基于Perlin 增強與隨機變換的黑盒攻擊方法

張朝陽，李 暉

（沈陽工業大學信息科學與工程學院，沈陽 110870）

1 引 言

深度神經網絡（Deep Neural Networks, DNNs）在圖像識別、醫療診斷、自然語言處理等領域中表現出優秀的處理能力。然而研究表明DNNs 同樣存在不可忽視的安全問題。以圖像分類任務為例，攻擊者可在模型訓練、預測的過程中對輸入數據添加微小的擾動，使模型做出錯誤的判斷。此類被處理后的輸入圖像稱為對抗樣本。對對抗樣本的生成方法進行研究，有助于理解深度神經網絡的基本原理并檢驗其魯棒性，也能夠為建立完善的對抗防御體系提供新的思路。當前基于遷移性的黑盒攻擊方法中通常使用較高的擾動系數生成擁有高攻擊成功率的對抗樣本，導致對抗擾動較易被防御者察覺。本研究即基于遷移性的黑盒攻擊方法與數據增強技術相互融合，提出一種基于Perlin 增強與隨機變換的黑盒攻擊方法。

2 相關研究

2.1 對抗樣本

在ImageNet 數據集中，對比結合兩種圖像相似度的評價指標，可證明選擇Perlin 噪聲[1]進行增強的合理性。在圖像處理領域中，Szegedy 等人[2]首次發現并證明深度神經網絡存在安全問題。對于一個已知的神經網絡分類器f(x,W)，將原始樣本x 作為輸入，分類器輸出對應的真實標簽y。對抗攻擊是在||xlx||m≤ε條件下，沿梯度上升的方向使模型的損失值逐漸增大，從而計算出能夠導致模型分類錯誤的對抗樣本xl，對抗樣本的生成過程可表示為：

結合式(1)和式(2)可知，對抗樣本的生成過程與模型訓練過程高度相似。因此在模型訓練過程中的常用的優化方式均可用于對抗樣本的生成過程。

2.2 FGSM 類的對抗攻擊方法

針對神經網絡過于線性無法抵抗線性對抗性擾動的問題，Goodfellow 等人[3]提出了快速梯度算法（Fast Gradient Sign Method, FGSM），該方法使損失函數沿梯度增大的方向變換從而生成相應的對抗樣本，并在范數m=∞的條件下對擾動進行限制。具體描述如下式：

其中(fθ,x,y)是由輸入樣本、真實標簽和分類函數構成的參數對；▽x(fθ,x,y)為模型損失函數相對于參數對(fθ,x,y)的梯度；Sign()為符號函數；Clip()為對抗擾動的限制函數。該方法生成的對抗樣本擁有較高的白盒攻擊能力，但在未知環境中攻擊成功率會大幅度較低。

董胤蓬等人[4]在FGSM 基礎上進行優化提出了一種基于動量的黑盒攻擊方法（Momentum Iterative Fast Gradient Sign Method, MI-FGSM），利用傳統優化方法將動量與模型梯度相互融合，使對抗樣本的黑盒攻擊強度得到了大幅度提高。謝慈航等人[5]提出了一種擁有不同輸入的快速梯度算法（Diverse Inputs Iterative Fast Gradient Sign Method, DIM），該算法對原始輸入樣本進行ρ概率的尺度變換和填充并生成深度分類器的輸入樣本，同時結合基于動量的對抗攻擊算法生成了可遷移性更強的對抗樣本。龐天宇等人[6]提出了一種基于平移不變的快速梯度算法（Translation Invariant Fast Gradient Sign Method,TIM），該算法將卷積運算融入到對抗樣本的生成過程中。相比于單獨使用動量以及隨機變換生成的對抗樣本，由于卷積內核具有的平滑濾波效果，該算法所生成的對抗擾動較為連續，與原始圖像的擬合程度較好。

FGSM 類的黑盒攻擊方法重點在于通過調整模型的梯度生成具有較強可遷移性的對抗樣本，且均可相互結合生成具有更高黑盒成功率的對抗樣本。

2.3 數據增強技術在對抗攻擊中的應用

在神經網絡訓練的過程中，數據增強技術已經被證明可明顯提升網絡的泛化能力，降低過擬合現象。陳偉等人[7]將Simplex 噪聲引入到對抗攻擊中，基于查詢方式在初始對抗樣本與Simplex 噪聲的組合中采樣生成相應的對抗樣本。張武等人[8]將高斯噪聲與反轉策略相互結合，基于梯度攻擊的方式生成具有較強可遷移性的對抗樣本。

3 方法優化

本對抗樣本生成方法在相同的擾動系數下能夠生成可遷移性更強的對抗樣本。重點將噪聲增強技術與隨機尺度變換和填充結合，運用到對抗樣本的生成過程中，進一步提高對抗樣本的遷移性。利用Perlin 噪聲高擬合度的優點，將該噪聲作為噪聲增強技術的輸入項，并基于遷移性的黑盒攻擊方法生成具有更高可遷移性的對抗樣本。

3.1 原始樣本數據增強

Perlin 噪聲與傳統白噪聲不同，其噪聲函數不僅與隨機數生成器功能類似，而且能夠產生平滑自然的偽隨機序列，被廣泛應用于模擬自然紋理，包括火焰、云朵、大理石、河流等自然現象噪聲。圖1 展示了紋理窗格為10 的Perlin 噪聲圖像。

圖1 紋理窗格為10 的Perlin 噪聲

本研究將紋理大小隨機的Perlin 噪聲與每張原始樣本的RGB 均值結合，產生與原始圖像背景顏色相近的專屬Perlin 噪聲圖像，并與數據集中對應的原始圖像相互融合作為對抗攻擊中首次迭代的輸入樣本，數學表達式為：

其中，x 為原始圖像；xp為增強后的樣本；P 為融合RGB 均值的Perlin 噪聲，β為噪聲的疊加系數。

此外，為進一步提升Perlin 噪聲的細節，運用分型布朗運動引入了多種頻率的Perlin 噪聲，并進行加權求和得到最終噪聲圖像。具體的數學表達式為：

其中，函數noise()是取在(x,y)處Perlin 噪聲的像素值，N 代表所疊加噪聲的種類數，此處取N=4。

至此基于Perlin 噪聲的圖像增強過程可表示為：

其中，x 為原始輸入；xp為增強后的樣本；β為噪聲的疊加系數，此處取β=0.2。

3.2 對抗樣本生成方法

文獻[6]提出的優化領域的TIM，相比于傳統的動量方法，額外引入了卷積運算，其更新過程為：其中，gt+1是經過衰減因子μ優化的第t+1 次梯度值，Clip()函數作用是將對抗樣本約束在x 的鄰域ε內，W 為預定義的卷積核。當卷積核大小1×1 時，TIM 將退化為MI，擾動系數為γ=ε/T。

將基于Perlin 噪聲的數據增強技術用于對抗樣本生成，并結合隨機尺度與填充變換，由此形成基于Perlin 增強與隨機變換的黑盒攻擊方法（Perlin Enhancement and Random Transformation Black-Box Attack Method, PE&RTOM），即為優化后的TIM 黑盒攻擊算法，其更新過程可由下式表述：

4 實驗與結果分析

4.1 實驗設置

若原始圖像輸入到網絡模型中不能被正確的分類，則所生成的對抗樣本將失去研究價值。在本實驗中，以TensorFlow1.13.1 環境下完成對ImageNet驗證集的篩選，隨機選出可被所有目標模型分類正確的2000 張圖像，構成實驗所需的數據集。

實驗選取Vgg19、Resnet152（Res152）、Inception V4（Incv4）和Inception_ResnetV2（IncResv2）四種神經網絡模型作為所需的網絡模型。

在生成對抗樣本過程中，迭代次數設為T=10，擾動系數大小為ε=8，DI 中隨機轉換概率設為ρ=0.5，TIM 中高斯核尺寸采用默認值Size=15，在Perlin噪聲中紋理大小設為1～10 中的隨機整數，輸入圖像維度N=299×299×3，完成超參數設置。

對于評估指標，在數據增強上，將作為圖像相似度的評價指標對常用的噪聲進行篩選，選擇出適用于增強對抗攻擊的噪聲。其中包括峰值信噪比（PSNR）、結構相似性（SSIM）[9]。在對抗攻擊上，用于評價攻擊效果的指標主要是攻擊成功率，即被攻擊模型的錯誤分類率。本方法主要針對無目標攻擊方法進行優化，即生成的對抗樣本使得分類模型預測結果與真實類別不一致就已達到攻擊效果。

4.2 圖像相似度結果與分析

結合噪聲增強后的圖像與原始圖像間的相似度結果、對抗樣本與輸入圖像間的相似度，證明本PE&RTOM 方法使用Perlin 噪聲進行數據增強，能夠在最大程度上保留原始輸入的圖像特征。實驗結果如表1 所示。

表1 圖像相似度衡量指標

其中，IP-1 為衡量指標的輸入分別為使用Perlin 噪聲增強前后的圖像；IP-2 為衡量指標的輸入分別為TIM 生成的對抗樣本和原始圖像；IP-3 為衡量指標的輸入分別為結合DIM 與TIM 生成的對抗樣本和原始圖像；IP-4 為衡量指標的輸入分別為PE&RTOM 生成的對抗樣本和原始圖像。

從表中數據可以看出，對于IP-1，使用Perlin噪聲增強后的圖像與原始圖像相比，其PSNR 值處于30dB＜PSNR＜40dB 的區間內，SSIM 值接近于最大值1，表明增強后的圖像與原始圖像非常相似，在主觀視覺上難以察覺兩種圖像間的差異。對于三種不同的攻擊方法，IP-2、IP-3 和IP-4 的PSNR 均處于20dB＜PSNR＜30dB 的區間內，SSIM 的誤差值均小于0.1，說明PE&RTOM 優化后生成的對抗樣本能夠很大程度上的保留原始對抗樣本的圖像特征。

由此可知，從圖像相似度的角度來看，利用Perlin噪聲進行數據增強，均可在最大程度上的保留原始圖像和對抗樣本的圖像屬性，實現在對抗攻擊過程中對數據集進行相應增強處理。

4.3 優化結果及分析

通過對比對抗樣本的攻擊成功率，對PE&RTOM優化TIM 的有效性進行驗證。在單模型的對抗攻擊中，對比實驗分別以Res152 與Incv4 為源模型，通過TIM、融合隨機尺度與填充的TIM（DI-TIM）和PE&RTOM 生成對抗樣本，在經典的4 個神經網絡分類模型上進行攻擊測試。攻擊效果的衡量指標為攻擊成功率，即模型識別錯誤的個數占數據集中樣本總數的百分比。實驗結果如表2 所示。

表2 對抗樣本攻擊成功率對比結果單位：%

其中，源模型與目標模型相同時為白盒攻擊，不同時則為黑盒攻擊。

從表中數據可見，在白盒環境下，相比于原始的TIM，融合隨機尺度與填充運算的DI-TIM 生成的對抗樣本，其白盒攻擊率由97.50%下降到95.45%。出現這一情況主要是由于對抗樣本在迭代生成的過程中陷入了“過擬合”狀態。PE&RTOM 中的數據增強有助于緩解該情況對對抗樣本攻擊能力的影響，縮小白盒成功率的下降幅度。

在黑盒環境下，在三種攻擊方法中，TIM 的黑盒攻擊成功率最低，這表明TIM 生成的對抗樣本在攻擊未知模型時可遷移性較差，融合隨機空間變換后的TIM 可在一定程度上提高對抗樣本的可遷移性。而PE&RTOM 可在相同參數的情況下將DI-TIM 的黑盒攻擊能力進一步增強，相比于前兩種攻擊PE&RTOM 生成的對抗樣本可遷移性最強。實驗結果表明在不損耗黑盒強度的情況下，通過PE&RTOM 可使用更難察覺的擾動生成對抗樣本，增加防御者的識別難度。

5 結 束 語

針對基于平移不變的快速梯度算法，提出基于Perlin 增強與隨機變換的黑盒攻擊優化方法。對輸入數據集進行數據增強，通過Perlin 噪聲融合方法來預先增強干凈樣本。使用增強后的數據集和隨機尺度與填充運算來改進現有的TIM 對抗樣本生成方法，實驗更強的對抗樣本的可遷移性。在不損耗黑盒強度的情況下，通過PE&RTOM 可使用更難察覺的擾動生成對抗樣本，顯著提升了對抗樣本的黑盒攻擊成功率。使用較小的最大擾動系數進行的實驗表明，所提出的PE&RTOM 對經典的深度神經網絡的黑盒成功率達到平均42%，相較于原始的TIM 提升19.78%，比DI-TIM 提升10.79%。