P，Goodfellow I，et al. Practical Black-box Attacks against Machine Learning[C]//Proceedings of the ACM on Asia Conference on Computer and Communications Security，2017.

[8]Xiao C，Li B，Zhu J-Y，et al. Generating Adversarial Examples with Adversarial Networks[C]//International Conference on Learning Representations，2018.