金夏穎,李揚(yáng),潘泉

(1.西北工業(yè)大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,陜西 西安 710072; 2.西北工業(yè)大學(xué) 自動(dòng)化學(xué)院,陜西 西安 710072)

合成孔徑雷達(dá)(synthetic aperture radar,SAR)廣泛應(yīng)用于地理勘測(cè)、軍事信息處理等領(lǐng)域。由于SAR圖像人工解譯十分困難,且SAR系統(tǒng)獲取的數(shù)據(jù)量不斷增加,近年來SAR圖像解譯已轉(zhuǎn)向智能化,基于深度神經(jīng)網(wǎng)絡(luò)模型(deep neural network,DNN)的合成孔徑雷達(dá)自動(dòng)目標(biāo)識(shí)別系統(tǒng)(synthetic aperture radar automatic target recognition,SAR-ATR)可自動(dòng)提取特征,大幅提高了識(shí)別準(zhǔn)確率和效率[1-3]。但研究表明[4-9]DNN模型易受到對(duì)抗樣本的攻擊,且對(duì)抗樣本能夠以高置信度被DNN模型誤分類,但人眼幾乎無法辨別。

2014年,Szegedy等[10]首次發(fā)現(xiàn)DNN模型的脆弱性。而后,Goodfellow等[4]解釋了這種“對(duì)抗攻擊”現(xiàn)象存在的原因,即DNN模型高維空間中的線性性質(zhì)導(dǎo)致無限小的對(duì)抗擾動(dòng)在DNN模型前向傳播過程中不斷積累,最終引起輸出的巨大變化。根據(jù)對(duì)抗擾動(dòng)的疏密程度,可將對(duì)抗攻擊分為密集攻擊和稀疏攻擊。密集攻擊通常以全尺寸分布的方式向輸入圖像添加擾動(dòng),例如:Goodfellow等[4]提出了利用損失函數(shù)梯度的快速梯度符號(hào)方法(fast gradient sign method,FGSM);Moosavi-Dezfooli等[5]提出了基于超平面分類的攻擊方法DeepFool;Carlini和Wagner[6]提出了C&W算法,將距離度量引入到目標(biāo)函數(shù)中,迭代尋找其最優(yōu)解。與密集攻擊不同,稀疏攻擊主要需要考慮2個(gè)問題,即擾動(dòng)位置和擾動(dòng)強(qiáng)度的選擇,例如:Papernot等[7]提出了基于雅各比矩陣的顯著圖攻擊算法(Jacobian saliency map attack,JSMA),構(gòu)建顯著圖挑選顯著特征,并對(duì)其添加擾動(dòng);Su等[8]提出了OnePixel算法,結(jié)合差分進(jìn)化(differential evolution,DE)[11]算法確定擾動(dòng)像素坐標(biāo)和擾動(dòng)強(qiáng)度,利用DNN模型的結(jié)果引導(dǎo)進(jìn)化方向;Modas等[9]提出了SparseFool算法,是DeepFool算法在稀疏攻擊上的應(yīng)用,但只能進(jìn)行非定向攻擊。

上述攻擊算法均針對(duì)光學(xué)圖像,而近年來,針對(duì)SAR-ATR系統(tǒng)的對(duì)抗攻擊研究也開始涌現(xiàn)。2020年,Huang等[12]使用3種主流對(duì)抗攻擊算法攻擊基于DNN的SAR-ATR模型,識(shí)別準(zhǔn)確率降低90%以上,首次證明了SAR-ATR模型的脆弱性。2021年,Du等[13]提出了Fast C&W算法,引入編碼器網(wǎng)絡(luò)實(shí)現(xiàn)了原始樣本到對(duì)抗樣本的映射,提高了算法實(shí)時(shí)性。最近,Peng等[14]提出了斑點(diǎn)變異攻擊(speckle-variant attack,SVA)算法,通過操縱斑點(diǎn)噪聲模式增強(qiáng)對(duì)抗樣本的遷移性。然而現(xiàn)有針對(duì)SAR圖像的對(duì)抗攻擊算法均為密集型,擾動(dòng)范圍大,物理可行性差。而且SAR圖像由離散散射中心亮斑組成,目標(biāo)區(qū)域占比較小,導(dǎo)致其特征冗余程度高[15],因而采用稀疏攻擊添加針對(duì)性擾動(dòng)的方式可解釋性更強(qiáng),稀疏對(duì)抗樣本也更貼合物理世界中監(jiān)測(cè)區(qū)域被部分遮擋或附著異物的情況。

為了解決上述問題,針對(duì)SAR圖像特征稀疏性,本文在JSMA算法的基礎(chǔ)上提出了一種新的稀疏攻擊方法——基于差分進(jìn)化的雅各比顯著圖攻擊算法(differential evolution-Jacobian saliency map attack,DE-JSMA),在精確篩選出對(duì)模型推理結(jié)果影響較大的顯著特征的同時(shí),動(dòng)態(tài)選擇合適的特征值,并延伸設(shè)計(jì),使其既可以定向攻擊,又可以非定向攻擊。為了更全面地驗(yàn)證攻擊有效性,本文構(gòu)建了一種結(jié)合攻擊成功率和對(duì)抗樣本平均置信度的新指標(biāo)Fc值。實(shí)驗(yàn)結(jié)果表明,在沒有增加過多耗時(shí),且保證高攻擊成功率的情況下,DE-JSMA實(shí)現(xiàn)了可靠性更高、稀疏性更優(yōu)的稀疏攻擊,并且表現(xiàn)出了優(yōu)越的重定向能力。

1 SAR-ATR系統(tǒng)攻擊分析

SAR-ATR系統(tǒng)通常包括圖像采集、數(shù)據(jù)預(yù)處理、深度神經(jīng)網(wǎng)絡(luò)訓(xùn)練和驗(yàn)證、深度識(shí)別模型測(cè)試和部署等幾個(gè)重要的信息處理步驟,這些步驟都具有潛在的安全問題。①圖像采集階段:攻擊者使用特定方式干擾SAR傳感器的數(shù)據(jù)采集鏈路。在SAR成像的過程中,攻擊者可以設(shè)置不同的干擾模式來攻擊SAR抗欺騙干擾技術(shù)。②圖像預(yù)處理階段:在提取圖像信息前,需對(duì)原始圖像數(shù)據(jù)進(jìn)行一系列校正和預(yù)處理操作,在這個(gè)過程中也會(huì)存在新的安全風(fēng)險(xiǎn),例如重采樣攻擊,攻擊圖片被圖像識(shí)別模型縮放到特定的空間分辨率后才會(huì)得以顯現(xiàn)。③模型訓(xùn)練階段:典型的攻擊方式包括投毒攻擊和后門攻擊。投毒攻擊是指攻擊者設(shè)法對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行某種惡意操作進(jìn)而污染訓(xùn)練數(shù)據(jù),使原有數(shù)據(jù)的概率分布發(fā)生改變,模型可用性被破壞的一種攻擊方式。而后門攻擊是指模型在訓(xùn)練階段使用某些精心制作的惡意樣本進(jìn)行訓(xùn)練,此模型對(duì)于正常樣本的預(yù)測(cè)結(jié)果表現(xiàn)正常,但對(duì)于某些具有特定屬性的測(cè)試樣本,便可以觸發(fā)后門使模型的預(yù)測(cè)結(jié)果受攻擊者操控。④模型測(cè)試階段:典型的攻擊方式是規(guī)避攻擊,規(guī)避攻擊的一個(gè)代表性工作就是針對(duì)DNN模型的對(duì)抗攻擊。⑤模型部署階段:典型的攻擊方式包括面向設(shè)備的硬件攻擊、操作系統(tǒng)攻擊等。許多支持神經(jīng)網(wǎng)絡(luò)加速的開源軟硬件平臺(tái)的底層安全問題尚未得到充分驗(yàn)證,這給模型部署帶來了很大的安全風(fēng)險(xiǎn)。

本文的工作是針對(duì)SAR-ATR系統(tǒng)的模型測(cè)試階段實(shí)施對(duì)抗攻擊,在圖像分類任務(wù)中,對(duì)抗攻擊的目的是針對(duì)輸入圖像(即原始樣本)X∈RH×W及其真實(shí)標(biāo)簽Y∈RJ,找到一個(gè)人眼難以察覺的對(duì)抗擾動(dòng)δ,從而誤導(dǎo)目標(biāo)識(shí)別模型F:RH×W→RJ輸出錯(cuò)誤預(yù)測(cè)結(jié)果。衡量對(duì)抗擾動(dòng)δ的大小通常使用Lp范數(shù)。對(duì)抗攻擊的形式化表達(dá)如(1)式所示

(1)

式中:F為深度神經(jīng)網(wǎng)絡(luò)模型;X為原始樣本;X′為對(duì)抗樣本;Y為原始樣本的標(biāo)簽;Y′為對(duì)抗樣本的標(biāo)簽;δ為對(duì)抗擾動(dòng);D為樣本取值范圍,圖像中通常為像素值范圍[0,255];‖·‖p為度量對(duì)抗擾動(dòng)大小的范數(shù),p=0時(shí),范數(shù)值表示相較于原始樣本,對(duì)抗樣本改變的像素個(gè)數(shù)大小;p=2時(shí),范數(shù)值表示對(duì)抗樣本和原始樣本之間的歐幾里得距離。

由(1)式可知,對(duì)抗攻擊可看作一個(gè)在規(guī)定條件內(nèi)最小化的優(yōu)化問題,但DNN模型高度非線性的性質(zhì)導(dǎo)致此優(yōu)化問題非線性且非凸,因此找到這個(gè)問題的最優(yōu)解并非易事。

2 DE-JSMA算法

本文將(1)式中的求解轉(zhuǎn)化為最佳擾動(dòng)位置與大小選擇的問題,因此,設(shè)計(jì)的DE-JSMA算法主要分為3步。第一步是利用雅克比顯著性計(jì)算的方法實(shí)現(xiàn)顯著圖的計(jì)算;第二步是利用算得的顯著圖確定要攻擊的位置;第三步則是利用差分進(jìn)化算法計(jì)算顯著性圖所在點(diǎn)的攻擊強(qiáng)度,最終得到對(duì)抗擾動(dòng)δ,將其添加到干凈樣本X上獲得對(duì)抗樣本X′從而實(shí)現(xiàn)有效的稀疏攻擊,整體框架圖如圖1所示。在JSMA的基礎(chǔ)上,本文進(jìn)行了延伸設(shè)計(jì),使得提出的DE-JSMA既可以實(shí)現(xiàn)非定向攻擊,也可以實(shí)現(xiàn)定向攻擊,具體的算法設(shè)計(jì)將在下文進(jìn)行詳細(xì)介紹。

圖1 DE-JSMA算法框架圖

2.1 顯著性檢測(cè)方法

顯著性檢測(cè)方法主要分為以下2步:

1) 求前向梯度

前向梯度的定義是目標(biāo)模型輸入與隱藏層輸出映射函數(shù)的雅各比矩陣,可表示單個(gè)隱藏層輸出關(guān)于單個(gè)輸入特征的變化關(guān)系,其公式為

(2)

式中:X為輸入圖像;F(·)為目標(biāo)模型輸入到隱藏層輸出的映射函數(shù);Fj為第j個(gè)隱藏層輸出;xi為輸入圖像的第i個(gè)特征;M為輸入圖像的特征總數(shù),即像素總數(shù);N為目標(biāo)模型隱藏層的輸出個(gè)數(shù)。

2) 計(jì)算顯著圖

JSMA算法提出了基于雅各比矩陣的顯著圖計(jì)算方法,此方法只適用于定向攻擊,其公式為

S(X,t)[i]=

(3)

式中,t為目標(biāo)類別標(biāo)簽。

JSMA算法只實(shí)現(xiàn)了定向攻擊,本文將此算法推廣到非定向攻擊場(chǎng)景,其公式為

(4)

式中,l為輸入圖像的真實(shí)標(biāo)簽。

2.2 差分進(jìn)化算法

Storn和Price[11]提出差分進(jìn)化算法,采用基于群體的啟發(fā)式搜索解決連續(xù)空間全局優(yōu)化問題。DE算法通過有針對(duì)性地選擇系統(tǒng)參數(shù)優(yōu)化系統(tǒng)的某些屬性,DE-JSMA中選取的待優(yōu)化系統(tǒng)參數(shù)為挑選出的顯著特征特征值。差分進(jìn)化算法優(yōu)化問題的標(biāo)準(zhǔn)流程是,首先設(shè)計(jì)一個(gè)目標(biāo)函數(shù)對(duì)問題目標(biāo)進(jìn)行建模,該函數(shù)可結(jié)合任意約束。目標(biāo)函數(shù)大多會(huì)將優(yōu)化問題定義為最小化問題,這種目標(biāo)函數(shù)可被更準(zhǔn)確地描述為成本函數(shù)。DE-JSMA中差分進(jìn)化的目標(biāo)函數(shù)fDE設(shè)為目標(biāo)網(wǎng)絡(luò)模型輸出的目標(biāo)類別置信度,如(5)式所示,以此來確定特征值進(jìn)化的方向。

(5)

式中:c(X′(t))為對(duì)抗樣本目標(biāo)類別t的置信度;c(X′(l))為對(duì)抗樣本標(biāo)簽類別l的置信度。

而后算法初始化種群即待優(yōu)化系統(tǒng)參數(shù)的候選值,循環(huán)執(zhí)行變異、交叉和選擇操作,完成種群的進(jìn)化,直到算法迭代次數(shù)達(dá)到上限,或種群最優(yōu)解達(dá)到預(yù)設(shè)誤差精度時(shí),算法結(jié)束。

算法1DE-JSMA

輸入干凈樣本X; 標(biāo)簽類別l; 定向攻擊的目標(biāo)類別t;

神經(jīng)網(wǎng)絡(luò)模型輸入到隱藏層輸出的映射函數(shù)F;

攻擊上限γ; 攻擊步長(zhǎng)n;

DE算法最大迭代次數(shù)Imax

輸出對(duì)抗樣本X*

1)X*←X

2) whileN≤γand 攻擊未成功 do

4) if 非定向攻擊 then

5) 利用(4)式計(jì)算顯著圖

S=saliency-map(F(X*),l);

6) else if 定向攻擊 then

7) 利用(3)式計(jì)算顯著圖

S=saliency-map(F(X*),t);

8) end if

9) 按照攻擊步長(zhǎng)n選取顯著特征;

10) whilej

11) 利用DE算法微調(diào)顯著特征的特征值;

12)N←N+n;

13) end while

14) end while

DE-JSMA算法執(zhí)行過程如算法1所示。開始攻擊前,需設(shè)置攻擊方式(非定向攻擊/定向攻擊)、攻擊步長(zhǎng)n、DE算法最大迭代次數(shù)Imax和攻擊上限γ。若攻擊方式設(shè)為定向攻擊,則還要設(shè)置攻擊的目標(biāo)類別。攻擊步長(zhǎng)是指單次擾動(dòng)的特征數(shù)量。攻擊上限指擾動(dòng)特征數(shù)量的上限,γ最大可設(shè)為16 384(即128×128)。由于顯著圖的計(jì)算需要較大計(jì)算成本,因此為減少計(jì)算顯著圖的次數(shù),每輪需要選取多個(gè)顯著特征,即攻擊步長(zhǎng)n,但n也不宜過大,否則會(huì)造成后續(xù)差分進(jìn)化算法尋優(yōu)過程中計(jì)算成本增加。n默認(rèn)為5。DE算法最大迭代次數(shù)Imax也不宜過大,否則同樣會(huì)造成耗時(shí)過長(zhǎng),而且在單步攻擊中迭代次數(shù)過多,易使對(duì)抗擾動(dòng)陷入局部最優(yōu)解。Imax默認(rèn)為3。

設(shè)置參數(shù)后,DE-JSMA將迭代攻擊直至攻擊成功或擾動(dòng)特征數(shù)量超出攻擊限制,每輪攻擊包含3個(gè)步驟:首先計(jì)算前饋神經(jīng)網(wǎng)絡(luò)模型的“前向梯度”,即模型輸入到隱藏層輸出映射函數(shù)的梯度(第3)步),并利用前向梯度計(jì)算顯著圖(第4)～8)步);然后基于顯著圖選取顯著特征,特征越顯著表示對(duì)模型輸出影響越大(第9)步);最后利用差分進(jìn)化算法尋優(yōu),為選取的顯著特征確定像素值(第10)～13)步)。每輪攻擊結(jié)束判斷是否攻擊成功,若成功則攻擊結(jié)束,否則進(jìn)入下一輪攻擊,如此迭代直至攻擊成功。

3 實(shí)驗(yàn)及分析

為了驗(yàn)證DE-JSMA的有效性,本文在公開的SAR圖像數(shù)據(jù)集MSTAR上分別對(duì)經(jīng)典的DNN模型如AlexNet、VGG16以及ResNet18等進(jìn)行攻擊,并以攻擊成功率、Fc值以及平均擾動(dòng)特征個(gè)數(shù)作為評(píng)價(jià)指標(biāo),分別在定向攻擊和非定向攻擊場(chǎng)景下展開對(duì)比實(shí)驗(yàn)。

3.1 實(shí)驗(yàn)環(huán)境與實(shí)驗(yàn)設(shè)置

硬件環(huán)境為英特爾Silver 4210R處理器,128 GB內(nèi)存。軟件環(huán)境為64位Ubuntu 20.04.1操作系統(tǒng),顯卡為GeForce RTX 3090,開發(fā)環(huán)境為Python 3.6.13,PyTorch 1.9.0。

實(shí)驗(yàn)采用包含10類目標(biāo)的SAR圖像數(shù)據(jù)集MSTAR,攻擊的3個(gè)目標(biāo)模型在MSTAR訓(xùn)練集上的訓(xùn)練準(zhǔn)確率分別為92.62%,97.11%,91.39%,如表1所示。本文從MSTAR測(cè)試集的每個(gè)分類分別隨機(jī)選取10張圖像,選取的100張圖像構(gòu)成驗(yàn)證數(shù)據(jù)集,用于測(cè)試對(duì)抗攻擊算法,3個(gè)模型攻擊數(shù)據(jù)集上的分類準(zhǔn)確率分別為91.00%,97.00%,91.00%,如表1所示。

表1 3個(gè)目標(biāo)模型的準(zhǔn)確率 %

本文將與FGSM、C&W、DeepFool、SparseFool、JSMA、OnePixel 5個(gè)對(duì)抗攻擊算法進(jìn)行對(duì)比實(shí)驗(yàn),算法特性如表2所示。

表2 不同算法的特性表

3.2 評(píng)價(jià)指標(biāo)

1) 攻擊成功率

攻擊成功率RAS是評(píng)價(jià)對(duì)抗攻擊算法最常用的評(píng)價(jià)指標(biāo),按定義可分為定向攻擊和非定向攻擊。定向攻擊的攻擊成功率表示在全部樣本中,可被模型分類為目標(biāo)類別的比例,其公式為

(6)

非定向攻擊的攻擊成功率表示在全部樣本中,可被模型錯(cuò)誤分類的對(duì)抗樣本的比例,其公式為

(7)

式中,y(n)為第n個(gè)干凈樣本的標(biāo)簽類別。

2)Fc值

對(duì)抗樣本的可靠性可通過其對(duì)抗類別的置信度來衡量,置信度越高,表示對(duì)抗樣本具備越多對(duì)抗類別的特征,進(jìn)而表明對(duì)抗樣本攻擊性能就越強(qiáng)。當(dāng)目標(biāo)模型發(fā)生微調(diào)時(shí),置信度高的對(duì)抗樣本仍能保持攻擊效果的概率更高。RAS是評(píng)價(jià)對(duì)抗攻擊算法最重要的指標(biāo),可靠性相對(duì)次要,因此本文將攻擊成功率和與對(duì)抗樣本置信度相關(guān)的參數(shù)C結(jié)合起來,將二者的調(diào)和平均數(shù)定義為一個(gè)新指標(biāo)Fc,有助于綜合評(píng)價(jià)對(duì)抗樣本的質(zhì)量并提供更準(zhǔn)確的判斷依據(jù),Fc值越大,表示對(duì)抗樣本在保證攻擊有效性的前提下更可靠,其公式為

(8)

3) 平均擾動(dòng)特征個(gè)數(shù)Navg

DE-JSMA算法對(duì)擾動(dòng)進(jìn)行L0范數(shù)約束的稀疏對(duì)抗攻擊。L0范數(shù)可表示相較于原始樣本,對(duì)抗樣本改變的像素個(gè)數(shù),因此本文將L0范數(shù)的平均值Navg作為衡量對(duì)抗擾動(dòng)稀疏性和對(duì)抗樣本隱蔽性的指標(biāo),其公式為

(9)

式中:S為對(duì)抗樣本總數(shù);I(·)為指示函數(shù)。

4) 平均耗時(shí)Tavg

平均耗時(shí)是評(píng)價(jià)攻擊算法的一項(xiàng)重要評(píng)價(jià)指標(biāo),用于衡量攻擊算法的實(shí)時(shí)性,其公式為

(10)

式中,Ti為第i個(gè)對(duì)抗樣本的攻擊耗時(shí),單位為s。

3.3 實(shí)驗(yàn)結(jié)果與分析

本節(jié)實(shí)驗(yàn)中,攻擊上限γ設(shè)為16 384,即可攻擊任意多個(gè)特征,攻擊步長(zhǎng)n和最大迭代次數(shù)Imax分別采用默認(rèn)值5和3。攻擊的可視化結(jié)果如圖2所示。

圖2 DE-JSMA對(duì)抗攻擊可視化展示

非定向攻擊實(shí)驗(yàn)對(duì)比結(jié)果如表3所示。DE-JSMA攻擊成功率均達(dá)到100%,攻擊效果非常優(yōu)越。然而Fc值結(jié)果并不突出,因?yàn)镈E-JSMA非定向攻擊時(shí),擾動(dòng)優(yōu)化的目標(biāo)是樣本偏離原有決策邊界,而非讓某一對(duì)抗類別置信度增加,這就導(dǎo)致非定向攻擊中對(duì)抗樣本置信度往往較低,進(jìn)而導(dǎo)致Fc值較低,但并不影響DE-JSMA的有效性。從Navg來看,DE-JSMA僅擾動(dòng)0.09%～0.31%的像素就達(dá)到了100%的攻擊成功率,且擾動(dòng)特征數(shù)量比第二稀疏的OnePixel少71.67%～91.62%,攻擊稀疏性最好,這正是DE-JSMA的優(yōu)勢(shì)所在,將擾動(dòng)集中到極少數(shù)的像素上,大大增加了攻擊的物理可實(shí)現(xiàn)性。

表3 非定向攻擊對(duì)比結(jié)果

針對(duì)定向攻擊,本文同樣在MSTAR數(shù)據(jù)集上展開,并對(duì)其10個(gè)類別全部進(jìn)行了定向攻擊。為了綜合對(duì)比攻擊效果,實(shí)驗(yàn)結(jié)果為各項(xiàng)指標(biāo)全類別結(jié)果的均值,如表4所示。從攻擊成功率RAS來分析,DE-JSMA和JSMA有著相似的表現(xiàn)性能,均遠(yuǎn)超其他算法,但在Fc值這一評(píng)價(jià)指標(biāo)下,DE-JSMA有著鮮明的優(yōu)勢(shì),生成的對(duì)抗樣本在保證有效性的同時(shí)表現(xiàn)出最優(yōu)的可靠性。與非定向攻擊不同,DE-JSMA在挑選出顯著像素后,差分進(jìn)化算法能有效利用目標(biāo)類別對(duì)目標(biāo)模型進(jìn)行有針對(duì)性的優(yōu)化,進(jìn)而優(yōu)化得到具有高置信度的對(duì)抗樣本,即可靠的對(duì)抗樣本。由此可得,DE-JSMA更適用于定向攻擊。除此之外,DE-JSMA同樣表現(xiàn)出最佳的稀疏性,在擾動(dòng)0.60%～0.85%的極少數(shù)像素的情況下實(shí)現(xiàn)定向攻擊,大大提升了攻擊的實(shí)用價(jià)值。

表4 定向攻擊對(duì)比結(jié)果

針對(duì)SAR-ATR系統(tǒng)高實(shí)時(shí)性的特點(diǎn),所提出的攻擊算法要有一定的時(shí)效性,因此將平均耗時(shí)Tavg設(shè)置成另一重要指標(biāo)。DE-JSMA自身具有稀疏特性,因此只和同類型的稀疏算法進(jìn)行對(duì)比。稀疏攻擊算法在非定向攻擊和定向攻擊時(shí)的平均耗時(shí)對(duì)比結(jié)果如表5所示,其中定向攻擊的平均耗時(shí)為全類別平均耗時(shí)的均值。

由表5可知,非定向攻擊時(shí),DE-JSMA耗時(shí)最短,均遠(yuǎn)遠(yuǎn)低于OnePixel,與之相差1～2個(gè)數(shù)量級(jí)。然而在定向攻擊時(shí),盡管計(jì)算一次顯著圖選取多個(gè)顯著特征,這種做法可起到省時(shí)的作用,但差分進(jìn)化算法收斂緩慢,優(yōu)化確定顯著特征的像素值的過程會(huì)耗費(fèi)大量時(shí)間,因此DE-JSMA比JSMA耗時(shí)略高,但若將差分進(jìn)化算法替換成更先進(jìn)的優(yōu)化算法,算法的時(shí)間性能將會(huì)有進(jìn)一步的提升。

為了更全面地展示DE-JSMA算法定向攻擊的性能,圖3以熱力圖的方式展示了針對(duì)3種目標(biāo)模型全類別的定向攻擊結(jié)果。熱力圖縱軸的0～10表示干凈樣本的源類別,每個(gè)源類別從測(cè)試數(shù)據(jù)集中選取10個(gè)干凈樣本,共選取出100個(gè)干樣本,橫軸的0～10表示對(duì)抗樣本的目標(biāo)類別,圖中數(shù)字表示源類別10個(gè)干凈樣本中,成功攻擊成目標(biāo)類別的對(duì)抗樣本個(gè)數(shù),熱力圖數(shù)值越大,顏色越深,表示該數(shù)值對(duì)應(yīng)的源類別被攻擊成目標(biāo)類別的樣本數(shù)越多,即該源類別更易被攻擊成目標(biāo)類別。單張熱力圖中定向攻擊成功總次數(shù)除以定向攻擊發(fā)起總次數(shù)可以計(jì)算得到,DE-JSMA算法定向攻擊AlexNet、VGG16和ResNet18時(shí),分別能以79.67%,93.56%,91.00%的成功率將干凈樣本重定向?yàn)槿我饽繕?biāo)類別,這進(jìn)一步說明了DE-JSMA在定向攻擊中的有效性。

圖3 定向攻擊源類別與目標(biāo)類別相關(guān)性熱力圖

4 結(jié) 論

基于DNN的SAR-ATR系統(tǒng)存在嚴(yán)重的安全問題。考慮到SAR圖像的特征稀疏性,本文提出了DE-JSMA稀疏攻擊算法,在精確篩選出對(duì)模型推理結(jié)果影響較大的顯著特征的同時(shí),動(dòng)態(tài)選擇合適的特征值。本文還構(gòu)建了一種結(jié)合攻擊成功率和對(duì)抗樣本平均置信度的新指標(biāo)Fc值,來全面評(píng)價(jià)攻擊算法的有效性和可靠性。實(shí)驗(yàn)結(jié)果表明,在沒有增加過多耗時(shí),且保證高攻擊成功率的情況下,DE-JSMA在定向、非定向2種攻擊場(chǎng)景中均實(shí)現(xiàn)了可靠性更高、稀疏性更優(yōu)的稀疏攻擊,并且表現(xiàn)出了優(yōu)越的重定向能力。后續(xù)工作中需進(jìn)一步提升算法執(zhí)行效率,以滿足SAR-ATR系統(tǒng)的高實(shí)時(shí)性。