對抗攻擊是當(dāng)前機(jī)器學(xué)習(xí)領(lǐng)域研究的一個熱點(diǎn)問題。對抗攻擊的原理是通過對抗樣本(向原數(shù)據(jù)樣本中添加經(jīng)過精心訓(xùn)練的人眼不易察覺的微小擾動得到的新樣本)來欺騙深度神經(jīng)網(wǎng)絡(luò),使其做出錯誤判定。對于一些對神經(jīng)網(wǎng)絡(luò)安全性和可靠性敏感的應(yīng)用領(lǐng)域而言,研究對抗攻擊技術(shù)意義重大。隨著關(guān)注度不斷提高,對抗攻擊技術(shù)研究在對抗樣本生成、攻擊技術(shù)評價等方面取得了一定成果,但仍存在以下不足:(1)對抗樣本健壯性不足,遇到旋轉(zhuǎn)、縮放、平移、斜切等仿射變換處理時攻擊易失效;(2)對抗樣本隱蔽性不足,攻擊擾動容易被人類察覺;(3)對抗樣本攻擊能力缺乏遷移性,僅對指定分類模型保持較高成功率。本文針對上述問題展開研究,主要貢獻(xiàn)歸納如下:(1)提出一種基于空間變換的對抗樣本增強(qiáng)方法,以提高對抗樣本對旋轉(zhuǎn)、縮放、平移、斜切等仿射變換處理的健壯性。實(shí)驗(yàn)結(jié)果表明,經(jīng)過本文方法增強(qiáng)后,FGSM、BIM和DeepFool方法在CIFAR-10數(shù)據(jù)集上的攻擊成功率提高幅度在4%~14%,在GTSRB數(shù)據(jù)集上的攻擊成功率提高幅度在3%~4%。(2)提出一種基于對抗機(jī)制的隱蔽對抗樣本生成方法,通過引入新的隱蔽性評價約束,并借助對抗訓(xùn)練增強(qiáng)對抗樣本的隱蔽性。實(shí)驗(yàn)結(jié)果表明,本文方法在CIFAR-10數(shù)據(jù)集上的擾動率為23%以下,與FGSM、BIM和DeepFool等常見攻擊方法相比,擾動率降低幅度在8%~35%;在GTSRB數(shù)據(jù)集上的擾動率為47%以下,降低幅度在15%~24%。(3)提出一種基于生成式對抗網(wǎng)絡(luò)并融合空間變換增強(qiáng)機(jī)制的攻擊模型生成方法,實(shí)現(xiàn)為不同輸入樣本自適應(yīng)產(chǎn)生具備可遷移性和魯棒性對抗樣本。實(shí)驗(yàn)結(jié)果表明,本文方法在CIFAR-10數(shù)據(jù)集上的白盒攻擊成功率為98%,黑盒攻擊成功率為94%;在GSTRB數(shù)據(jù)集上的白盒攻擊成功率為91%,黑盒攻擊成功率為66%。與FGSM、BIM、DeepFool和advGAN方法相比,黑盒攻擊成功率均有不同程度提高。
【學(xué)位單位】：廣東技術(shù)師范大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2019
【中圖分類】：TP18;TP309
【部分圖文】：

成 256x256 和 512x512 大小的圖像；NVIDIA 最近發(fā)表的關(guān)于 pix2pixHD[42]的論文可以生成 2048x1024 大小的真實(shí)感圖像；甚至像近期提出的無條件 GANs——progressiveGANs[43]也能夠生成 1024x1024 大小的圖像。Zhao 等人[19]利用 GAN 作為他們生成圖像和文本的對抗樣本方法的一部分，這使得生成的對抗樣本對人類來說更自然，此方法被命名為 Natural GAN。作者首先在數(shù)據(jù)集上訓(xùn)練了 WGAN 模型[44]，其中生成器 G 將隨機(jī)噪聲映射到輸入域。他們還訓(xùn)練了一個“逆變器”I 來將輸入數(shù)據(jù)映射到密集的內(nèi)部表示。因此，通過最小化諸如“特征對手”之類的內(nèi)部表示距離來產(chǎn)生擾動。生成器 G 和逆變器I 都是為了使構(gòu)建的對抗樣本看起來自然。由于 Natural GAN 不需要原始神經(jīng)網(wǎng)絡(luò)的梯度，因此它也可以應(yīng)用于黑盒攻擊。Xiao 等人[20]也采用 GAN 的結(jié)構(gòu)來生成對抗樣本，提出一種名為 advGAN 的網(wǎng)絡(luò)，并在半白盒和黑盒攻擊設(shè)置中應(yīng)用，實(shí)驗(yàn)結(jié)果表明，能有效提高黑盒攻擊成功率。因此，基于 GAN 的攻擊架構(gòu)有廣泛的適用性和實(shí)用性。本研究采用的 GAN 模型就是基于 WGAN 結(jié)構(gòu)，整個模型是全卷積的，具體如圖 2-3 所示。

(a) (b)圖 2-4 幾何變換示例4 對抗攻擊與防御4.1 對抗樣本在文獻(xiàn)[11]中描述的兩個神經(jīng)網(wǎng)絡(luò)的特征是最初產(chǎn)生對抗樣本的理論基礎(chǔ)：第個神經(jīng)元的語義有關(guān)。一般都是通過尋找最大限度地激活給定神經(jīng)元的輸入集個神經(jīng)元的語義。對單個神經(jīng)元的檢查使得隱含的假設(shè)對于提取語義信息特即最后一個特征層的神經(jīng)元構(gòu)成一個特殊的基礎(chǔ)。但后來發(fā)現(xiàn)，包含大部分語似乎是整個激活空間，而不是單個神經(jīng)元。第二個與神經(jīng)網(wǎng)絡(luò)相對于輸入的微穩(wěn)定性有關(guān)。假設(shè)有一個性能優(yōu)異的深度神經(jīng)網(wǎng)絡(luò)，它能很好地完成圖像識別任期望這樣的網(wǎng)絡(luò)對其輸入的微小擾動具有魯棒性，因?yàn)榧?xì)微的擾動不能改變圖

圖 2-5 基于梯度的對抗攻擊[49]抗樣本生成方法同的場景、假設(shè)和需求，攻擊者會部署特定的攻擊方法，生成不本節(jié)將從攻擊者的知識、攻擊的專一性和攻擊頻率三個維度對攻擊者具備的知識，攻擊方法可分為白盒攻擊（White-box attackox attacks）。白盒攻擊假定攻擊者知道與目標(biāo)模型相關(guān)的一切，結(jié)構(gòu)、訓(xùn)練方法等，在某些情況下還包括它的訓(xùn)練數(shù)據(jù)。黑盒攻型的了解有限，攻擊者無法獲取目標(biāo)模型的參數(shù)或結(jié)構(gòu)，只知道信度）。這種方式在攻擊在線機(jī)器學(xué)習(xí)服務(wù)時很常見，但現(xiàn)有的盒攻擊。不過，Papernot 等人[51]提出對抗樣本具有可遷移性，它擊中。除此之外，還有一種比較特殊的攻擊，是灰盒攻擊（gray-

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 胡悅;;金融市場中的神經(jīng)網(wǎng)絡(luò)拐點(diǎn)預(yù)測法[J];金融經(jīng)濟(jì);2017年18期

2 遲惠生;陳珂;;1995年世界神經(jīng)網(wǎng)絡(luò)大會述評[J];國際學(xué)術(shù)動態(tài);1996年01期

3 吳立可;;脈沖神經(jīng)網(wǎng)絡(luò)和行為識別[J];通訊世界;2018年12期

4 林嘉應(yīng);鄭柏倫;劉捷;;基于卷積神經(jīng)網(wǎng)絡(luò)的船舶分類模型[J];信息技術(shù)與信息化;2019年02期

5 俞頌華;;卷積神經(jīng)網(wǎng)絡(luò)的發(fā)展與應(yīng)用綜述[J];信息通信;2019年02期

6 韓真;凱文·哈特尼特;;為神經(jīng)網(wǎng)絡(luò)的通用理論建造基石[J];世界科學(xué);2019年04期

7 鮑偉強(qiáng);陳娟;熊濤;;基于進(jìn)化神經(jīng)網(wǎng)絡(luò)的短期電力負(fù)荷預(yù)測研究[J];電工技術(shù);2019年11期

8 陳曉燕;;淺析簡單神經(jīng)網(wǎng)絡(luò)的發(fā)展及簡單模型[J];數(shù)字技術(shù)與應(yīng)用;2019年05期

9 李青華;李翠平;張靜;陳紅;王紹卿;;深度神經(jīng)網(wǎng)絡(luò)壓縮綜述[J];計(jì)算機(jī)科學(xué);2019年09期

10 劉高宇;;深度神經(jīng)網(wǎng)絡(luò)在煤質(zhì)數(shù)據(jù)分析與預(yù)測中的應(yīng)用[J];電腦知識與技術(shù);2019年28期

相關(guān)會議論文 前10條

1 孫軍田;張U

本文編號：2820133