3526                                Journal of Software  软件学报 Vol.32, No.11, November 2021











                          Fig.7    Adversarial examples generated from different methods for attacking Inc-v3 model
                                         图 7   不同方法攻击 Inc-v3 模型生成的对抗样本

                    本文提出的方法在黑盒场景下对包括对抗防御模型在内的 7 种分类器都可以完成有效的攻击,且基于不
                 同模型的热力图对扰动进行分组压缩都表现出较好的优化结果.通过与相关方法进行对比,可以发现本文方法
                 所需要的平均查询次数与扰动幅度都展现出较优的效果.
                    •   在攻击 4 种预训练模型的结果中,相比于表现最优的 QL-Attack 方法,本文方法分别减少了 60.0%、
                        35.2%、46.9%、43.9%的平均查询次数;相比于效率较低的 FD-Attack 方法,更是减少了 95.5%、94.6%、
                        93.4%、93.0%的平均查询次数,攻击效率相对提升了 10 倍以上.
                    •   在攻击 3 种对抗防御模型的结果中,本文方法比表现最佳的 AutoZOOM 方法分别减少了 25.5%、
                        40.0%、39.3%的平均查询次数,因此在攻击效率上有了较大的提升.
                    •   同时,基于不同模型优化后的平均扰动幅度也都小于 QL-Attack 方法和 AutoZOOM 方法.
                    •   在相同的查询次数限制下,本文方法生成扰动的幅度也远小于 D-based Attack 方法(详见表 5 中
                        D-based 列);冗余的扰动信息更少,仅次于扰动幅度最小的 FD-Attack 方法.
                    •   如图 7 所示,从视觉上观察,本文提出方法产生的对抗样本噪点不明显,比 AutoZOOM 方法、QL-Attack
                        方法和 D-based Attack 方法的结果更接近原始图像,降低了人眼视觉察觉的可能性.
                    该实验验证了本文提出方法的有效性和鲁棒性,相比于目前最优的 4 种黑盒攻击方法,在平均查询次数与
                 扰动幅度指标上都有明显的提升.
                 3.5   对抗训练实验
                    本节主要验证本文方法在对抗训练中提升模型鲁棒性的效果.考虑到从零训练高维度图像数据的对抗防
                 御模型需要消耗高额的计算资源            [42] ,本文结合 Goodfellow 等人 [19] 的混合训练策略与 Xie 等人   [43] 的方法对现有
                 的基于 PGD   [44] 训练的防御模型(Adv-Inc、Inc-v3 ens3 、Inc-v3 ens4 )进行对抗微调.训练过程主要包含 3 个步骤:首
                 先从 ImageNet 验证集中随机选取测试数据以外的 10 000 张图像作为原始样本,再利用 ES-Attack 方法攻击预
                 训练模型生成相应的对抗样本,最后用对抗样本形成新的数据集(不包含原始样本)对已有的鲁棒模型进行 5 个
                                                         *
                                                                   *
                                               *
                 epoch 微调,得到新的对抗模型 Adv-Inc 、Inc-v3 ens3 和 Inc-v3 ens4 .
                    为验证对抗微调后防御模型的鲁棒性,本文选择第 3.4 节实验中表现较优的 3 种黑盒攻击方法(ES-attack、
                                                               *
                                            *
                                                     *
                 AutoZOOM、QL-attack)对 Adv-Inc 、Inc-v3 ens3 和 Inc-v3 ens4 模型进行攻击,相关参数设置相同,并将平均查询次
                 数 QN 与优化后的平均扰动 L 2 范数记录于表 6 中.
                    对比表 5 与表 6 的数据可知,经过 ES-Attack 对抗训练后模型的鲁棒性得到了进一步提升.相比于微调前的
                                                             *
                                                                       *
                                                    *、
                 对抗防御模型,上述 3 种方法在攻击 Adv-Inc Inc-v3 ens3 和 Inc-v3 ens4 模型时都需要花费更多的计算资源,例如
                 AutoZOOM 方法分别增加了 49.0%、33.0%、38.4%的平均查询次数,而且生成的对抗样本扰动幅度也相对更大.
                 该实验同时展示了一个有趣的现象,即仅利用一种黑盒攻击(ES-attack)对网络模型进行对抗训练,也可以提高