3522                                Journal of Software  软件学报 Vol.32, No.11, November 2021

                 Res-50 和 Res-101 的攻击结果.
                                             Table 3    Results of step size α (QN/L 2 )
                                                表 3   不同步长α的结果(QN/L 2 )
                             Target model   α=0.01    α=0.1      α=1.0      α=10      α=100
                               Vgg-16    25 575/6.56   9 710/8.77   2 815/13.37   2 803/14.88  2 945/14.94
                               Inc-v3    43 694/7.95   18 829/9.39   6 941/14.73   6 732/19.41  7 074/19.66
                               Res-50    25 781/6.66  10 844/7.95  3 433/12.52   3 978/14.76   3 661/14.79
                               Res-101   28 581/7.06  12 041/8.22  3 979/12.60   4 134/14.69   4 146/14.79
                    根据表 3 可以发现,步长参数对攻击结果的影响如下.
                    (1)  步长的量级与攻击的效率呈现出正相关的趋势:当α选择较小值(即α=0.01/0.1)的情况下,ES-Attack 的
                        平均交互查询的次数较多,攻击效率较低;而当α大于 1 后,交互查询的次数收敛.
                    (2)  步长的量级会影响扰动的幅度:随着步长大小的增加,最终生成扰动的幅度也逐渐增大.当设置α=0.01
                        时,攻击预训练模型生成扰动的平均幅度最小,分别为 L 2 =6.56/7.95/6.66/7.06.
                    本文综合考虑攻击效率与扰动幅度,选择α=1.0 作为后续实验的参数.
                 3.3   AM-Com方法相关参数实验
                    本节主要对 AM-Com 方法的有效性进行验证.AM-Com 首先基于替代网络模型生成的热力图对扰动进行
                 分组,然后依次压缩各组的冗余扰动.其中,热力图的选择策略和分组数量 N 对压缩效果有较大的影响.
                    •   分组策略选择实验
                    本文选择了 4 种不同的热力图作为分组策略进行对比,分别为:
                                                         ()y
                    (1)  黑盒攻击的目标标签对应的热力图 CAM   .
                    (2)  图像真实标签对应的热力图 CAM(y).
                    (3)  目标标签与真实标签对应热力图的求和平均 | CAM               ( )y + CAM  ( ) | / 2y    ,记为 CAM(+).
                    (4)  | CAM  ( )y − CAM  ( ) |y   ,即真实标签与目标标签热力图之差的绝对值,记为 CAM(−).
                    此外,本文还考虑加入两种基线分组策略进行对比.
                    (5)  随机分组方法     [26] ,即将扰动的每一维数据随机划分到任意一组,平均每组的数据数量为 n/N,记为
                        Random.
                    (6)  Shi 等人 [40] 提出的 Whey 分组方法,即按照扰动向量的绝对值从小到大平均分为 N 组,记为 Whey.
                    图 4 展示了 Inc-v3 模型对应分组(1)~分组(4)策略下生成的热力图可视化示例,通过观察可以看出,CAM(y)
                 主要关注的区域为图像内容的主体(如萨摩耶犬与金鱼的头部), CAM   则主要关注图像主体之外的区域(如
                                                                        ( )y
                 背景部分),而 CAM(+)与 CAM(−)的关注区域则介于二者之间.










                                  Fig.4    Visualized examples of different heatmaps generated by Inc-v3
                                         图 4   Inc-v3 模型生成不同热力图的可视化示例

                    与第 3.2 节相同,用于生成热力图的替代网络模型包括 Vgg-16、Inc-v3、Res-50 和 Res-101,分组数量 N=100,