基于雙對抗機(jī)制的圖像攻擊算法

黃靜琪，賈西平，陳道鑫，柏柯嘉，廖秀秀

（廣東技術(shù)師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，廣州 510665）

0 概述

深度學(xué)習(xí)是學(xué)習(xí)樣本數(shù)據(jù)的內(nèi)在規(guī)律和表示層次的算法，在學(xué)習(xí)過程中獲得的信息對文字、圖像和聲音等數(shù)據(jù)的解釋具有很大的幫助［1］。由于深度學(xué)習(xí)系統(tǒng)的訓(xùn)練過程和訓(xùn)練模型一般是封閉的，而訓(xùn)練數(shù)據(jù)集和預(yù)測數(shù)據(jù)需要與用戶交互，因此容易受到未知惡意樣本攻擊［2］。如果在訓(xùn)練數(shù)據(jù)集中出現(xiàn)惡意樣本，則稱之為投毒攻擊；如果在預(yù)測數(shù)據(jù)中出現(xiàn)惡意樣本，則稱之為對抗攻擊［3］。對抗攻擊利用對抗樣本擾亂分類器的分類，使模型預(yù)測錯(cuò)誤，從而破壞模型可用性。對抗樣本是在原始樣本中添加擾動而產(chǎn)生的，通過人類肉眼觀看和原始樣本基本沒有區(qū)別。對抗攻擊的難點(diǎn)在于攻擊成功率和擾動之間的平衡。一般地，擾動越大，攻擊成功率越高，但是攻擊樣本與原始樣本的視覺差異越明顯，反之亦然。

GOODFELLOW 等［4］提出快速梯度標(biāo)志攻擊（Fast Gradient Sign Method，F(xiàn)GSM）方法，通過在梯度方向上添加增量來產(chǎn)生擾動，然后對原始圖像添加擾動生成對抗樣本，使網(wǎng)絡(luò)產(chǎn)生誤分類。SU 等［5］提出基于差分進(jìn)化生成單像素的對抗性擾動，目的是通過改變輸入圖像的一個(gè)像素值，達(dá)到在最小攻擊信息的條件下對更多類型的網(wǎng)絡(luò)進(jìn)行欺騙。MOOSAVI-DEZFOOLI 等［6］設(shè)計(jì)對 于任意 給定的DNN 分類器都可實(shí)現(xiàn)圖像攻擊的擾動，生成的擾動僅與模型本身相關(guān)，具有較小的范數(shù)，在不改變圖像本身結(jié)構(gòu)的情況下，能使分類器以較大概率分類錯(cuò)誤，從而實(shí)現(xiàn)對于DNN 的攻擊，同時(shí)這些擾動對人類肉眼而言幾乎不可察覺。SZEGEDY 等［7］將神經(jīng)網(wǎng)絡(luò)做出誤分類的最小擾動求解方程轉(zhuǎn)化成凸優(yōu)化過程，尋找最小損失函數(shù)的添加項(xiàng)，使得對圖像添加小量的人類察覺不到的擾動，便可達(dá)到誤導(dǎo)神經(jīng)網(wǎng)絡(luò)分類的效果。XIAO 等［8］等提出一種通過學(xué)習(xí)來逼近原始實(shí)例的分布和生成對抗實(shí)例的AdvGAN 算法。一旦生成器訓(xùn)練完成，該算法就可以有效地使用所有原始實(shí)例來產(chǎn)生對抗性干擾實(shí)例，從而潛在地促進(jìn)防御的對抗性訓(xùn)練。AdvGAN 攻擊算法在公共MNIST 攻擊挑戰(zhàn)中獲得第一名，加速了對抗樣本的產(chǎn)生，生成的樣本更加自然［9］，并且受到了研究人員的廣泛關(guān)注。

針對圖像攻擊，可以構(gòu)建魯棒的分類器或者防御模型，使其在輸入攻擊圖像時(shí)也能實(shí)現(xiàn)分類正確。防御模型基本原理分為兩種：一種是從分類器本身出發(fā)進(jìn)行防御，即訓(xùn)練更加魯棒的分類器；另一種是對輸入的攻擊圖像做一定的預(yù)處理后再傳給分類器，目的是盡可能減少攻擊噪聲。DZIUGAITE 等［10］通過圖像壓縮技術(shù)去除圖像攻擊所添加的抽象擾動，將圖像復(fù)原為沒有擾動的圖像，從而達(dá)到防御效果。通過實(shí)驗(yàn)發(fā)現(xiàn)，該方法在少量擾動的情況下，防御效果較好，但隨著擾動的增加，難以解決神經(jīng)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)問題。LUO 等［11］提出一種基于中央凹機(jī)制的防御方法來防御生成的對抗擾動。ROSS等［12］使用輸入梯度正則化訓(xùn)練模型，使其具有平滑的輸入梯度和較少的極值，同時(shí)對預(yù)測分布與真實(shí)分布之間散度的敏感性進(jìn)行適當(dāng)懲罰，這樣小的對抗擾動就不會對輸出具有顯著影響，提高了對抗攻擊魯棒性。LI 等［13］用變分 自編碼 器（Variational Auto-Encoder，VAE）訓(xùn)練模型，通過對實(shí)例壓縮來提取符合分布的數(shù)據(jù)特征，然后根據(jù)數(shù)據(jù)特征進(jìn)行解壓縮還原成實(shí)例。在壓縮和解壓縮過程中，VAE 能夠過濾許多擾動信息，實(shí)現(xiàn)對攻擊的防御。DUBEY等［14］假設(shè)對抗性擾動使圖像遠(yuǎn)離圖像流形，通過對包含大量圖像的海量數(shù)據(jù)庫的最近鄰搜索，建立一種針對對抗圖像的成功防御機(jī)制，使圖像近似投射回圖像流形。LIU 等［15］提出一種基于感知哈希的防御方法，通過比較圖像的相似性來破壞擾動產(chǎn)生過程，從而達(dá)到防御目的。基于卷積稀疏編碼，SUN等［16］在輸入圖像和神經(jīng)網(wǎng)絡(luò)的第一層之間引入稀疏變換層，并構(gòu)造一個(gè)分層的準(zhǔn)自然圖像空間。該空間逼近自然圖像空間，同時(shí)消除了對抗性擾動。吳立人等［17］在基于動量的梯度迭代攻擊算法［18］的基礎(chǔ)上，加入動量因子，使攻擊在損失函數(shù)的梯度方向上快速迭代，穩(wěn)定更新，有效地避免了局部最優(yōu)。

現(xiàn)有圖像攻擊算法多數(shù)較為脆弱，只要對攻擊圖像做適當(dāng)處理，就能使攻擊模型的攻擊性能大幅下降，導(dǎo)致圖像攻擊失效［19］。本文在AdvGAN 算法的基礎(chǔ)上，針對現(xiàn)有圖像攻擊在VAE 防御下攻擊不穩(wěn)定的問題，提出AntiVAEGAN 算法，以生成對抗網(wǎng)絡(luò)的訓(xùn)練方式，訓(xùn)練得到一種抵抗VAE 防御的AntiVAEGAN 模型。在AntiVAEGAN 算法的基礎(chǔ)上，進(jìn)一步提出改進(jìn)的對抗攻擊算法VAEAdvGAN，以解決防御能力提升時(shí)攻擊不穩(wěn)定的問題。

1 抵抗VAE防御的對抗攻擊算法AntiVAEGAN

1.1 AntiVAEGAN 算法原理

AntiVAEGAN 算法結(jié)構(gòu)如圖1 所示，主要由以下部分組成：

圖1 AntiVAEGAN 算法結(jié)構(gòu)Fig.1 Structure of AntiVAEGAN algorithm

1）生成器G。G的主要作用是根據(jù)輸入原始實(shí)例x，生成一個(gè)擾動G（x），添加到實(shí)例x上，組成攻擊圖像x′（x′=x+G（x））。

2）鑒別器D。D的主要作用是判別輸入的數(shù)據(jù)是生成的攻擊圖像還是原始圖像，將x+G（x）和x輸入到鑒別器進(jìn)行判別訓(xùn)練。鑒別器有助于促進(jìn)生成器生成與原始圖像無法區(qū)分的攻擊圖像。

3）被攻擊的圖像分類模型C。C代表實(shí)驗(yàn)中被攻擊的圖像分類模型。

4）VAE 防御模 型Origin_vae。Origin_vae 的 主要作用是對輸入數(shù)據(jù)進(jìn)行特征提純處理。輸入數(shù)據(jù)經(jīng)過Origin_vae 模型編碼和解碼處理后會過濾掉大部分?jǐn)_動，留下原始圖像特征。引入Origin_vae有助于促進(jìn)生成器生成具備反VAE 防御的攻擊實(shí)例。

5）圖像分類模型VAE_Classifier。輸入數(shù)據(jù)經(jīng)過Origin_vae處理后，輸入到圖像分類模型Classifier，從而達(dá)到防御效果。

6）計(jì)算擾動均值的Mean_perturb。Mean_perturb用于計(jì)算生成擾動G（x）的均值并度量生成攻擊圖像的隱蔽性。

鑒別器D的目標(biāo)是區(qū)分原始實(shí)例x和生成實(shí)例：

原始實(shí)例x是真實(shí)數(shù)據(jù)集下的一個(gè)樣本，區(qū)分原始實(shí)例和生成實(shí)例有助于生成器生成與原始實(shí)例接近的攻擊實(shí)例。

假設(shè)D（x）和D（）分別表示鑒別器鑒別原始數(shù)據(jù)和生成數(shù)據(jù)的預(yù)測值，Pt和Pf分別表示數(shù)據(jù)判別為真和假的標(biāo)簽，則二分類交叉熵?fù)p失函數(shù)表示如下：

對抗神經(jīng)網(wǎng)絡(luò)的損失函數(shù)可用式（3）和式（4）表示，它們的作用分別是反向傳播優(yōu)化鑒別器和生成器。

將x+G（x）輸入圖像分類模型Classifier 后，用r表示Classifier 正確分類的概率，o表示除r之外其他類中最大的概率。欺騙圖像分類模型Classifier 的損失函數(shù)表示如下：

其 中：Ld=r-o；max(0,Ld)>0 表示攻 擊失敗，max(0,Ld)=0 表示攻擊成功。因此，Ladv有助于生成器生成能夠欺騙圖像分類模型的擾動圖像。

在x+G（x）輸入Origin_vae 后，將其輸出作為圖像分類模型Classifier 的輸入，vvae_r表示圖像分類模型Classifier 輸出的概率分布中正確分類的概率，vvae_o表示除vaer以外其他類中最大的概率。Origin_vae模型的損失函數(shù)表示如下：

其中：max(0,Lvae_d)>0 表示攻擊失敗，max(0,Lvae_d)=0表示攻擊成功。因此，Lvae有助于生成器生成能夠抵抗防御的擾動圖像。

G（x）擾動的均值損失函數(shù)表示如下：

假設(shè)LG代表Ladv、Lvae、Lp線性匯總的損失函數(shù)，α、β、λ表示權(quán)重，使用LG損失函數(shù)進(jìn)行反向傳播，優(yōu)化生成器。LG損失函表示如下：

1.2 AntiVAEGAN 算法流程

AntiVAEGAN 算法流程如圖2 所示，其中，j表示第j輪迭代，i表示第i張圖像，m表示數(shù)據(jù)集中用于訓(xùn)練的圖像總數(shù)；n表示模型訓(xùn)練的最大迭代次數(shù)。具體步驟如下：

圖2 AntiVAEGAN 算法流程Fig.2 Procedure of AntiVAEGAN algorithm

步驟1通過對原始圖像進(jìn)行大小調(diào)整和中心裁剪，得到統(tǒng)一大小的訓(xùn)練圖像。

步驟2建立生成網(wǎng)絡(luò)，將訓(xùn)練圖像輸入生成網(wǎng)絡(luò)，生成攻擊圖像。

步驟3建立判別網(wǎng)絡(luò)，與生成網(wǎng)絡(luò)形成Gener‐ator-Discriminator 對抗訓(xùn)練。將訓(xùn)練圖像和攻擊圖像輸入判別網(wǎng)絡(luò)進(jìn)行判別，將判別損失結(jié)果用于優(yōu)化生成網(wǎng)絡(luò)和判別網(wǎng)絡(luò)。

步驟4建立圖像分類模型Classifier，建立Classifier 與Origin_vae 防御模型的組合圖像分類模型VAE_Classifier，將生成網(wǎng)絡(luò)生成攻擊圖像分別輸入這兩個(gè)模型，將攻擊損失結(jié)果用于優(yōu)化生成網(wǎng)絡(luò)。

步驟5將以上步驟進(jìn)行多次迭代，利用Gener‐ator-Discriminator 對抗訓(xùn)練方法訓(xùn)練生成網(wǎng)絡(luò)，訓(xùn)練得到AntiVAEGAN 攻擊模型。

步驟6在攻擊模型中輸入測試數(shù)據(jù)集，將生成的攻擊數(shù)據(jù)集分別攻擊圖像分類模型和添加防御模型的圖像分類模型，統(tǒng)計(jì)實(shí)驗(yàn)數(shù)據(jù)。

1.3 AntiVAEGAN 算法評價(jià)

利用攻擊數(shù)據(jù)集中的樣本對圖像分類模型進(jìn)行攻擊，統(tǒng)計(jì)圖像分類模型正確分類的樣本數(shù)目，進(jìn)而計(jì)算圖像分類準(zhǔn)確率和攻擊成功率。

圖像分類準(zhǔn)確率指模型正確分類的樣本數(shù)占攻擊數(shù)據(jù)集樣本總數(shù)的比例maccuracy，計(jì)算公式如下：

其中：mnum表示模型正確分類數(shù)；dnum表示攻擊數(shù)據(jù)集樣本總數(shù)。

攻擊成功率指模型錯(cuò)誤分類的樣本數(shù)占攻擊數(shù)據(jù)集樣本總數(shù)的比例asuccess_rate，計(jì)算公式如下：

2 改進(jìn)的對抗攻擊算法VAEAdvGAN

2.1 VAEAdvGAN 算法原理

VAEAdvGAN 算法借鑒GAN 對抗訓(xùn)練結(jié)構(gòu)，衍生出另一個(gè)對抗模型——生成器和VAE 防御模型的對抗模型，以Generator-Discriminator 與Generator-VAE 雙對抗結(jié)構(gòu)進(jìn)行訓(xùn)練，從而對抗提升防御模型的防御能力與攻擊模型的攻擊能力。VAEAdvGAN算法結(jié)構(gòu)如圖3所示。VAEAdvGAN 算法在AntiVAEGAN 算法的基礎(chǔ)上，添加了Further_vae 防御模型，用于與生成器對抗訓(xùn)練，動態(tài)提升Further_vae 的防御能力。

圖3 VAEAdvGAN 算法結(jié)構(gòu)Fig.3 Structure of AVEAdvGAN algorithm

對抗訓(xùn)練Generator-VAE 的損失函數(shù)表示如下：

2.2 VAEAdvGAN 算法流程

VAEAdvGAN算法流程如圖4所示，具體步驟如下：

圖4 VAEAdvGAN 算法流程Fig.4 Procedure of VAEAdvGAN algorithm

步驟1通過對原始圖像進(jìn)行大小調(diào)整和中心裁剪，得到統(tǒng)一大小的訓(xùn)練圖像。

步驟2建立生成網(wǎng)絡(luò)與防御網(wǎng)絡(luò)Further_vae，使用AntiVAEGAN 攻擊模型和Origin_vae 防御模型分別對生成網(wǎng)絡(luò)和防御網(wǎng)絡(luò)進(jìn)行初始化。

步驟3將訓(xùn)練圖像輸入生成網(wǎng)絡(luò)，生成攻擊圖像。

步驟4建立判別網(wǎng)絡(luò)，對訓(xùn)練圖像和攻擊圖像進(jìn)行判別，與生成網(wǎng)絡(luò)形成對抗訓(xùn)練，將判別損失結(jié)果用于優(yōu)化生成網(wǎng)絡(luò)和判別網(wǎng)絡(luò)。

步驟5將訓(xùn)練圖像和攻擊圖像輸入Further_vae防御網(wǎng)絡(luò)，與生成網(wǎng)絡(luò)形成對抗訓(xùn)練，將防御損失用于優(yōu)化防御網(wǎng)絡(luò)。

步驟6建立圖像分類模型Classifier以及Classifier與Further_vae 防御模型的組合圖像分類模型Fur_VAE_Classifier，將生成網(wǎng)絡(luò)生成的攻擊圖像分別輸入這兩個(gè)模型，將攻擊損失結(jié)果用于優(yōu)化生成網(wǎng)絡(luò)。

步驟7通過以上步驟，以生成器與鑒別器、生成器與VAE 雙對抗訓(xùn)練方法訓(xùn)練生成網(wǎng)絡(luò)，以生成器與VAE 對抗訓(xùn)練方法訓(xùn)練防御網(wǎng)絡(luò)，訓(xùn)練得到攻擊模型VAEAdvGAN 和防御模型Further_vae。

步驟8在攻擊模型中輸入測試數(shù)據(jù)集，將生成的攻擊數(shù)據(jù)集分別攻擊圖像分類模型和添加防御模型的圖像分類模型，統(tǒng)計(jì)實(shí)驗(yàn)數(shù)據(jù)。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)環(huán)境和數(shù)據(jù)集

實(shí)驗(yàn)硬件環(huán)境為64 位Linux 操作系統(tǒng)、16 GB 內(nèi)存、Intel i7-7800X CPU、3.5 GHz×12 主頻、GeForce GTX 1080 Ti GPU。系統(tǒng)運(yùn)行于PyTorch 0.4 深度學(xué)習(xí)框架，使用Python 3.6 版本。

實(shí)驗(yàn)數(shù)據(jù)集包括28像素×28像素的黑白MNIST數(shù)據(jù)集［20］和32 像素×32 像素的彩色GTSRB 數(shù)據(jù)集［21］。MNIST 數(shù)據(jù)集的訓(xùn)練集有50 000 張圖像，由250 個(gè)不同人手寫的數(shù)字構(gòu)成，測試集有10 000 張圖像，使用具有4 層卷積層的10 分類神經(jīng)網(wǎng)絡(luò)作為圖像分類模型。GTSRB 數(shù)據(jù)集是一個(gè)德國交通標(biāo)志檢測數(shù)據(jù)集，包含43 種交通信號，訓(xùn)練集有39 209 張圖像，測試集有12 630 張圖像，使用vgg16［22］作為圖像分類模型。

3.2 實(shí)驗(yàn)效果對比

圖5和圖6分別是使用AntiVAEGAN和VAEAdvGAN攻擊模型對MNIST 數(shù)據(jù)集的攻擊效果。圖7 和圖8 分別是使用AntiVAEGAN 和VAEAdvGAN 攻擊模型對GTSRB 數(shù)據(jù)集的攻擊效果。由上述結(jié)果可以看出，原始交通標(biāo)志圖像遭到攻擊后，圖像中出現(xiàn)了一定的干擾信息，但這些干擾信息基本不影響人眼對標(biāo)志的判別，但卻能成功欺騙分類網(wǎng)絡(luò)。另外，與AntiVAEGAN算法相比，VAEAdvGAN 算法產(chǎn)生的干擾信息看起來更為復(fù)雜。

圖5 AntiVAEGAN 對MNIST 數(shù)據(jù)集的攻擊效果Fig.5 Attack effects of AntiVAEGAN on MNIST dataset

圖6 VAEAdvGAN 對MNIST 數(shù)據(jù)集的攻擊效果Fig.6 Attack effects of VAEAdvGAN on MNIST dataset

圖7 AntiVAEGAN 對GTSRB 數(shù)據(jù)集的攻擊效果Fig.7 Attack effects of AntiVAEGAN on GTSRB dataset

圖8 VAEAdvGAN 對GTSRB 數(shù)據(jù)集的攻擊效果Fig.8 Attack effects of VAEAdvGAN on GTSRB dataset

3.3 分類準(zhǔn)確率對比

使用M1 表示MNIST 數(shù)據(jù)集的圖像分類模型，M2 表示M1 與Origin_vae 防御模型的組合圖像分類模型，M3 表示M1 與Further_VAE 結(jié)合的圖像分類模型。MNIST 數(shù)據(jù)集分別在無攻擊、FGSM［4］攻擊、AdvGAN 攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的分類準(zhǔn)確率對比如表1 所示。由表1 可以看出，M1 圖像分類模型在FGSM 攻擊下分類準(zhǔn)確率下降到 27.96%，而在AdvGAN、AntiVAEGAN 和VAEAdvGAN 攻擊下分類準(zhǔn)確率明顯下降，從無攻擊的99.00%降到不到4.00%，表明FGSM 攻擊算法效果一般，而其他3 種攻擊算法效果較好。對M2 圖像分類模型，無攻擊的分類準(zhǔn)確率為98.00%，AdvGAN 攻擊效果不佳，攻擊后分類準(zhǔn)確率下降不明顯，為19.35 個(gè)百分點(diǎn)，F(xiàn)GSM 攻擊有一定效果，分類準(zhǔn)確率下降了69.68 個(gè)百分點(diǎn)，AntiVAEGAN 和VAEAdvGAN 攻擊效果非常明顯，分類準(zhǔn)確率大幅下降。對M3 圖像分類模型，AdvGAN 攻擊效果非常差，AntiVAEGAN 攻擊效果也一般，而VAEAdvGAN和FGSM 攻擊使得分類準(zhǔn)確率下降較多，攻擊效果較好。

表1 MNIST 數(shù)據(jù)集分類準(zhǔn)確率對比Table 1 Comparison of classification accuracy of MNIST dataset %

使用G1 表示GTSRB 數(shù)據(jù)集的圖像分類模型，G2表示G1 與Origin_vae 防御模型的組合圖像分類模型，G3 表示M1 與Further_VAE 結(jié)合的圖像分類模型。GTSRB 數(shù)據(jù)集分別在無攻擊、FGSM 攻擊、AdvGAN 攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的分類準(zhǔn)確率對比如表2 所示。由表2 可以看出，G1 圖像分類模型在各種攻擊下的分類準(zhǔn)確率都明顯下降，其中FGSM攻擊效果最差，而AntiVAEGAN 和VAEAdvGAN 攻擊效果較好。對G2 圖像分類模型，無攻擊的分類準(zhǔn)確率為79.52%，AdvGAN 攻擊效果最差，VAEAdvGAN 和FGSM 攻擊效果次之，AntiVAEGAN 攻擊效果最好。對G3 圖像分類模型，AdvGAN 攻擊效果很差，AntiVAEGAN 攻擊效果也一般，而FGSM 和VAEAdvGAN 攻擊使得分類準(zhǔn)確率下降最多，攻擊效果較好。

表2 GTSRB 數(shù)據(jù)集分類準(zhǔn)確率對比Table 2 Comparison of classification accuracy of GTSRB dataset %

3.4 攻擊成功率對比

MNIST 數(shù)據(jù)集分別在FGSM 攻擊、AdvGAN 攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的攻擊成功率對比如表3 所示。由表3 可以看出，F(xiàn)GSM 對M1 和M2圖像分類模型的攻擊成功率都在89%以上，但對M3分類模型的攻擊成功率一般，只有42.73%。AdvGAN對M1 圖像分類模型的攻擊成功率為96.94%，但對M2圖像分類模型的攻擊成功率僅為21.35%，對M3 圖像分類模型的攻擊成功率更低，低至9.12%。這表明AdvGAN 的攻擊不穩(wěn)定，在VAE 防御模型的防御下，AdvGAN 的攻擊被大幅抵消。AntiVAEGAN 對M1 圖像分類模型的攻擊成功率為96.45%，與AdvGAN 的攻擊成功率僅相差0.49 個(gè)百分點(diǎn)，但對M2 圖像分類模型的攻擊成功率高達(dá)96.33%，是AdvGAN 攻擊成功率的4 倍多，攻擊效果明顯更好。AntiVAEGAN 對M3 圖像分類模型的攻擊成功率也較差，僅為23.93%，但比AdvGAN 的9.12%好。VAEAdvGAN 對M1 圖像分類模型的攻擊成功率為96.03%，與AdvGAN 和AntiVAEGAN 相差不多，對M2 圖像分類模型的攻擊成功率為93.95%，比AntiVAEGAN 的攻擊成功率低了2.38 個(gè)百分點(diǎn)，但仍遠(yuǎn)高于AdvGAN 的21.35%，對M3圖像分類模型的攻擊成功率為58.94%，是AntiVAEGAN的2 倍多。

表3 MNIST 數(shù)據(jù)集攻擊成功率對比Table 3 Comparison of attack success rate of MNIST dataset %

GTSRB數(shù)據(jù)集分別在FGSM 攻擊、AdvGAN攻擊、AntiVAEGAN 攻擊、VAEAdvGAN 攻擊后的攻擊成功率對比如表4 所示。由表4 可以看出，對G1 圖像分類模型，F(xiàn)GSM、AdvGAN、AntiVAEGAN、VAEAdvGAN的攻擊成功率分別為89.51%、92.54%、94.35%、94.84%，AntiVAEGAN 和VAEAdvGAN 的攻擊成功率高于AdvGAN，更高于FGSM。對G2 和G3 圖像分類模型，F(xiàn)GSM 和AdvGAN 的攻擊成功率都明顯低于AntiVAEGAN 和VAEAdvGAN，AntiVAEGAN 的攻擊成功率更高。對G3 圖像分類模型，AdvGAN 攻擊成功率最低，F(xiàn)GSM 和AntiVAEGAN 的攻擊成功率差不多，VAEAdvGAN 的攻擊成功率最高。

表4 GTSRB 數(shù)據(jù)集攻擊成功率對比Table 4 Comparison of attack success rate on GTSRB dataset %

綜合以上實(shí)驗(yàn)數(shù)據(jù)可以看出，在無防御的情況下（如M1 和G1 圖像分 類模型），AntiVAEGAN 和VAEAdvGAN 幾乎能達(dá)到和AdvGAN、FGSM 一樣的攻擊效果。在VAE 防御下，AdvGAN 攻擊成功率大幅下降，但AntiVAEGAN 攻擊仍然相對穩(wěn)定，攻擊效果比AdvGAN 更好。這說明AntiVAEGAN 能成功攻擊具有VAE防御的分類器，攻擊成功率較高，攻擊性能更穩(wěn)定，魯棒性更強(qiáng)。Further_vae 防御模型通過對抗訓(xùn)練，提升了防御能力，隨著Further_vae 模型防御能力的提升，對抗促進(jìn)了VAEAdvGAN 攻擊模型攻擊能力的進(jìn)一步提升。因此，VAEAdvGAN 攻擊效果比AdvGAN 更好，且在大部分情況下優(yōu)于AntiVAEGAN。

4 結(jié)束語

本文為解決現(xiàn)有圖像攻擊算法在VAE 防御下攻擊效果不穩(wěn)定的問題，提出AntiVAEGAN 算法，利用生成對抗網(wǎng)絡(luò)訓(xùn)練的方式訓(xùn)練得到一種抵抗VAE 防御的AntiVAEGAN 模型。針對防御模型防御能力提升時(shí)攻擊效果不穩(wěn)定的問題，進(jìn)一步提出VAEAdvGAN 算法，以生成器與鑒別器、生成器與VAE 雙對抗訓(xùn)練的方式訓(xùn)練得到VAEAdvGAN 模型。在不同數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明，本文提出的圖像攻擊算法提高了圖像攻擊的魯棒性和成功率。但由于圖像攻擊算法生成的擾動不夠隱蔽，后續(xù)將對此做進(jìn)一步優(yōu)化，在保證算法攻擊成功率與魯棒性的同時(shí)，盡可能提升攻擊隱蔽性。