張朝陽，李 暉

（沈陽工業(yè)大學(xué)信息科學(xué)與工程學(xué)院，沈陽 110870）

1 引 言

深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Networks, DNNs）在圖像識別、醫(yī)療診斷、自然語言處理等領(lǐng)域中表現(xiàn)出優(yōu)秀的處理能力。然而研究表明DNNs 同樣存在不可忽視的安全問題。以圖像分類任務(wù)為例，攻擊者可在模型訓(xùn)練、預(yù)測的過程中對輸入數(shù)據(jù)添加微小的擾動，使模型做出錯誤的判斷。此類被處理后的輸入圖像稱為對抗樣本。對對抗樣本的生成方法進(jìn)行研究，有助于理解深度神經(jīng)網(wǎng)絡(luò)的基本原理并檢驗(yàn)其魯棒性，也能夠?yàn)榻⑼晟频膶狗烙w系提供新的思路。當(dāng)前基于遷移性的黑盒攻擊方法中通常使用較高的擾動系數(shù)生成擁有高攻擊成功率的對抗樣本，導(dǎo)致對抗擾動較易被防御者察覺。本研究即基于遷移性的黑盒攻擊方法與數(shù)據(jù)增強(qiáng)技術(shù)相互融合，提出一種基于Perlin 增強(qiáng)與隨機(jī)變換的黑盒攻擊方法。

2 相關(guān)研究

2.1 對抗樣本

在ImageNet 數(shù)據(jù)集中，對比結(jié)合兩種圖像相似度的評價指標(biāo)，可證明選擇Perlin 噪聲[1]進(jìn)行增強(qiáng)的合理性。在圖像處理領(lǐng)域中，Szegedy 等人[2]首次發(fā)現(xiàn)并證明深度神經(jīng)網(wǎng)絡(luò)存在安全問題。對于一個已知的神經(jīng)網(wǎng)絡(luò)分類器f(x,W)，將原始樣本x 作為輸入，分類器輸出對應(yīng)的真實(shí)標(biāo)簽y。對抗攻擊是在||xlx||m≤ε條件下，沿梯度上升的方向使模型的損失值逐漸增大，從而計(jì)算出能夠?qū)е履Ｐ头诸愬e誤的對抗樣本xl，對抗樣本的生成過程可表示為：

結(jié)合式(1)和式(2)可知，對抗樣本的生成過程與模型訓(xùn)練過程高度相似。因此在模型訓(xùn)練過程中的常用的優(yōu)化方式均可用于對抗樣本的生成過程。

2.2 FGSM 類的對抗攻擊方法

針對神經(jīng)網(wǎng)絡(luò)過于線性無法抵抗線性對抗性擾動的問題，Goodfellow 等人[3]提出了快速梯度算法（Fast Gradient Sign Method, FGSM），該方法使損失函數(shù)沿梯度增大的方向變換從而生成相應(yīng)的對抗樣本，并在范數(shù)m=∞的條件下對擾動進(jìn)行限制。具體描述如下式：

其中(fθ,x,y)是由輸入樣本、真實(shí)標(biāo)簽和分類函數(shù)構(gòu)成的參數(shù)對；▽x(fθ,x,y)為模型損失函數(shù)相對于參數(shù)對(fθ,x,y)的梯度；Sign()為符號函數(shù)；Clip()為對抗擾動的限制函數(shù)。該方法生成的對抗樣本擁有較高的白盒攻擊能力，但在未知環(huán)境中攻擊成功率會大幅度較低。

董胤蓬等人[4]在FGSM 基礎(chǔ)上進(jìn)行優(yōu)化提出了一種基于動量的黑盒攻擊方法（Momentum Iterative Fast Gradient Sign Method, MI-FGSM），利用傳統(tǒng)優(yōu)化方法將動量與模型梯度相互融合，使對抗樣本的黑盒攻擊強(qiáng)度得到了大幅度提高。謝慈航等人[5]提出了一種擁有不同輸入的快速梯度算法（Diverse Inputs Iterative Fast Gradient Sign Method, DIM），該算法對原始輸入樣本進(jìn)行ρ概率的尺度變換和填充并生成深度分類器的輸入樣本，同時結(jié)合基于動量的對抗攻擊算法生成了可遷移性更強(qiáng)的對抗樣本。龐天宇等人[6]提出了一種基于平移不變的快速梯度算法（Translation Invariant Fast Gradient Sign Method,TIM），該算法將卷積運(yùn)算融入到對抗樣本的生成過程中。相比于單獨(dú)使用動量以及隨機(jī)變換生成的對抗樣本，由于卷積內(nèi)核具有的平滑濾波效果，該算法所生成的對抗擾動較為連續(xù)，與原始圖像的擬合程度較好。

FGSM 類的黑盒攻擊方法重點(diǎn)在于通過調(diào)整模型的梯度生成具有較強(qiáng)可遷移性的對抗樣本，且均可相互結(jié)合生成具有更高黑盒成功率的對抗樣本。

2.3 數(shù)據(jù)增強(qiáng)技術(shù)在對抗攻擊中的應(yīng)用

在神經(jīng)網(wǎng)絡(luò)訓(xùn)練的過程中，數(shù)據(jù)增強(qiáng)技術(shù)已經(jīng)被證明可明顯提升網(wǎng)絡(luò)的泛化能力，降低過擬合現(xiàn)象。陳偉等人[7]將Simplex 噪聲引入到對抗攻擊中，基于查詢方式在初始對抗樣本與Simplex 噪聲的組合中采樣生成相應(yīng)的對抗樣本。張武等人[8]將高斯噪聲與反轉(zhuǎn)策略相互結(jié)合，基于梯度攻擊的方式生成具有較強(qiáng)可遷移性的對抗樣本。

3 方法優(yōu)化

本對抗樣本生成方法在相同的擾動系數(shù)下能夠生成可遷移性更強(qiáng)的對抗樣本。重點(diǎn)將噪聲增強(qiáng)技術(shù)與隨機(jī)尺度變換和填充結(jié)合，運(yùn)用到對抗樣本的生成過程中，進(jìn)一步提高對抗樣本的遷移性。利用Perlin 噪聲高擬合度的優(yōu)點(diǎn)，將該噪聲作為噪聲增強(qiáng)技術(shù)的輸入項(xiàng)，并基于遷移性的黑盒攻擊方法生成具有更高可遷移性的對抗樣本。

3.1 原始樣本數(shù)據(jù)增強(qiáng)

Perlin 噪聲與傳統(tǒng)白噪聲不同，其噪聲函數(shù)不僅與隨機(jī)數(shù)生成器功能類似，而且能夠產(chǎn)生平滑自然的偽隨機(jī)序列，被廣泛應(yīng)用于模擬自然紋理，包括火焰、云朵、大理石、河流等自然現(xiàn)象噪聲。圖1 展示了紋理窗格為10 的Perlin 噪聲圖像。

圖1 紋理窗格為10 的Perlin 噪聲

本研究將紋理大小隨機(jī)的Perlin 噪聲與每張?jiān)紭颖镜腞GB 均值結(jié)合，產(chǎn)生與原始圖像背景顏色相近的專屬Perlin 噪聲圖像，并與數(shù)據(jù)集中對應(yīng)的原始圖像相互融合作為對抗攻擊中首次迭代的輸入樣本，數(shù)學(xué)表達(dá)式為：

其中，x 為原始圖像；xp為增強(qiáng)后的樣本；P 為融合RGB 均值的Perlin 噪聲，β為噪聲的疊加系數(shù)。

此外，為進(jìn)一步提升Perlin 噪聲的細(xì)節(jié)，運(yùn)用分型布朗運(yùn)動引入了多種頻率的Perlin 噪聲，并進(jìn)行加權(quán)求和得到最終噪聲圖像。具體的數(shù)學(xué)表達(dá)式為：

其中，函數(shù)noise()是取在(x,y)處Perlin 噪聲的像素值，N 代表所疊加噪聲的種類數(shù)，此處取N=4。

至此基于Perlin 噪聲的圖像增強(qiáng)過程可表示為：

其中，x 為原始輸入；xp為增強(qiáng)后的樣本；β為噪聲的疊加系數(shù)，此處取β=0.2。

3.2 對抗樣本生成方法

文獻(xiàn)[6]提出的優(yōu)化領(lǐng)域的TIM，相比于傳統(tǒng)的動量方法，額外引入了卷積運(yùn)算，其更新過程為：其中，gt+1是經(jīng)過衰減因子μ優(yōu)化的第t+1 次梯度值，Clip()函數(shù)作用是將對抗樣本約束在x 的鄰域ε內(nèi)，W 為預(yù)定義的卷積核。當(dāng)卷積核大小1×1 時，TIM 將退化為MI，擾動系數(shù)為γ=ε/T。

將基于Perlin 噪聲的數(shù)據(jù)增強(qiáng)技術(shù)用于對抗樣本生成，并結(jié)合隨機(jī)尺度與填充變換，由此形成基于Perlin 增強(qiáng)與隨機(jī)變換的黑盒攻擊方法（Perlin Enhancement and Random Transformation Black-Box Attack Method, PE&RTOM），即為優(yōu)化后的TIM 黑盒攻擊算法，其更新過程可由下式表述：

4 實(shí)驗(yàn)與結(jié)果分析

4.1 實(shí)驗(yàn)設(shè)置

若原始圖像輸入到網(wǎng)絡(luò)模型中不能被正確的分類，則所生成的對抗樣本將失去研究價值。在本實(shí)驗(yàn)中，以TensorFlow1.13.1 環(huán)境下完成對ImageNet驗(yàn)證集的篩選，隨機(jī)選出可被所有目標(biāo)模型分類正確的2000 張圖像，構(gòu)成實(shí)驗(yàn)所需的數(shù)據(jù)集。

實(shí)驗(yàn)選取Vgg19、Resnet152（Res152）、Inception V4（Incv4）和Inception_ResnetV2（IncResv2）四種神經(jīng)網(wǎng)絡(luò)模型作為所需的網(wǎng)絡(luò)模型。

在生成對抗樣本過程中，迭代次數(shù)設(shè)為T=10，擾動系數(shù)大小為ε=8，DI 中隨機(jī)轉(zhuǎn)換概率設(shè)為ρ=0.5，TIM 中高斯核尺寸采用默認(rèn)值Size=15，在Perlin噪聲中紋理大小設(shè)為1～10 中的隨機(jī)整數(shù)，輸入圖像維度N=299×299×3，完成超參數(shù)設(shè)置。

對于評估指標(biāo)，在數(shù)據(jù)增強(qiáng)上，將作為圖像相似度的評價指標(biāo)對常用的噪聲進(jìn)行篩選，選擇出適用于增強(qiáng)對抗攻擊的噪聲。其中包括峰值信噪比（PSNR）、結(jié)構(gòu)相似性（SSIM）[9]。在對抗攻擊上，用于評價攻擊效果的指標(biāo)主要是攻擊成功率，即被攻擊模型的錯誤分類率。本方法主要針對無目標(biāo)攻擊方法進(jìn)行優(yōu)化，即生成的對抗樣本使得分類模型預(yù)測結(jié)果與真實(shí)類別不一致就已達(dá)到攻擊效果。

4.2 圖像相似度結(jié)果與分析

結(jié)合噪聲增強(qiáng)后的圖像與原始圖像間的相似度結(jié)果、對抗樣本與輸入圖像間的相似度，證明本PE&RTOM 方法使用Perlin 噪聲進(jìn)行數(shù)據(jù)增強(qiáng)，能夠在最大程度上保留原始輸入的圖像特征。實(shí)驗(yàn)結(jié)果如表1 所示。

表1 圖像相似度衡量指標(biāo)

其中，IP-1 為衡量指標(biāo)的輸入分別為使用Perlin 噪聲增強(qiáng)前后的圖像；IP-2 為衡量指標(biāo)的輸入分別為TIM 生成的對抗樣本和原始圖像；IP-3 為衡量指標(biāo)的輸入分別為結(jié)合DIM 與TIM 生成的對抗樣本和原始圖像；IP-4 為衡量指標(biāo)的輸入分別為PE&RTOM 生成的對抗樣本和原始圖像。

從表中數(shù)據(jù)可以看出，對于IP-1，使用Perlin噪聲增強(qiáng)后的圖像與原始圖像相比，其PSNR 值處于30dB＜PSNR＜40dB 的區(qū)間內(nèi)，SSIM 值接近于最大值1，表明增強(qiáng)后的圖像與原始圖像非常相似，在主觀視覺上難以察覺兩種圖像間的差異。對于三種不同的攻擊方法，IP-2、IP-3 和IP-4 的PSNR 均處于20dB＜PSNR＜30dB 的區(qū)間內(nèi)，SSIM 的誤差值均小于0.1，說明PE&RTOM 優(yōu)化后生成的對抗樣本能夠很大程度上的保留原始對抗樣本的圖像特征。

由此可知，從圖像相似度的角度來看，利用Perlin噪聲進(jìn)行數(shù)據(jù)增強(qiáng)，均可在最大程度上的保留原始圖像和對抗樣本的圖像屬性，實(shí)現(xiàn)在對抗攻擊過程中對數(shù)據(jù)集進(jìn)行相應(yīng)增強(qiáng)處理。

4.3 優(yōu)化結(jié)果及分析

通過對比對抗樣本的攻擊成功率，對PE&RTOM優(yōu)化TIM 的有效性進(jìn)行驗(yàn)證。在單模型的對抗攻擊中，對比實(shí)驗(yàn)分別以Res152 與Incv4 為源模型，通過TIM、融合隨機(jī)尺度與填充的TIM（DI-TIM）和PE&RTOM 生成對抗樣本，在經(jīng)典的4 個神經(jīng)網(wǎng)絡(luò)分類模型上進(jìn)行攻擊測試。攻擊效果的衡量指標(biāo)為攻擊成功率，即模型識別錯誤的個數(shù)占數(shù)據(jù)集中樣本總數(shù)的百分比。實(shí)驗(yàn)結(jié)果如表2 所示。

表2 對抗樣本攻擊成功率對比結(jié)果單位：%

其中，源模型與目標(biāo)模型相同時為白盒攻擊，不同時則為黑盒攻擊。

從表中數(shù)據(jù)可見，在白盒環(huán)境下，相比于原始的TIM，融合隨機(jī)尺度與填充運(yùn)算的DI-TIM 生成的對抗樣本，其白盒攻擊率由97.50%下降到95.45%。出現(xiàn)這一情況主要是由于對抗樣本在迭代生成的過程中陷入了“過擬合”狀態(tài)。PE&RTOM 中的數(shù)據(jù)增強(qiáng)有助于緩解該情況對對抗樣本攻擊能力的影響，縮小白盒成功率的下降幅度。

在黑盒環(huán)境下，在三種攻擊方法中，TIM 的黑盒攻擊成功率最低，這表明TIM 生成的對抗樣本在攻擊未知模型時可遷移性較差，融合隨機(jī)空間變換后的TIM 可在一定程度上提高對抗樣本的可遷移性。而PE&RTOM 可在相同參數(shù)的情況下將DI-TIM 的黑盒攻擊能力進(jìn)一步增強(qiáng)，相比于前兩種攻擊PE&RTOM 生成的對抗樣本可遷移性最強(qiáng)。實(shí)驗(yàn)結(jié)果表明在不損耗黑盒強(qiáng)度的情況下，通過PE&RTOM 可使用更難察覺的擾動生成對抗樣本，增加防御者的識別難度。

5 結(jié) 束 語

針對基于平移不變的快速梯度算法，提出基于Perlin 增強(qiáng)與隨機(jī)變換的黑盒攻擊優(yōu)化方法。對輸入數(shù)據(jù)集進(jìn)行數(shù)據(jù)增強(qiáng)，通過Perlin 噪聲融合方法來預(yù)先增強(qiáng)干凈樣本。使用增強(qiáng)后的數(shù)據(jù)集和隨機(jī)尺度與填充運(yùn)算來改進(jìn)現(xiàn)有的TIM 對抗樣本生成方法，實(shí)驗(yàn)更強(qiáng)的對抗樣本的可遷移性。在不損耗黑盒強(qiáng)度的情況下，通過PE&RTOM 可使用更難察覺的擾動生成對抗樣本，顯著提升了對抗樣本的黑盒攻擊成功率。使用較小的最大擾動系數(shù)進(jìn)行的實(shí)驗(yàn)表明，所提出的PE&RTOM 對經(jīng)典的深度神經(jīng)網(wǎng)絡(luò)的黑盒成功率達(dá)到平均42%，相較于原始的TIM 提升19.78%，比DI-TIM 提升10.79%。