徐 明，蔣奔馳

(杭州電子科技大學網(wǎng)絡(luò)空間安全學院 杭州 310016)

近年來，深度學習在各個領(lǐng)域被廣泛應用，其安全性備受關(guān)注，特別是對抗樣本[1]帶來了諸多潛在威脅。對抗樣本是通過對原始圖像添加刻意構(gòu)造的微小擾動后，使特定的深度學習分類器以高置信度產(chǎn)生一個錯誤的分類輸出。理想的對抗樣本不僅能夠欺騙機器學習分類器，且其差異應不易被人類視覺感知。

在目前的對抗樣本生成算法中，為了保證添加擾動后圖像篡改痕跡的不可見性，通常研究人員采用比較公認的標準，即在RGB顏色空間內(nèi)滿足一定的Lp范數(shù)約束，用Lp范數(shù)衡量對抗樣本中擾動的大小。如C&W[2]、FGSM[3]及變種(I-FGSM[4]、RFGSM[5])、Deepfool[6]和JSMA[7]。但范數(shù)距離與人類感官差異存在較大的偏差[8]，采用范數(shù)約束優(yōu)化生成的對抗樣本不可避免地會在圖像平滑區(qū)域出現(xiàn)肉眼可見的異常紋理。

此外在基于迭代優(yōu)化的對抗樣本生成算法中，如C&W[2]、DDN[9]等算法的損失函數(shù)是由多個損失函數(shù)累加，通常引入超參數(shù)來表示每個損失之間的加權(quán)系數(shù)。損失函數(shù)中的超參數(shù)在圖像風格轉(zhuǎn)移[10]、圖像超分辨率[11]及GAN等網(wǎng)絡(luò)模型中都會涉及，通常采用遍歷或者隨機搜索的方式反復嘗試，最終才能確定合適的超參數(shù)。

為了解決對抗樣本平滑區(qū)域易出現(xiàn)異常紋理和超參數(shù)確認困難的問題，本文提出了一種超參數(shù)自適應調(diào)節(jié)算法(Aho-λ)。該算法基于圖像紋理和顏色感知距離，有效降低了對抗樣本的視覺差異。訓練過程中結(jié)合損失函數(shù)中超參數(shù)與攻擊成功率和擾動距離之間的線性關(guān)系[2,9]，進行動態(tài)調(diào)節(jié)超參數(shù)，有效避免了超參數(shù)的反復嘗試，降低對抗樣本擾動的同時也減少了算法的迭代次數(shù)。

1 相關(guān)工作

對抗樣本的設(shè)計是為了產(chǎn)生與原始圖像接近的篡改圖像，不影響人類判斷的前提下使深度學習模型受到明顯的改變。對抗樣本問題可以描述為：

在距離D的約束下，使網(wǎng)絡(luò)分類器的標簽發(fā)生改變；距離D可以分為Lp范數(shù)和非Lp范數(shù)。

1.1 基于Lp范數(shù)的對抗樣本生成算法

傳統(tǒng)算法中，擾動大小通常用Lp范數(shù)來表示：

常用的Lp范數(shù)包括L0、L2及L∞范數(shù)。L0范數(shù)表示非零元素的個數(shù)，L0范數(shù)限制可修改像素的數(shù)量，如JSMA[7]通過迭代的次數(shù)來限制L＞0范數(shù)。另外，L0范數(shù)廣泛應用于黑盒模型中，如單像素攻擊[12]僅通過修改某一個像素便可引起分類器的誤判。L2范數(shù)也稱歐式距離，使用在文獻[1, 4, 7]中，是衡量對抗樣本全局擾動大小的指標。L∞范數(shù)使用在文獻[2, 4, 5]中，表示向量中元素的最大值，相比于L2范數(shù)，L∞范數(shù)側(cè)重于圖像局部的修改限制，對L∞范數(shù)的約束是為了防止圖像某一像素點擾動過大。

文獻[1]首先提出范數(shù)約束擾動大小的方法，如式(3)所示，損失需要由超參數(shù)λ來調(diào)節(jié)，其中J是交叉墑，該文獻提出了一種有效算法L-BFGS進行求解。

綜上所述，在臨床偏頭痛患者的治療中聯(lián)合使用氟桂利嗪和尼莫地平進行治療，療效較之單純使用氟桂利嗪進行治療要更高，具有臨床意義，值得推廣使用。

C&W算法[2]對文獻[1]算法進行了改進，如式(4)所示，通過引入tanh函數(shù)解決了圖像的訓練約束，把像素值約束在[0,1]之間，并且交叉墑用式(9)進行替代。

文獻[1]和文獻[2]兩種算法都涉及超參數(shù)λ的選擇，λ維持Lp范數(shù)和交叉墑之間的平衡，λ過大使對抗樣本Lp范數(shù)過大，圖像產(chǎn)生明顯的擾動；λ過小會導致對抗樣本不能產(chǎn)生攻擊效果。也有算法避開了超參數(shù)λ的選擇，如I-FGSM[4]和Deepfool[6]，這些算法通過降低迭代次數(shù)來降低Lp范數(shù)。

1.2 基于非Lp范數(shù)的對抗樣本生成算法

目前，還沒有一個統(tǒng)一的標準用來描述圖像的感官差異。在文獻[13-14]中，SSIM[15]取代了Lp范數(shù)，其缺點是SSIM對圖像微小的變化都較敏感，有時即使完全不同的圖像的SSIM值卻比相似圖像要高[13]。還有研究用多重的Lp疊加來取代單一的范數(shù)約束[16]，雖然能夠獲得一定的效果，但是很難從根本上降低圖像擾動的可見性，反而增加了訓練的復雜程度。另外，文獻[17]使用諧波(Harmonic)生成無邊緣的平滑擾動來降低擾動的可見性；文獻[18-20]將拉普拉斯平滑項(Laplacian smoothing term)和正則項(regularization term)引入損失函數(shù)中，以此來生成平滑的對抗樣本。此外，很多研究將擾動盡可能地添加在圖像的高紋理區(qū)域[21-24]，將紋理損失加入損失函數(shù)中降低平滑區(qū)域的噪聲。文獻[21]提出的C-adv方法通過改變背景的顏色和修改圖像中物品的著色來獲得有效的對抗樣本。另外，文獻[25]提出PerC-C&W和PerC-AL方法，使用CIEDE2000[26]取代了Lp范數(shù)約束，在反向傳播中進行直接優(yōu)化，使用這一標準作為圖像質(zhì)量的衡量指標，生成的對抗樣本與原始圖像視覺差異更小。

2 自適應無感對抗樣本生成算法

基于紋理度篩選和顏色感知距離CIEDE2000，本文提出了對抗樣本生成算法Aho-λ，能夠在訓練過程中自適應調(diào)節(jié)超參數(shù)，算法流程如圖1所示。

圖1 無感對抗樣本算法流程圖

2.1 CIEDE2000顏色感知距離

本文將CIEDE2000標準引入損失函數(shù)中，取代原先的Lp范數(shù)。CIEDE2000計算公式為：

式中，L、C、H分別代表了圖像的亮度(lightness)、色度(chroma)、明度(hue)。參數(shù)參考文獻[26]。通過文獻[26]的研究證明，這一標準比范數(shù)距離更符合人類肉眼對于顏色的感知。

2.2 圖像紋理度

圖像紋理度是用來表述圖像每個像素點位置的紋理程度大小的指標。在文獻[10-11]研究中，對抗樣本的擾動應盡可能添加在圖像的平滑區(qū)域，文獻[11]首次在對抗樣本訓練中引入了紋理度損失，如式(6)：

式中，Sen是每個像素點的敏感度因子(為每個點和周圍像素點之間的方差的倒數(shù))，如式(7)：

本文選取了方差SD來表示圖像紋理度，作為篩選圖像擾動區(qū)域的量化指標，n取值3，并在迭代的過程直接過濾掉低紋理區(qū)域，降低計算成本。

2.3 自適應訓練算法

首先本文將為式(8)定義對抗樣本訓練的損失，

式中，ΔE00表示顏色感知距離；f表示攻擊目標網(wǎng)絡(luò)的損失函數(shù)，超參數(shù)λ調(diào)節(jié)ΔE00和f之間的比率，對于不同的圖像λ的取值不同。

本文設(shè)計的Aho-λ算法，能夠適應不同的圖像和網(wǎng)絡(luò)模型，通過訓練得到一個相對較優(yōu)的參數(shù)λ來降低加入的擾動大小。算法使用的f(x)如式(9)所示，文獻[2]已經(jīng)實驗證明了f(x)能夠有效代替交叉墑，其中參數(shù)k用來描述模型中最大概率的預測項和次預測項目之間的距離大小，能夠有效反映生成對抗樣本的置信度。

Aho-λ如算法1所示，使用式(7)將所有像素點的紋理度進行計算及排序，把紋理度較低的點按照一定百分比進行過濾。依據(jù)對抗樣本攻擊成功與否，在迭代過程中動態(tài)調(diào)節(jié)超參數(shù)λ的大小。超參數(shù)λ值越大越能保證對抗樣本攻擊的成功率，但是為了有適當?shù)母兄嚯x且不易被肉眼察覺，對于每一張圖像需要一個適合的λ值來權(quán)衡感知距離和攻擊成功率之間的關(guān)系。結(jié)合每次迭代的對抗樣本攻擊結(jié)果，參考機器學習訓練中的優(yōu)化算法對λ進行自適應的調(diào)節(jié)，其中衰減率θ滿足0 ＜θ＜1，目的是為了讓λ最終穩(wěn)定在某一范圍內(nèi)，隨著迭代的不斷進行，λ的變化率逐漸減小。

算法1：自適應訓練算法

計算圖像紋理度x′，將高紋理區(qū)域置為1，低紋理區(qū)域置為0

3 實 驗

3.1 實驗設(shè)計

數(shù)據(jù)集與網(wǎng)絡(luò)：選用NIPS 2017對抗樣本攻防比賽[26]所采用的數(shù)據(jù)集ImageNet-Compatible dataset，共包含6 000張圖像，屬于ImageNet 1 000種標簽類，Inception V3[27]具有較高的識別率。因此，本文將Inception V3作為目標網(wǎng)絡(luò)進行攻擊產(chǎn)生對抗樣本，最后將獲取到的圖像直接縮放到指定大小，圖像的長寬為299*299。

實驗對比的算法：與Lp范數(shù)的I-FGSM[4]、C&W[2]和DDN[9]算法，及感官距離CIEDE2000的PerC-AL[25]算法進行對比。比較對抗樣本的攻擊成功率、Lp范數(shù)和感官距離。

實驗建立與參數(shù)選擇：I-FGSM每次迭代的步長設(shè)置為η=1/255，直到攻擊成功后停止。C&W算法中，學習率設(shè)置為0.005，超參數(shù)λ使用[0.01,0.1,1,10,100]進行選擇，生成的對抗樣本中擾動最小的圖像作為最終結(jié)果。PerC-C&W和PerC-AL算法的學習率為0.001，DDN的單步步長為0.01。DDN、PerC-AL和本文的Aho-λ算法，迭代次數(shù)設(shè)置為[100,300,1 000]分別進行比較。

3.2 局部像素修改實驗

本文提出的方法能夠有效地對添加擾動的區(qū)域進行篩選和修改限制。如圖2所示，圖像第一行為不同修改比率下生成的對抗樣本；第二行為對抗樣本修改像素點的位置，使用255替換原來的顏色，圖像中白色部分表示修改像素點對應的RGB三個顏色通道都被修改過。根據(jù)本文提出的算法，將紋理度排序并篩選出一定比率的可攻擊區(qū)域，實驗結(jié)果如表1所示?？梢钥闯鰞H需修改圖像中的少量點就能得到較高的攻擊成功率，當修改區(qū)域大于70%時能保證圖像100%的攻擊成功率；對抗樣本L2范數(shù)隨著修改點的減少呈現(xiàn)下降的趨勢，從L∞范數(shù)可以看出單個像素點的最大擾動隨之提高。另外，當修改像素在70%時，顏色感知距離C2具有最低值56.54。因此，本文后續(xù)的實驗都采用70%的像素修改作為實驗參數(shù)。

圖2 Aho-λ不同修改比率得到的對抗樣本效果

表1 圖像修改比率、攻擊成功率及擾動距離對比

3.3 對抗樣本質(zhì)量實驗

如表2所示，在不考慮感官距離的DDN、C&W以及I-FGSM三種算法中，DDN算法能夠獲得最低的L2范數(shù)，略優(yōu)于C&W算法；在I-FGSM算法中，L∞取決于迭代的次數(shù)，且每次迭代具有固定步長，雖然I-FGSM能夠獲得較低的L∞范數(shù)，但在L2和C2上都不如其他算法優(yōu)越。在結(jié)合感官距離的算法PerC-AL和Aho-λ中，本文提出的Aho-λ算法能夠達到和DDN算法基本相同的L2范數(shù)，并具有比PerC-AL算法更小的顏色感知距離C2。與DDN和PerC-AL算法相比，Aho-λ算法在300次和1 000次迭代過程中生成的兩組對抗樣本差異更小，這說明本文提出的Aho-λ算法能夠更快地收斂，在300次左右就能夠達到最佳的攻擊效果。

表2 對抗樣本質(zhì)量對比

本文算法與其他幾種算法生成的對抗樣本局部細節(jié)對比如圖3所示。圖3a是原始圖像，放大方塊的選中區(qū)域后本文的算法并未出現(xiàn)異常紋理，與原圖基本一致。其余幾種方法都出現(xiàn)了可見的異常紋理。

圖3 5種算法生成的對抗樣本

3.4 置信度與魯棒性實驗

置信度k值變化會影響對抗樣本的質(zhì)量，能有效地保證對抗樣本輸出的標簽與其他標簽之間的差異，如式(9)所示。在不同置信度k下，本文算法Lp范數(shù)和顏色感知距離變化如圖4所示，置信度k值越大，擾動距離L2、L∞和C2不斷增大。

圖4 不同置信度下3種擾動距離的大小

圖片的有損壓縮通常也被當作是防御對抗樣本攻擊的有效手段。本實驗選取了與文獻[20, 28]相同的JPEG和Bit Depth壓縮方法。在不同質(zhì)量因子下，JPEG壓縮后的對抗樣本保持原有攻擊效果的比率，如圖5所示。在常用的質(zhì)量因子大于70時，本文提出的算法具有一定的抗JPEG壓縮能力；但當質(zhì)量因子小于60時，壓縮圖像越來越模糊，對抗樣本的攻擊成功率降低。Bit Depth壓縮下也表現(xiàn)出了近似的效果，如圖6所示，原來圖像顏色由8位壓縮到4位以上時，對抗樣本表現(xiàn)出較出色的抗壓縮能力。同時，圖5和圖6表明，由于置信度增加，需要在圖像中嵌入擾動變大，對抗樣本的魯棒性也隨之提高。

圖5 不同JPEG質(zhì)量因子下對抗樣本的成功率

圖6 Bit Depth壓縮下對抗樣本的成功率

3.5 遷移性實驗

現(xiàn)有的許多研究表明[2,3,23]，對于不同網(wǎng)絡(luò)模型使用相同的對抗樣本可能達到同樣的攻擊效果，即對抗樣本具有一定的遷移性。本文選取ImageNet-Compatible dataset數(shù)據(jù)集作為實驗對象，置信度k選擇20和40，分別在Google net[27]、Vgg-16[29]和ResNet-152[30]網(wǎng)絡(luò)模型上進行遷移性實驗，實驗結(jié)果如表3所示。表3中的數(shù)據(jù)表示在不同置信度k下，不同算法生成的對抗樣本在另外兩種網(wǎng)絡(luò)模型中具有相同的分類結(jié)果的比率。另外，在所有算法中I-FGSM遷移性最好，其加入的L2和C2顏色感知距離都是最大的；Aho-λ算法雖然具有一定的遷移性，但是遷移性不高，原因可能有以下兩點：首先Aho-λ算法加入的擾動是所有算法中最小的；其次可能是不同的網(wǎng)絡(luò)模型對于圖像紋理區(qū)域的改變比較敏感。因此，Aho-λ算法在不同網(wǎng)絡(luò)模型中的判別結(jié)果一致性不高。

表3 不同神經(jīng)網(wǎng)絡(luò)模型中的遷移性

4 結(jié) 束 語

本文結(jié)合紋理度篩選與顏色感知距離CIEDE2000作為圖像損失函數(shù)，設(shè)計了一種能夠自適應調(diào)節(jié)超參數(shù)的算法Aho-λ，生成的圖像具有更小的顏色感知距離和更快的收斂。在JPEG和Big Depth壓縮下具有良好的魯棒性，且對抗樣本在多種網(wǎng)絡(luò)模型下具備一定的遷移能力。

使用CIEDE2000標準作為人類感知距離，在一定程度上降低了對抗樣本在視覺上的可見度，但在圖像平滑區(qū)域依然存在一定的可感知性，未來希望找到一種更符合人類感官的新標準引入訓練損失中；同時也希望找到一種能夠定量區(qū)分圖像修改區(qū)域的方法，進一步完善紋理度篩選。