基于Perlin增强与随机变换的黑盒攻击方法.pdf

《基于Perlin增强与随机变换的黑盒攻击方法.pdf》由会员分享，可在线阅读，更多相关《基于Perlin增强与随机变换的黑盒攻击方法.pdf（4页珍藏版）》请在咨信网上搜索。

1、1引言深度神经网络（Deep Neural Networks,DNNs）在图像识别、医疗诊断、自然语言处理等领域中表现出优秀的处理能力。然而研究表明 DNNs 同样存在不可忽视的安全问题。以图像分类任务为例，攻击者可在模型训练、预测的过程中对输入数据添加微小的扰动，使模型做出错误的判断。此类被处理后的输入图像称为对抗样本。对对抗样本的生成方法进行研究，有助于理解深度神经网络的基本原理并检验其鲁棒性，也能够为建立完善的对抗防御体系提供新的思路。当前基于迁移性的黑盒攻击方法中通常使用较高的扰动系数生成拥有高攻击成功率的对抗样本，导致对抗扰动较易被防御者察觉。本研究即基于迁移性的黑盒攻击方法与数据增

2、强技术相互融合，提出一种基于 Perlin 增强与随机变换的黑盒攻击方法。2相关研究2.1 对抗样本在 ImageNet 数据集中，对比结合两种图像相似度的评价指标，可证明选择 Perlin 噪声1进行增强的基于 Perlin 增强与随机变换的黑盒攻击方法张朝阳，李晖（沈阳工业大学信息科学与工程学院，沈阳 110870）摘要:当前基于迁移性的黑盒攻击通常使用较高扰动系数生成具有较强可迁移性的对抗样本，导致对抗扰动较易被防御者察觉，针对此问题，提出一种基于 Perlin 增强与随机变换的黑盒攻击方法。方法利用 Perlin 噪声对干净样本进行数据增强，同时使用增强后的数据集和随机尺度与填充运算来

3、改进现有的基于平移不变的对抗样本生成方法，以降低对抗样本的黑盒攻击能力与扰动系数的耦合程度。在 ImageNet 数据集中的实验结果表明，通过优化后的对抗攻击在不修改扰动系数的情况下增强了对抗样本的可迁移性。关键词：黑盒攻击；数据增强；对抗样本；可迁移性；优化方法DOI：10.3969/j.issn.1002-2279.2023.05.008中图分类号:TP391.41文献标识码:A文章编号：1002-2279（2023）05-0031-04A Black-Box Attack Method Based on Perlin Enhancement andRandom Transformatio

4、nZHANG Zhaoyang,LI Hui(School of Information Science and Engineering,Shenyang University of Technology,Shenyang 110870,China)Abstract:At present,black-box attacks based on transferability usually use high disturbance coeffi-cient to generate adversarial examples with strong transferability,which mak

5、es adversarial disturbanceeasier to be detected by defenders.To solve this problem,a black-box attack method based on Perlinenhancement and random transformation is proposed.By using Perlin noise,the method enhances the dataof clean examples,and at the same time,it uses the enhanced data set and ran

6、dom scale and filling opera-tion to improve the existing translation-invariant adversarial examples generation method,so as to reducethe coupling degree between the black-box attack ability and the disturbance coefficient of adversarialexamples.The experimental results in ImageNet data set show that

7、 the transferability of adversarial exam-ples is enhanced by the optimized adversarial attack without modifying the disturbance coefficient.Key words:Black-box attack;Data enhancement;Adversarial examples;Transferability;Optimizationmethod作者简介：张朝阳（1997），男，河北省廊坊市人，硕士研究生，主研方向：神经网络安全。收稿日期：2023-04-14微处理

8、机MICROPROCESSORS第 5 期2023 年 10 月No.5Oct.，2023微处理机2023 年合理性。在图像处理领域中，Szegedy 等人2首次发现并证明深度神经网络存在安全问题。对于一个已知的神经网络分类器 f(x,W)，将原始样本 x 作为输入，分类器输出对应的真实标签 y。对抗攻击是在|xl-x|m臆着 条件下，沿梯度上升的方向使模型的损失值逐渐增大，从而计算出能够导致模型分类错误的对抗样本 xl，对抗样本的生成过程可表示为：结合式(1)和式(2)可知，对抗样本的生成过程与模型训练过程高度相似。因此在模型训练过程中的常用的优化方式均可用于对抗样本的生成过程。2.2FGS

9、M 类的对抗攻击方法针对神经网络过于线性无法抵抗线性对抗性扰动的问题，Goodfellow 等人3提出了快速梯度算法（云ast 郧radient 杂ign 酝ethod,FGSM），该方法使损失函数沿梯度增大的方向变换从而生成相应的对抗样本，并在范数 m=肄 的条件下对扰动进行限制。具体描述如下式：其中(f兹,x,y)是由输入样本、真实标签和分类函数构成的参数对；x(f兹,x,y)为模型损失函数相对于参数对(f兹,x,y)的梯度；Sign()为符号函数；Clip()为对抗扰动的限制函数。该方法生成的对抗样本拥有较高的白盒攻击能力，但在未知环境中攻击成功率会大幅度较低。董胤蓬等人4在 FGSM

10、基础上进行优化提出了一种基于动量的黑盒攻击方法（酝omentum 陨terative云ast 郧radient 杂ign 酝ethod,MI-FGSM），利用传统优化方法将动量与模型梯度相互融合，使对抗样本的黑盒攻击强度得到了大幅度提高。谢慈航等人5提出了一种拥有不同输入的快速梯度算法（阅iverse陨nputs 陨terative 云ast 郧radient 杂ign 酝ethod,DIM），该算法对原始输入样本进行 籽 概率的尺度变换和填充并生成深度分类器的输入样本，同时结合基于动量的对抗攻击算法生成了可迁移性更强的对抗样本。庞天宇等人6提出了一种基于平移不变的快速梯度算法（栽ransla

11、tion 陨nvariant 云ast 郧radient 杂ign 酝ethod,TIM），该算法将卷积运算融入到对抗样本的生成过程中。相比于单独使用动量以及随机变换生成的对抗样本，由于卷积内核具有的平滑滤波效果，该算法所生成的对抗扰动较为连续，与原始图像的拟合程度较好。FGSM 类的黑盒攻击方法重点在于通过调整模型的梯度生成具有较强可迁移性的对抗样本，且均可相互结合生成具有更高黑盒成功率的对抗样本。2.3数据增强技术在对抗攻击中的应用在神经网络训练的过程中，数据增强技术已经被证明可明显提升网络的泛化能力，降低过拟合现象。陈伟等人7将 Simplex 噪声引入到对抗攻击中，基于查询方式在初始对

12、抗样本与 Simplex 噪声的组合中采样生成相应的对抗样本。张武等人8将高斯噪声与反转策略相互结合，基于梯度攻击的方式生成具有较强可迁移性的对抗样本。3方法优化本对抗样本生成方法在相同的扰动系数下能够生成可迁移性更强的对抗样本。重点将噪声增强技术与随机尺度变换和填充结合，运用到对抗样本的生成过程中，进一步提高对抗样本的迁移性。利用Perlin 噪声高拟合度的优点，将该噪声作为噪声增强技术的输入项，并基于迁移性的黑盒攻击方法生成具有更高可迁移性的对抗样本。3.1 原始样本数据增强Perlin 噪声与传统白噪声不同，其噪声函数不仅与随机数生成器功能类似，而且能够产生平滑自然的伪随机序列，被广泛应

13、用于模拟自然纹理，包括火焰、云朵、大理石、河流等自然现象噪声。图 1 展示了纹理窗格为 10 的 Perlin 噪声图像。本研究将纹理大小随机的 Perlin 噪声与每张原始样本的 RGB 均值结合，产生与原始图像背景颜色相近的专属 Perlin 噪声图像，并与数据集中对应的原始图像相互融合作为对抗攻击中首次迭代的输入样本，数学表达式为：其中，x 为原始图像；xp为增强后的样本；P 为融合(1)(2)argmax(,),s.t.mlJxx yxx1()nnnlllJJJyfxyfx xxx(3)Clip(Sign(,)lJ fxxxx y图 1纹理窗格为 10 的 Perlin 噪声(4)p(

14、1)xx+P窑32窑5 期RGB 均值的 Perlin 噪声，茁 为噪声的叠加系数。此外，为进一步提升 Perlin 噪声的细节，运用分型布朗运动引入了多种频率的 Perlin 噪声，并进行加权求和得到最终噪声图像。具体的数学表达式为：其中，函数 noise()是取在(x,y)处 Perlin 噪声的像素值，N 代表所叠加噪声的种类数，此处取 N=4。至此基于 Perlin 噪声的图像增强过程可表示为：其中，x 为原始输入；xp为增强后的样本；茁 为噪声的叠加系数，此处取 茁=0.2。3.2对抗样本生成方法文献6提出的优化领域的 TIM，相比于传统的动量方法，额外引入了卷积运算，其更新过程为：

15、其中，gt+1是经过衰减因子 滋 优化的第 t+1 次梯度值，Clip()函数作用是将对抗样本约束在 x 的邻域 着内，W 为预定义的卷积核。当卷积核大小 1伊1 时，TIM 将退化为 MI，扰动系数为 酌=着/T。将基于 Perlin 噪声的数据增强技术用于对抗样本生成，并结合随机尺度与填充变换，由此形成基于 Perlin 增强与随机变换的黑盒攻击方法（PerlinEnhancement and Random Transformation Black-月oxAttack Method,PE&RTOM），即为优化后的 TIM 黑盒攻击算法，其更新过程可由下式表述：其中，xl0=xp；tran(

16、xlt)为对第 t 次输入 xlt进行随机尺度与填充变换。4实验与结果分析4.1实验设置若原始图像输入到网络模型中不能被正确的分类，则所生成的对抗样本将失去研究价值。在本实验中，以 TensorFlow1.13.1 环境下完成对 ImageNet验证集的筛选，随机选出可被所有目标模型分类正确的 2000 张图像，构成实验所需的数据集。实验选取 Vgg19、Resnet152（Res152）、InceptionV4（Incv4）和 Inception_ResnetV2（IncResv2）四种神经网络模型作为所需的网络模型。在生成对抗样本过程中，迭代次数设为 T=10，扰动系数大小为 着=8，DI

17、 中随机转换概率设为 籽=0.5，TIM 中高斯核尺寸采用默认值 Size=15，在 Perlin噪声中纹理大小设为 110 中的随机整数，输入图像维度 N=299伊299伊3，完成超参数设置。对于评估指标，在数据增强上，将作为图像相似度的评价指标对常用的噪声进行筛选，选择出适用于增强对抗攻击的噪声。其中包括峰值信噪比（PSNR）、结构相似性（SSIM）9。在对抗攻击上，用于评价攻击效果的指标主要是攻击成功率，即被攻击模型的错误分类率。本方法主要针对无目标攻击方法进行优化，即生成的对抗样本使得分类模型预测结果与真实类别不一致就已达到攻击效果。4.2图像相似度结果与分析结合噪声增强后的图像与原始

18、图像间的相似度结果、对抗样本与输入图像间的相似度，证明本PE&RTOM 方法使用 Perlin 噪声进行数据增强，能够在最大程度上保留原始输入的图像特征。实验结果如表 1 所示。其中，IP-1 为衡量指标的输入分别为使用Perlin 噪声增强前后的图像；IP-2 为衡量指标的输入分别为 TIM 生成的对抗样本和原始图像；IP-3 为衡量指标的输入分别为结合 DIM 与 TIM 生成的对抗样本和原始图像；IP-4 为衡量指标的输入分别为PE&RTOM 生成的对抗样本和原始图像。从表中数据可以看出，对于 IP-1，使用 Perlin噪声增强后的图像与原始图像相比，其 PSNR 值处于 30dB约P

19、SNR约40dB 的区间内，SSIM 值接近于最大值 1，表明增强后的图像与原始图像非常相似，在主观视觉上难以察觉两种图像间的差异。对于三种不同的攻击方法，IP-2、IP-3 和 IP-4 的 PSNR 均处于 20dB约PSNR约30dB 的区间内，SSIM 的误差值均小于 0.1，说明 PE&RTOM 优化后生成的对抗样本能够很大程度上的保留原始对抗样本的图像特征。由此可知，从图像相似度的角度来看，利用 Perlin噪声进行数据增强，均可在最大程度上的保留原始IP-2IP-3IP-40.720.720.67输入项IP-1PSNRSSIM0.9532.7832.6538.0328.91表 1

20、图像相似度衡量指标(5)1noise(2,2)(,)jjNjxyh x yjp,(1)(,)i jh i jxxx+(6)(7)11(,;)(,;)ttxxtltlJJxyggxy(8)11Clip Sign()tttllxxxWg(9)(10)11(tran(),;)(tran(),;)ttxxtltlJJxyggxy11Clip Sign()txttllWxxg张朝阳等：基于 Perlin 增强与随机变换的黑盒攻击方法窑33窑微处理机2023 年图像和对抗样本的图像属性，实现在对抗攻击过程中对数据集进行相应增强处理。4.3优化结果及分析通过对比对抗样本的攻击成功率，对 PE&RTOM优化

21、TIM 的有效性进行验证。在单模型的对抗攻击中，对比实验分别以 Res152 与 Incv4 为源模型，通过 TIM、融合随机尺度与填充的 TIM（DI-TIM）和PE&RTOM 生成对抗样本，在经典的 4 个神经网络分类模型上进行攻击测试。攻击效果的衡量指标为攻击成功率，即模型识别错误的个数占数据集中样本总数的百分比。实验结果如表 2 所示。其中，源模型与目标模型相同时为白盒攻击，不同时则为黑盒攻击。从表中数据可见，在白盒环境下，相比于原始的TIM，融合随机尺度与填充运算的 DI-TIM 生成的对抗样本，其白盒攻击率由 97.50%下降到 95.45%。出现这一情况主要是由于对抗样本在迭代生

22、成的过程中陷入了“过拟合”状态。PE&RTOM 中的数据增强有助于缓解该情况对对抗样本攻击能力的影响，缩小白盒成功率的下降幅度。在黑盒环境下，在三种攻击方法中，TIM 的黑盒攻击成功率最低，这表明 TIM 生成的对抗样本在攻击未知模型时可迁移性较差，融合随机空间变换后的 TIM 可在一定程度上提高对抗样本的可迁移性。而 PE&RTOM 可在相同参数的情况下将 DI-TIM 的黑盒攻击能力进一步增强，相比于前两种攻击 PE&RTOM 生成的对抗样本可迁移性最强。实验结果表明在不损耗黑盒强度的情况下，通过 PE&RTOM 可使用更难察觉的扰动生成对抗样本，增加防御者的识别难度。5结束语针对基于平移

23、不变的快速梯度算法，提出基于Perlin 增强与随机变换的黑盒攻击优化方法。对输入数据集进行数据增强，通过 Perlin 噪声融合方法来预先增强干净样本。使用增强后的数据集和随机尺度与填充运算来改进现有的 TIM 对抗样本生成方法，实验更强的对抗样本的可迁移性。在不损耗黑盒强度的情况下，通过 PE&RTOM 可使用更难察觉的扰动生成对抗样本，显著提升了对抗样本的黑盒攻击成功率。使用较小的最大扰动系数进行的实验表明，所提出的 PE&RTOM 对经典的深度神经网络的黑盒成功率达到平均 42%，相较于原始的 TIM 提升 19.78%，比 DI-TIM 提升 10.79%。参考文献：1HART J

24、C.Perlin noise pixel shadersC/HWWS 01:Pro-ceedings of the ACM SIGGRAPH/Eurographics Workshopon Graphics Hardware,August 12-13,2001,Los Angeles,CA,US.New York:ACM,2001:87-94.2SZEGEDY C,ZAREMBA W,SUTSKEVER I,et al.Intri-guing properties of neural networksZ.arXiv:1312.6199v4cs.CV 19 Feb 2014.3GOODFELLO

25、W I J,SHLENS J,SZEGEDY C.Explainingand harnessing adversarial examplesZ.arXiv:1412.6572v3stat.ML 20 Mar 2015.4DONG Yinpeng,LIAO Fangzhou,PANG Tianyu,et al.Bo-osting adversarial attacks with momentumZ.arXiv:1710.06081v3 cs.LG 22 Mar 2018.5XIE Cihang,ZHANG Zhishuai,ZHOU Yuyin,et al.Impro-ving transfer

26、ability of adversarial examples with input diver-sityZ.arXiv:1803.06978v4 cs.CV 1 Jun 2019.6DONG Yinpeng,PANG Tianyu,SU Hang,et al.Evadingdefenses to transferable adversarial examples by translation-invariant attacksZ.arXiv:1904.02884v1 cs.CV 5 Apr2019.7陈伟,刘亚洲,魏松杰.Simplex 噪声区域中目标特征的对抗攻击算法J.计算机辅助设计与图

27、形学学报,2021,33(2):250-259.CHEN Wei,LIU Yazhou,WEI Songjie.Adversarial attackalgorithm on target features in simplex noise areaJ.Journalof Computer-Aided Design&Graphics,2021,33(2):250-259.8张武,段晔鑫,邹军华,等.融合高斯噪声和翻转策略的对抗攻击J.数据采集与处理,2021,36(2):248-259.ZHANG Wu,DUAN Yexin,ZOU Junhua,et al.Adversarialattacks

28、 with Gaussian noise and flipping strategyJ.Journalof Data Acquisition and Processing,2021,36(2):248-259.9WANG Zhou,BOVIK A C,SHEIKH H R,et al.Image qua-lity assessment:from error visibility to structural similarityJ.IEEE Transactions on Image Processing,2004,13(4):600-612.单位：%Res152Incv4IncResv234.9097.10*40.75源模型Res152Incv422.0529.7097.25*95.35*96.15*17.424.4517.3528.638.7597.75*95.55*16.4027.1536.90方法PE&RTOMTIMDI-TIMPE&RTOMTIMDI-TIMVgg1934.6544.5556.1035.2542.2555.00表 2对抗样本攻击成功率对比结果注：带*号数据代表白盒成功率。窑34窑