基于对抗补丁的可泛化的Grad-CAM攻击方法

TP391; 为了验证Grad-CAM解释方法的脆弱性,提出了一种基于对抗补丁的Grad-CAM攻击方法.通过在CNN分类损失函数后添加对Grad-CAM类激活图的约束项,可以针对性地优化出一个对抗补丁并合成对抗图像.该对抗图像可在分类结果保持不变的情况下,使Grad-CAM解释结果偏向补丁区域,实现对解释结果的攻击.同时,通过在数据集上的批次训练及增加扰动范数约束,提升了对抗补丁的泛化性和多场景可用性.在ILSVRC2012数据集上的实验结果表明,与现有方法相比,所提方法能够在保持模型分类精度的同时,更简单有效地攻击Grad-CAM解释结果....

Full description

Saved in:
Bibliographic Details
Published in通信学报 Vol. 42; no. 3; pp. 23 - 35
Main Authors 司念文, 张文林, 屈丹, 常禾雨, 李盛祥, 牛铜
Format Journal Article
LanguageChinese
Published 信息工程大学信息系统工程学院,河南 郑州 450001%信息工程大学密码工程学院,河南 郑州 450001 25.03.2021
Subjects
卷积神经网络
对抗补丁
显著图
可解释性
类激活图
Online AccessGet full text

Cover

More Information
Summary:TP391; 为了验证Grad-CAM解释方法的脆弱性,提出了一种基于对抗补丁的Grad-CAM攻击方法.通过在CNN分类损失函数后添加对Grad-CAM类激活图的约束项,可以针对性地优化出一个对抗补丁并合成对抗图像.该对抗图像可在分类结果保持不变的情况下,使Grad-CAM解释结果偏向补丁区域,实现对解释结果的攻击.同时,通过在数据集上的批次训练及增加扰动范数约束,提升了对抗补丁的泛化性和多场景可用性.在ILSVRC2012数据集上的实验结果表明,与现有方法相比,所提方法能够在保持模型分类精度的同时,更简单有效地攻击Grad-CAM解释结果.
ISSN:1000-436X
DOI:10.11959/j.issn.1000-436x.2021025