点击数: 更新日期: 2022-11-15
中文题目:基于Nesterov和Adam的迭代对抗攻击方法
论文题目:Nesterov Adam Iterative Fast Gradient Method for Adversarial attacks
录用期刊/会议:International Conference on Artificial Neural Networks( CCF C类)
作者列表:
1) 陈 诚 中国石油大学(北京)信息科学与工程学院 计算机科学与技术专业 硕 20
2) 王智广 中国石油大学(北京)信息科学与工程学院 计算机系教师
3) 范永年 中国石油大学(北京)信息科学与工程学院 计算机科学与技术专业 硕 20
4) 张 雪 中国石油大学(北京)信息科学与工程学院 计算机科学与技术专业 硕 20
5) 李大伟 中国石油集团勘探开发研究院
6) 鲁 强 中国石油大学(北京)信息科学与工程学院 计算机系教师
摘要:
深度神经网络 (DNNs)容易受到对抗样本攻击,对抗样本会以难以察觉的扰动导致DNNs预测的结果不准确。现有的对抗性攻击在黑盒攻击条件下,表现出较弱的可转移性。在本工作中,我们将对抗样本生成问题看作优化DNNs问题,并提出了NAI-FGM算法,该算法将Nesterov加速梯度和Adam应用到迭代攻击中来提高基于梯度的攻击算法的可转移性。实验结果表明,NAI-FGM能够取得比目前先进方法更高的攻击成功率。
背景与动机:
假定存在一个分类器,模型的参数为,那么对抗性攻击的目标就是找到一张图片满足:
对于分类问题来说,公式(1)也可以转化为:
公式(2)表明对抗性攻击也可以看作成一个优化过程,通过在的领域内不断优化使得分类器的损失函数值达到最大。对于对抗样本生成问题来说,可以将分类器的输入看成需要优化的参数,寻找对抗样本的过程可以看作为训练过程,白盒攻击相当于是训练集,黑盒攻击可以看成测试集,对抗样本的可转移性则相当于模型的泛化能力,即同一模型在不同分布数据集上均能表现出相似的性能。
考虑到Adam优化算法中使用到了动量,而NAG算法对Momentum改进是有效的,因此可以尝试使用NAG 算法对Adam的动量部分进行改进,改进之后的算法既可以避免局部最优,又能保持Adam自适应性。基于上述考虑,我们设计了Nesterov Adam Iterative Fast Gradient Method (NAI-FGM)算法来提升对抗样本的可转移性。
设计与实现:
我们将NAG和Adam优化算法结合到迭代攻击算法中并设计了一种具有高可转移性的对抗性攻击算法,我们称之为NAI-FGM(Nesterov Adam Iterative Fast Gradient Method),NAI-FGM算法可以总结为算法1。
实验结果及分析:
我们在ImageNet数据集中进行了大量的实验来验证我们提出的对抗性攻击的有效性,包括攻击单个模型实验、和多种输入变换结合后攻击单个模型、攻击集合模型实验、攻击防御模型上实验。
表1:攻击单个模型实验
表2:和多种输入变换结合后攻击单个模型实验
表3:攻击集合模型实验
表4:攻击防御模型
结论:
在本论文中,我们提出了Nesterov Adam Iterative Fast Gradient Method(NAI-FGM)对抗性攻击算法来提升对抗样本的可转移性,具体来说我们将NAG 和Adam优化算法结合,使用NAG改进了Adam优化算法动量部分,这样既保留了Adam优化算法的自适应性。又能利用NAG更好地避开局部最优,更快速地接近全局最优。通过在ImageNet数据集上的实验,证明了NAG生成的对抗样本更加有效,可以生成更高可转移性的对抗样本
通讯作者简介:
王智广,男,博士,教授,博士生导师,北京市教学名师,石大学者。中国计算机学会(CCF)高级会员,全国高校实验室工作研究会信息技术专家指导委员会委员,北京市计算机教育研究会常务理事。长期从事分布式并行计算、三维可视化、计算机视觉、知识图谱方面的研究工作,主持或承担国家重大科技专项子任务、国家重点研发计划子课题、国家自然科学基金、北京市教委科研课题、北京市重点实验室课题、地方政府委托课题以及企业委托课题20余项,在国内外重要学术会议和期刊上合作发表学术论文70余篇,培养了120余名硕士博士研究生。