1. 改进方案
从表4 − 1 − 4 中可以观察到,在对 ImageNet 数据集进行攻击,且将攻击迭代次数限制在100 次以内时,C&W 攻击与DDN 攻击保持相似的成功率,并且所生成的对抗样本都是肉眼不可见的扰动,如图 4 − 1 − 8所示。但在耗费时间方面,在短迭代策略限制下,C&W 攻击所需的运行时间要短于DDN 攻击。于是,笔者希望能够在一定程度上缩短短迭代策略下DDN 攻击的运行时间。由于DDN 攻击得出的L2 范数保持在一个相当低的水平,由此认为可以通过调整不同的L2 范数来缩短运行时间。从这个目的出发,在查询对抗样本中设置一个最低范数,限制 (L2)min 为一个常数。所有对抗样本的一个基本要求就是 L2 范数尽可能小,达到人类视觉无法(或不易)察觉的目的。对抗样本是为了欺骗分类器,且不被肉眼察觉。
在图 4 − 1 − 8 中,原始图像的分类从左到右依次是 steam bottle、bull mastiff、mantis、mexican pancakes、cello;迭代次数为 1 × 100 的 C&W 攻击后,分类从左到右依次为beer bottle、boxer、stick insect、guacamole、violin;迭代次数为1 001 的DDN 攻击后,分类从左到右依次为beer bottle、boxer、stick insect、ice cream、wardrobe。
图4−1−8 攻击对比
(a)原始图像;(b)C&W(1×100);(c)DDN(100)
2. 改进效果
为了将DDN 攻击更好地与C&W 攻击进行比较,在此将该常数设置为C&W 攻击得到的 L2 范数,C&W、DDN 与 DDN′(改进后的DDN)的攻击结果对比如表 4 − 1 − 8 所示。
表4−1−8 DDN、C&W 与 DDN′的攻击结果对比
从表 4 − 1 − 8 中可以看出,设定合适的 L2 范数来缩短运行时间是可行的。在L2 范数只增长了0.1 的情况下,时间比原来的DDN 缩短了超过70%,从而很好地做到了缩短攻击时间。生成的攻击对比如图4 − 1 − 9 所示。
(www.xing528.com)
图4−1−9 攻击对比
(a)原始图像;(b)C&W(1 × 100);(c)DDN′(100/0.3)
在此,以0.1 为叠加参数,测试(L2)min每增长0.1 对C&W 攻击的效果,从而找到性价比最优的(L2)min,结果如表4 − 1 − 9 所示。
表4−1−9 (L2)min变化对 C&W 攻击的影响
限制 (L2)min ∈ [0.3,0.7],是从视觉效果上和C&W 攻击更优的角度考虑。由表 4 − 1 − 9 可知,当 C&W 攻击的 L2 范数平均值在 0.4~0.5 范围内时,可以在攻击成功率和生成速度之间达到较好的平衡。
从表 4 − 1 − 9 可以看出,当(L2)min高于 0.4 时,攻击的成功率下降,不满足保证成功率不变的目标条件,从而将其舍弃,所得攻击对比如图4 − 1 − 10 所示。对图 4 − 1 − 9 和图 4 − 1 − 10 进行比较可以发现,在视觉效果上,人眼无法察觉其中的变化。此外,当(L2)min=0.4 时,DDN 攻击算法寻找对抗样本的速度比原来提升了4.76 倍,达到了提升速度的要求。因此,选择(L2)min=0.4 可以达到本节实验所期待的最优效果。
由于在目标攻击中,DDN 攻击效果优于C&W 攻击效果,因此不在目标攻击上做上述更新。
图 4 − 1 − 9 与图 4 − 1 − 10 中的原图分类、攻击后的错误分类标签均与图 4 − 1 − 8 的分类结果一致。
图4−1−10 攻击对比
(a)原始图像;(b)C&W(1 × 100);(c)DDN′(100/0.4)
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
