基于注意力機制的對抗樣本生成算法

趙彬粟 李靈芳 羅明星

摘要：近年來對抗性攻擊和對抗性防御的研究受到了廣泛的關注，并有了大量的應用． 由于對樣本的細小擾動可以改變識別效果，神經網絡因而缺少魯棒性． 基于注意力機制的投影梯度算法，研究對抗樣本的攻擊方法． 采用基于梯度加權類激活映射圖尋找特殊區域，并添加噪聲擾動，實現對抗性攻擊． 使用ＭＮＩＳＴ、ＣＩＦＡＲ-１０ 和ＩｍａｇｅＮｅｔ 數據集，以ＶＧＧ１９、ＶＧＧ１６、Ｒｅｓｎｅｔ５０ 和Ｒｅｓｎｅｔ１８、ｉｎｃｅｐｔｉｏｎ＿ｖ３ 和Ｄｅｎｓｅｎｅｔ 作為目標模型． 針對ｍｉｎｉ ＩｍａｇｅＮｅｔ 數據集的攻擊成功率達到９６． ３％ ，比ＦＧＳＭ 攻擊算法提高了２３． ４％ 的成功率，并減少干擾區域，不容易被肉眼察覺，具有更好的攻擊效果．

關鍵詞：對抗樣本；注意力機制；深度神經網絡；對抗攻擊

中圖分類號：ＴＰ３ 文獻標志碼：Ａ 文章編號：１００１-８３９５（２０２３）０２-０２７５-１０

ｄｏｉ：１０． ３９６９ ／ ｊ． ｉｓｓｎ． １００１-８３９５． ２０２３． ０２． ０１７