• 学术研究 • 下一篇
郑德生, 田野, 柯武平,李晓瑜, 殷浩, 王聪
ZHENG Desheng, TIAN Ye, KE Wuping, LI Xiaoyu, YIN Hao, WANG Cong
摘要: 深度神经网络(Deep Neural Networks, DNNs)很容易受到微小扰动生成的对抗样本的攻击,它对基于DNNs的应用构成极大威胁。基于决策的攻击是一类仅依赖目标模型预测硬标签的黑盒攻击。目前基于决策的攻击方法通常采用梯度估计在目标模型决策边界附近发动攻击,但需要高昂的查询代价。因此,该研究提出一种基于球几何性质的黑盒攻击方法,称为球攻击(Sphere-based Black-box Attack,SBA)。它利用球的空间几何性质寻找最优对抗样本点,避免了梯度估计,实现了高攻击成功率和低质量损失的对抗样本。首先,通过添加随机大噪声和线性查找得到初始对抗样本。接着,利用离散余弦变换将输入样本和对抗样本变换到频率空间并利用几何位置关系采样三维子空间。然后,将频率空间决策边界近似为超平面并利用球的几何性质迭代更新频率空间内更优的对抗样本,重复此步骤不断更新。最后,利用逆离散余弦变换将其变换回输入空间最终得到最佳对抗样本。在ImageNet数据集上的实验结果表明,SBA的攻击成功率取得了当前的最优效果,并且PSNR和SSIM结果表明,SBA生成的图像质量更佳。