黄立峰  等:一种基于进化策略和注意力机制的黑盒对抗攻击算法                                                  3521


                 ES-Attack 的攻击效率比高维度协方差矩阵(即 l=70/90/110)更低,需要交互查询的次数更多.例如在攻击 Inc-v3
                 网络模型的结果中,选择 l=30/50 时,ES-Attack 攻击平均需要交互查询次数为 QN=12452/7860;当选择 l=70/90/
                 110 的情况下,ES-Attack 平均的交互查询次数为 QN=6941/6955/6961.同时,5 种矩阵维度下生成的扰动平均 L 2
                 范数分别为 L 2 =15.27/14.62/14.73/14.91/14.97,扰动幅度差距相对较小.
                                     Table 1    Results of different dimension parameter m (QN/L 2 )
                                             表 1   不同维度参数 m 的结果(QN/L 2 )
                            Target model   l=30       l=50        l=70       l=90       l=110
                              Vgg-16    4 146/13.70   3 101/13.44   2 815/13.37  2 770/13.52  2 759/13.50
                              Inc-v3    12 452/15.27   7 860/14.62   6 941/14.73  6 955/14.91  6 961/14.97
                              Res-50    4 361/12.64   3 713/12.38  3 433/12.52  3 406/12.63  3 499/12.46
                             Res-101    4 874/12.67   4 294/12.47   3 979/12.60  4 150/12.67  4 087/13.03

                    经分析,主要由两种因素导致该结果.
                    (1)  当协方差矩阵维度 m 与输入图像数据的维度 n 差距过大时,低维度的协方差矩阵在更新搜索路径的
                        过程中难以学习到足够精确的梯度方向分布信息.因此,协方差矩阵的维度大小与攻击效率呈正相关
                        关系.
                    (2)  为了加速计算效率,ES-Attack 方法采取分层式攻击方法,先利用协方差矩阵进行随机采样得到 m 维
                        样本 z,再经过线性插值得到 n 维偏移向量 u(算法 1 中第 5 行).上采样的过程会导致搜索路径方向信
                        息的丢失,且维度越低的样本在上采样过程中丢失的信息越多,因此需要更多次的交互查询来重新搜
                        索,导致了更低的攻击效率.
                                                                       2
                    如公式(9)所示,协方差矩阵每次迭代更新消耗的计算资源为 O(m ),较低的维度 m 会减少资源的消耗,但增
                 加交互查询次数.根据表 1 所示,当选择 l=70 时,协方差矩阵已经能学到较为精确的梯度分布信息,黑盒攻击的效
                 率最优,且花费的计算资源相对更少.因此在本文实验中,选择以 m=70×70×3 作为最优协方差矩阵的维度,并作
                 为后续实验的参数.
                    •   搜索路径的学习率 c 参数实验.
                    搜索路径学习了历史过程中采样向量的分布均值的移动方向,直接影响着黑盒攻击的效率.本文将对不同
                 的学习率 c 进行讨论,考虑 4 种情况,即 c=0.005/0.01/0.03/0.05,其中,协方差的维度为 m=70×70×3,并将黑盒攻击
                 Vgg-16、Inc-v3、Res-50 和 Res-101 这 4 种模型的结果记录于表 2 中.
                                        Table 2    Results of different learning rate c (QN/L 2 )
                                              表 2   不同学习率 c 的结果(QN/L 2 )
                                  Target model   c=0.005   c=0.01     c=0.03     c=0.05
                                    Vgg-16    2 803/13.30  2 815/13.37  2 758/13.45  2 812/13.38
                                    Inc-v3    7 212/14.97  6 941/14.73  7 107/14.88  7 234/14.76
                                    Res-50    3 563/12.54  3 433/12.52  3 422/12.60  3 369/12.56
                                   Res-101    4 246/12.58  3 979/12.60  4 063/12.71  3 986/12.67
                    由表 2 可得出结论:
                    (1)  学习率 c 的大小对生成扰动的平均 L 2 范数影响较少.例如在攻击 Res-101 模型的结果中,学习率
                        c=0.005/0.01/0.03/0.05 时,生成扰动的平均幅度分别为 L 2 =12.58/12.60/12.71/12.67,差异较小.其他 3 种
                        模型也展示出相同的趋势.
                    (2)  设置不同的学习率 c 会对 ES-Attack 的效率产生较大的影响.例如在攻击 Inc-v3 模型时,4 种学习率的
                        平均交互查询次数为 QN=7212/6941/7107/7234,差距较大.
                    通过对比表 2 的数据,发现 c=0.01 时的结果相对最优,因此作为搜索路径最优的学习率.
                    •   移动步长α参数实验.
                    步长参数控制了对抗样本每次迭代的更新距离,对攻击的效率和生成扰动的幅度都有较大的影响.本文考
                 虑了 5 种不同量级的步长,即α=0.01/0.1/1.0/10/100.表 3 记录了基于不同步长参数对 4 种模型 Vgg-16、Inc-v3、