TargetedFool一种实现有目标攻击的算法.docx

对抗样本是指为了使分类器产生错误的分类结果,在原始样本中加入轻微扰动后得到的攻击样本。敌手利用对抗样本可以攻击基于深度神经网络的应用模型。现有的对抗攻击按照敌手对模型的了解程度,可以分为黑盒攻击[1,2,3,4,5]和白盒攻击[6,7,8,9]。按照产生扰动的方法,可以分为基于梯度的攻击方法、基于优化的攻击方法和基于决策面的攻击方法[10]。按照对抗攻击的结果,可以分为有目标攻击和无目标攻击。有目标攻击可以实现将攻击目标扰动至特定类别,对于提供识别服务的系统构成了更大的威胁。 2014年,SZEGEDY等[11]首次提出基于L-BFGS优化算法[12]生成有目标对抗样本的L-BFGS攻击算法。