CN114444690B

CN114444690B - 一种基于任务扩增的迁移攻击方法

Info

Publication number: CN114444690B
Application number: CN202210100372.6A
Authority: CN
Inventors: 纪荣嵘; 林贤明; 方姝曼
Original assignee: Xiamen University
Current assignee: Xiamen University
Priority date: 2022-01-27
Filing date: 2022-01-27
Publication date: 2024-06-07
Anticipated expiration: 2042-01-27
Also published as: CN114444690A; WO2023142282A1

Abstract

一种基于任务扩增的迁移攻击方法。对于每张干净样本，迭代地生成对应的对抗样本，在每次迭代的过程中，从数据扩增和模型扩增两个方面构造攻击任务，在数据扩增方面，对图片进行随机调整大小和随机填充，在模型扩增方面，通过随机改变模型的部分结构来实现模型扩增，并且为了不影响模型的预测结果，只修改模型的反向传播过程；构造完攻击任务之后，将任务划分为支持集和查询集两个集合，然后根据元学习的核心观念，先在支持集上生成一个暂时的扰动，然后再在查询集上对这个暂时的扰动进行微调，最终的扰动更新由支持集和查询集上的梯度共同决定。能够让对抗扰动在所构造的任务上充分泛化，不会对单一的图像模式或单一的模型过拟合。

Description

一种基于任务扩增的迁移攻击方法

技术领域

本发明涉及对抗攻击，具体是涉及一种基于任务扩增的迁移攻击方法。

背景技术

尽管深度神经网络广泛应用于各个领域，且表现出良好的性能，但仍有研究证明深度神经网络易受到对抗样本的影响，即在干净的图片上添加一个精心设计的人眼无法察觉的扰动就能够误导神经网络。显然，当深度神经网络应用于像自动驾驶、人脸识别这样对安全性能十分敏感的场景时，会有严重的安全隐患。为了提升深度神经网络的安全性能，研究对抗样本的生成成为至关重要的任务。

根据对模型的可知程度，对抗攻击可以分为白盒攻击和黑盒攻击，而黑盒攻击可以进一步地分为基于查询的攻击(query-based attack)和基于迁移的攻击(transfer-based attack)。基于查询的攻击通过迭代地查询受害者模型的输出结果来不断优化对抗扰动，这样虽能达到很高的攻击成功率但却会带来更多的资源消耗且易被发觉。与之不同的，迁移攻击在白盒代理模型上生成对抗样本，然后直接迁移到受害者模型上，这样更加高效且更不易被察觉。原则上，对抗样本的迁移性建立在代理模型和受害者模型十分类似的理想情况下。然而，实际上由于两者的结构并不相同，使得生成的对抗扰通常对代理模型过拟合，故而迁移成功率仍然不尽人意。

对于基于迁移的攻击方法，由于可以得到代理模型的所有信息，通常都基于梯度来生成对抗样本。快速梯度符号方法(Fast Gradient Sign Method)(参考文献Goodfellow,I.J.；Shlens,J.；and Szegedy,C.2015.Explaining and harnessingadversarial examples.In International Conference on LearningRepresentations.)是经典的白盒攻击方法，只用一步更新来生成对抗样本：

它的迭代版本为I-FGSM(参考文献Kurakin,A.；Goodfellow,I.；Bengio,S.；etal.2016.Adversarial examples in the physical world.In InternationalConference on Learning Representations.)，通过迭代的方式，将每次的梯度符号乘上一个小的步长：

其中，能够保证对抗样本x_adv落在x的∈球内。I-FGSM是一种更加有效的白盒攻击方法，但是却容易过拟合代理模型。基于此，已经有很多工作意在生成更加泛化的对抗样本，主要可以分为三大类别：梯度优化、变换输入以及修改模型。

梯度优化的方法通常使用常见的优化算法来更新扰动，如MI(参考文献Dong,Y.；Liao,F.；Pang,T.；Su,H.；Zhu,J.；Hu,X.；and Li,J.2018.Boosting adversarial attackswith momentum.In IEEE Conference on Computer Vision and Pattern Recognition.)引入动量进行优化，将每次迭代使用的梯度与动量结合，让以往的梯度方向和当前的梯度方向共同指导迭代过程中的更新方向；除了使用动量进行优化，还有使用Nesterov进行优化的NI(参考文献Lin,J.；Song,C.；He,K.；Wang,L.；and Hopcroft,J.E.2020.Nesterovaccelerated gradient and scale invariance for adversarial attacks.InInternational Conference on Learning Representations.)。这类方法虽有效，但却受限于优化步数，因此提升空间有限。

变换输入的方法通常对输入的图片进行一些可微的变化，来增强泛化性。DI(参考文献Xie,C.；Zhang,Z.；Zhou,Y.；Bai,S.；Wang,J.；Ren,Z.；and Yuille,A.L.2019.Improving transferability of adversarial examples with inputdiversity.In IEEE Conference on Computer Vision and Pattern Recognition.)每次迭代时使用简单的随机变换调整大小和随机填充的变换方式来扩增数据；TI(参考文献Dong,Y.；Pang,T.；Su,H.；and Zhu,J.2019.Evading defenses to transferableadversarial examples by translationinvariant attacks.In IEEE Conference onComputer Vision and Pattern Recognition.)根据平移不变性的原理把计算一系列图像可微变换的梯度简化为一个应用在梯度上的预定义卷积核；SI(参考文献Lin,J.；Song,C.；He,K.；Wang,L.；and Hopcroft,J.E.2020.Nesterov accelerated gradient and scaleinvariance for adversarial attacks.In International Conference on LearningRepresentations.)根据缩放不变形的原理，对每次迭代的图片进行多次缩放。由于需要求解图像的梯度，所以这类方法只能使用可微的变换，而可微的变换往往都比较简单，虽可以提升泛化性，但仍然会因为变换不充分而导致过拟合。

为了避免过拟合于代理模型，一些方法尝试调整模型来提高对抗样本的泛化性。最直接的方法便是模型集成，即直接用多个模型生成对抗样本，更进一步地可利用元学习的方法来提升性能。但是现实中很难得到大量的代理模型，并且模型集成的方法需要耗费大量的计算资源。故而更多的方法专注于在单一的模型上生成对抗样本。幽灵网络(GhostNetworks)(参考文献Li,Y.；Bai,S.；Zhou,Y.；Xie,C.；Zhang,Z.；and Yuille,A.2020.Learning transferable adversarial examples via ghost networks.In AAAIConference on Artificial Intelligence.)对网络进行随机跳连或随机dropout来生成大量模型。由于深度神经网络在浅层特征上有着较强的共性，ILA(Intermediate LevelAttack)(参考文献Huang,Q.；Katsman,I.；He,H.；Gu,Z.；Belongie,S.；and Lim,S.-N.2019.Enhancing adversarial example transferability with an intermediatelevel attack.In IEEE International Conference on Computer Vision.)去掉了代理模型的后面几层网络，仅使用前面几层的网络来生成对抗样本，但这类方法太过依赖于中间层的选取，对于深层代理模型，在挑选中间层上需要耗费大量的精力。还有些方法仅改变模型的反向过程，这样并不会影响模型的预测结果，但却可以决定对抗样本的生成。SGM(Skip Connections Matter)(参考文献Wu,D.；Wang,Y.；Xia,S.-T.；Bailey,J.；and Ma,X.2020.Skip connections matter:On the transferability of adversarial examplesgenerated with resnets.In International Conference on LearningRepresentations.)引入一个衰减因子来弱化残差模块的梯度，LinBP(LinearBackpropagation)(参考文献Guo,Y.；Li,Q.；and Chen,H.2020.Backpropagatinglinearly improves transferability of adversarial examples.In Advances inNeural Information Processing Systems.)在反向过程中则直接跳过某些非线性激活层。

现有方法在白盒场景下能够达到接近100％的攻击成功率，但迁移到受害者模型上时，攻击成功率大大降低，其原因在于生成的对抗样本对白盒的代理模型过拟合。为了解决这一问题，需要生成的对抗样本具有较强的泛化能力，不仅不能过拟合于单一的图像形式，也不能过拟合于单一的模型结构。

发明内容

本发明的目的在于针对现有技术存在的上述迁移攻击的低成功率等问题，提供能够得到高迁移成功率的对抗样本,能构造出具有较强泛化性的不同模型,性能良好的一种基于任务扩增的迁移攻击方法。将攻击一组特定数据和模型视为一个任务，通过数据扩增和模型扩增的方式构造许多不同的任务，并期望生成的对抗样本在不同任务上都能够起作用，采用元学习的核心思想在所构造的任务上更新对抗扰动。

本发明包括以下步骤：

1)对于图像库中的图像，随机选取一张图像作为输入；

2)在模型反向时为每一层引入一个衰减系数，通过引入不同的衰减系数来实现模型扩增，以最小化当前图像的梯度为优化目标，多次更新得到一组衰减系数的最优解；

3)以一定概率对衰减因子最优解进行随机加减，得到多组衰减因子；

4)以一定概率使用随机调整大小和随机填充的变换方式，生成多张图像；

5)将一组衰减系数和一张图像视为一项任务，组合后得到多个任务并将所有任务随机划分到支持集和查询集两个集合中；

6)从支持集中选取一部分任务，用这些任务来生成一个暂时扰动，并记录支持梯度；

7)将步骤6)中生成的暂时扰动加到查询集中，并记录查询梯度；

8)重复步骤6)和7)，得到平均支持梯度和平均查询梯度，并重复步骤1)。

在步骤1)中，当前迭代数为0时，图像为从图像库中选取的原始图像，在此之后所使用的图像为上一次迭代时的图像与上一次迭代时得到的对抗扰动的叠加。

在步骤2)中，由于本发明意在通过修改一个单一的代理模型，来得到多个不同的模型，为了不影响模型的预测结果从而又引起反向时梯度的变化，故而仅修改模型的反向传播过程；根据“深度神经网络的对抗脆弱性来源于网络的线性性质”的假说，在模型反向传播时为每一层引入一个衰减因子，弱化残差模块的梯度，增强修改后模型的线性程度；记一组衰减因子为γ＝[γ₁，γ₂，...，γ_L]^T∈[0，1]^L，其中γ_i表示第i层残差层的衰减因子；据此，可以将残差模块的反向时的梯度G重写为：

z_i+1＝z_i+γ_i·f_i+1(z_i)+C，

其中，z_i表示第(i+1)层残差层的输入，f_i表示第i个残差模块，C是一个常量，其值为(1-γ_i)·f_i+1(z_i)；再结合“平缓的损失情况有助于模型的鲁棒性”的观点，衰减因子的优化目标为最小化梯度的l-2范数；显然，使用多组不同的衰减因子，就可以得到多个不同的模型，且使用优化过后的衰减因子能够得到泛化性更强的模型；考虑到优化过程的计算开销，本发明采用先优化后随机的方式，先优化目标函数，得到一组最优解衰减因子，以该组衰减因子为起点，再此基础上随机加减后得到多组衰减因子；为了得到多组更加泛化的模型，本发明使用MGS来优化衰减因子，相比于单纯的随机梯度下降的方法，MGS能够引入更多的不确定性，有助于扩增的模型的泛化能力；使用MGS优化衰减因子的步骤如下：

a)从高斯分布中随机采样n组衰减因子更新值，即

b)把随机更新值加到当前衰减因子上，将目标函数的增长程度作为该组更新值的权重：

c)对所有采样的更新值加权求和，得到更新量：

d)重复步骤a)多次后得到一组优化后的衰减因子γ^*。

在步骤3)中，根据步骤2)所得到的衰减因子γ^*，以一定的概率在其基础上进行随机加减，得到多组衰减因子，可视为多个不同模型。

在步骤4)中，以一定的概率对图像进行变换，变换形式为随机调整大小和随机填充；对于一张大小为W×W的图像，先将图像大小随机调整为W′×W′，W′∈[W，W/0.875]，然后在调整后图像的边缘进行0值填充，填充后使得图像宽高都为W/0.875；多次变换便可得到多张不同的图像。

在步骤5)中，将步骤3)和步骤4)扩增出的衰减因子和图像进行分组，以一组衰减因子一张图像作为一个任务，将其组合可得到许多任务；为了让对抗样本能够更加适应所有构造出的任务，本发明利用元学习的主要思想来迭代地优化扰动；故将构造出的任务划分为支持集和查询集，为元学习阶段的优化做准备；支持集中的任务数量需大于查询集中的任务数量。

在步骤6)中，先从查询集中随机抽取一个子集S_i，所抽取的子集S_i中的任务数与查询集相同，计算这些任务的平均梯度，即：

其中，g_spt为支持集的支持梯度；之后，根据支持梯度，利用快速梯度符号的方法，可以得到一个暂时的扰动δ′：

δ'＝∈·sign(g_spt)

其中，∈为攻击时的最大扰动。

在步骤7)中，为了提升步骤6)中暂时扰动的泛化性，本发明利用查询集对其进行微调，这样可以让其适应更多任务；与步骤6)的做法类似，把暂时扰动加到查询集中所有任务的图像中后，再计算查询集中所有任务的平均梯度，即查询集中的查询梯度：

在步骤8)中，不断重复步骤6)和步骤7)，直到支持集和查询集达到最大利用程度，可以得到支持集中所有任务的平均支持梯度和通过查询集微调得到的平均查询梯度迭代时最终的更新扰动仅由平均支持梯度和平均查询梯度决定：

本发明的优点如下：

通过本发明所提出的方案，能够得到高迁移成功率的对抗样本；本发明基于元学习的思想，从数据增强和模型扩增两方面来泛化对抗样本，使得对抗样本在迁移到与代理模型不同的黑盒模型上时仍能够保证良好的攻击性能；同时，本发明仅以单一的代理模型为基础，仅修改网络的反向过程，能够构造出具有较强泛化性的不同模型，这种策略可以被扩展为一种模型扩增的方法；此外，本发明的良好性能不仅体现在实验所用数据集上，在攻击现实生活中的搜索引擎时也达到了比现有方法更加成功的效果。

附图说明

图1为本发明实施例的整体框架。

具体实施方式

以下实施例将对本发明作详细的说明。

图1为本发明实施例的整体框架，本发明实施例包括以下步骤：

1)对于图像库中的图像，随机选取一张图像作为输入，当前迭代数为0时，图像为从图像库中选取的原始图像，在此之后所使用的图像为上一次迭代时的图像与上一次迭代时得到的对抗扰动的叠加；

2)在模型反向时为每一层引入一个衰减系数，通过引入不同的衰减系数来实现模型扩增，以最小化当前图像的梯度为优化目标，多次更新得到一组衰减系数的最优解。更新步骤如下：

a)从高斯分布中随机采样n组衰减因子更新值，即

c)对所有采样的更新值加权求和，得到更新量：

d)重复步骤a)多次后得到一组优化后的衰减因子最优解γ^*；

3)以一定概率对衰减因子最优解γ^*进行随机加减，得到多个模型；

5)将一组衰减因子和一张图像视为一项任务，组合后得到多个任务并将所有任务随机划分到支持集和查询集两个集合中；

6)从查询集中随机抽取一个子集S_i，所抽取的子集S_i中的任务数与查询集相同，计算这些任务的平均梯度再根据支持梯度得到暂时扰动δ'＝∈·sign(g_spt)；

7)把暂时扰动加到查询集中所有任务的图像中后，计算查询集中所有任务的平均梯度

8)重复步骤6)和步骤7)，直到支持集和查询集达到最大利用程度，得到支持集中所有任务的平均支持梯度和通过查询集微调得到的平均查询梯度/>并用它们来更新本次迭代的扰动/>并重复步骤1)。

本发明在经典的图像分类数据集NIPS 2017比赛数据集上做了对应的相关的验证性实验如表1所示。

表1

表1展示NIPS 2017比赛数据集中分别以ResNet-50和DenseNet-121为代理模型来生成对抗样本后再迁移到另外12个受害者模型上的迁移成功率，以及在迁移到黑盒模型上的平均成功率，对比了现有的大部分经典的基于迁移的攻击算法，可以看出本发明所提出的方案在所有黑盒受害者模型上均达到最好的效果。

Claims

1.一种基于任务扩增的迁移攻击方法，其特征在于包括以下步骤：

1)对于图像库中的图像，随机选取一张图像作为输入；

所述得到一组衰减系数的最优解的具体方法为：在模型反向传播时为每一层引入一个衰减因子，弱化残差模块的梯度，增强修改后模型的线性程度；

记一组衰减因子为γ＝[γ₁，γ₂，...，γ_L]^T∈[0，1]^L，其中，γ_i表示第i层残差层的衰减因子；据此，将残差模块的反向时的梯度G重写为：

z_i+1＝z_i+γ_i·f_i+1(z_i)+C，

其中，z_i表示第(i+1)层残差层的输入，f_i表示第i个残差模块，C是一个常量，其值为(1-γ_i)·f_i+1(z_i)；衰减因子的优化目标为最小化梯度的l-2范数；使用多组不同的衰减因子，得到多个不同的模型，且使用优化过后的衰减因子能够得到泛化性更强的模型；考虑到优化过程的计算开销，采用先优化后随机的方式，先优化目标函数，得到一组最优解衰减因子，以该组衰减因子为起点，随机加减后得到多组衰减因子；

为了得到多组更加泛化的模型，使用MGS来优化衰减因子，具体步骤如下：

(1)从高斯分布中随机采样n组衰减因子更新值，即

(2)把随机更新值加到当前衰减因子上，将目标函数的增长程度作为该组更新值的权重：

(3)对所有采样的更新值加权求和，得到更新量：

(4)重复步骤(1)多次后得到一组优化后的衰减因子γ^*；

所述以一定概率对衰减因子最优解进行随机加减，得到多组衰减因子，是根据步骤2)所得到的衰减因子γ^*，以一定的概率在其基础上进行随机加减，得到多组衰减因子，视为多个不同模型；

2.如权利要求1所述一种基于任务扩增的迁移攻击方法，其特征在于在步骤1)中，所述随机选取一张图像作为输入的具体方法为：当前迭代数为0时，图像为从图像库中选取的原始图像，在此之后所使用的图像为上一次迭代时的图像与上一次迭代时得到的对抗扰动的叠加。

3.如权利要求1所述一种基于任务扩增的迁移攻击方法，其特征在于在步骤4)中，所述以一定概率使用随机调整大小和随机填充的变换方式，生成多张图像，是以一定的概率对图像进行变换，变换形式为随机调整大小和随机填充；对于一张大小为W×W的图像，先将图像大小随机调整为W′×W′，W′∈[W，W/0.875]，然后在调整后图像的边缘进行0值填充，填充后使得图像宽高都为W/0.875，多次变换便可得到多张不同的图像。

4.如权利要求1所述一种基于任务扩增的迁移攻击方法，其特征在于在步骤5)中，所述将一组衰减系数和一张图像视为一项任务，组合后得到多个任务并将所有任务随机划分到支持集和查询集两个集合中的具体步骤为：将步骤3)和步骤4)扩增出的衰减因子和图像进行分组，以一组衰减因子一张图像作为一个任务，将其组合可得到许多任务；为了让对抗样本能够更加适应所有构造出的任务，利用元学习的主要思想来迭代地优化扰动；将构造出的任务划分为支持集和查询集，为元学习阶段的优化做准备。

5.如权利要求4所述一种基于任务扩增的迁移攻击方法，其特征在于所述支持集中的任务数量需大于查询集中的任务数量。

6.如权利要求1所述一种基于任务扩增的迁移攻击方法，其特征在于在步骤6)中，所述从支持集中选取一部分任务，用这些任务来生成一个暂时扰动，并记录支持梯度的具体步骤为：先从查询集中随机抽取一个子集S_i，所抽取的子集S_i中的任务数与查询集相同，计算这些任务的平均梯度，即：

其中，g_spt为支持集的支持梯度；之后，根据支持梯度，利用快速梯度符号的方法，得到一个暂时的扰动δ′：

δ′＝∈·sign(g_spt)

其中，∈为攻击时的最大扰动。

7.如权利要求1所述一种基于任务扩增的迁移攻击方法，其特征在于在步骤7)中，所述将步骤6)中生成的暂时扰动加到查询集中，并记录查询梯度的具体步骤为：首先为了提升步骤6)中暂时扰动的泛化性，利用查询集对其进行微调，使其适应更多任务；与步骤6)的做法类似，将暂时扰动加到查询集中所有任务的图像中后，再计算查询集中所有任务的平均梯度，即查询集中的查询梯度：

8.如权利要求1所述一种基于任务扩增的迁移攻击方法，其特征在于在步骤8)中，所述得到平均支持梯度和平均查询梯度的具体步骤为：不断重复步骤6)和步骤7)，直到支持集和查询集达到最大利用程度，得到支持集中所有任务的平均支持梯度和通过查询集微调得到的平均查询梯度/>迭代时最终的更新扰动仅由平均支持梯度和平均查询梯度决定：