楊博，張恒巍*，李哲銘，2，徐開勇

（1.中國人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué)，鄭州 450001；2.中國人民解放軍陸軍參謀部，北京 100000）

0 引言

在圖像識(shí)別領(lǐng)域，一些標(biāo)準(zhǔn)測試集上的實(shí)驗(yàn)結(jié)果表明深度神經(jīng)網(wǎng)絡(luò)的識(shí)別能力已經(jīng)超過人類的水平［1-4］。然而，在深度學(xué)習(xí)帶給人們巨大便利的同時(shí)，其本身也存在一些安全性問題。對于一個(gè)非正常的輸入，深度神經(jīng)網(wǎng)絡(luò)是否依然能夠得出滿意的結(jié)果，其中隱含的安全問題也漸漸引起人們的關(guān)注。深度神經(jīng)網(wǎng)絡(luò)已經(jīng)被證實(shí)容易受到對抗樣本的攻擊［5-6］，它是通過在原始輸入圖像中添加人類不易察覺的附加擾動(dòng)導(dǎo)致模型誤分類而產(chǎn)生的。如圖1 所示，盡管添加了擾動(dòng)的“靛青鳥”圖像（圖（c））與原始的“靛青鳥”圖像（圖（a））在視覺上沒有明顯區(qū)別，即對抗擾動(dòng)（圖（b））非常小，但是深度神經(jīng)網(wǎng)絡(luò)還是將添加了擾動(dòng)的“靛青鳥”圖像（圖（c））以98.9%的置信度錯(cuò)誤分類為“大白鯊”。直觀上來看，對抗擾動(dòng)與隨機(jī)噪聲有一定的相似性，但兩者卻有著根本性區(qū)別。首先，對抗擾動(dòng)是人為精心設(shè)計(jì)生成的，而不是隨機(jī)生成的，能夠用來誤導(dǎo)神經(jīng)網(wǎng)絡(luò)；其次，相較于訓(xùn)練數(shù)據(jù)中的正常隨機(jī)噪聲，對抗擾動(dòng)是在測試網(wǎng)絡(luò)時(shí)添加的噪聲，因此不參與網(wǎng)絡(luò)訓(xùn)練；然后，對抗擾動(dòng)十分微小，使得原始圖像與對抗樣本在視覺上沒有明顯差別，兩者不易區(qū)分［7］；此外，對抗樣本具有一定的遷移性，即針對一個(gè)模型生成的對抗樣本可能對另一個(gè)模型也是對抗的，這種現(xiàn)象使得黑盒攻擊成為可能［8］，更加凸顯了其威脅性。因此，攻擊性能強(qiáng)的對抗樣本可以用于攻擊測試神經(jīng)網(wǎng)絡(luò)模型，從而作為評(píng)估模型魯棒性的重要工具，還可以作為對抗訓(xùn)練的輸入改善模型的魯棒性。

圖1 原始圖像、對抗擾動(dòng)與對抗樣本的示例Fig.1 Examples of original image，adversarial perturbation and adversarial example

雖然對抗樣本具有可遷移性，但如何進(jìn)一步提高其遷移性以進(jìn)行有效的黑盒攻擊仍然有待研究。一些基于梯度的攻擊方法被提出以尋找對抗樣本，例如單步攻擊方法［6］和迭代攻擊方法［9-10］。在白盒攻擊場景下，這些方法表現(xiàn)出強(qiáng)大的攻擊能力，然而在黑盒設(shè)置下，上述方法的攻擊成功率卻比較低。這被認(rèn)為是對抗樣本發(fā)生了“過擬合”，即同一對抗樣本在白盒和黑盒設(shè)置下的攻擊能力類似于同一神經(jīng)網(wǎng)絡(luò)在訓(xùn)練集與測試集上的表現(xiàn)差異。因此，將提高深度學(xué)習(xí)模型性能的方法用于對抗樣本的生成過程中，以此減輕“過擬合”，從而提高對抗樣本的可遷移性。已經(jīng)有很多方法被提出以提升深度神經(jīng)網(wǎng)絡(luò)的性能［1-2，10-13］，數(shù)據(jù)增強(qiáng)［1-2］就是其中之一。數(shù)據(jù)增強(qiáng)能夠有效防止深度神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中的過擬合，提升模型的泛化能力。

本文從數(shù)據(jù)增強(qiáng)的角度出發(fā)，優(yōu)化對抗樣本的生成過程，提出了基于圖像翻轉(zhuǎn)變換的生成方法以提高對抗樣本的可遷移性。

本文的主要工作如下：

1）受數(shù)據(jù)增強(qiáng)［1-2］的啟發(fā)，將圖像翻轉(zhuǎn)變換引入對抗攻擊中，通過對輸入圖像進(jìn)行隨機(jī)翻轉(zhuǎn)變換，從而有效地減輕對抗樣本生成過程中的過擬合，提升對抗樣本的可遷移性。

2）通過調(diào)整相關(guān)的參數(shù)，本文方法可以與現(xiàn)有的基于梯度的對抗樣本生成方法進(jìn)行關(guān)聯(lián)和變換，充分體現(xiàn)了本文方法的優(yōu)勢和便利性。

3）在ImageNet 數(shù)據(jù)集［14］上的大量實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有的傳統(tǒng)攻擊方法［9-10］相比，本文提出的圖像翻轉(zhuǎn)變換攻擊方法有著更好的攻擊性能，實(shí)現(xiàn)了黑盒攻擊成功率的較大提升，提升了對抗樣本的遷移性。因此，本文所提出的攻擊方法有助于評(píng)估不同模型的魯棒性。

1 相關(guān)工作

1.1 對抗樣本生成方法

Biggio 等［15］首次基于MNIST（Modified National Institute of Standards and Technology）數(shù)據(jù)集［16］針對傳統(tǒng)的機(jī)器學(xué)習(xí)分類器進(jìn)行了“逃避攻擊”，即讓模型分類錯(cuò)誤，說明傳統(tǒng)的機(jī)器學(xué)習(xí)算法容易受到對抗樣本的攻擊。Szegedy 等［5］在研究中發(fā)現(xiàn)了深度神經(jīng)網(wǎng)絡(luò)的有趣特性，即深度神經(jīng)網(wǎng)絡(luò)面對對抗樣本的攻擊是非常脆弱的，并提出了基于優(yōu)化的LBFGS（Limited-memory Broyden-Fletcher-Goldfarb-Shanno）方法生成對抗樣本。Goodfellow 等［6］提出了僅執(zhí)行一個(gè)梯度步長就能生成對抗樣本的快速梯度符號(hào)法（Fast Gradient Sign Method，F(xiàn)GSM），該方法降低了生成對抗樣本的計(jì)算成本。Kurakin 等［9］將FGSM 方法擴(kuò)展為多步迭代版本I-FGSM（Iterative FGSM），大幅提高了白盒攻擊成功率，并且證明了對抗樣本也可能存在于物理世界中。Dong 等［10］提出了MIFGSM（Momentum I-FGSM），以此穩(wěn)定梯度更新方向，優(yōu)化收斂過程，提高對抗樣本的遷移性。相關(guān)研究人員還證明了物理世界中也可能存在對抗樣本［9，17］，而不僅僅存在于數(shù)字模型中，這給深度神經(jīng)網(wǎng)絡(luò)的實(shí)際應(yīng)用帶來了安全威脅。

1.2 對抗樣本防御方法

面對對抗樣本的威脅，大量關(guān)于對抗樣本防御的方法被提出以保護(hù)深度學(xué)習(xí)模型［18-21］。對抗訓(xùn)練［6，22-23］是其中很重要的一種防御方法，它將對抗樣本引入到訓(xùn)練數(shù)據(jù)中參與模型訓(xùn)練，提高了模型的魯棒性。Liao 等［19］提出了高級(jí)表示引導(dǎo)去噪器來凈化對抗樣本，以此消除對抗樣本的影響。Guo等［20］發(fā)現(xiàn)存在一系列圖像變換，它們有可能在保持圖像關(guān)鍵視覺內(nèi)容的同時(shí)消除對抗擾動(dòng)。Samangouei 等［21］利用生成模型將對抗樣本移回到原始干凈圖像的分布來凈化對抗樣本，降低對抗樣本的影響。Tramèr 等［23］提出了集成對抗訓(xùn)練，該方法利用針對其他模型生成的對抗樣本來增加訓(xùn)練數(shù)據(jù)，進(jìn)一步提高了模型的魯棒性，由該方法訓(xùn)練的模型也成為了評(píng)價(jià)對抗樣本攻擊能力的標(biāo)準(zhǔn)模型。

2 FT-MI-FGSM方法

令x和y分別為原始輸入圖像和對應(yīng)的真實(shí)標(biāo)簽，θ是模型的參數(shù)。J(θ，x，y)是神經(jīng)網(wǎng)絡(luò)的損失函數(shù)，通常是交叉熵?fù)p失函數(shù)。對抗樣本生成的目標(biāo)是通過最大化J(θ，x，y)來生成一個(gè)與x視覺上不可區(qū)分的對抗樣本xadv來愚弄模型，即讓模型對對抗樣本xadv進(jìn)行錯(cuò)誤分類。在本文中，使用無窮范數(shù)對對抗擾動(dòng)進(jìn)行了限制，即‖ ‖xadv-x∞≤ε。因此對抗樣本生成可轉(zhuǎn)化為以下條件約束優(yōu)化問題：

2.1 基于梯度的生成方法

由于本文方法是在基于梯度的生成方法基礎(chǔ)上改進(jìn)而來的，故在本節(jié)中，首先簡要介紹生成對抗樣本的幾種梯度方法。

FGSM（Fast Gradient Sign Method）［6］是最簡單的對抗樣本生成方法之一，其在損失函數(shù)關(guān)于輸入的梯度方向上尋找對抗樣本，并對對抗擾動(dòng)予以無窮范數(shù)限制。更新公式如下：

I-FGSM［9］是FGSM 的迭代版本，它將FGSM 中的梯度運(yùn)算分成多步迭代進(jìn)行，以此減輕單步攻擊帶來的“欠擬合”。該方法可表示為：

其中：α是每次迭代的步長，α=ε/T，T為迭代次數(shù)；Clip 函數(shù)的作用是將對抗樣本約束在原始圖像x的ε鄰域內(nèi)，以滿足無窮范數(shù)約束。

MI-FGSM［10］首次提出將動(dòng)量運(yùn)用到對抗樣本生成過程中，動(dòng)量項(xiàng)能夠穩(wěn)定梯度更新方向，改進(jìn)了收斂過程，從而大幅度提高了攻擊成功率。與I-FGSM 相比，MI-FGSM 的不同在于對抗樣本的更新方向不一樣：

其中：μ是動(dòng)量項(xiàng)的衰減因子；gt是前t輪迭代的梯度加權(quán)累積。

PGD（Projected Gradient Descent）［17］是對FGSM 的改進(jìn)，是FGSM 的強(qiáng)迭代版本，它提高了對抗樣本的攻擊成功率。

2.2 圖像翻轉(zhuǎn)變換生成方法

數(shù)據(jù)增強(qiáng)［1-2］被證明是在深度神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中防止網(wǎng)絡(luò)過擬合的一種有效方法?；诖?，本文提出了圖像翻轉(zhuǎn)變換攻擊方法，其總體思路如圖2 所示。

圖2 圖像翻轉(zhuǎn)變換生成方法框架Fig.2 Framework of image flipping transformation generation method

該方法在每次迭代時(shí)對原始輸入圖像以p的概率進(jìn)行隨機(jī)翻轉(zhuǎn)變換，以緩解過擬合現(xiàn)象。該方法對隨機(jī)翻轉(zhuǎn)變換的圖像的對抗擾動(dòng)進(jìn)行優(yōu)化：

圖像變換函數(shù)FT(·)是圖像翻轉(zhuǎn)的調(diào)整，它將輸入圖像進(jìn)行左右翻轉(zhuǎn)，轉(zhuǎn)換概率p控制著原始輸入圖像和變換圖像之間的平衡。采用這種方法，可以通過數(shù)據(jù)增強(qiáng)來實(shí)現(xiàn)對模型的有效攻擊，從而避免白盒模型的“過度擬合”攻擊，提高對抗樣本的可遷移性。

2.3 圖像翻轉(zhuǎn)變換生成算法描述

針對對抗樣本的生成過程，F(xiàn)T-MI-FGSM 引入了數(shù)據(jù)增強(qiáng)，緩解了過擬合現(xiàn)象，提升了對抗樣本的可遷移性。此外，F(xiàn)T-MI-FGSM 可通過不同的參數(shù)設(shè)置與FGSM 類方法進(jìn)行關(guān)聯(lián)，例如轉(zhuǎn)換概率p=0，則FT-MI-FGSM 退化為MI-FGSM，即去掉算法1 的第4）步就可以得到MI-FGSM 攻擊算法，這體現(xiàn)了本文方法的優(yōu)勢與算法便利性。圖3 對不同的對抗樣本生成算法之間的關(guān)系進(jìn)行了展示。算法1～2 對單模型和集成模型下的FT-MI-FGSM 生成算法進(jìn)行了總結(jié)。

圖3 不同對抗樣本生成算法關(guān)系Fig.3 Relationship between different adversarial example generation algorithms

算法1 FT-MI-FGSM（單個(gè)模型）。

輸入原始干凈圖像x以及對應(yīng)的分類標(biāo)簽y；神經(jīng)網(wǎng)絡(luò)f和損失函數(shù)J；擾動(dòng)大小ε；迭代輪數(shù)T和衰減因子μ。

輸出對抗樣本xadv。

算法2 FT-MI-FGSM（集成模型）。

輸入原始干凈圖像x以及對應(yīng)的分類標(biāo)簽y；K個(gè)深度神經(jīng)網(wǎng)絡(luò)f(f1，f2，…，fK)，對應(yīng)的網(wǎng)絡(luò)邏輯值l(l1，l2，…，lK)以及相應(yīng)的網(wǎng)絡(luò)集成權(quán)重ω(ω1，ω2，…，ωK)；擾動(dòng)大小ε；迭代輪數(shù)T和衰減因子μ。

輸出對抗樣本xadv。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)設(shè)置

如果原始圖像不能被網(wǎng)絡(luò)正確分類，那么基于這些圖像生成對抗樣本則沒什么意義。因此，本文從ImageNet 驗(yàn)證集中隨機(jī)選擇1 000 張屬于1 000 個(gè)類別的圖像（即一個(gè)類別選取一張圖像），這些圖像都能夠被測試的網(wǎng)絡(luò)正確分類。所有圖像都事先調(diào)整為299 × 299 × 3。

在實(shí)驗(yàn)中，對于超參數(shù)，本文遵循文獻(xiàn)［10］中的設(shè)置，擾動(dòng)為ε=16，迭代次數(shù)T=10，步長α=1.6。對于MIFGSM，衰減系數(shù)默認(rèn)為μ=1.0。對于隨機(jī)變換函數(shù)FT(xadv；p)，轉(zhuǎn)換概率p=0.5。為了對隨機(jī)翻轉(zhuǎn)變換有直觀的認(rèn)識(shí)，圖4 對隨機(jī)翻轉(zhuǎn)變換后的部分圖像進(jìn)行了展示。

圖4 原始圖像、變換后圖像以及對應(yīng)生成的對抗樣本Fig.4 Original images，transformed images and the corresponding generated adversarial examples

在實(shí)驗(yàn)中一共研究了7 個(gè)網(wǎng)絡(luò)，其中包括4 個(gè)正常訓(xùn)練的網(wǎng)絡(luò)，即Inception-v3（Inc-v3）［24］、Inception-v4（Inc-v4）［25］、Inception-Resnet-v2（IncRes-v2）［25］和 Resnet-v2-101（Res-101）［26］，以及3 個(gè)經(jīng)過對抗訓(xùn)練的網(wǎng)絡(luò)［23］，即Inc-v3ens3、Incv3ens4和IncRes-v2ens。

3.2 單個(gè)網(wǎng)絡(luò)攻擊

首先對單個(gè)網(wǎng)絡(luò)進(jìn)行了攻擊。使用I-FGSM，MI-FGSM以及FT-MI-FGSM 方法在正常訓(xùn)練的網(wǎng)絡(luò)上（Inc-v3、Inc-v4、IncRes-v2、Res-101）生成對抗樣本，并在所有7 個(gè)網(wǎng)絡(luò)（4 個(gè)正常訓(xùn)練網(wǎng)絡(luò)，3 個(gè)對抗訓(xùn)練網(wǎng)絡(luò)，）上測試它們。實(shí)驗(yàn)結(jié)果展示在表1 中，其中成功率是指以對抗樣本作為輸入的模型分類錯(cuò)誤率，即成功率等于攻擊成功的對抗樣本數(shù)量除以總的對抗樣本數(shù)量，這里攻擊成功的對抗樣本數(shù)量也就是模型錯(cuò)誤分類的對抗樣本數(shù)量。圖4 對在Inc-v3 單模型上生成的對抗樣本進(jìn)行了展示，從圖4 可以看出，原始圖像和對應(yīng)生成的對抗樣本之間的差別很小，即對抗擾動(dòng)對于人眼幾乎是不可見的。

表1 中的結(jié)果表明，F(xiàn)T-MI-FGSM 在黑盒設(shè)置下的攻擊成功率遠(yuǎn)遠(yuǎn)高于其他攻擊方法，并且在所有白盒模型上都保持較高的成功率。例如，在Inc-v3 網(wǎng)絡(luò)上生成對抗樣本并攻擊Inc-v4 網(wǎng)絡(luò)時(shí)，F(xiàn)T-MI-FGSM 黑盒攻擊的成功率達(dá)到65.2%，在這些方法中最高。此外，F(xiàn)T-MI-FGSM 在對抗訓(xùn)練網(wǎng)絡(luò)上的性能也更好。與其他3 種攻擊方法相比，F(xiàn)T-MIFGSM 大幅提高了黑盒攻擊的成功率。例如，在IncRes-v2 網(wǎng)絡(luò)上生成對抗樣本來攻擊對抗訓(xùn)練網(wǎng)絡(luò)時(shí)，F(xiàn)T-MI-FGSM 和MI-FGSM 的平均攻擊成功率分別為26.0%和19.9%。這充分說明了將隨機(jī)翻轉(zhuǎn)變換引入到對抗樣本的生成過程中對提高對抗樣本遷移性的重要性。

表1 攻擊單模型的成功率比較 單位：%Tab.1 Success rate comparison of single model attack unit：%

3.3 集成網(wǎng)絡(luò)攻擊

盡管表1 的實(shí)驗(yàn)結(jié)果表明，F(xiàn)T-MI-FGSM 能夠提升對抗樣本的遷移性，但還能夠通過攻擊集成模型進(jìn)一步提高黑盒攻擊成功率。本文遵循文獻(xiàn)［10］中提出的策略，即對多個(gè)網(wǎng)絡(luò)邏輯值的集成進(jìn)行攻擊。本實(shí)驗(yàn)考慮了3.1 節(jié)中提到的7個(gè)網(wǎng)絡(luò)，分別運(yùn)用I-FGSM、MI-FGSM 和FT-MI-FGSM 針對4 個(gè)正常訓(xùn)練網(wǎng)絡(luò)的集成來生成對抗樣本，并在7 個(gè)網(wǎng)絡(luò)上測試。在實(shí)驗(yàn)中，迭代輪數(shù)T=10，擾動(dòng)大小ε=16，每個(gè)網(wǎng)絡(luò)的集成權(quán)重相等，即ωk=14。

實(shí)驗(yàn)結(jié)果如表2 所示，這表明在黑盒設(shè)置下，F(xiàn)T-MIFGSM 相較于其他對比方法具有更高的攻擊成功率。例如，F(xiàn)T-MI-FGSM 攻擊Inc-v3ens3的成功率為48.2%，而I-FGSM 和MI-FGSM 的成功率分別為18.8%和38.5%。在具有挑戰(zhàn)性的對抗訓(xùn)練的網(wǎng)絡(luò)上，F(xiàn)T-MI-FGSM 對黑盒攻擊的平均成功率為40.7%，比I-FGSM 和MI-FGSM 分別高出26.0 和8.4 個(gè)百分點(diǎn)。這些結(jié)果表明了該方法的有效性和優(yōu)越性。

表2 攻擊集成模型的成功率比較 單位：%Tab.2 Success rate comparison of attacking ensemble models unit：%

3.4 超參數(shù)研究

在本節(jié)中，進(jìn)行了一系列拓展實(shí)驗(yàn)進(jìn)行超參數(shù)研究。首先，研究轉(zhuǎn)換概率p對FT-MI-FGSM 攻擊成功率的影響。本實(shí)驗(yàn)考慮攻擊集成模型，即FT-MI-FGSM 針對4 個(gè)正常訓(xùn)練網(wǎng)絡(luò)的集成模型生成對抗樣本，并在7 個(gè)網(wǎng)絡(luò)上測試，以此來更準(zhǔn)確地評(píng)估轉(zhuǎn)換概率p對攻擊成功率的影響。通用的實(shí)驗(yàn)設(shè)置如下：最大擾動(dòng)ε=16，迭代次數(shù)T=10，步長α=1.6，動(dòng)量項(xiàng)衰減系數(shù)μ=1.0。本實(shí)驗(yàn)研究的轉(zhuǎn)換概率p則從0 以0.1 的步長增長到1。當(dāng)p=0 時(shí)，F(xiàn)T-MI-FGSM 退化為MI-FGSM。圖5 展示了FT-MI-FGSM 在不同轉(zhuǎn)換概率下的攻擊成功率，其中實(shí)線表示的是在正常訓(xùn)練網(wǎng)絡(luò)上的白盒攻擊成功率，虛線表示的是在對抗訓(xùn)練網(wǎng)絡(luò)上的黑盒攻擊成功率。從圖5 可以觀察到：隨著轉(zhuǎn)換概率p的增大，F(xiàn)T-MIFGSM 上的白盒和黑盒攻擊成功率變化趨勢是不一樣的。對于FT-MI-FGSM，隨著p的增加，黑盒攻擊成功率先逐漸升高到達(dá)峰值后再逐漸降低，而白盒攻擊成功率總體呈降低的趨勢。此外，對于FT-MI-FGSM，如果p較小，即僅利用少量隨機(jī)轉(zhuǎn)換輸入，對抗訓(xùn)練網(wǎng)絡(luò)上的黑盒成功率會(huì)顯著提高，而白盒成功率只會(huì)略有波動(dòng)。這種現(xiàn)象表明將隨機(jī)轉(zhuǎn)換后的輸入添加到對抗樣本生成過程中的重要性。特別是，還可以通過控制p的取值實(shí)現(xiàn)黑盒攻擊成功率和白盒攻擊成功率之間的平衡。本文綜合考慮白盒和黑盒攻擊成功率的重要性，無論是攻擊單個(gè)網(wǎng)絡(luò)還是集成網(wǎng)絡(luò)，F(xiàn)T-MI-FGSM 中的轉(zhuǎn)換概率p均取0.5。

圖5 不同網(wǎng)絡(luò)上轉(zhuǎn)換概率與攻擊成功率的關(guān)系Fig.5 Relationship between transformation probability and attack success rate in different networks

其次，研究擾動(dòng)大小ε對黑盒攻擊成功率的影響。本實(shí)驗(yàn)考慮攻擊集成模型，即I-FGSM、MI-FGSM 和FT-MI-FGSM針對4 個(gè)正常訓(xùn)練網(wǎng)絡(luò)的集成模型生成對抗樣本，并在3 個(gè)對抗訓(xùn)練網(wǎng)絡(luò)上測試。通用的實(shí)驗(yàn)設(shè)置如下：迭代次數(shù)T=10，動(dòng)量項(xiàng)衰減系數(shù)μ=1.0。本實(shí)驗(yàn)研究的擾動(dòng)大小ε則從1 以3 的步長增長到22。圖6 展示了不同擾動(dòng)大小下I-FGSM、MI-FGSM 和FT-MI-FGSM 在Inc-v3ens3、Inc-v3ens4和IncRes-v2ens上的攻擊成功率。從圖6 可以看出盡管隨著擾動(dòng)大小ε的逐漸增大，3 種方法在不同模型上的攻擊成功率都逐漸增大，但是本文所提的FT-MI-FGSM 方法的攻擊成功率總是最高的，實(shí)驗(yàn)結(jié)果說明了FT-MI-FGSM 的優(yōu)越性。

圖6 對抗訓(xùn)練網(wǎng)絡(luò)上擾動(dòng)大小與攻擊成功率的關(guān)系Fig.6 Relationship between perturbation and attack success rate in adversarially trained networks

最后，研究迭代次數(shù)T對黑盒攻擊成功率的影響。本實(shí)驗(yàn)考慮攻擊集成模型，即I-FGSM、MI-FGSM、FT-MI-FGSM 針對4 個(gè)正常訓(xùn)練網(wǎng)絡(luò)的集成模型生成對抗樣本，并在3 個(gè)對抗訓(xùn)練網(wǎng)絡(luò)上進(jìn)行測試。通用的實(shí)驗(yàn)設(shè)置如下：擾動(dòng)大小ε=16，動(dòng)量項(xiàng)衰減系數(shù)μ=1.0。本實(shí)驗(yàn)研究的迭代次數(shù)T從2 以2 的步長增長到16。圖7 展示了不同迭代次數(shù)下I-FGSM、MI-FGSM 和FT-MI-FGSM 在Inc-v3ens3、Inc-v3ens4和IncRes-v2ens上的攻擊成功率。從圖7 中可以看出：隨著迭代次數(shù)T的逐漸增大，3 種方法在不同模型上的攻擊成功率呈現(xiàn)的變化趨勢是不一樣的，其中I-FGSM 對應(yīng)的曲線呈現(xiàn)降低的趨勢，而MI-FGSM 和FT-MI-FGSM 所對應(yīng)的曲線則是先增大然后緩慢下降的趨勢，拐點(diǎn)大致在迭代次數(shù)取8～12。另外，從圖7 還可以看出：無論迭代次數(shù)取何值時(shí)，F(xiàn)T-MIFGSM 方法的攻擊成功率幾乎總是最高的，這表明了FT-MIFGSM 的有效性。

圖7 對抗訓(xùn)練網(wǎng)絡(luò)上迭代次數(shù)與攻擊成功率的關(guān)系Fig.7 Relationship between iteration number and attack success rate in adversarially trained networks

3.5 進(jìn)一步研究

前面部分已經(jīng)在ImageNet 數(shù)據(jù)集上對本文所提的FTMI-FGSM 進(jìn)行了有效驗(yàn)證。本節(jié)在MNIST 和CIFAR 10（Canadian Institute For Advanced Research 10）［27］兩個(gè)數(shù)據(jù)集上進(jìn)行了拓展實(shí)驗(yàn)進(jìn)一步驗(yàn)證FT-MI-FGSM 的有效性。相關(guān)實(shí)驗(yàn)設(shè)置和模型選取參照文獻(xiàn)［28］，在MNIST 和CIFAR10數(shù)據(jù)集的實(shí)驗(yàn)中，擾動(dòng)大小ε=1255，迭代次數(shù)T=10，動(dòng)量項(xiàng)衰減系數(shù)μ=1.0，轉(zhuǎn)換概率p=0.5。實(shí)驗(yàn)結(jié)果如表3所示。從表3 可以看出：無論是在MNIST 還是CIFAR10 數(shù)據(jù)集上，F(xiàn)T-MI-FGSM 都有著最高的攻擊成功率，以在CIFAR10上的實(shí)驗(yàn)為例，采用FT-MI-FGSM 在模型VGG16（Visual Geometry Group 16）［2］上生成對抗樣本，然后攻擊模型ResNet50［4］，即在模型ResNet50 上進(jìn)行檢驗(yàn)，所得的攻擊成功率為42.3%，而I-FGSM 和MI-FGSM 的攻擊成功率分別為40.5%和40.7%，這凸顯了FT-MI-FGSM 的優(yōu)越性。

表3 MNIST和CIFAR10數(shù)據(jù)集上的黑盒攻擊成功率比較 單位：%Tab.3 Black-box attack success rate comparison on MNIST and CIFAR10 datasets unit：%

4 結(jié)語

本文提出了一種基于圖像翻轉(zhuǎn)變換的對抗樣本生成方法FT-MI-FGSM，該方法在對抗樣本生成過程的每次迭代中對輸入圖像進(jìn)行隨機(jī)翻轉(zhuǎn)變換，以緩解過擬合現(xiàn)象，從而生成更具遷移性的對抗樣本。與傳統(tǒng)的FGSM 類方法相比，在ImageNet 數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明，本文方法在黑盒設(shè)置下的攻擊成功率有了大幅提高。此外，通過使用攻擊集成模型的方法，進(jìn)一步提高了對抗樣本的遷移性，實(shí)驗(yàn)結(jié)果表明，與原有方法I-FGSM 相比，F(xiàn)T-MI-FGSM 在對抗訓(xùn)練網(wǎng)絡(luò)上的平均黑盒攻擊成功率提升了26.0 個(gè)百分點(diǎn)。FT-MI-FGSM 的工作表明，其他數(shù)據(jù)增強(qiáng)的方法也可能有助于構(gòu)建強(qiáng)攻擊，這是未來可以探索和研究的方向之一，關(guān)鍵是如何找到有效應(yīng)用于迭代攻擊的數(shù)據(jù)增強(qiáng)方法。