基于平移隨機變換的對抗樣本生成方法

李哲銘，張恒巍，馬軍強，王晉東，楊 博

（1.中國人民解放軍戰略支援部隊信息工程大學密碼工程學院，鄭州 450001；2.中國人民解放軍陸軍參謀部，北京 100000）

0 概述

卷積神經網絡（Convolutional Neural Network，CNN）已在圖像識別和圖像分類領域中得到廣泛應用，并表現出良好的性能［1-3］。但是若在原始圖像中加入人類無法察覺的擾動，由此形成的對抗樣本將影響CNN 的性能，從而導致模型分類錯誤［4］。該現象給許多實際應用系統帶來了安全隱患［5］，如人臉識別系統的識別錯誤可能會導致準入權限管理失效［6］，自動駕駛車輛的識別錯誤可能會造成嚴重的交通事故［7］等。因此，研究人員提出多種對抗樣本攻擊和防御的方法，以提高模型的魯棒性，從而促進應用系統的安全部署和穩定使用。

現有的攻擊方法主要分為白盒攻擊和黑盒攻擊兩類。在白盒條件下，對抗樣本生成方法可以針對性地生成關于某個模型的對抗樣本，現有技術已經具有較高的白盒攻擊成功率。但是，白盒攻擊需要攻擊者掌握更多的模型信息，這在現實世界中難以實現。在黑盒條件下，攻擊者只需要掌握較少模型信息便可實施攻擊［8］，因此，黑盒攻擊具有更強的實用性。研究表明［9］，對抗樣本具有良好的遷移特性，即針對某一模型生成的對抗樣本對其他模型也具有一定的攻擊效果。根據該性質，文獻［10］通過引入動量項、優化梯度損失函數更新方向和加快收斂速度，提高對抗樣本的黑盒攻擊成功率。黑盒攻擊成功率低的主要原因是在對抗樣本生成過程中產生“過擬合”現象［11］，即針對已知模型生成的對抗樣本僅對該模型具有較強的攻擊成功率，但是攻擊其他模型的成功率較低。

本文提出基于平移隨機變換的對抗樣本生成方法。從數據增強角度，利用平移隨機變換方法優化對抗樣本的生成過程。通過構建概率模型，并對原始圖像進行隨機變換操作，利用變換后的圖像生成對抗擾動，同時逐步添加到原圖像上迭代生成對抗樣本，根據應用場景設計單模型攻擊算法和集成模型攻擊算法，提高黑盒攻擊成功率。

1 相關研究

對抗樣本的攻擊和防御在一定意義上可以相互促進。針對深度神經網絡在對抗攻擊情況下表現出的脆弱性，對抗樣本既可以用于攻擊已訓練好的模型，將攻擊成功率作為一種重要指標來評價模型的魯棒性，同時可將對抗樣本作為訓練數據來進一步訓練模型，提高模型對對抗樣本的識別能力，從而提高其對惡意攻擊的防御性能。現有對抗樣本生成方法和防御方法相關研究的優點和不足如表1 所示。

表1 對抗攻擊和對抗防御相關研究成果對比Table 1 Comparison of research results related to adversarial attack and adversarial defense

從表1 可以看出，現有的對抗樣本攻擊方法改進主要從尋找優化算法角度提高攻擊性能，如文獻［12］提出迭代快速梯度符號方法（Iterative Fast Gradient Sign Method，I-FGSM），通過將單步生成調整為多步迭代，細化對抗樣本生成過程中的損失函數更新過程。文獻［10］提出向量迭代快速梯度符號方法（Momentum Iterative Fast Gradient Sign Method，MI-FGSM），通過引入動量項并穩定損失函數的更新方向，以避免陷入局部最大值，從而使損失函數更快達到真實最優解，進一步提高生成對抗樣本的攻擊成功率。優化算法可以更高效地生成對抗樣本，但同時會加劇對抗樣本與圖像分類模型的過度擬合。因此，本文從數據增強的角度提高對抗樣本的泛化攻擊能力，提高黑盒攻擊成功率。

2 背景知識

FGSM 是典型的對抗樣本生成方法。本文研究也是基于FGSM。因此，本節介紹FGSM 類中的幾種基本方法，定義x為輸入的原始干凈圖像，ytrue為該圖像對應的真實標簽，xadv為生成的對抗樣本。本文采用θ特征性地表示圖像分類模型的結構、參數等信息。ε為加入對抗擾動的最大擾動值，L(x，ytrue；θ)為神經網絡反向傳播過程中的損失函數。本文采用交叉熵損失函數。

2.1 快速梯度符號方法

快速梯度符號方法［15］是FGSM 類中的初始版本。該方法中通過計算輸入圖像x的損失函數梯度，并以單步的形式沿梯度方向添加擾動，從而以最快的速度生成對抗樣本。該方法具有較高的黑盒攻擊成功率，由于損失函數單步變化不夠精確，因此，白盒攻擊成功率還有待提高，其過程如式（1）所示：

2.2 迭代快速梯度符號方法

針對FGSM 白盒攻擊成功率低的問題，迭代快速梯度符號方法（I-FGSM）［12］將FGSM 損失函數計算時的單步計算改為多步迭代計算。該方法的實現過程如式（2）所示：

2.3 動量迭代快速梯度符號方法

實驗結果表明，利用I-FGSM 優化損失函數，損失函數容易陷入局部最優值，這也是導致黑盒攻擊成功率降低的一個原因。針對該問題，動量迭代快速梯度符號方法（MI-FGSM）［10］將衰減因子引入到對抗樣本生成過程中，使得損失函數在計算過程中保持前進的慣性，以穩定更新方向，從而突破損失函數的局部最大值，獲得真實的最優解。MI-FGSM 實現過程如式（3）和式（4）所示：

其中：gt為在第t次迭代過程中累積的梯度值；μ為gt的衰減因子。在初始狀態令gt=0，=x。MI-FGSM保持了I-FGSM 的白盒攻擊成功率，同時提高了黑盒攻擊成功率。但該方法的黑盒攻擊成功率仍然不高。

3 基于平移隨機變換的生成方法

FGSM 類方法具有簡潔易懂、生成效率高、可拓展性好等優點，但其黑盒攻擊成功率較低。為此，本文利用數據增強技術，提出基于平移隨機變換的對抗樣本生成方法，通過將平移變換引入到對抗樣本的生成過程中，并將其作為數據增強的一種典型應用，擴展了對抗樣本生成過程中圖像輸入的多樣化，有效緩解在對抗樣本生成過程中存在的“過擬合”現象，從而提高攻擊方法的黑盒攻擊成功率。

對抗樣本生成方法通常采用單模型攻擊和集成模型攻擊。單模型攻擊是指將原始干凈圖像輸入到單個圖像分類模型中，以生成對抗樣本。集成模型攻擊是指將圖像同時輸入到多個圖像分類模型中，以生成對抗樣本。這兩種不同的攻擊方式具有不同的攻擊效果。單模型攻擊是針對某個單模型生成對抗樣本，再攻擊該模型和其他模型，攻擊自身時為白盒攻擊，攻擊其他模型時為黑盒攻擊，攻擊成功率可作為對抗樣本的評價指標。由于集成模型攻擊采用多模型集成的方式，因此生成的對抗樣本可以學習到更多的模型信息，以降低對抗樣本對單模型的過擬合，從而提高對抗樣本的遷移性，因此黑盒攻擊成功率也更高。在實際應用中，單模型攻擊只需要調用單個模型文件，占用的計算資源較少，以便對對抗樣本生成方法的優劣進行比較。而集成模型攻擊需要調用多個模型文件，消耗的時長和占用的計算資源較多，但是可以生成遷移性更強的對抗樣本，因此，集成模型攻擊常用于進一步提高對抗樣本的黑盒攻擊成功率。

3.1 目標優化問題

從攻擊角度分析，對抗樣本的目的是使圖像分類模型分類出錯，即在不改變人眼可辨識類別的基礎上，使圖像分類模型無法正常實現分類的功能。為此，本文將該問題建模為目標優化問題，如式（5）所示：

其中：ytrue為圖像對應的真實標簽；xadv為生成的對抗樣本；θ為圖像分類模型信息。該優化問題的優化目標是使生成的對抗樣本相對于原標簽類別的損失函數達到最大，以大幅提高分類出錯的概率。針對原圖像標簽生成的對抗樣本損失函數最大，在對抗攻擊的測試過程中，該圖像對應其他標簽類別的損失函數相對變小，分類就容易出錯。

為提高攻擊成功率，對抗樣本需具有攻擊性和隱蔽性的特點。為有效衡量對抗擾動的可感知性，本文對該優化問題的約束條件進行建模，如式（6）所示：

對抗樣本與輸入模型的原始圖像的差值為添加的對抗擾動r=xadv-x，ε為最大擾動值。一般用范數來度量對抗擾動的距離尺度，通過無窮范數來限定加入的擾動大小。基于此，本文設計單模型攻擊算法和集成模型攻擊算法，以提升黑盒攻擊強度并檢驗攻擊效果。

3.2 單模型攻擊算法

在FGSM 類生成方法中，黑盒攻擊成功率低的主要原因是對抗樣本與圖像分類模型發生了過擬合。研究發現［10］，對抗樣本生成過程與神經網絡模型的訓練過程有相似性，對抗樣本的遷移性可以與神經網絡模型的泛化能力相對應。因此，本文將提高模型泛化能力的方法引入到對抗樣本的生成過程中。在圖像分類模型的訓練過程中，數據增強常被用于提高模型的泛化能力，同樣，可以將平移隨機變換作為數據增強的手段，應用于對抗樣本的生成過程中，以提高對抗樣本的遷移性，從而有效提高對抗樣本的黑盒攻擊成功率。

本文將概率變換模型建模為平移隨機變換過程，并設置超參數變換概率p和最大平移距離D，以精準控制生成過程，其平移隨機變換函數如式（7）所示：

在平移隨機變換函數T(·)中，圖像將在上、下、左、右四個方向上以概率p進行最大平移距離為D像素的變換。因為此變換過程是隨機的，所以能夠有效提高輸入圖像的多樣性，緩解過擬合現象。

在對單模型攻擊的過程中，基于此變換函數，本文優化目標函數式（5），新的目標函數如式（8）所示：

本文提出將平移變換過程與MI-FGSM 相結合的TT-MI-FGSM 方法，其過程如式（9）和 式（10）所示：

基于以上研究，本文設計針對單模型攻擊的算法，具體過程如算法1 所示。

算法1單個分類模型攻擊算法（TT-MI-FGSM）

在該算法中，平移變換概率p可取0～1 之間的任意數值，表示平移變換概率逐漸變大。最大平移距離D表示在圖像平移過程中，允許移動的像素最大值，例如，當圖像大小為299×299×3（表示圖像的長和寬分別為299 像素，RGB 三通道）時，D的像素值變化范圍為0～299。在D增大的過程中，對抗樣本的攻擊成功率會先增大后減小，這說明當平移距離較大時，會影響圖像內容與圖像標簽的對應關系，使得式（5）中的標簽值失效。因此，在實驗中應選取合適的D，保證正常生成對抗樣本。圖像的最大擾動值是指允許在原圖像上添加的最大擾動，為保證對抗樣本在人眼視覺下不失真，通常將最大擾動值設置在40 像素以下。最大迭代輪數T指在生成對抗樣本過程中的迭代次數，T越大，每輪添加的擾動大小，即學習率越小，但也會占用更多的計算資源。衰減因子μ表示歷史動量的作用程度，μ越大，表示歷史動量影響越大。在模型攻擊實驗部分，該研究按照文獻［9］中的規范將T設置為16，μ設置為1，此時方便與已有方法進行對比，從而更好地體現出本文方法的成果優勢。

從單個分類模型攻擊算法中可以看出，在對抗樣本的生成過程中，本文設置T輪迭代循環，在每輪開始時，都以p為變換概率、D為最大平移距離對輸入圖像進行平移隨機變換，之后通過圖像標簽與基于輸入圖像的邏輯值計算該圖像的交叉熵損失函數，并求得其梯度，由式（9）得到新一輪的累積梯度值，并根據式（10）更新對抗樣本，直到滿足迭代輪數要求，則完成迭代更新，輸出對抗樣本。當去掉算法1的第4 個步驟時，該算法退化為MI-FGSM，這也體現該算法的便利性優勢，當迭代輪數T設置為1 時，該算法即可轉化為TT-I-FGSM 的單模型攻擊算法。

3.3 集成模型攻擊算法

在對抗樣本防御領域中，集成對抗訓練的方法可以有效提高分類模型對對抗樣本的防御能力［19］。從模型訓練角度，集成模型解決了模型訓練過程中的擬合問題，提高了模型的泛化能力，從而有助于提高對抗樣本的防御能力。因此，在集成模型條件下的攻擊算法流程如圖1 所示，以進一步緩解對抗樣本對分類模型的“依賴”，增加模型的多樣性，從而提高對抗樣本的泛化能力和黑盒攻擊成功率。

圖1 集成模型攻擊算法流程Fig.1 Procedure of integrated model attack algorithm

從圖1 可以看出，將原始干凈圖像輸入到對抗樣本生成系統后，首先根據概率模型進行平移隨機變換，變換后出現的空白區域將采用補0 的方式實現邊界填充，得到299×299×3 的變換后圖像；將得到的圖像輸入到多個圖像分類模型中，并得到各模型的輸出邏輯值；根據加權平均后的邏輯值計算損失函數，并沿損失函數的梯度方向迭代更新，直到完成迭代，此時輸出對抗樣本圖像。

在對抗樣本生成過程中，本文在集成分類模型上利用TT-MI-FGSM 生成對抗樣本，如算法2 所示。

算法2集成分類模型攻擊算法（TT-MI-FGSM）

在算法2 中，超參數的意義及設置的取值范圍與單模型攻擊算法一致，而兩個算法之間的區別在于生成對抗樣本的同時將圖像輸入到多個圖像分類模型，并通過多模型輸出邏輯值并權重集成的方式，實現生成對抗樣本的目的。該算法可大幅提高黑盒攻擊成功率，但其生成的對抗樣本白盒攻擊成功率略有降低。

3.4 方法的可擴展性

平移隨機變換作為數據增強的一種手段，可用于改進FGSM 類方法的性能，并通過與I-FGSM 和MI-FGSM 的結合，提高對抗樣本的黑盒攻擊成功率。通過調整方法中的衰減因子μ、最大平移距離D以及平移變換概率p，實現與現有對抗樣本生成方法的轉化，體現了該方法的可擴展性和便利性優勢。不同對抗樣本生成方法之間的轉化關系如圖2所示。

圖2 不同對抗樣本生成方法之間的轉化關系Fig.2 Conversion relationship among different adversarial examples generation methods

當衰減因子μ為0 時，TT-MI-FGSM 退化為TT-I-FGSM，MI-FGSM 退化為I-FGSM。當μ不為0時，損失函數將在帶有動量修正的過程中更新。當平移變換概率p或最大平移距離D為0 時，TT-I-FGSM 退化為I-FGSM，TT-MI-FGSM 退化MI-FGSM。當平移變換的概率p或最大平移距離D不為0 時，TT-MI-FGSM 將先按一定概率平移變換再進行對抗樣本生成。

4 實驗與結果分析

本文在Intel Core i9-10900K 上，利用python 3.8.5和Tensorflow 1.14.0 深度學習框架對比本文提出方法TT-I-FGSM、TT-MI-FGSM 與其他方法（I-FGSM［12］和MI-FGSM［10］）的攻擊成功率。目標平臺的操作系統為Windows 10（專業版），內存為64 GB，主頻為3.7 GHz。為提高對抗樣本生成效率，實驗使用NVIDIA GeForce RTX 2080Ti GPU 加速完成計算過程。

4.1 實驗設置

4.1.1 數據集

ImageNet數據集［23］是由斯坦福大學李飛飛教授帶領創建的計算機視覺數據集，是目前圖像識別領域最大的數據庫，也是評估圖像分類算法性能的基準。該數據集中的每張圖片都被手工標注類別，在對抗樣本的生成過程中，本文利用其標簽以生成對抗樣本并進行攻擊效果檢測，并從ImageNet 數據集驗證集的每個類別中各隨機選擇圖片，利用這1 000 張分類正確的圖片進行對抗樣本的生成。

4.1.2 分類模型

在實驗中共使用7個分類模型，其中，4個正常訓練分類模型分別是Inception-v3［24］（Inc-v3）、Inception-v4［25］（Inc-v4）、Inception-ResNet-v2［25］（IncRes-v2）和ResNetv2-101［26］（Res-101）；3個對抗訓練分類模型［19］分別是ens3-adv-Inception-v3（Inc-v3ens3）、ens4-adv-Inception-v3（Incv3ens4）和ens-adv-Inception-ResNet-v2（IncRes-v2ens）。

4.1.3 基準方法

為更好地評估本文方法的有效性，本文選擇另外兩種典型的對抗樣本生成方法（I-FGSM［13］和MI-FGSM［10］）作為對比基準，與本文提出的TT-I-FGSM和TT-MI-FGSM 進行對比分析。

4.1.4 超參數設置

為了方便攻擊成功率對比，本文按照動量法［10］中的規范設置超參數，最大擾動值ε=16 像素，迭代輪數T=10，步長α=1.6，衰減因子μ=1.0。本文提出的超參數：平移變換概率p=0.5，最大平移距離D=11 像素。

4.2 單模型攻擊實驗

本文在白盒和黑盒條件下對本文方法TT-I-FGSM和TT-MI-FGSM 和基準方法進行單模型攻擊測試。I-FGSM、TT-I-FGSM、MI-FGSM 和TT-MI-FGSM 方法分別在Inc-v3、Inc-v4、IncRes-v2 和Res-101 4 個正常訓練模型上生成對抗樣本，并在7 個分類模型上（Incv3、Inc-v4、IncRes-v2、Res-101、Inc-v3ens3、Inc-v3ens4、IncRes-v2ens）進行測試。不同對抗樣本生成方法的黑盒和白盒攻擊成功率如表2 所示。表中攻擊成功率為分類錯誤的圖像數在圖像總數中所占的比例，*表示白盒攻擊。

表2 不同對抗樣本生成方法攻擊單個模型的成功率對比Table 2 Success rate of attack on a single model comparison among different adversarial examples generation methods %

從表2 可以看出，在白盒條件下，本文提出的方法TT-I-FGSM 和TT-MI-FGSM 在各模型上攻擊成功率保持在97.8%以上的水平。在黑盒條件下，TT-MI-FGSM在正常訓練模型上提高了攻擊成功率，例如，在Inc-v3模型上生成的對抗樣本，攻擊IncRes-v2 模型時，TT-MI-FGSM 攻擊成功率比MI-FGSM 提高19.5 個百分點。此外，TT-MI-FGSM 在針對防御模型的黑盒攻擊中也表現出較高的攻擊性能，例如，在Res-101 模型上生成的對抗樣本，當攻擊Inc-v3ens3模型時，TT-MI-FGSM 算法的攻擊成功率為33.6%，比MI-FGSM提高11.3 個百分點。因此，本文提出的TT-MI-FGSM方法可以有效提高對抗樣本的遷移性。

4.3 集成模型攻擊實驗

集成模型通常對對抗樣本具有更好的防御能力。本文通過同時攻擊多個分類模型組成的集成模型來評估對抗樣本生成方法的性能。本文分別利用I-FGSM、TT-I-FGSM、MI-FGSM 和TT-MI-FGSM 同時攻擊具有相同權重的4個正常訓練模型（Inc-v3、Inc-v4、IncRes-v2和Res-101）構成的集成模型，并通過生成的對抗樣本分別在7 個圖像分類模型中測試得到攻擊成功率，實驗結果如表3 所示。表中攻擊成功率為分類錯誤的圖像數在圖像總數中所占的比例，*表示白盒攻擊。

表3 不同對抗樣本生成方法攻擊集成模型的成功率對比Table 3 Success rate of attack on intergated model comparison among different adversarial examples generation methods %

從表3 可以看出，TT-MI-FGSM 方法可在保持或提高白盒攻擊成功率的基礎上，較大幅度提高黑盒攻擊的成功率。例如，在Inc-v3、Inc-v4、IncRes-v2 和Res-101 4 個正常訓練模型的白盒攻擊上，TT-I-FGSM 的攻擊成功率比I-FGSM提高了0.9個百分點。而在黑盒攻擊中，TT-MI-FGSM 比MI-FGSM 的攻擊成功率平均提高12.83個百分點。針對Inc-v3ens3模型的攻擊，TT-MI-FGSM的攻擊成功率為54.2%。

不同方法生成的對抗樣本圖片對比如圖3 所示，與原圖片相比，圖片進行平移隨機變換后生成的對抗樣本，整體區域均添加了對抗擾動，在人眼視覺上未出現肉眼可見的辨識偏差。

圖3 不同方法生成的對抗樣本圖片對比Fig.3 Comparison of adversarial examples images generated by different methods

4.4 超參數

本節重點分析在攻擊方法中各超參數對攻擊成功率的影響。本文運用TT-I-FGSM 和TT-MI-FGSM攻擊相同權重的4 個正常訓練模型（Inc-v3、Inc-v4、IncRes-v2 和Res-101）組成的集成模型，通過調整超參數設置，以消融實驗的方式探究超參數對實驗結果的影響。超參數主要有平移變換概率p、最大平移距離D、計算梯度時的迭代輪數T、圖像最大擾動值ε。由于動量項中的衰減因子μ只用于特征性地反映梯度的累積效應，因此本文不對其進行討論。

4.4.1 平移變換概率p對攻擊成功率的影響

其他超參數設置：最大擾動值ε=16 像素，迭代輪數T=10，步長α=1.6，衰減因子μ=1.0，最大平移距離D=11 像素，平移變換概率p從0 以0.1 的幅度增長到1。當p=0 時，表示不發生平移變換；當p=1時，表示一定發生平移變換。隨平移變換概率p的遞增，白盒攻擊成功率和黑盒攻擊成功率變化情況如圖4 所示。其中，實線表示白盒攻擊成功率，虛線表示黑盒攻擊成功率。

圖4 平移變換概率與攻擊成功率關系Fig.4 Relationship between translation conversion probability and attack success rate

在白盒攻擊中，將生成的對抗樣本在4 個正常分類模型上進行分類測試，TT-I-FGSM 和TT-MI-FGSM白盒攻擊成功率保持平穩態勢，并可實現均值90%以上的攻擊成功率。在黑盒攻擊中，當攻擊3 個對抗訓練模型時，隨平移變換概率p的遞增，兩個方法的黑盒攻擊成功率也有了較大幅度的提高。TT-I-FGSM 的攻擊情況如圖4（a）所示，TT-MI-FGSM 的攻擊情況如圖4（b）所示。從圖4（a）和圖4（b）可以看出，兩折線圖變化趨勢大致相同，相比TT-I-FGSM，TT-MI-FGSM 能夠大幅提高黑盒攻擊成功率，這說明帶有動量的平移隨機變換方法可以更好地提高對抗樣本的遷移性和黑盒攻擊成功率。同時，當p值較小時，黑盒攻擊對概率p的變化更加敏感，即使略微增大平移變換概率，即可大幅提高攻擊成功率。這種現象表明平移變換有助于黑盒攻擊遷移性的提高。在對抗樣本生成方法設計中，當利用對抗樣本的遷移性對黑盒模型進行攻擊時，可以將平移變換概率設置為最大值，即p=1，具有最大的黑盒攻擊成功率，而此時白盒攻擊成功率仍能保持在較高水平。

4.4.2 最大平移距離D對攻擊成功率的影響

最大平移距離D是指在平移隨機變換過程中，圖像在上、下、左、右4個方向上的最大移動距離。超參數設置：平移變換概率p=0.5，最大擾動值ε=16 像素，迭代輪數T=10，步長α=1.6，衰減因子μ=1.0。實驗運用TT-MI-FGSM 在2 個最大平移距離的區間范圍內進行測試，最大平移距離與攻擊成功率的關系如圖5 所示。

圖5 最大平移距離與攻擊成功率關系Fig.5 Relationship between maximum translation distance and attack success rate

最大平移距離D在0～280 像素范圍內的攻擊成功率變化情況為：在0～40 像素范圍內，TT-MI-FGSM的白盒攻擊成功率趨于穩定，黑盒攻擊成功率快速提高，表明平移變換對提高對抗樣本遷移性有較好效果，能夠有效避免與生成模型的過擬合現象；在40～200 像素的區間范圍內，白盒攻擊和黑盒攻擊的成功率均趨于穩定；在D超過200 像素以后，黑盒攻擊和白盒攻擊的成功率均有所下降，在此過程中，隨著D的增大，出現了欠擬合現象，導致白盒攻擊和黑盒攻擊的成功率均下降。最大移動距離D在0～35像素范圍內的攻擊成功率變化情況如圖5（b）所示。當D=11 像素時，黑盒攻擊成功率的局部最大值平均為45.3%，之后便波動變化。因此，在進行對抗樣本生成時，本文選用D=11 像素，此時既有效提高黑盒攻擊成功率，又保證了較高的白盒攻擊成功率。

4.4.3 最大擾動值ε對攻擊成功率的影響

本文分別使用TT-I-FGSM 和TT-MI-FGSM 進行白盒攻擊和黑盒攻擊。超參數設置：迭代輪數T=10，衰減因子μ=1.0，平移變換概率p=0.5，圖像最大擾動值從4 像素開始，以4 為步長增長到32，最大擾動值與攻擊成功率關系如圖6 所示。由α=ε/T可知，隨著最大擾動值的增大，在迭代過程中的步長α也逐漸增大。從圖6可以看出，最大擾動值ε在4～16像素范圍內，隨著擾動值的增大，黑盒攻擊成功率得到顯著提高。在黑盒攻擊中，隨著ε的增大，TT-I-FGSM攻擊成功率基本不變，而加入動量因子后TT-MI-FGSM的攻擊成功率仍保持了上升趨勢。

圖6 最大擾動值與攻擊成功率關系Fig.6 Relationship between maximum disturbance values and attack success rate

最大擾動值ε的增大會帶來擾動因素的增長，在生成的對抗樣本中噪點也會增多，其可視化對比圖如圖7 所示，當ε=32 像素時，擾動因素較大，容易被人眼識別出來。因此，在實際對抗樣本生成過程中，本文選擇ε=16 像素來生成對抗樣本，既具有較高的攻擊成功率，又能夠保證對抗樣本與原圖像的相似效果。

圖7 最大擾動值對對抗樣本圖像的影響Fig.7 Influence of maximum disturbance values on adversarial examples image

4.4.4 迭代輪數T對攻擊成功率的影響

本文將迭代輪數從2 開始以4 為步長增大，最大值為30。其他的超參數設置：最大擾動值ε=16 像素，步長α=1.6，衰減因子μ=1.0，平移變換概率p=0.5，最大平移距離D=11 像素。迭代輪數與攻擊成功率的關系如圖8 所示。從圖8（a）可以看出，隨著迭代輪數的增加，TT-I-FGSM 方法的白盒攻擊成功率有較大提高，黑盒攻擊的成功率則略微下降，其原因為隨著迭代輪數增加，對抗樣本與分類模型的擬合得到加強、遷移性有所下降。從圖8（b）可以看出，隨迭代輪數的增加，TT-MI-FGSM 方法的黑盒攻擊成功率也得到有效加強，說明該方法與動量法相結合具有更好的攻擊效果。迭代輪數的增加將消耗更多的計算資源，因此，本文選取迭代輪數T=10，既可以有效提高白盒攻擊和黑盒攻擊的成功率，又能夠保證對抗樣本的生成效率。

圖8 迭代輪數與攻擊成功率的關系Fig.8 Relationship between iteration number and attack success rate

在以上的超參數消融實驗中，本文討論了平移變換概率p、最大平移距離D、最大迭代輪數T和圖像最大擾動值ε的含義，并通過實驗驗證不同超參數對算法性能的影響。通過實驗可以看出，平移變換概率p的增大可以提高對抗樣本的攻擊效果。因此，本文可使用最大平移變換概率來生成攻擊性強的對抗樣本。最大平移距離D的選取應根據原始圖像的像素大小選擇數值，如在299×299×3 尺寸的圖像中，選取D=11 像素可以取得較好的攻擊效果。最大擾動值可以提高攻擊方法的性能，同時也會造成擾動過大，產生易被人眼識別的問題。迭代輪數的增大可以改進黑盒攻擊效果，但由于會產生更多的計算開銷，因此在保持一定的對抗樣本生成效率時應選擇適當大小的迭代輪數，通常設置在20 以下。

5 結束語

本文提出一種基于平移隨機變換的對抗樣本生成方法TT-MI-FSGM。通過對原圖像進行平移隨機變換，擴展圖像分類模型的輸入多樣性，緩解對抗樣本生成過程中的過擬合現象，從而提高對抗樣本的黑盒攻擊成功率。此外，通過構建集成模型攻擊算法，以生成遷移性更強的對抗樣本。實驗結果表明，與I-FGSM相比，該方法在集成模型上的黑盒攻擊成功率平均提高了30.4個百分點。下一步將對物理世界中對抗樣本的實際應用進行研究，從而為神經網絡模型的實際部署提供更有效的魯棒性測試方法。