Page 193 - 《软件学报》2021年第11期
P. 193
黄立峰 等:一种基于进化策略和注意力机制的黑盒对抗攻击算法 3519
Fig.3 Similarity of heatmaps between different models(%)
图 3 不同模型生成热力图的相似度(%)
基于以上两个特性,本文提出的 AM-Com 方法主要包含 3 个步骤:(1) 基于替代模型生成热力图,近似估计
目标模型的关注区域;(2) 根据冗余扰动数据的区域性特征,按模型的关注程度对扰动进行分组;(3) 依次压缩
各组的扰动数值,直到所有分组的扰动数据完成优化步骤.流程如算法 2 所示.
算法 2. 基于注意力机制的对抗样本压缩优化方法.
n
输入:目标网络模型 f,替代网络模型 f s ,初始扰动向量δ,图像 x∈R ,目标标签 y ,优化系数 r 0 ,r max .
输出:优化后的对抗样本 x ,扰动δ′.
1. h s ←Normalize(CAM(f s ,x)) //生成热力图并归一化
n
n
2. h←ReSample(h s ,R ) //将热力图重采样至 R 空间
3. δ′←Group(δ,h,N) //根据热力图对扰动分组
4. for i=1 to N do
5. s←r 0
+
6. while f (x δ′ = ) y do
7. δ′[i]←s⋅δ′[i] //压缩第 i 组扰动
8. s←min(1.1×s,r max ) //调整优化系数
9. end while
10. δ′[i]←δ′[i]÷s
11. end for
12. x ←+
x δ′
13. return δ′, x
算法 2 的具体描述如下.
(1) 热力图生成阶段(算法 2 中第 1 行、第 2 行).攻击者先基于替代模型 f s 计算输入图像 x 的归一化热力
n
图 h s ,然后通过双线性插值方法将热力图重采样到目标模型的输入空间中,获得数据维度为 R 的热力
图 h,用于近似估计目标模型 f 对图像各区域的关注程度.
(2) 扰动分组阶段(算法 2 中第 3 行).该阶段根据热力图 h 将扰动δ进行像素级分组.首先将热力图的值域
平均划分为 N 个区间,再根据下标索引将扰动的像素与热力值一一对应,最后按照热力值的所属区间
范围将扰动的每一个像素分组至对应的集合.该扰动分组方法定义如下:
⎧ ⎛ i − 1 i ⎫ ⎪ ⎤ ⎪
δ [ ]i ′ = δ ∀ ⎨ , k h ∈ ⎜ , ⎥ , i = ⎬ 1,2,3,..., ;N k = 1,2,3,...,n (10)
⎪ k k ⎝ N N ⎦ ⎪ ⎩ ⎭
其中,δ′[i]是热力值属于第 i 个区间的扰动像素的集合,k 是分配于第 i 组的像素下标.i 的值越大,意味
着目标模型对该组区域的关注程度越高.关于分组数量参数 N 的选择,本文将在第 3.3 节进行讨论.
(3) 冗余压缩阶段(算法 2 中第 4 行~第 11 行).AM-Com 方法按升序对分组后的扰动分别进行优化.对于
