计算机工程与应用 ›› 2022, Vol. 58 ›› Issue (7): 68-76.DOI: 10.3778/j.issn.1002-8331.2102-0210
王志勇,邢凯,邓洪武,李亚鸣,胡璇
WANG Zhiyong, XING Kai, DENG Hongwu, LI Yaming, HU Xuan
摘要: 随着深度学习相关技术在计算机视觉、自然语言处理等领域的快速发展和广泛应用,深度学习模型逐渐成为了高价值攻击目标,其固有的易受噪声干扰的安全隐患也逐步暴露出来,如基于生成对抗网络(GAN)或机器学习的方式,通过添加少量特定的噪声来生成对抗样本,导致现有的深度学习模型失效。目前的对抗攻击技术一般针对特定深度学习模型,使用海量算力搜索特定扰动噪声,无论是GAN还是传统机器学习方式,其计算效率和对抗攻击成功率受制于数据、算力和模型网络结构。为了解决对抗攻击的计算效率和对抗攻击成功率问题,着眼于深度学习模型的结构化分析,以ResNeXt50/ResNeXt101为例,基于数据增强技术,经过调制干预,由非序列图像数据生成序列数据,进而分析ResNeXt50/ResNeXt101模型的结构弱点-时不变稳定结构,提出一种基于Wasserstein距离,仅需少量样本即可定位该结构性弱点的方法,最后基于[L]范数提出一种针对其结构性弱点的新型对抗攻击方法,对算力、数据的要求大幅下降。基于ImageNet数据集的测试表明,新方法能大幅降低对抗攻击所需的算力要求,以C&W方法为基准进行的理论分析和实验结果均表明,在同样环境下,该对抗攻击方法的成功率为0.99,相对于C&W方法提高了5.32%;平均攻击时间为6.52?s,相对于C&W算法降低了10.81%;对抗样本的失真度为0.50,相对于C&W算法降低了18.03%,各指标分析均表明本方法显著优于C&W方法。