基于梯度丢弃和注意力引导的稀疏对抗攻击

• Published in: 东华大学学报（英文版） Vol. 41; no. 5; pp. 545 - 556
• Main Authors: 赵鸿志, 郝灵广, 郝矿荣, 隗兵, 刘肖燕
• Format: Journal Article
• Language: Chinese
• Published: 东华大学数字化纺织服装技术教育部工程研究中心,上海 201620 2024; 东华大学信息科学与技术学院,上海 201620
• Subjects: 对抗转移性; adversarial attack; 对抗攻击; adversarial transferability; sparse adversarial attack; 深度神经网络; 稀疏对抗攻击; adversarial example; 对抗样本; deep neural network
• ISSN: 1672-5220
• DOI: 10.19884/j.1672-5220.202312003

TP183; 深度神经网络极易受到外部有意生成的对抗样本的影响,这些对抗样本是通过在干净图像上叠加微小的噪声来实现的.然而,大多数现有的基于转移的攻击方法选择在原始图像的每个像素上以相同的权重添加扰动,导致对抗样本出现冗余噪声,使其更容易被检测系统识别.鉴于此,该文引入了一种新颖的由注意力引导的稀疏对抗攻击策略,该策略结合了梯度丢弃技术,可以与现有的基于梯度的算法结合使用,从而最小化扰动的强度和规模,同时确保对抗样本的有效性.具体而言,在梯度丢弃阶段,策略随机丢弃一些相对不重要的梯度信息,以限制扰动的强度;在注意力引导阶段,通过使用软掩码优化的注意力机制评估每个像素对模型输出的影响,并限制对输出影响较小的像素的扰动,以控制扰动的规模.在NeurIPS 2017对抗数据集和ILSVRC 2012验证数据集上的大量实验证明了该策略可以显著减少对抗样本中的冗余噪声,同时保持算法的攻击效果.例如,在对于对抗训练模型的攻击中,将对抗攻击算法引入该策略后,注入图像的平均噪声水平下降了 8.32％,而平均攻击成功率仅下降了 0.34％.此外,只需引入少量扰动,该策略便能显著提高攻击成功率.