Page 197 - 《软件学报》2021年第11期

P. 197

黄立峰等:一种基于进化策略和注意力机制的黑盒对抗攻击算法 3523

并以 ES-Attack 黑盒攻击 Res-50 模型生成的扰动进行压缩作为示例,结果记录在表 4 中,包括平均查询次数 QN
与优化后的平均扰动 L 2 范数.作为对比,未经过压缩的对抗样本的平均扰动 L 2 范数记录于“w/o CAM”栏.
Table 4 Results of compression with different grouping strategies (QN/L 2 )
表 4 不同的分组策略压缩优化结果(QN/L 2 )
f s w/o CAM CAM ()y CAM(y) CAM(+) CAM(−) Random Whey
Vgg-16 287/11.64 282/11.60 249/11.63 261/11.65
Inc-v3 −/12.52 278/11.52 277/11.51 237/11.57 263/11.59 285/11.70 286/11.66
Res-50 299/11.53 292/11.39 250/11.50 269/11.60
Res-101 287/11.62 291/11.51 247/11.63 271/11.59

由表 4 可知:
(1) 相比于 Random 和 Whey 这两种基线分组方法,本文结合注意力机制提出的 AM-Com 方法在
CAM ()y 、CAM(y)、CAM(+)和 CAM(−)这 4 种热力图分组策略下都取得了更优的压缩效果.例如,基
于 Inc-v3 进行分组,相比未经优化的扰动幅度(L 2 =12.52),压缩后减少的幅度分别为 L 2 =1.0/1.01/0.95/
0.93.而 Random 和 Whey 方法减少的扰动幅度相对较少,分别为 L 2 =0.82/0.86,验证了 AM-Com 方法的
有效性.
(2) CAM(y)和 CAM(+)这两种分组策略在所有替代模型的实验结果中分别表现出了最优压缩的效果/速
度,即 CAM(y)策略减少的 L 2 幅度最多,以及 CAM(+)策略所需要的交互查询次数最少.相对的,分组策
略 CAM(−)的压缩效果最差,与 Whey 策略的结果接近;而 CAM 策略花费的交互次数最多,因此优化
()y
效率最低.
(3) 尽管预训练模型之间的注意力区域存在差异,但基于不同的替代模型进行分组优化,都可以得到较优
的压缩结果.其中,基于 Res-50 分组属于白盒优化,因此压缩效果最优;同时,根据图 3 的结果,Vgg-16
与 Res-50 的热力图相似度最低,因此黑盒优化的效果相对较差,进一步验证了 AM-Com方法的鲁棒性
和泛用性.
由于本文提出的方法在 AM-Com阶段更注重压缩优化的效果,因此选择 CAM(y)作为最优分组策略,并用于
后文的实验.
• 分组数量 N 选择实验
另一个对扰动压缩优化的结果产生较大影响的参数是分组数量 N.本节考虑 5 种分组数量进行实验,即
N=40/60/80/100/120.基于不同模型的 AM-Com 压缩结果如图 5 所示,其中,横轴代表交互查询次数 QN,纵轴表示
优化后的扰动幅度 L 2 范数,各节点代表不同分组数量 N 对应的结果.

Fig.5 Results of compression with different group number N (QN/L 2 )
图 5 不同分组数量 N 的压缩优化结果

192 193 194 195 196 197 198 199 200 201 202