面向图像分类的黑盒攻击算法研究.pdfVIP

摘要

摘要

近年来，基于深度神经网络的图像分类模型被广泛应用于人脸识别、自动驾

驶和安防监控等计算机视觉的关键领域。然而，对抗技术在输入至模型的图片上

增添人眼无法察觉的微小扰动即可改变模型的预测结果，进而对图像分类模型在

生活中的安全应用产生危害。研究对抗样本生成方法能够发现模型的内在缺陷，

帮助研究人员提升图像分类算法的鲁棒性。现有的黑盒攻击方法主要针对卷积网

络模型，对新网络架构的攻击效果较差。并且，在替代模型与黑盒模型差异较大

的情况下，基于多替代模型的攻击方法效果不佳。针对以上问题，本文对面向图

像分类的攻击算法展开研究，具体研究内容如下：

1.基于图像增强和梯度约束的攻击方法。本文对ViT模型的迁移攻击成功率

较低的问题进行了研究，首先对图像进行增强变换从而获取更多的局部特征，然

后在反向传播时通过约束减小梯度方差，最后对梯度信息进行动量迭代加速对抗

样本生成。通过在数据集上与当前主流ViT模型攻击方法进行对比实验，该方法

攻击成功率可达89.1%，相比于基线方法提高了15.0%，证明本方法能够在黑盒

场景下有效地攻击ViT模型。

2.基于集成梯度的多模型替代攻击方法。本文对多模型替代攻击时的对抗样

本扰动生成和更新问题进行研究，首先通过集成梯度反映图片关键特征来扰动图

像关键部分，然后融合CNN模型和ViT模型形成替代模型库，最后在对抗样本更

新过程中计算各模型权重来生成对抗样本。通过在数据集上与多模型替代攻击方

法进行对比实验，该方法攻击成功率可达79.3%，相比于基线方法提高了17.5%，

证明本方法能够通过多个替代模型进行有效的攻击。

3.本文基于上述对抗样本生成方法设计了图像对抗样本生成系统。用户可以

选择上传图像或使用系统数据集的方式生成对抗样本，并在前端对生成的对抗样

本及成功率进行展示，该系统使用户能够有效地评估攻击方法的成功率和图像分

类模型的鲁棒性。

关键词：黑盒攻击，对抗样本，迁移攻击，图像分类，模型鲁棒性

I

ABSTRACT

ABSTRACT

Inrecentyears,imageclassificationmodelsonthebasisofdeepneuralnetworks

havebeenwidelyadoptedincrucialareasofcomputervisionsuchasfacerecognition,

autonomousdrivingandsecuritysurveillance.However,adversarialtechniquescould

changethepredictionresultsofthemodelbyaddingtinyperturbationsimperceptibleto

theimagesinputtothemodel,thushazardingthesecurityapplicationsofimage

classificationmodelsinlife.Theresearchonadversarialsamplegenerationmethodscan

identifytheintrinsicflawsofthemodelandassistresearchersinimprovingtherobustness

ofimageclassificationalgorithms.Theexistingblack-boxattackmethodsmainlytarget

convolutionalnetworkmodelsandarelesseffectiveagainstnewnetworkarchitectures.

Moreover,attackmethodsbasedon