徐 明，蔣奔馳

(杭州電子科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 杭州 310016)

近年來，深度學(xué)習(xí)在各個(gè)領(lǐng)域被廣泛應(yīng)用，其安全性備受關(guān)注，特別是對(duì)抗樣本[1]帶來了諸多潛在威脅。對(duì)抗樣本是通過對(duì)原始圖像添加刻意構(gòu)造的微小擾動(dòng)后，使特定的深度學(xué)習(xí)分類器以高置信度產(chǎn)生一個(gè)錯(cuò)誤的分類輸出。理想的對(duì)抗樣本不僅能夠欺騙機(jī)器學(xué)習(xí)分類器，且其差異應(yīng)不易被人類視覺感知。

在目前的對(duì)抗樣本生成算法中，為了保證添加擾動(dòng)后圖像篡改痕跡的不可見性，通常研究人員采用比較公認(rèn)的標(biāo)準(zhǔn)，即在RGB顏色空間內(nèi)滿足一定的Lp范數(shù)約束，用Lp范數(shù)衡量對(duì)抗樣本中擾動(dòng)的大小。如C&W[2]、FGSM[3]及變種(I-FGSM[4]、RFGSM[5])、Deepfool[6]和JSMA[7]。但范數(shù)距離與人類感官差異存在較大的偏差[8]，采用范數(shù)約束優(yōu)化生成的對(duì)抗樣本不可避免地會(huì)在圖像平滑區(qū)域出現(xiàn)肉眼可見的異常紋理。

此外在基于迭代優(yōu)化的對(duì)抗樣本生成算法中，如C&W[2]、DDN[9]等算法的損失函數(shù)是由多個(gè)損失函數(shù)累加，通常引入超參數(shù)來表示每個(gè)損失之間的加權(quán)系數(shù)。損失函數(shù)中的超參數(shù)在圖像風(fēng)格轉(zhuǎn)移[10]、圖像超分辨率[11]及GAN等網(wǎng)絡(luò)模型中都會(huì)涉及，通常采用遍歷或者隨機(jī)搜索的方式反復(fù)嘗試，最終才能確定合適的超參數(shù)。

為了解決對(duì)抗樣本平滑區(qū)域易出現(xiàn)異常紋理和超參數(shù)確認(rèn)困難的問題，本文提出了一種超參數(shù)自適應(yīng)調(diào)節(jié)算法(Aho-λ)。該算法基于圖像紋理和顏色感知距離，有效降低了對(duì)抗樣本的視覺差異。訓(xùn)練過程中結(jié)合損失函數(shù)中超參數(shù)與攻擊成功率和擾動(dòng)距離之間的線性關(guān)系[2,9]，進(jìn)行動(dòng)態(tài)調(diào)節(jié)超參數(shù)，有效避免了超參數(shù)的反復(fù)嘗試，降低對(duì)抗樣本擾動(dòng)的同時(shí)也減少了算法的迭代次數(shù)。

1 相關(guān)工作

對(duì)抗樣本的設(shè)計(jì)是為了產(chǎn)生與原始圖像接近的篡改圖像，不影響人類判斷的前提下使深度學(xué)習(xí)模型受到明顯的改變。對(duì)抗樣本問題可以描述為：

在距離D的約束下，使網(wǎng)絡(luò)分類器的標(biāo)簽發(fā)生改變；距離D可以分為L(zhǎng)p范數(shù)和非Lp范數(shù)。

1.1 基于Lp范數(shù)的對(duì)抗樣本生成算法

傳統(tǒng)算法中，擾動(dòng)大小通常用Lp范數(shù)來表示：

常用的Lp范數(shù)包括L0、L2及L∞范數(shù)。L0范數(shù)表示非零元素的個(gè)數(shù)，L0范數(shù)限制可修改像素的數(shù)量，如JSMA[7]通過迭代的次數(shù)來限制L＞0范數(shù)。另外，L0范數(shù)廣泛應(yīng)用于黑盒模型中，如單像素攻擊[12]僅通過修改某一個(gè)像素便可引起分類器的誤判。L2范數(shù)也稱歐式距離，使用在文獻(xiàn)[1, 4, 7]中，是衡量對(duì)抗樣本全局?jǐn)_動(dòng)大小的指標(biāo)。L∞范數(shù)使用在文獻(xiàn)[2, 4, 5]中，表示向量中元素的最大值，相比于L2范數(shù)，L∞范數(shù)側(cè)重于圖像局部的修改限制，對(duì)L∞范數(shù)的約束是為了防止圖像某一像素點(diǎn)擾動(dòng)過大。

文獻(xiàn)[1]首先提出范數(shù)約束擾動(dòng)大小的方法，如式(3)所示，損失需要由超參數(shù)λ來調(diào)節(jié)，其中J是交叉墑，該文獻(xiàn)提出了一種有效算法L-BFGS進(jìn)行求解。

綜上所述，在臨床偏頭痛患者的治療中聯(lián)合使用氟桂利嗪和尼莫地平進(jìn)行治療，療效較之單純使用氟桂利嗪進(jìn)行治療要更高，具有臨床意義，值得推廣使用。

C&W算法[2]對(duì)文獻(xiàn)[1]算法進(jìn)行了改進(jìn)，如式(4)所示，通過引入tanh函數(shù)解決了圖像的訓(xùn)練約束，把像素值約束在[0,1]之間，并且交叉墑?dòng)檬?9)進(jìn)行替代。

文獻(xiàn)[1]和文獻(xiàn)[2]兩種算法都涉及超參數(shù)λ的選擇，λ維持Lp范數(shù)和交叉墑之間的平衡，λ過大使對(duì)抗樣本Lp范數(shù)過大，圖像產(chǎn)生明顯的擾動(dòng)；λ過小會(huì)導(dǎo)致對(duì)抗樣本不能產(chǎn)生攻擊效果。也有算法避開了超參數(shù)λ的選擇，如I-FGSM[4]和Deepfool[6]，這些算法通過降低迭代次數(shù)來降低Lp范數(shù)。

1.2 基于非Lp范數(shù)的對(duì)抗樣本生成算法

目前，還沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)用來描述圖像的感官差異。在文獻(xiàn)[13-14]中，SSIM[15]取代了Lp范數(shù)，其缺點(diǎn)是SSIM對(duì)圖像微小的變化都較敏感，有時(shí)即使完全不同的圖像的SSIM值卻比相似圖像要高[13]。還有研究用多重的Lp疊加來取代單一的范數(shù)約束[16]，雖然能夠獲得一定的效果，但是很難從根本上降低圖像擾動(dòng)的可見性，反而增加了訓(xùn)練的復(fù)雜程度。另外，文獻(xiàn)[17]使用諧波(Harmonic)生成無邊緣的平滑擾動(dòng)來降低擾動(dòng)的可見性；文獻(xiàn)[18-20]將拉普拉斯平滑項(xiàng)(Laplacian smoothing term)和正則項(xiàng)(regularization term)引入損失函數(shù)中，以此來生成平滑的對(duì)抗樣本。此外，很多研究將擾動(dòng)盡可能地添加在圖像的高紋理區(qū)域[21-24]，將紋理損失加入損失函數(shù)中降低平滑區(qū)域的噪聲。文獻(xiàn)[21]提出的C-adv方法通過改變背景的顏色和修改圖像中物品的著色來獲得有效的對(duì)抗樣本。另外，文獻(xiàn)[25]提出PerC-C&W和PerC-AL方法，使用CIEDE2000[26]取代了Lp范數(shù)約束，在反向傳播中進(jìn)行直接優(yōu)化，使用這一標(biāo)準(zhǔn)作為圖像質(zhì)量的衡量指標(biāo)，生成的對(duì)抗樣本與原始圖像視覺差異更小。

2 自適應(yīng)無感對(duì)抗樣本生成算法

基于紋理度篩選和顏色感知距離CIEDE2000，本文提出了對(duì)抗樣本生成算法Aho-λ，能夠在訓(xùn)練過程中自適應(yīng)調(diào)節(jié)超參數(shù)，算法流程如圖1所示。

圖1 無感對(duì)抗樣本算法流程圖

2.1 CIEDE2000顏色感知距離

本文將CIEDE2000標(biāo)準(zhǔn)引入損失函數(shù)中，取代原先的Lp范數(shù)。CIEDE2000計(jì)算公式為：

式中，L、C、H分別代表了圖像的亮度(lightness)、色度(chroma)、明度(hue)。參數(shù)參考文獻(xiàn)[26]。通過文獻(xiàn)[26]的研究證明，這一標(biāo)準(zhǔn)比范數(shù)距離更符合人類肉眼對(duì)于顏色的感知。

2.2 圖像紋理度

圖像紋理度是用來表述圖像每個(gè)像素點(diǎn)位置的紋理程度大小的指標(biāo)。在文獻(xiàn)[10-11]研究中，對(duì)抗樣本的擾動(dòng)應(yīng)盡可能添加在圖像的平滑區(qū)域，文獻(xiàn)[11]首次在對(duì)抗樣本訓(xùn)練中引入了紋理度損失，如式(6)：

式中，Sen是每個(gè)像素點(diǎn)的敏感度因子(為每個(gè)點(diǎn)和周圍像素點(diǎn)之間的方差的倒數(shù))，如式(7)：

本文選取了方差SD來表示圖像紋理度，作為篩選圖像擾動(dòng)區(qū)域的量化指標(biāo)，n取值3，并在迭代的過程直接過濾掉低紋理區(qū)域，降低計(jì)算成本。

2.3 自適應(yīng)訓(xùn)練算法

首先本文將為式(8)定義對(duì)抗樣本訓(xùn)練的損失，

式中，ΔE00表示顏色感知距離；f表示攻擊目標(biāo)網(wǎng)絡(luò)的損失函數(shù)，超參數(shù)λ調(diào)節(jié)ΔE00和f之間的比率，對(duì)于不同的圖像λ的取值不同。

本文設(shè)計(jì)的Aho-λ算法，能夠適應(yīng)不同的圖像和網(wǎng)絡(luò)模型，通過訓(xùn)練得到一個(gè)相對(duì)較優(yōu)的參數(shù)λ來降低加入的擾動(dòng)大小。算法使用的f(x)如式(9)所示，文獻(xiàn)[2]已經(jīng)實(shí)驗(yàn)證明了f(x)能夠有效代替交叉墑，其中參數(shù)k用來描述模型中最大概率的預(yù)測(cè)項(xiàng)和次預(yù)測(cè)項(xiàng)目之間的距離大小，能夠有效反映生成對(duì)抗樣本的置信度。

Aho-λ如算法1所示，使用式(7)將所有像素點(diǎn)的紋理度進(jìn)行計(jì)算及排序，把紋理度較低的點(diǎn)按照一定百分比進(jìn)行過濾。依據(jù)對(duì)抗樣本攻擊成功與否，在迭代過程中動(dòng)態(tài)調(diào)節(jié)超參數(shù)λ的大小。超參數(shù)λ值越大越能保證對(duì)抗樣本攻擊的成功率，但是為了有適當(dāng)?shù)母兄嚯x且不易被肉眼察覺，對(duì)于每一張圖像需要一個(gè)適合的λ值來權(quán)衡感知距離和攻擊成功率之間的關(guān)系。結(jié)合每次迭代的對(duì)抗樣本攻擊結(jié)果，參考機(jī)器學(xué)習(xí)訓(xùn)練中的優(yōu)化算法對(duì)λ進(jìn)行自適應(yīng)的調(diào)節(jié)，其中衰減率θ滿足0 ＜θ＜1，目的是為了讓?duì)俗罱K穩(wěn)定在某一范圍內(nèi)，隨著迭代的不斷進(jìn)行，λ的變化率逐漸減小。

算法1：自適應(yīng)訓(xùn)練算法

計(jì)算圖像紋理度x′，將高紋理區(qū)域置為1，低紋理區(qū)域置為0

3 實(shí) 驗(yàn)

3.1 實(shí)驗(yàn)設(shè)計(jì)

數(shù)據(jù)集與網(wǎng)絡(luò)：選用NIPS 2017對(duì)抗樣本攻防比賽[26]所采用的數(shù)據(jù)集ImageNet-Compatible dataset，共包含6 000張圖像，屬于ImageNet 1 000種標(biāo)簽類，Inception V3[27]具有較高的識(shí)別率。因此，本文將Inception V3作為目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊產(chǎn)生對(duì)抗樣本，最后將獲取到的圖像直接縮放到指定大小，圖像的長(zhǎng)寬為299*299。

實(shí)驗(yàn)對(duì)比的算法：與Lp范數(shù)的I-FGSM[4]、C&W[2]和DDN[9]算法，及感官距離CIEDE2000的PerC-AL[25]算法進(jìn)行對(duì)比。比較對(duì)抗樣本的攻擊成功率、Lp范數(shù)和感官距離。

實(shí)驗(yàn)建立與參數(shù)選擇：I-FGSM每次迭代的步長(zhǎng)設(shè)置為η=1/255，直到攻擊成功后停止。C&W算法中，學(xué)習(xí)率設(shè)置為0.005，超參數(shù)λ使用[0.01,0.1,1,10,100]進(jìn)行選擇，生成的對(duì)抗樣本中擾動(dòng)最小的圖像作為最終結(jié)果。PerC-C&W和PerC-AL算法的學(xué)習(xí)率為0.001，DDN的單步步長(zhǎng)為0.01。DDN、PerC-AL和本文的Aho-λ算法，迭代次數(shù)設(shè)置為[100,300,1 000]分別進(jìn)行比較。

3.2 局部像素修改實(shí)驗(yàn)

本文提出的方法能夠有效地對(duì)添加擾動(dòng)的區(qū)域進(jìn)行篩選和修改限制。如圖2所示，圖像第一行為不同修改比率下生成的對(duì)抗樣本；第二行為對(duì)抗樣本修改像素點(diǎn)的位置，使用255替換原來的顏色，圖像中白色部分表示修改像素點(diǎn)對(duì)應(yīng)的RGB三個(gè)顏色通道都被修改過。根據(jù)本文提出的算法，將紋理度排序并篩選出一定比率的可攻擊區(qū)域，實(shí)驗(yàn)結(jié)果如表1所示?？梢钥闯鰞H需修改圖像中的少量點(diǎn)就能得到較高的攻擊成功率，當(dāng)修改區(qū)域大于70%時(shí)能保證圖像100%的攻擊成功率；對(duì)抗樣本L2范數(shù)隨著修改點(diǎn)的減少呈現(xiàn)下降的趨勢(shì)，從L∞范數(shù)可以看出單個(gè)像素點(diǎn)的最大擾動(dòng)隨之提高。另外，當(dāng)修改像素在70%時(shí)，顏色感知距離C2具有最低值56.54。因此，本文后續(xù)的實(shí)驗(yàn)都采用70%的像素修改作為實(shí)驗(yàn)參數(shù)。

圖2 Aho-λ不同修改比率得到的對(duì)抗樣本效果

表1 圖像修改比率、攻擊成功率及擾動(dòng)距離對(duì)比

3.3 對(duì)抗樣本質(zhì)量實(shí)驗(yàn)

如表2所示，在不考慮感官距離的DDN、C&W以及I-FGSM三種算法中，DDN算法能夠獲得最低的L2范數(shù)，略優(yōu)于C&W算法；在I-FGSM算法中，L∞取決于迭代的次數(shù)，且每次迭代具有固定步長(zhǎng)，雖然I-FGSM能夠獲得較低的L∞范數(shù)，但在L2和C2上都不如其他算法優(yōu)越。在結(jié)合感官距離的算法PerC-AL和Aho-λ中，本文提出的Aho-λ算法能夠達(dá)到和DDN算法基本相同的L2范數(shù)，并具有比PerC-AL算法更小的顏色感知距離C2。與DDN和PerC-AL算法相比，Aho-λ算法在300次和1 000次迭代過程中生成的兩組對(duì)抗樣本差異更小，這說明本文提出的Aho-λ算法能夠更快地收斂，在300次左右就能夠達(dá)到最佳的攻擊效果。

表2 對(duì)抗樣本質(zhì)量對(duì)比

本文算法與其他幾種算法生成的對(duì)抗樣本局部細(xì)節(jié)對(duì)比如圖3所示。圖3a是原始圖像，放大方塊的選中區(qū)域后本文的算法并未出現(xiàn)異常紋理，與原圖基本一致。其余幾種方法都出現(xiàn)了可見的異常紋理。

圖3 5種算法生成的對(duì)抗樣本

3.4 置信度與魯棒性實(shí)驗(yàn)

置信度k值變化會(huì)影響對(duì)抗樣本的質(zhì)量，能有效地保證對(duì)抗樣本輸出的標(biāo)簽與其他標(biāo)簽之間的差異，如式(9)所示。在不同置信度k下，本文算法Lp范數(shù)和顏色感知距離變化如圖4所示，置信度k值越大，擾動(dòng)距離L2、L∞和C2不斷增大。

圖4 不同置信度下3種擾動(dòng)距離的大小

圖片的有損壓縮通常也被當(dāng)作是防御對(duì)抗樣本攻擊的有效手段。本實(shí)驗(yàn)選取了與文獻(xiàn)[20, 28]相同的JPEG和Bit Depth壓縮方法。在不同質(zhì)量因子下，JPEG壓縮后的對(duì)抗樣本保持原有攻擊效果的比率，如圖5所示。在常用的質(zhì)量因子大于70時(shí)，本文提出的算法具有一定的抗JPEG壓縮能力；但當(dāng)質(zhì)量因子小于60時(shí)，壓縮圖像越來越模糊，對(duì)抗樣本的攻擊成功率降低。Bit Depth壓縮下也表現(xiàn)出了近似的效果，如圖6所示，原來圖像顏色由8位壓縮到4位以上時(shí)，對(duì)抗樣本表現(xiàn)出較出色的抗壓縮能力。同時(shí)，圖5和圖6表明，由于置信度增加，需要在圖像中嵌入擾動(dòng)變大，對(duì)抗樣本的魯棒性也隨之提高。

圖5 不同JPEG質(zhì)量因子下對(duì)抗樣本的成功率

圖6 Bit Depth壓縮下對(duì)抗樣本的成功率

3.5 遷移性實(shí)驗(yàn)

現(xiàn)有的許多研究表明[2,3,23]，對(duì)于不同網(wǎng)絡(luò)模型使用相同的對(duì)抗樣本可能達(dá)到同樣的攻擊效果，即對(duì)抗樣本具有一定的遷移性。本文選取ImageNet-Compatible dataset數(shù)據(jù)集作為實(shí)驗(yàn)對(duì)象，置信度k選擇20和40，分別在Google net[27]、Vgg-16[29]和ResNet-152[30]網(wǎng)絡(luò)模型上進(jìn)行遷移性實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果如表3所示。表3中的數(shù)據(jù)表示在不同置信度k下，不同算法生成的對(duì)抗樣本在另外兩種網(wǎng)絡(luò)模型中具有相同的分類結(jié)果的比率。另外，在所有算法中I-FGSM遷移性最好，其加入的L2和C2顏色感知距離都是最大的；Aho-λ算法雖然具有一定的遷移性，但是遷移性不高，原因可能有以下兩點(diǎn)：首先Aho-λ算法加入的擾動(dòng)是所有算法中最小的；其次可能是不同的網(wǎng)絡(luò)模型對(duì)于圖像紋理區(qū)域的改變比較敏感。因此，Aho-λ算法在不同網(wǎng)絡(luò)模型中的判別結(jié)果一致性不高。

表3 不同神經(jīng)網(wǎng)絡(luò)模型中的遷移性

4 結(jié) 束 語

本文結(jié)合紋理度篩選與顏色感知距離CIEDE2000作為圖像損失函數(shù)，設(shè)計(jì)了一種能夠自適應(yīng)調(diào)節(jié)超參數(shù)的算法Aho-λ，生成的圖像具有更小的顏色感知距離和更快的收斂。在JPEG和Big Depth壓縮下具有良好的魯棒性，且對(duì)抗樣本在多種網(wǎng)絡(luò)模型下具備一定的遷移能力。

使用CIEDE2000標(biāo)準(zhǔn)作為人類感知距離，在一定程度上降低了對(duì)抗樣本在視覺上的可見度，但在圖像平滑區(qū)域依然存在一定的可感知性，未來希望找到一種更符合人類感官的新標(biāo)準(zhǔn)引入訓(xùn)練損失中；同時(shí)也希望找到一種能夠定量區(qū)分圖像修改區(qū)域的方法，進(jìn)一步完善紋理度篩選。