隨著深度學習的日益發(fā)展,深度神經網絡在計算機視覺、文本處理、語音識別等領域都占據(jù)著愈發(fā)重要的位置。然而近年的研究表明,沒有任何特定防御措施的深度神經網絡極其容易被攻破。例如在圖像分類任務中,在清晰圖片上施加人類肉眼難以分辨的細微擾動,就可以使深度神經網絡以極高的置信度將圖片內容判斷為錯誤的類別,造成極大的危害�，F(xiàn)有的深度神經網絡攻擊主要分為兩種:一種是白盒模型攻擊,其假定的條件為被攻擊的神經網絡模型對攻擊者是已知的,即模型的輸出結果以及模型的結構、參數(shù)皆可被攻擊者得到,攻擊者可以利用模型參數(shù)快速生成高成功率的對抗樣本;另一種是黑盒模型攻擊,其假定攻擊者僅可以得到模型的輸出結果,而無法得到模型的結構與參數(shù),該攻擊環(huán)境更貼合實際,因而本文也更關注該方面的研究,黑盒模型攻擊相較白盒模型攻擊,攻擊成功率低且速度較慢,但危害性卻遠遠勝過白盒模型攻擊。本文提出的多模型高效查詢攻擊（Multi-Model Efficient Query Attack）方法針對黑盒模型攻擊所需查詢次數(shù)過多、速度過慢的問題,在攻擊查詢過程中引入了多種白盒模型作為指導模型,利用白盒模型與黑盒模型的關聯(lián)性給出求解黑盒攻擊問... 

【文章來源】：華東師范大學上海市 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：86 頁

【學位級別】：碩士

【部分圖文】：

對抗樣本示例

華東師范大學碩士學位論文第一章緒論圖1.2:指定目標攻擊與非指定目標攻擊都有實現(xiàn)的可能，而造成重大影響這一條件則廣泛存在于深度學習任務中。對抗樣本是由現(xiàn)有深度學習的缺陷所帶來的，因而對輸入值為連續(xù)值的樣本而言，在原樣本上進行微小的修改，都有可能使得擾動經過深度模型的層層放大，最終造成模型端的巨額梯度更新，成為對抗樣本。目前對抗樣本已經在白盒攻擊領域取得了很好的成效，可以快速生成了高成功率低擾動的對抗樣本；而在黑盒攻擊領域，隨著基于模型短鏈接的對抗樣本生成法[13]、基于模型融合的對抗樣本生成法[14]等的出現(xiàn)，讓對抗擾動與淺層通用信息的關聯(lián)性更強，使得遷移攻擊這種不需要任何與黑盒交互的攻擊方法也能在黑盒模型上取得不錯的非指定目標攻擊成功率。黑盒攻擊領域另一類方法則是通過自然進化策略預估梯度，將黑盒攻擊問題轉化為白盒攻擊問題，待攻擊圖片可以在萬次的查詢后擁有極高的攻擊成功率，此外通過例如自編碼器[15]、隨機選擇攻擊[16]、Bandit估計[17][18]等方法，可以將查詢次數(shù)下降至千次的量級，提升黑盒攻擊的效率。對抗樣本攻擊領域仍有部分有待改進的問題，在非指定目標攻擊領域，梯度4

華東師范大學碩士學位論文第二章相關工作圖2.1:Sign函數(shù)圖實現(xiàn)方式，具體更新方式為xadv=x+signx(F(x),y),(2.7)其中sign函數(shù)是如圖2.1所示，將大于0的值輸出為1，小于0的值輸出為1，等于0的值輸出為0的函數(shù)。由于梯度更新方向僅存在兩個方向，并被限制在[1,1]的區(qū)間，因而乘以系數(shù)必然滿足擾動大小的約束條件。2.2.2白盒模型攻擊算法所有白盒對抗攻擊算法的目標都是找到當前圖片使白盒模型的損失函數(shù)最大化的優(yōu)化方向，并依據(jù)此梯度方向更新。根據(jù)其約束條件的不同可以構建出不同的優(yōu)化任務，同時又因為更新方式的不同，白盒對抗攻擊方法可以分為很多種類。L-BFGS：L-BFGS白盒攻擊法由Szegedyetal.[1]于2013年ICLR提出，是對抗樣本領域的第一篇論文，針對白盒分類模型帶L2約束的優(yōu)化問題，其將約束轉化為目標損失函數(shù)的一部分，構建出對抗攻擊的優(yōu)化問題minc∥xxadv∥22+F,t(xadv)(2.8)s.t.xadv∈[0,1]n,其中第一項是對抗圖片與原圖片的距離損失，第二項為模型判別的損失函數(shù)，t為目標類，如果為非指定目標攻擊，則t=y，同時(xadv)應變?yōu)?xadv)。L-BFGS全稱Limited-memoryBroyden-Fletcher-Goldfarb-Shanno，原本用以求解無約束線性規(guī)劃問題，采用的是擬牛頓法，具有收斂速度快，內存空間低的特點。在此問題中10


本文編號：3224376