基于紋理和顏色感知距離的對抗樣本生成算法

2021-08-04 03:45:54蔣奔馳

電子科技大學學報 2021年4期

徐明，蔣奔馳

(杭州電子科技大學網絡空間安全學院杭州 310016)

近年來，深度學習在各個領域被廣泛應用，其安全性備受關注，特別是對抗樣本[1]帶來了諸多潛在威脅。對抗樣本是通過對原始圖像添加刻意構造的微小擾動后，使特定的深度學習分類器以高置信度產生一個錯誤的分類輸出。理想的對抗樣本不僅能夠欺騙機器學習分類器，且其差異應不易被人類視覺感知。

在目前的對抗樣本生成算法中，為了保證添加擾動后圖像篡改痕跡的不可見性，通常研究人員采用比較公認的標準，即在RGB顏色空間內滿足一定的Lp范數約束，用Lp范數衡量對抗樣本中擾動的大小。如C&W[2]、FGSM[3]及變種(I-FGSM[4]、RFGSM[5])、Deepfool[6]和JSMA[7]。但范數距離與人類感官差異存在較大的偏差[8]，采用范數約束優化生成的對抗樣本不可避免地會在圖像平滑區域出現肉眼可見的異常紋理。

此外在基于迭代優化的對抗樣本生成算法中，如C&W[2]、DDN[9]等算法的損失函數是由多個損失函數累加，通常引入超參數來表示每個損失之間的加權系數。損失函數中的超參數在圖像風格轉移[10]、圖像超分辨率[11]及GAN等網絡模型中都會涉及，通常采用遍歷或者隨機搜索的方式反復嘗試，最終才能確定合適的超參數。

為了解決對抗樣本平滑區域易出現異常紋理和超參數確認困難的問題，本文提出了一種超參數自適應調節算法(Aho-λ)。該算法基于圖像紋理和顏色感知距離，有效降低了對抗樣本的視覺差異。訓練過程中結合損失函數中超參數與攻擊成功率和擾動距離之間的線性關系[2,9]，進行動態調節超參數，有效避免了超參數的反復嘗試，降低對抗樣本擾動的同時也減少了算法的迭代次數。

1 相關工作

對抗樣本的設計是為了產生與原始圖像接近的篡改圖像，不影響人類判斷的前提下使深度學習模型受到明顯的改變。對抗樣本問題可以描述為：

在距離D的約束下，使網絡分類器的標簽發生改變；距離D可以分為Lp范數和非Lp范數。

1.1 基于Lp范數的對抗樣本生成算法

傳統算法中，擾動大小通常用Lp范數來表示：

常用的Lp范數包括L0、L2及L∞范數。L0范數表示非零元素的個數，L0范數限制可修改像素的數量，如JSMA[7]通過迭代的次數來限制L＞0范數。另外，L0范數廣泛應用于黑盒模型中，如單像素攻擊[12]僅通過修改某一個像素便可引起分類器的誤判。L2范數也稱歐式距離，使用在文獻[1, 4, 7]中，是衡量對抗樣本全局擾動大小的指標。L∞范數使用在文獻[2, 4, 5]中，表示向量中元素的最大值，相比于L2范數，L∞范數側重于圖像局部的修改限制，對L∞范數的約束是為了防止圖像某一像素點擾動過大。

文獻[1]首先提出范數約束擾動大小的方法，如式(3)所示，損失需要由超參數λ來調節，其中J是交叉墑，該文獻提出了一種有效算法L-BFGS進行求解。

綜上所述，在臨床偏頭痛患者的治療中聯合使用氟桂利嗪和尼莫地平進行治療，療效較之單純使用氟桂利嗪進行治療要更高，具有臨床意義，值得推廣使用。

C&W算法[2]對文獻[1]算法進行了改進，如式(4)所示，通過引入tanh函數解決了圖像的訓練約束，把像素值約束在[0,1]之間，并且交叉墑用式(9)進行替代。

文獻[1]和文獻[2]兩種算法都涉及超參數λ的選擇，λ維持Lp范數和交叉墑之間的平衡，λ過大使對抗樣本Lp范數過大，圖像產生明顯的擾動；λ過小會導致對抗樣本不能產生攻擊效果。也有算法避開了超參數λ的選擇，如I-FGSM[4]和Deepfool[6]，這些算法通過降低迭代次數來降低Lp范數。

1.2 基于非Lp范數的對抗樣本生成算法

目前，還沒有一個統一的標準用來描述圖像的感官差異。在文獻[13-14]中，SSIM[15]取代了Lp范數，其缺點是SSIM對圖像微小的變化都較敏感，有時即使完全不同的圖像的SSIM值卻比相似圖像要高[13]。還有研究用多重的Lp疊加來取代單一的范數約束[16]，雖然能夠獲得一定的效果，但是很難從根本上降低圖像擾動的可見性，反而增加了訓練的復雜程度。另外，文獻[17]使用諧波(Harmonic)生成無邊緣的平滑擾動來降低擾動的可見性；文獻[18-20]將拉普拉斯平滑項(Laplacian smoothing term)和正則項(regularization term)引入損失函數中，以此來生成平滑的對抗樣本。此外，很多研究將擾動盡可能地添加在圖像的高紋理區域[21-24]，將紋理損失加入損失函數中降低平滑區域的噪聲。文獻[21]提出的C-adv方法通過改變背景的顏色和修改圖像中物品的著色來獲得有效的對抗樣本。另外，文獻[25]提出PerC-C&W和PerC-AL方法，使用CIEDE2000[26]取代了Lp范數約束，在反向傳播中進行直接優化，使用這一標準作為圖像質量的衡量指標，生成的對抗樣本與原始圖像視覺差異更小。

2 自適應無感對抗樣本生成算法

基于紋理度篩選和顏色感知距離CIEDE2000，本文提出了對抗樣本生成算法Aho-λ，能夠在訓練過程中自適應調節超參數，算法流程如圖1所示。

圖1 無感對抗樣本算法流程圖

2.1 CIEDE2000顏色感知距離

本文將CIEDE2000標準引入損失函數中，取代原先的Lp范數。CIEDE2000計算公式為：

式中，L、C、H分別代表了圖像的亮度(lightness)、色度(chroma)、明度(hue)。參數參考文獻[26]。通過文獻[26]的研究證明，這一標準比范數距離更符合人類肉眼對于顏色的感知。

2.2 圖像紋理度

圖像紋理度是用來表述圖像每個像素點位置的紋理程度大小的指標。在文獻[10-11]研究中，對抗樣本的擾動應盡可能添加在圖像的平滑區域，文獻[11]首次在對抗樣本訓練中引入了紋理度損失，如式(6)：

式中，Sen是每個像素點的敏感度因子(為每個點和周圍像素點之間的方差的倒數)，如式(7)：

本文選取了方差SD來表示圖像紋理度，作為篩選圖像擾動區域的量化指標，n取值3，并在迭代的過程直接過濾掉低紋理區域，降低計算成本。

2.3 自適應訓練算法

首先本文將為式(8)定義對抗樣本訓練的損失，

式中，ΔE00表示顏色感知距離；f表示攻擊目標網絡的損失函數，超參數λ調節ΔE00和f之間的比率，對于不同的圖像λ的取值不同。

本文設計的Aho-λ算法，能夠適應不同的圖像和網絡模型，通過訓練得到一個相對較優的參數λ來降低加入的擾動大小。算法使用的f(x)如式(9)所示，文獻[2]已經實驗證明了f(x)能夠有效代替交叉墑，其中參數k用來描述模型中最大概率的預測項和次預測項目之間的距離大小，能夠有效反映生成對抗樣本的置信度。

Aho-λ如算法1所示，使用式(7)將所有像素點的紋理度進行計算及排序，把紋理度較低的點按照一定百分比進行過濾。依據對抗樣本攻擊成功與否，在迭代過程中動態調節超參數λ的大小。超參數λ值越大越能保證對抗樣本攻擊的成功率，但是為了有適當的感知距離且不易被肉眼察覺，對于每一張圖像需要一個適合的λ值來權衡感知距離和攻擊成功率之間的關系。結合每次迭代的對抗樣本攻擊結果，參考機器學習訓練中的優化算法對λ進行自適應的調節，其中衰減率θ滿足0 ＜θ＜1，目的是為了讓λ最終穩定在某一范圍內，隨著迭代的不斷進行，λ的變化率逐漸減小。

算法1：自適應訓練算法

計算圖像紋理度x′，將高紋理區域置為1，低紋理區域置為0

3 實驗

3.1 實驗設計

數據集與網絡：選用NIPS 2017對抗樣本攻防比賽[26]所采用的數據集ImageNet-Compatible dataset，共包含6 000張圖像，屬于ImageNet 1 000種標簽類，Inception V3[27]具有較高的識別率。因此，本文將Inception V3作為目標網絡進行攻擊產生對抗樣本，最后將獲取到的圖像直接縮放到指定大小，圖像的長寬為299*299。

實驗對比的算法：與Lp范數的I-FGSM[4]、C&W[2]和DDN[9]算法，及感官距離CIEDE2000的PerC-AL[25]算法進行對比。比較對抗樣本的攻擊成功率、Lp范數和感官距離。

實驗建立與參數選擇：I-FGSM每次迭代的步長設置為η=1/255，直到攻擊成功后停止。C&W算法中，學習率設置為0.005，超參數λ使用[0.01,0.1,1,10,100]進行選擇，生成的對抗樣本中擾動最小的圖像作為最終結果。PerC-C&W和PerC-AL算法的學習率為0.001，DDN的單步步長為0.01。DDN、PerC-AL和本文的Aho-λ算法，迭代次數設置為[100,300,1 000]分別進行比較。

3.2 局部像素修改實驗

本文提出的方法能夠有效地對添加擾動的區域進行篩選和修改限制。如圖2所示，圖像第一行為不同修改比率下生成的對抗樣本；第二行為對抗樣本修改像素點的位置，使用255替換原來的顏色，圖像中白色部分表示修改像素點對應的RGB三個顏色通道都被修改過。根據本文提出的算法，將紋理度排序并篩選出一定比率的可攻擊區域，實驗結果如表1所示?？梢钥闯鰞H需修改圖像中的少量點就能得到較高的攻擊成功率，當修改區域大于70%時能保證圖像100%的攻擊成功率；對抗樣本L2范數隨著修改點的減少呈現下降的趨勢，從L∞范數可以看出單個像素點的最大擾動隨之提高。另外，當修改像素在70%時，顏色感知距離C2具有最低值56.54。因此，本文后續的實驗都采用70%的像素修改作為實驗參數。

圖2 Aho-λ不同修改比率得到的對抗樣本效果

表1 圖像修改比率、攻擊成功率及擾動距離對比

3.3 對抗樣本質量實驗

如表2所示，在不考慮感官距離的DDN、C&W以及I-FGSM三種算法中，DDN算法能夠獲得最低的L2范數，略優于C&W算法；在I-FGSM算法中，L∞取決于迭代的次數，且每次迭代具有固定步長，雖然I-FGSM能夠獲得較低的L∞范數，但在L2和C2上都不如其他算法優越。在結合感官距離的算法PerC-AL和Aho-λ中，本文提出的Aho-λ算法能夠達到和DDN算法基本相同的L2范數，并具有比PerC-AL算法更小的顏色感知距離C2。與DDN和PerC-AL算法相比，Aho-λ算法在300次和1 000次迭代過程中生成的兩組對抗樣本差異更小，這說明本文提出的Aho-λ算法能夠更快地收斂，在300次左右就能夠達到最佳的攻擊效果。

表2 對抗樣本質量對比

本文算法與其他幾種算法生成的對抗樣本局部細節對比如圖3所示。圖3a是原始圖像，放大方塊的選中區域后本文的算法并未出現異常紋理，與原圖基本一致。其余幾種方法都出現了可見的異常紋理。

圖3 5種算法生成的對抗樣本

3.4 置信度與魯棒性實驗

置信度k值變化會影響對抗樣本的質量，能有效地保證對抗樣本輸出的標簽與其他標簽之間的差異，如式(9)所示。在不同置信度k下，本文算法Lp范數和顏色感知距離變化如圖4所示，置信度k值越大，擾動距離L2、L∞和C2不斷增大。

圖4 不同置信度下3種擾動距離的大小

圖片的有損壓縮通常也被當作是防御對抗樣本攻擊的有效手段。本實驗選取了與文獻[20, 28]相同的JPEG和Bit Depth壓縮方法。在不同質量因子下，JPEG壓縮后的對抗樣本保持原有攻擊效果的比率，如圖5所示。在常用的質量因子大于70時，本文提出的算法具有一定的抗JPEG壓縮能力；但當質量因子小于60時，壓縮圖像越來越模糊，對抗樣本的攻擊成功率降低。Bit Depth壓縮下也表現出了近似的效果，如圖6所示，原來圖像顏色由8位壓縮到4位以上時，對抗樣本表現出較出色的抗壓縮能力。同時，圖5和圖6表明，由于置信度增加，需要在圖像中嵌入擾動變大，對抗樣本的魯棒性也隨之提高。

圖5 不同JPEG質量因子下對抗樣本的成功率

圖6 Bit Depth壓縮下對抗樣本的成功率

3.5 遷移性實驗

現有的許多研究表明[2,3,23]，對于不同網絡模型使用相同的對抗樣本可能達到同樣的攻擊效果，即對抗樣本具有一定的遷移性。本文選取ImageNet-Compatible dataset數據集作為實驗對象，置信度k選擇20和40，分別在Google net[27]、Vgg-16[29]和ResNet-152[30]網絡模型上進行遷移性實驗，實驗結果如表3所示。表3中的數據表示在不同置信度k下，不同算法生成的對抗樣本在另外兩種網絡模型中具有相同的分類結果的比率。另外，在所有算法中I-FGSM遷移性最好，其加入的L2和C2顏色感知距離都是最大的；Aho-λ算法雖然具有一定的遷移性，但是遷移性不高，原因可能有以下兩點：首先Aho-λ算法加入的擾動是所有算法中最小的；其次可能是不同的網絡模型對于圖像紋理區域的改變比較敏感。因此，Aho-λ算法在不同網絡模型中的判別結果一致性不高。