面向目标识别模型的对抗攻击技术研究.pdf

面向目标识别模型的对抗攻击技术研究

摘要

近年来，随着人工智能技术的迅速发展，基于深度卷积神经网络的技术在文字识别、

自然语言处理、计算机视觉以及跨模态情感分析等领域得到广泛应用，促进了社会生产

力的增长，提高了人们的工作效率。然而，研究学者们发现深度卷积神经网络模型容易

受到对抗样本的影响，从而导致模型输出错误的分类，这种对抗攻击已经严重威胁到了

生产生活秩序，成为人工智能走向全面落地的挑战之一，研究与图像识别技术相关的对

抗攻击不仅有助于认识深度卷积神经网络模型的脆弱性，而且还可以帮助人们认识到深

度神经网络模型存在的安全隐患并加以完善。本文在详细分析对抗攻击相关原理的基础

上，提出了两种针对目标识别模型的对抗攻击算法。

首先，针对深度学习模型容易受到对抗样本攻击的问题，以及对当前对抗攻击算法

存在的局限性进行研究分析，由于现有对抗攻击算法往往难以在大规模数据集上生成具

有通用性的对抗样本，这导致了模型鲁棒性的不足，通过对通用对抗扰动、零阶优化算

法和SPSA优化算法等技术的研究，发现这些算法虽然可以对输入数据进行批处理，从

而生成对抗样本，但仍然受到一定的限制，这些限制包括对计算资源的高要求、对模型

结构和训练数据的敏感性等问题。因此，为了解决这些局限性，本文提出了一种新的对

抗攻击算法，通过结合批量精度损失和SPSA优化算法的DecAttack算法。DecAttack

能够应用于基于决策的黑盒攻击中，生成对抗扰动，从而实现了对目标模型的批处理对

抗攻击，通过与其他黑盒攻击方法比较，验证了DecAttack在性能方面的提升。这一研

究提高了对抗攻击的实用性和适用性，为提高对抗攻击效率和可行性做出了贡献。

其次，由于现有的对抗攻击算法生成的对抗样本在迁移性方面的不足，难以生成具

有较好迁移性的对抗样本，但是，对抗样本的迁移性对于提升模型的鲁棒性又极为关键，

因此，本文在研究基于对抗生成网络（AdvGAN，AdversarialGenerativeAdversarial

Network）的对抗攻击算法的基础上，提出了一种新的对抗攻击算法AdvGAN-GAttack，

利用AdvGAN对抗训练原理，结合样本空间域与频域的转换，利用梯度编辑机制对

AdvGAN模型中生成器梯度参数进行优化，从而生成具有较高迁移性的对抗样本，通过

与其他具有迁移性的对抗攻击算法的性能比较，验证了AdvGAN-GAttack在对抗样本

的迁移性和算法运行时间成本方面的优势。

关键词：深度卷积神经网络；对抗攻击；生成对抗网络；批处理攻击；迁移性

面向目标识别模型的对抗攻击技术研究

Abstract

Inrecentyears,withtherapiddevelopmentofartificialintelligencetechnology,techniques

basedondeepconvolutionalneuralnetworkshavebeenwidelyappliedinfieldssuchastext

recognition,naturallanguageprocessing,computervision,andcrossmodalsentimentanalysis,

promotingthegrowthofsocialproductivityandimprovingpeoplesworkefficiency.However,

researchershavefoundthatdeepconvolutionalneuralnetworkmodelsareeasilyaffectedby

adversarialsamples,leadingtoincorrectclassificationofmodeloutputs.Thisadversarialattack

hasseriouslythreatenedtheorderofproductionandlife,becomingoneofthechallengesfor

artificial