針對深度偽造的對抗攻擊算法動態APGD設計

裘昊軒，杜彥輝，蘆天亮

中國人民公安大學 信息網絡安全學院，北京 100038

深度偽造（Deepfake）是將深度學習與偽造相結合，使用深度學習模型對圖像、視頻、音頻等數據修改、偽造的技術。自深度偽造問世以來，已有大量工作對圖像深偽技術進行研究[1-7]。例如，給定一個人臉面部圖像作為輸入，深偽模型可以生成不同的表情和姿勢下同一個人的新圖像。一些惡意用戶使用深偽模型偽造人臉圖像用于欺騙人臉識別等安檢系統，甚至用于媒體造假，給個人、國家、社會帶來了重大威脅[8]。

為了防御深偽模型生成的偽造圖片，常見的一種方法是訓練檢測模型來檢測圖片是否為偽造圖片[9-12]；相對于這種在圖片被偽造之后對其檢測的被動防御方法，本文關注另一種結合對抗樣本技術主動進攻深偽模型的方法：在原始圖片上加入一個微小的擾動，該微小的擾動對原始圖片的修改幾乎無法察覺，但能使圖片經過深度偽造模型的輸出，即偽造圖片扭曲變形，從而令其輸出失真，不能有效地偽造圖片。

對抗樣本自提出[13]以來，被廣泛應用于攻擊分類模型[14-17]，而針對深偽等生成模型的對抗攻擊研究相對較少[18]。Yeh等[18]首次使用投影梯度下降（project gradient descent，PGD）算法[19]攻擊深偽模型，證明了使用對抗輸出（adversarial output，對抗樣本經過深偽模型的輸出）與原始輸出（original output，原始圖片經過深偽模型的輸出）的均方差作為PGD損失函數生成的對抗樣本效果最佳。Liu等[20]使用輸出多樣初始化（output diversi‐fication initialization）為PGD算法尋找對抗攻擊的有效起點，以優化對抗樣本的效果。Huang等[21]比較了IFGSM[22]與PGD攻擊深偽模型的效果，證明了I-FGSM能達到PGD的最佳效果，且I-FGSM由于更加穩定而優于PGD。

已有對抗攻擊深偽模型的工作大多使用I-FGSM、PGD等經典對抗攻擊算法生成對抗樣本，二者在迭代過程中使用恒定的學習率，而學習率的設置高度影響算法效果[23]：學習率較小易導致算法在有限的迭代次數之內尚未達到收斂狀態；學習率較大易導致算法在最優值附近來回震蕩，無法收斂，兩種情況都將導致生成的對抗樣本質量不佳。且不同的攻擊對象、算法超參數條件下的最佳學習率也不盡相同，因此需要針對特定任務手動調試學習率，效率十分低下。

為生成更好質量的對抗樣本，本文提出了一種改進算法DAPGD（dynamic APGD）。DAPGD在APGD[23]自適應調整學習率解決I-FGSM、PGD恒定學習率問題的基礎上，使用動態設置檢查點的方式，保證算法在適宜的時機立即衰減學習率，以充分發揮學習率衰減的優勢；并且分析比較各早停策略的效果，最終選擇取消APGD的局部早停策略，以提升算法的效率。使用DAPGD作為對抗樣本生成算法，能實現對深偽模型更強的對抗攻擊效果。

1 相關工作

使用I-FGSM算法攻擊深偽模型的原理如下：

其中，x為原始圖片，xt為迭代t次后的對抗樣本，t不超過迭代次數T,clipε表示截斷函數，保證對抗擾動即對抗樣本與原始圖片的距離限制在一定的范圍內，如‖ xt-x‖∞≤ε，防止對抗樣本與原始圖片之間差異過大，ε為擾動范圍；a表示學習率，sign表示符號函數；J表示損失函數，使用對抗輸出與原始輸出的均方差損失[18]：

其中G表示深偽模型，L表示均方差函數。

PGD相對于I-FGSM，僅在迭代開始前對原始圖片添加隨機噪聲，即將公式（1）修改為：

以增加結果的隨機性。其中noise表示服從U(-ε,ε)分布的隨機噪聲。

條件（conditional）深偽模型額外輸入條件變量c控制輸出屬性。由于攻擊者可能無法知道條件深偽模型設置何c值偽造圖片，Ruiz等[24]證明了使用固定c=ci方法，即更換公式（2）中損失函數為：

所生成的對抗樣本無法有效干擾深偽模型在c≠ci時生成偽造圖片。并提出了兩種方法：聯合c（joint class）和迭代c（iterative class）修改損失函數，以生成對所有c值均有效的對抗樣本：

聯合c

迭代c

其中，K表示條件變量c的取值個數。

2 改進的對抗樣本生成算法

I-FGSM、PGD算法使用恒定的學習率，過小的學習率將導致算法在迭代結束之后尚未到達收斂狀態、過大的學習率將導致迭代過程中算法振蕩幅度較大，無法收斂至最優解[23]，二者都將導致所生成的對抗樣本效果不佳，有待進一步提升；且適宜的學習率需要進行調參實驗手動設置，效率十分低下。

針對學習率恒定的問題，APGD（auto PGD）算法使用自適應調整學習率的思路，保證算法在迭代初期以較大的學習率加速收斂，在迭代后期以較小的學習率逼近最優解，從而綜合了大、小學習率的優點，能提升所生成的對抗樣本效果。

本文在APGD自適應調整學習率的基礎上，提出一種動態設置學習率衰減檢查點的算法DAPGD（dynamic APGD），克服了APGD使用固定的檢查點所引發的學習率衰減不及時、不充分等問題，實現更加徹底的學習率衰減；并取消了原APGD效率較為低下的局部早停機制，實現了對抗樣本生成效果的進一步提升。

2.1 APGD算法

2.1.1 算法介紹

Croce等[23]指出，I-FGSM、PGD使用恒定學習率是次優的（suboptimal）：首先導致了手動設置學習率的不便，因為過大或過小的學習率都將導致算法效果不佳；其次，即使找到了最佳學習率，在迭代中保持該學習率所生成的對抗樣本也并非能達到最優。使用變化的學習率能生成更好的對抗樣本。并針對此問題，提出APGD（Auto PGD）算法，按如下策略自適應衰減學習率：

當迭代步驟進行到這些檢查點時，對兩個條件分別進行檢查：

其中ρ=0.75。

若滿足其中任意一個條件，則減半學習率a，并復原當前對抗樣本至歷次迭代以來使損失函數值達到最大的對抗樣本xmax。

此外，APGD在迭代中引入動量（Momentum）更新梯度，即將PGD的梯度更新公式（2）修改為：

其中，m表示動量系數，取m=0.75。

2.1.2 算法分析

通過學習率衰減，APGD綜合了大學習率以及小學習率的優勢：在迭代初期使用較大學習率，讓算法以較快的速度更新對抗樣本、接近收斂；在迭代后期使用較小學習率，保證收斂值更加逼近全局最優，提升最終生成的對抗樣本質量。同時，由于不需要手動調節學習率，能免去平行調參實驗所花費的時間代價。另外，引入動量更新梯度有利于算法加速收斂、減少迭代過程中產生的震蕩以及跳出局部最優。

但是，APGD衰減學習率的時間點僅發生在一系列預設的固定檢查點W上，容易錯過最佳衰減學習率時機，導致學習率衰減不充分；此外，算法使用局部早停策略頻繁地重置對抗樣本，不僅需要重新計算損失函數的梯度，造成額外的運算時間消耗，還易導致浪費迭代步驟造成更差的效果。針對以上兩點不足，提出改進思路設計DAPGD算法。

2.2 算法改進思路

2.2.1 動態設置檢查點

APGD通過衰減學習率的策略，雖然在一定程度上緩解了PGD恒定學習率的缺點，但沒有完全解決該問題。事實上，APGD算法衰減學習率的時間點僅發生在一系列預設的固定檢查點W上，算法給出了設定檢查點的默認遞推公式，卻無法證明其合理性，不合理的檢查點設定方式容易導致算法錯過適宜的學習率衰減時機。具體來說，該默認遞推公式所得的檢查點分布特點為：迭代初期稀疏，迭代后期密集。這與迭代初期學習率較大，收斂速度快；迭代后期學習率較小，收斂較慢的實際情況不符，因為收斂速度越快，越需要密集的檢查點分布，否則在收斂之后，到達下一個固定的檢查點之前的迭代步驟之內一直不改變學習率，無法進一步優化對抗樣本，會浪費大量的迭代步驟。圖1通過監測PGD、AP‐GD的損失函數值隨著迭代步驟進行而變化的情況展示了這一現象。

圖1 損失函數值隨迭代步驟的變化情況Fig.1 Variation of loss function value with iteration steps

PGD（圓點）損失函數首先出現提升，但到達某個點后不再出現明顯提升，最終損失函數值遠低于其他算法。這是因為算法已在當前學習率下達到了收斂，由于學習率恒定，算法無法跳出收斂狀態，因此需要以更小的學習率逼近最優解。

APGD損失函數（虛線）變化呈“階梯狀”：每當在學習率衰減后的若干個迭代步驟之內，損失函數值能出現明顯提升，而算法一旦在該學習率下收斂，損失函數的值在其后大量的迭代步驟之內呈現與PGD類似的變化情況：在收斂值附近來回振動，未出現明顯提升。即APGD仍出現大量無效迭代步驟的情況，未徹底解決PGD恒定學習率的問題，導致算法在迭代后期反而無法獲得充分的迭代步驟達到收斂，最終結果雖比PGD好但仍有提升空間。

針對APGD檢查點固定的問題，提出一種動態設置檢查點的改進方式：

首先設置初始檢查點w0←0；

自上一個檢查點wj-1的patience個迭代步驟之后，每次迭代后均檢查兩個條件是否成立：

其中，t表示當前迭代步驟，patience為超參數。

兩個條件的意義如下：（1）當前迭代步驟到上一個檢查點之間的所有迭代次數中，本次迭代步驟使得損失函數值相較于上次迭代步驟的損失函數值有提升的次數占比未超過某個定值ρ,ρ=0.75；（2）當前迭代步驟為止的最大損失函數值未比上次檢查點為止的最大損失函數值要高。

若其中任意一個成立，表示損失函數未出現預期的優化，則認為在該學習率下算法已達到收斂，于是立即衰減學習率a:=a/2，同時設置當前迭代步驟為新的檢查點wj:=t；否則繼續迭代，直到成功衰減學習率。

這種方法使檢查點不再固定于預先設置的值，而是在算法運行過程中，根據損失函數的優化情況動態地設置，保證算法能在某學習率下收斂時立即衰減學習率，避免出現類似PGD、APGD局部收斂、損失函數值不再發生明顯變動的迭代步驟，從而實現更徹底的學習率衰減效果，最終提升對抗樣本的質量。

圖1實線展示了使用動態設置檢查點策略的DAPGD損失函數值隨迭代步驟的變化情況。DAPGD將APGD判斷是否衰減學習率的檢查點從固定設置的轉變成動態生成的，保證在當前學習率下不能有效優化對抗樣本時立即衰減學習率，從而避免迭代步驟進行而損失函數不再明顯提升的現象出現。結果上，DAPGD算法的最終損失函數值較APGD也有了進一步的提升。

2.2.2 取消局部早停策略

APGD在衰減學習率后，會復原當前對抗樣本xt+1至歷次迭代以來使損失函數值達到最大的對抗樣本xmax，即

這一機制本質上是一種局部早停策略：首先，復原xt+1至xmax是一種早停機制，意味著算法將t+1次迭代后的結果停留在了中途xmax，舍棄了未能使損失函數上升的其后所有迭代步驟；其次，由于APGD會數次衰減學習率，將伴隨著數次早停，因此從整個迭代過程來看，這種早停機制是分別發生在多個局部階段的。

一方面，由于APGD設置固定的檢查點，學習率衰減不及時，算法在某個學習率下已達到收斂后，直到下一個檢查點衰減學習率之前無法作出進一步優化，因此使用局部早停避免出現損失函數值隨迭代步驟進行反而降低的情況。而DAPGD通過動態設置檢查點，系統內避免了學習率衰減不及時的問題，不需要通過外加的局部早停策略跳過收斂后的無效迭代步驟。

另一方面，局部早停策略導致算法浪費了部分迭代步驟，相當于支付高迭代次數的時間代價獲取低迭代次數的對抗樣本效果；且所復原的xmax僅保證能在各局部階段內產生最大的損失函數，作為下一階段、學習率已發生衰減后的迭代初始值不一定是較優解。

與其相比，考慮了另一種全局早停策略：

全局早停僅在整個算法內執行一次早停回溯，即在算法完成后，將最終對抗樣本復原至所有迭代步驟以來使損失函數值達到最大的對抗樣本。

從理論上來說，全局早停能保證取得相較于未使用早停策略更好的效果。當然，該結論僅在損失函數（公式（3）、（5）~（7））穩定的情況下成立，其中“穩定”指損失函數J(xt,x)關于因變量xt是定函數——其參數固定不變。事實上，由于深偽模型一般有隨機參數，導致涉及前向計算輸出G(x)的J不穩定；尤其是迭代c的損失函數（公式（7））在各迭代步驟中使用不同的條件變量c，損失函數不穩定性非常明顯。此時，使用全局早停未必能取得更好的效果，其表現是：取得最大損失函數的xmax在換一組損失函數參數后未必能令損失函數取得最大。

為了準確比較各早停策略的優劣，表1展示了使用局部早停、全局早停策略以及不使用早停策略對DAPGD對抗樣本的平均損失函數L值的影響。

表1 各早停策略對損失函數L值的影響Table 1 Effect of each early stopping method on loss function L

其中，損失函數L值越大，說明對抗樣本產生了越大的輸出失真，對抗攻擊的效果越好。

表1結果表明，DAPGD使用局部早停的效果最差，證明了局部早停存在浪費迭代步數、追求局部最優反而得到全局較差的問題；不使用早停的效果最好（相比于使用全局早停能取得略微的提升），說明DAPGD通過動態設置檢查點充分利用了所有迭代步驟，未出現明顯的無效迭代、需要早停策略消除的步驟；相反，由于深偽模型的隨機性，早停策略只會錯誤地削減迭代步數，取得反效果。

此外，從時間效率上分析，局部早停策略在復原對抗樣本至xmax后需要重新計算梯度：

梯度反向傳播正是對抗樣本生成算法最耗時的操作，進行額外的梯度反向傳播將大幅影響算法的效率。綜上所述，不使用早停策略能提升算法的效果與速度，因此，DAPGD取消了APGD的局部早停策略，以實現更高的算法效率。

2.3 DAPGD算法

綜合以上改進方法，提出算法DAPGD，流程如算法1所示：

算法1 DAPGD算法

輸入：真實樣本x，損失函數J，擾動范圍ε，迭代次數T

輸出：對抗樣本xmax

初始化：x0←x,a←2ε,j←1

1.x1←clipε(x0+a·sign[?x0J(x0,x)])

2.if J(x1,x)≥J(x0,x)then

3.Jmax←J(x1,x),xmax←x1

4.else

5.Jmax←J(x0,x),xmax←x0

6.end if

7.for t=1to T-1 do

8. zt+1←clipε(xt+a·sign[?xtJ(xt,x)])

9.

xt+1←clipε(xt+m(zt+1-xt)+(1-m)(xt-xt-1))

10.if J(xt+1,x)≥Jmaxthen

11. Jmax←J(xt+1,x),xmax←xt+1

12.end if

13.if t+1≥wj-1+patience then

14. if條件1 or條件2 then

15. a←a/2,wj←t+1,j←j+1

16. end if

17.end if

18.end for

2.4 超參數patience

DAPGD引入超參數patience，其意義在于：當學習率衰減（更新檢查點）時，給算法一定次數的步驟進行迭代，檢查該學習率下生成的對抗樣本效果（公式（13）、（14）），判斷是否需要衰減學習率。否則，若在學習率衰減的下一個迭代步驟立即開始判斷是否需要再次衰減學習率，未經過充分迭代即開始檢查此學習率下的對抗樣本生成效果，易導致結果偏向極端。表2展示了不同patience對DAPGD算法最終損失函數值的影響。

表2 不同patience對DAPGD算法效果的影響(T=80)Table 2 Effect of different patience on DAPGD algorithm(T=80)

表2表明，在迭代次數T=80時，patience取10的效果略優于取其他值。

表3探究了其他T下不同patience對DAPGD算法效果的影響。由于表2中不同模型的最佳patience相似，表明patience的最佳值在模型之間具有共性，因此表3以攻擊CycleGAN模型為例展現結果。

表3 不同patience對DAPGD算法效果的影響(T=400,1000)Table 3 Effect of different patience on DAPGD algorithm(T=400,1000)

表3表明，迭代次數較大時，最佳patience值會略微變大，約在15~25之間。

考慮到迭代次數對最佳patience的影響，本文設定：

該設定的思路為：迭代次數較小時，patience=T/8，在理想狀態下學習率將衰減8次（即每個檢查點的patience次迭代后，恰好衰減學習率），與APGD設定的固定檢查點在理想狀態下衰減的次數一致，保證學習率能充分衰減。且patience=T/8與表2的最佳patience結果相符；迭代次數較大時，patience不超過某個定值，否則較大的patience容易導致算法錯過最佳的學習率衰減時機。根據表3結果，將該定值設為20。

2.5 時間復雜度分析

DAPGD與PGD在每次迭代中只進行一次算法的基本運算——梯度反向傳播，因此時間復雜度均為O(T),T表示迭代次數；APGD在復原對抗樣本至xmax時需要重新計算梯度公式（17），即每次迭代進行1或2次基本運算，因此時間復雜度介于(T,2T)之間，也為O(T)。而嚴格上來講，DAPGD僅比PGD多進行了一些條件判斷、學習率減半等操作，額外增加的時間消耗可忽略不計；APGD由于進行了額外的梯度計算步驟，在相同T條件下將明顯慢于DAPGD，尤其是在T較小的情況下，重復計算梯度次數相對總計算次數占比較大，APGD速度劣勢更加嚴重。因此DAPGD的時間效率高于APGD，與PGD幾乎相同。

3 實驗與結果分析

對深偽模型進行對抗樣本攻擊實驗，以驗證DAPGD算法生成對抗樣本效果的優越性。作為對比，各實驗測試了相同條件下基線算法I-FGSM、PGD以及原算法APGD的效果。在3.1節中對實驗所使用的深偽模型、數據集以及對抗樣本生成算法超參數的設定進行了介紹。在3.2節中進行了非條件深偽模型的對抗樣本攻擊實驗，并展示了不同模型上進行不同對抗樣本算法攻擊的效果。在3.3節中進行了條件深偽模型的對抗樣本攻擊實驗，并解釋了DAPGD算法運用迭代c的方法迭代效果不佳的原因。在3.4節中調整了迭代次數和擾動范圍兩個超參數進行實驗，以進一步比較各算法的效果。

3.1 深偽模型、數據集、超參數設定

使用以下三個深偽模型以及對應的數據集進行實驗：

（1）CycleGAN[7]，非條件深偽模型（模型僅接受原始圖片作為輸入，無條件變量）。使用官方開源代碼，在horse2zebra數據集上訓練了200個周期得到的模型。

（2）GANimation[12]，條件深偽模型。使用一個開源代碼的GANimation預訓練模型，該模型在celebA數據集上對Facial Action Unit Coding System（FACS）中的80個動作單元（action units，AU）進行了預訓練。這里，AU實際上就是GANimation的條件變量c。

（3）StarGAN[1]，條件深偽模型。使用StarGAN的官方開源代碼以及預訓練模型，該模型在celebA數據集上對黑發、黃發、棕發、性別以及年齡五個屬性(c)進行了預訓練。

對抗樣本生成算法需要手動設置三個超參數：迭代次數T，擾動范圍ε以及學習率a（DAPGD與APGD通過自動衰減學習率策略避免了手動設置a）。a的最佳值依賴于具體對抗攻擊任務、T和ε的值而改變，考慮到本文的研究重點不在于通過平行調參實驗確定最佳學習率，事實上這將花費大量時間代價，且無需手動調節學習率恰是APGD、DAPGD相對于I-FGSM、PGD的優勢之一，因此簡單地參考已有工作[24]中的超參數設定方式(T=80,ε=0.05,a=0.01)，用于3.2節、3.3節中的對抗攻擊實驗。

在3.4節中改變T、ε的值進行對抗攻擊實驗，以探究二者對實驗結果的影響。考慮到最佳a值將隨之變化，為了同步調整I-FGSM和PGD的a至一個較為合適的值，本文將其設定為與ε同比例放大，與T同比例縮小。這種設定思路來源于如下靈感：在原始樣本周圍≤ε的范圍內搜索一個對抗樣本，當擾動范圍（搜索范圍）加倍時，選用更大的搜索步長（學習率）以適應更大的搜索范圍；當迭代次數（搜索步數）加倍時，選用更小的搜索步長以適應更大的搜索步數。

各組實驗中，對所有算法設置相同的超參數，以更客觀準確地比較各算法的效果。

3.2 非條件深偽模型攻擊實驗

對CycleGAN、固定c條件下（公式（5））的GANimation、StarGAN進行DAPGD攻擊（固定c的情況下，等效于對非條件深偽模型的攻擊）。其中，CycleGAN使用horse2zebra數據集中testA文件夾下的100張圖片進行實驗；GANimation使用celebA數據集中隨機選取50張圖片，對80個c值分別進行實驗（生成4 000個對抗樣本）；StarGAN使用celebA數據集中隨機選取50張圖片，對5個c值分別進行實驗（生成250個對抗樣本）。對于同一模型的不同對抗樣本生成算法，使用相同的圖片作為測試數據，從而更準確地比較它們之間的效果。結果見表4。

表4中，“平均L”表示對所有測試樣本的最終損失函數值取平均后的結果；“成功比例”表示所有測試樣本中，對應L≥0.05的比例。該部分對抗樣本的L值達到閾值，足以對深偽模型輸出產生明顯的失真，視為成功攻擊深偽模型的樣本[24]。

表4表明，在攻擊非條件深偽模型的場景下，I-FGSM與PGD生成的對抗樣本質量相似，而使用APGD算法生成的對抗樣本相對于I-FGSM、PGD有明顯提升：對三個深偽模型造成的平均輸出失真L值更高，且對固定c的GANimation模型攻擊成功比例提升近一倍（對于CycleGAN和StarGAN，I-FGSM、PGD攻擊已實現100%成功率，APGD無法繼續提升成功率）。且DAPGD能在此基礎上對APGD算法作出進一步提升，證明了本文提出的DAPGD算法的優越性。

表4 非條件深偽模型的對抗攻擊Table 4 Adversarial attack to unconditional deepfake models

圖2對表4實驗過程中，各個模型分別使用不同的對抗樣本生成算法生成的其中一組對抗樣本、真實樣本，以及它們經過模型的輸出進行了展示。其中，虛線左側的五幅圖從左到右分別是：原始圖片、使用I-FGSM、PGD、APGD、DAPGD生成的對抗樣本圖片，虛線右側的圖片是虛線左側對應圖片經過深偽模型的輸出。

圖2 對抗攻擊示例Fig.2 Illustrations of adversarial attack

圖2表明，四種算法生成的對抗樣本（虛線左側）與原始圖片沒有明顯差異，但是對抗樣本經過模型的輸出（虛線右側第2、3、4、5列）與原始圖片經過模型的輸出（虛線右側第1列）之間差異明顯：對于CycleGAN、StarGAN，L遠大于0.05，所有算法造成的輸出失真均非常明顯；對于GANimation，L接近0.05，能產生較為明顯的輸出失真，此時DAPGD對L值以及輸出失真的效果相對于其他三個算法具有明顯的提升。

3.3 條件深偽模型攻擊實驗

固定c攻擊GANimation，StarGAN的方法將問題退化為對非條件深偽模型的攻擊，不能保證生成的對抗樣本對模型取所固定的c以外的值有效。在現實應用場景中，攻擊者不知道深度偽造方會將條件深偽模型c值設置為多少，或者深度偽造方并不單單使用一個c值進行圖片偽造，而是使用多個c值甚至所有c值來偽造不同特征的圖片。因此，在攻擊條件深偽模型的場景下，對抗樣本不能局限于對該模型取某個c值時有效，而是盡可能對該模型在所有c值下都有效。為了實現對條件深偽模型的攻擊，使用聯合c、迭代c（公式（6）、（7））方法對GANimation，StarGAN進行對抗攻擊實驗，實驗數據選取方式與3.2節相同，結果見表5。

表5顯示，在條件深偽模型的對抗攻擊場景下，APGD也實現了對I-FGSM、PGD算法的效果明顯提升，且DAPGD仍可進一步提升APGD的效果。

表5 條件深偽模型的對抗攻擊Table 5 Adversarial attack to conditional deepfake models

此外，使用I-FGSM和PGD算法時，迭代c的方法比聯合c的方法生成的對抗樣本效果更好；而對于AP‐GD、DAPGD算法，使用迭代c的方法不如聯合c的方法好。這種現象根源于迭代c損失函數較嚴重的不穩定性（2.2.2小節）。如圖3所示，隨著迭代步驟進行，迭代c的損失函數（圖3（c）、（d））波動明顯比聯合c（圖3（a）、（b））大。而APGD、DAPGD需要一個穩定的損失函數，保證可以通過損失函數值的變化（條件1、2）來推測對抗樣本是否出現了優化，從而決定是否衰減學習率。若損失函數波動較大，即使對抗樣本在某個迭代步驟中實現了優化，損失函數值也可能降低，此時算法衰減學習率策略將不再合理。因此，DAPGD算法使用損失函數穩定的聯合c效果更好。

圖3 聯合c、迭代c損失函數值隨迭代步驟變化Fig.3 Variation of loss function value used iterative c or joint c with iteration steps

3.4 不同超參數下的對抗樣本攻擊實驗

對抗樣本生成算法的效果與迭代次數、擾動范圍兩個超參數密切相關，通過擴大這兩個超參數，可以對深偽模型實現更強的攻擊。在上文實驗設定的超參數(T=80,ε=0.05,a=0.01)基礎上，逐漸擴大迭代次數（3.4.1小節）或擾動范圍（3.4.2小節），并按3.1節提出的設定方式同步修改學習率，進一步比較各對抗樣本生成算法的效果。由于對CycleGAN、StarGAN已實現100%成功比例，故僅對GANimation進行進一步的攻擊實驗。其中，APGD、DAPGD算法使用聯合c的方法；I-FGSM、PGD算法使用迭代c的方法，兩者都是選擇了對應攻擊下效果最好的方法。測試數據與3.3節中攻擊GANima‐tion所使用的相同。

3.4.1 擴大迭代次數

保持擾動范圍ε=0.05不變，逐漸擴大迭代次數T至200、400、1 000次，分別使用I-FGSM、PGD、APGD、DAPGD攻擊GANimation。表6記錄了實驗結果，圖4展示了對抗樣本的平均L和成功比例變化情況，其中第一組T=80使用3.3節中的實驗結果數據作為對照。

圖4 不同迭代次數下攻擊GANimation的效果Fig.4 Result of adversarial attack to GANimation under different iteration times

表6 不同迭代次數下攻擊GANimation的效果Table 6 Result of adversarial attack to GANimation under different iteration times

逐漸擴大迭代次數的情況下，各算法生成的對抗樣本在平均L和攻擊成功比例兩個指標上普遍出現提升，僅擴大迭代次數至1 000次，DAPGD算法將成功比例突破了90%，且平均L值超過了0.1，約為閾值L=0.05的兩倍。而且，在各不同的迭代次數下，APGD算法均實現了相對于I-FGSM、PGD算法更好的效果，而DAPGD能對APGD作出進一步提升，證明了本文所提出的使用DAPGD算法在不同迭代次數下均能生成相較于其他算法更優質量的對抗樣本。

3.4.2 擴大擾動范圍

表7、圖5為保持迭代次數T=80不變，逐漸擴大擾動范圍ε至0.06、0.07、0.08，各算法攻擊GANimation的實驗結果。

圖5 不同擾動范圍下攻擊GANimation的效果Fig.5 Result of adversarial attack to GANimation under different perturbation magnitude

表7 不同擾動范圍下攻擊GANimation的效果Table 7 Result of adversarial attack to GANimation under different perturbation magnitude

逐漸擴大擾動范圍的情況下，生成的對抗樣本效果也呈現提升趨勢。僅將擾動范圍從0.05提升至0.06，DAPGD攻擊成功比例就超過了90%，提升速度相比于擴大迭代次數（從80次提升至1 000次才超過90%）要快很多，說明對抗樣本生成算法的效果對擾動范圍更敏感。此外，除了在擾動范圍較大時，由于算法基本實現100%的攻擊成功比例，DAPGD算法在成功比例方面相對于其他算法提升不明顯外（在平均L值上仍然有明顯提升），其他情況下DAPGD在平均L和成功比例方面均取得了較為顯著的提升效果，證明了本文所提出的使用DAPGD算法在不同擾動范圍下均能生成更優質量的對抗樣本。

4 結束語

本文提出了一種改進的對抗樣本生成算法動態APGD（DAPGD）。DAPGD在APGD自適應衰減學習率的基礎上，通過動態設置檢查點的方式實現更徹底的學習率衰減，使生成的對抗樣本更加逼近全局最優；并充分分析比較了各早停策略的優劣，取消不適合DAPGD的早停機制，以提升算法的效率。通過對三個深偽模型CycleGAN、GANimation、StarGAN的對抗攻擊實驗，證明了DAPGD算法能在相同條件下生成更高質量的對抗樣本，使深偽模型出現更明顯的輸出失真，從而達到干擾深偽模型正常工作、防范圖片被偽造的目的。DAPGD依賴損失函數變化決定衰減學習率的時機，因此使用更穩定的函數作為其損失函數能取得更好的效果（例如，聯合c比迭代c好）。由于本文所涉及的對抗樣本生成算法均涉及梯度在模型中反向傳播，只適用于攻擊者了解被攻擊模型所有參數、梯度信息的白盒攻擊場景，而在現實應用中可能會遇到無法獲取待攻擊模型的梯度信息等內部知識的黑盒場景，因此下一步工作應當在黑盒場景下探究深偽模型的對抗樣本攻擊。