首先, 对本文使用的符号进行形式化规范.定义干净的输入样本x服从于分布Χ , 被攻击的分类网络为f, 分类网络最后一个卷积层的输出为f^c(x).令y(x)为分类网络的预测类别, P(x)为分类网络最后一层的输出值, P_j(x)为分类网络预测样本为类别j的概率.δ 为生成的局部可视对抗扰动, 将扰动δ 随机放置在x某个位置上得到的对抗样本表示为A(x, δ ).

本文的目标可以形式化表述为寻求产生δ 的方式, 使

y(x)≠ y(A(x, δ ) for x~Χ .(1)

为了实现这个目标, 本文以GAN为基础, 构建G₂LVAP, 如图2所示, 输入z为随机变量.不同于GAN框架同时训练生成器G和判决器D, G₂LVAP以分类网络f作为判决器D并固定参数不变.在训练模型的过程中, 仅优化生成器G的参数, 直到G能够将输入的随机变量z转换为具备攻击性的局部可视对抗扰动.

图2

Fig.2

	Figure Option ViewDownloadNew Window
	图2 G2LVAP框图Fig.2 Flowchart of G2LVAP

为了欺骗目标分类网络, 需定义合适的损失函数以训练G.y(x)为分类网络对样本x的预测类别, P_y(x)(A(x, δ ))表示对抗样本A(x, δ )被目标分类网络判定为类别y(x)的概率, 为实现式(1)目标, 扰动δ 应当尽可能对分类网络造成混淆, 减小P_y(x)(A(x, δ ))的值, 直到存在类别j, 使

P_y(x)(A(x, δ ))≠ P_j(A(x, δ )) for j≠ y(x). (2)

当式(2)满足时, 目标分类网络将对抗样本A(x, δ )判定为其它类别(如类别j)而非y(x), 扰动攻击目标分类网络成功.因此, 定义欺骗损失:

L_f=-lg(1-P_y(x)(A(x, δ ))).(3)

L_f随着P_y(x)(A(x, δ ))的减小而减小.通过优化欺骗损失L_f, 使生成器G产生足以攻击目标分类网络的局部可视对抗扰动.

f^c(x)为分类网络最后一个卷积层的输出, 通常也可视为网络对输入x提取的特征.对于不同的输入图像, 分类网络f提取的特征也不尽相同.如果2个扰动δ ₁和δ ₂差异越大, 那么分类网络对其提取的特征f^c(A(x, δ ₁))和f^c(A(x, δ ₂))差别也会越明显.因此, 为了增加扰动的多样性, 对同一批次生成的扰动δ _n和δ _n', 引入多样性损失L_d为

L_d=- ∑n=1Bd(f^c(A(x_n, δ _n)), f^c(A(x_n, δ _n'))). (4)

如图2所示, 每批次进入模型的输入样本数量为B, n'∈ [1, B], n'≠ n, x_n和δ _n分别表示输入生成器的第n个样本和扰动, d(· , · )表示距离函数, 在本文中定义为2范数距离.通过减小多样性损失, 增大f^c(A(x_n, δ _n))与f^c(A(x_n, δ _n'))之间的距离, 可以丰富扰动的多样性.进一步地, 对扰动{δ _n}和{δ _n'}直接定义距离损失:

L_p=- ∑n=1Bd(δ _n, δ _n').

L_p越小, 扰动δ _n和δ _n'之间的距离越大, 扰动之间的差异性越明显.综上所述, 为了实现扰动的攻击性和多样性, 设定调节参数α 、β , 最终损失L_total定义为

L_total=L_f+α L_d+β L_p.

模型的具体训练过程如算法1描述, 采用Adam算法优化^[17].生成器G的参数随着迭代训练逐步优化, 生成的局部可视扰动攻击性也逐渐增强.

算法1 G₂LVAP

输入 确定被攻击的分类网络f(即生成器D),

构建生成器G,

确定训练样本集X_train, 验证样本集X_validation,

Adam算法学习率ρ , 参数α 、 β

输出 生成器网络的权重参数W

设定分类网络的误分类率f_r=0, 随机初始化W

while f_r not converged do:

for each x∈ X_train do:

输入B个随机向量{z}_B和干净的输入样本{x}_B

{δ }_B=G({z}_B)

计算L_total

更新权重W=W-ρ ∂Ltotal∂W

end

计算X_validation叠加扰动后的f_r

end while

在训练过程中, 定义随机变量z为100维向量, 服从[0, 1]一致分布.设定同一批次有B(Batch_size)个变量{z}_B={z₁, z₂, …, z_B}进入网络, 经过生成器G转化成一组可视扰动{δ }_B={δ ₁, δ ₂, …, δ _B}, 在训练样本集中随机采样B个样本图像{x}_B={x₁, x₂, …, x_B}.接下来将扰动一对一地叠加到训练数据上, 形成相应的对抗样本

{A(xn, δn)}B={A(x₁, δ ₁), A(x₂, δ ₂), …, A(x_B, δ _B)},

如图2上侧分支所示.同时, 对这组可视扰动进行随机乱序处理, 形成一组扰动{δ _1', δ _2', …, δ _B'}, 对于∀ i有δ _i≠ δ _i'.以此形成另一组对抗样本

{A(xn, δn')}B={A(x₁, δ _1'), A(x₂, δ _2'), …, A(x_B, δ _B')},

如图2下侧分支所示.在组成对抗样本 {A(xn, δn')}B时仅对可视扰动{δ }_B乱序, 并不需要改动{x}_B.

由此可知, 在每次迭代训练过程中, 网络都包含3批次数据, 即样本图像{x}_B、对抗样本 {A(xn, δn)}B及乱序后的对抗样本 {A(xn, δn')}B, 如图2所示.这些数据通过攻击目标网络(即判决器D)后可以计算得到相应的输出值.如图2蓝色箭头所示, 利用扰动 {δn}B及其乱序后的扰动 {δn'}B直接计算得到距离损失L_p.依照图2红色箭头部分, 通过干净的输入样本图像{x}_B计算预测类别y(x), 并以此计算对抗样本的输出概率值P_y(x)(A(x, δ )), 再根据式(3)计算得到欺骗损失f_r.相似地, 如图2绿色箭头所示, 对抗样本 {A(xn, δn)}B及乱序后的对抗样本 {A(xn, δn')}B经过判决器D后, 根据最后一个卷积层的输出f^c(A(x_n, δ _n))和f^c(A(x_n, δ _n')), 结合式(4)得到多样性损失L_d.综合3个损失, 最终计算当前训练阶段的最终损失L_total.通过将训练样本分批次输入网络进行训练并迭代优化L_total, 不断更新生成器G的参数, 最终生成器G能够将随机变量z变换为与图像无关的局部可视对抗扰动, 并且距离损失L_p和多样性损失L_d可以确保生成的扰动具备多样性.

需要注意的是, 为了生成位置无关的扰动, 在整个训练过程中扰动摆放在样本上的位置都是随机的.因此, 在不同的训练批次中, 即使采用相同训练样本x_i和局部可视对抗扰动δ _i, 由于扰动δ _i摆放在样本x_i上的位置是随机的, 它们形成的对抗样本A(x_i, δ _i)也不一定相同.

实验采用ImageNet项目的ISLVRC2012数据集^[18].ImageNet项目是一个用于视觉对象识别软件研究的大型可视化数据库, 是目前世界上最大的图像识别数据库.ImageNet项目每年举办一次大规模视觉识别挑战赛(ILSVRC).ISLVRC2012的训练集包含128 167幅图像及标记, 验证集包含50 000幅图像及标记, 用于最终评分的测试集为100 000幅图像(无标记), 数据包含1 000个不同类别的物体.

从ISLVRC2012训练集1 000类样本中选择20 000幅图像作为实验训练集, 其中每类样本随机选择20幅图像, 并从ISLVRC2012验证集中随机选择10 000幅图像作为实验验证集, 最后从剩下的验证集图像中再随机选择10 000幅图像作为实验测试集.

以预训练好的Inception-V3网络^[19]作为攻击目标.Inception-V3是GoogLeNet系列模型之一, 通过堆叠Inception模块形成大规模卷积神经网络.Inception模块通常包含1× 1, 3× 3或5× 5等不同尺寸的卷积核, 以获得输入图像的不同信息.并行处理这些运算并结合所有结果, 获得更好的图像特征信息.Inception-V3网络在简化网络规模、减少训练参数、加快训练速度的同时, 提升图像识别精度, 在ISLVRC2012测试集上可实现96.42%的图像分类精度.

考虑到Inception-V3网络的输入图像大小为299× 299, 尝试生成的局部可视对抗扰动大小分别为15× 15(约占输入图像面积0.25%)、20× 20、25× 25、30× 30(约占输入图像面积1%)的正方形, 4种情况下生成器G的结构如表1所示.

表1

Table 1

表1(Table 1)

表1 生成器结构 Table 1 Structure of generator

表1 生成器结构 Table 1 Structure of generator

在表1中, FC(Fully Connected Layer)表示全连接层, Batch_Norm表示归一化该层隐藏单元值, Deconv表示反卷积层.由于被攻击的Inception-V3网络需将输入图像的RGB值归一化至[-1, 1]区间, 因此选择tanh函数作为生成器G的最后一层.设定参数ρ =0.001, α =20, β =0.1.

在图像分类任务中, 当生成的局部可视对抗扰动满足式(1)时, 被攻击的分类网络将干净样本和对抗样本判定为不同类别, 此时局部可视对抗扰动攻击成功.

本节采用G₂LVAP生成4种面积不同的局部可视对抗扰动, 每种随机选择1个扰动显示在图3(a)中.本文生成的扰动仅用于数字场景下的攻击, 现有的研究仅有LaVAN与本节相似, 因此按照LaVAN同样生成4个面积不同的扰动, 显示在图3(b)中.为了更好地分析扰动的攻击性能, 随机生成4个面积不同的扰动(Random Noise, RN), 如图3(c)所示.

图3

Fig.3

	Figure Option ViewDownloadNew Window
	图3 不同方式生成的不同面积局部可视对抗扰动Fig.3 Localized and visible adversarial perturbations of different areas generated by different methods

使用这3组扰动进行攻击性能测试, 将扰动分别放置在测试集的10 000幅图像上, 观察对抗样本的攻击成功率f_r.由于扰动放置在干净样本上的位置是随机的, 可能会对分类识别网络的判断造成影响, 因此重复测试10次, 结果如图4所示.

图4

Fig.4

	Figure Option ViewDownloadNew Window
	图4 局部可视对抗扰动的攻击成功率Fig.4 Attack success rate of localized and visible adversarial perturbations

由图4可知, 当扰动面积为15× 15(约占输入图像面积0.25%)时, G₂LVAP和LaVAN的攻击能力有限, 分别只能实现28.49%± 2.30%和8.90%± 3.42%的攻击成功率.随着扰动面积的增加, G₂LVAP和LaVAN的攻击成功率迅速提升, 当扰动大小为30× 30时, 虽然面积仅占干净图像样本的1%, LaVAN的攻击成功率为37.79%± 2.61%, G₂LVAP的攻击成功率高达90.23%± 1.91.这意味着采用G₂LVAP的攻击者仅需精心构建一个极小的局部可视对抗扰动, 然后叠放在输入图像的任意位置上, 就可以导致绝大部分样本被深度神经网络错误分类.观察随机扰动(RN)的攻击效果可知, 面积的增长并不会提升随机扰动的攻击性, 随机扰动的攻击成功率较低.综合图4的结果可知, 向输入样本中随机添加小范围的扰动无法攻击图像分类网络, 只有精心构造的对抗扰动才能攻击分类器.

由图4还可以观察到, 当扰动的面积相同时, G₂LVAP的攻击成功率远高于LaVAN, 这主要是由于两种方法初始目的不同造成的.G₂LVAP致力于构造可以欺骗图像识别网络的扰动, 即生成的扰动是无目标的.LaVAN的目的是指定一个类别并产生相应的扰动, 使分类网络将对抗样本识别为目标类别, 是有目标的对抗扰动.因此, 当仅以攻击成功率为考量标准时, G₂LVAP的效果优于LaVAN.

为了进一步验证G₂LVAP生成的局部可视对抗扰动的图像无关性, 采用G₂LVAP生成的一个面积为30× 30的扰动攻击多个输入样本, 如图5所示.在每组图像中, 干净的输入样本能被Inception-V3网络正确分类, 对抗样本都叠加相同的扰动, 扰动放置的位置随机.可以看到, G₂LVAP生成的局部可视对抗扰动应用在不同的干净样本时, 都能欺骗图像分类网络.

图5

Fig.5

	Figure Option ViewDownloadNew Window
	图5 G2LVAP图像无关性示例Fig.5 Examples of image independence of G2LVAP

由实验结果可知, G₂LVAP生成的局部可视对抗扰动能够实现较高的攻击成功率, 对此作进一步分析.Lei等^[20]指出, 从数据中学习隐藏的流形结构和流形上的概率分布是深度神经网络的主要目的和功能之一.根据这个观点, 本文认为局部可视对抗扰动有可能服从某种高维空间分布, G₂LVAP在训练生成器的过程中会不断探索并拟合这个高维空间分布, 使生成器将随机变量z转变为欺骗分类网络的局部可视对抗扰动.

为了验证这个设想, 从随机变量z中随机采样两个点z₁和z₂, 并考虑z₁、z₂连接线上的10个插值点, 通过预训练好的生成器G产生与这些中间点对应的局部可视对抗扰动.表2为各点对应生成的扰动及攻击成功率.

通过观察可知, 在z₁和z₂之间, 随着输入变量的变化, G生成的扰动也逐渐变化, 并且这些扰动的变化显然存在一定的结构性和过渡性.记录扰动对10 000张测试集照片的攻击成功率, 均值都接近90%, 这表明生成器G经过不断训练, 有可能学习可视对抗扰动的数据分布, 使生成的扰动具有很强的攻击能力.

表2

Table 2

表2(Table 2)

表2 z1和z2之间的插值点对应的局部可视对抗扰动 Table 2 Localized and visible adversarial perturbations generated by interpolation points between z1 and z2

表2 z1和z2之间的插值点对应的局部可视对抗扰动 Table 2 Localized and visible adversarial perturbations generated by interpolation points between z1 and z2

攻击者通常希望扰动具有一定的差异性, 更难以被防御.本节引入结构相似性(Structural Similarity Index, SSIM)和峰值信噪比(Peak Signal to Noise Ratio, PSNR), 分析局部可视对抗扰动的多样性.SSIM是衡量两幅图像相似度的指标, 从亮度、对比度和结构这3个方面评估两幅图像的相似性, 取值范围为0至1.当两幅图像一模一样时, SSIM的值等于1.PSNR同样是使用最广泛的图像相似性评价指标之一, 利用两个样本图像对应像素点间的误差进行对比, 是基于误差敏感的图像质量评价.PSNR的单位是dB, 数值越大表示两幅图像越相似, 高于40 dB说明两幅图像非常相似, 低于20 dB表示两幅图像差异较大.

随机选择6个G₂LVAP生成的局部可视对抗扰动, 大小均为30× 30, 分别编号为A~F, 如图6所示, 计算两两之间SSIM值及PSNR值, 结果分别如表3和表4所示.

图6

Fig.6

	Figure Option ViewDownloadNew Window
	图6 G2LVAP生成的6个局部可视对抗扰动Fig.6 Diverse localized and visible adversarial perturbations generated by G2LVAP

表3

Table 3

表3(Table 3)

表3 局部可视对抗扰动间的SSIM值 Table 3 SSIM between different localized and visible adversarial perturbations 扰动 A B C D E F A 1 0.0069 0.1108 0.0058 0.0174 0.0086 B 1 0.0205 0.0088 0.0378 0.0553 C 1 0.1246 0.0161 0.0154 D 1 0.0589 0.0180 E 1 0.0246 F 1

表3 局部可视对抗扰动间的SSIM值 Table 3 SSIM between different localized and visible adversarial perturbations

表4

Table 4

表4(Table 4)

表4 局部可视对抗扰动间的PSNR值 Table 4 PSNR between different localized and visible adversarial perturbations dB 扰动 A B C D E F A +∞ 3.6856 5.0088 4.3960 3.6552 3.8478 B +∞ 3.7925 3.6396 4.3278 3.5878 C +∞ 5.1980 3.9476 3.8645 D +∞ 4.2836 4.2857 E +∞ 3.8238 F +∞

表4 局部可视对抗扰动间的PSNR值 Table 4 PSNR between different localized and visible adversarial perturbations dB

以SSIM_{i, j}表示扰动i和j的SSIM值, PSNR_{i, j}表示扰动i和j的PSNR值.从表3可知, 仅有SSIM_{A, C}和SSIM_{C, D}之间的SSIM略大于0.1, 而SSIM_{A, B}和SSIM_{A, F}的值甚至小于0.01, 这说明6个用于测试的扰动结构相似性非常小.从表4可知, 只有PSNR_{A, C}和PSNR_{C, D}值略大于5 dB, 大部分扰动之间的峰值信噪比都小于4 dB, 这意味着6个用于测试的局部可视对抗扰动之间相似性极小.这些结果表明G₂LVAP生成的扰动符合多样性要求, 可以针对指定的图像分类网络生成多个差异性明显的局部可视对抗扰动.

当前无严格、公认的分析对抗扰动隐蔽性的指标.Moosavi-Dezfooli等^[11]在提出视觉不可知的通用对抗扰动时, 也只是根据多次实验经验提出观测性的结论:当对抗扰动的每个像素点RGB值小于10时, 隐蔽效果较好, 不易被人眼感知.因此, 本节对G₂LVAP生成的可视对抗扰动隐蔽性不进行数值上的分析, 只是提供一些干净输入样本及对抗样本的对比图进行对比观察.如图7所示, 将大小为30× 30的可视对抗扰动放在自然图像的背景部分, 图像的下侧标明分类网络对图像的分类结果.

图7

Fig.7

	Figure Option ViewDownloadNew Window
	图7 G2LVAP隐蔽性示例Fig.7 Examples of covertness of G2LVAP

从图7可看到, 当图像背景较复杂时, 将扰动放置在图像背景中具有较好的隐蔽效果, 除非刻意仔细观察样本, 监管人员并不一定能注意到这些局部的可视对抗扰动.