基于穩定Adam 和空間域變換的對抗樣本生成算法

張玉婷，向海昀，李倩，廖浩德

（西南石油大學計算機科學學院，四川 成都 610500）

0 引言

深度神經網絡在計算機視覺任務中表現良好，例如圖像分類［1］、目標檢測［2］和語義分割［3-4］等。但文獻［5］發現深度神經網絡具有脆弱性，也就是可以通過對樣本施加適度且視覺上不明顯的小擾動來破壞深度神經網絡分類器的準確性。這些可能引起分類器錯誤分類的樣本被稱為對抗樣本，對抗擾動就是在這些樣本中所應用的擾動。對抗樣本的存在一度引起安全敏感應用領域的關注，如自動駕駛［6］、人臉識別［7］和視頻監控等。

對抗樣本為深度神經網絡帶來的威脅引起了研究者對構建魯棒分類模型的研究興趣，同時還在一定程度上促進了構建更有效、更強大的對抗樣本生成方法的研究［8］。在過去的研究中，有許多對抗攻擊方法［9］被提出，但這些方法也存在一定缺陷。例如：快速梯度符號法［10］速度較快但生成的對抗樣本噪聲較大；迭代方法［11］能夠生成更精細的擾動但易發生“過擬合”；投影梯度下降法［12］、C&W 攻擊［13］等方法雖然做出了更多的優化，但黑盒攻擊成功率仍有待進一步提高。此外，一些研究還發現對抗樣本具有可遷移性，即在某個網絡模型上生成的對抗樣本在一定程度上對其他模型同樣有效，這有可能會導致一系列計算機安全問題。近年來，人們提出了多種方法來增強對抗樣本的轉移性和攻擊性，如不同輸入攻擊［14］、平移不變攻擊［15］、顏色不變攻擊［16］和多模型集成攻擊［17］。在提高可轉移性的方法中，基于動量的迭代攻擊［18］具有良好的性能。

受NAG［19］和AdaBelief 優化器［20］的啟發，本文將Nesterov 更新和Belief 參數的思想引入到Adam算法［21］中以便獲得更穩定的優化，將這種優化結合到對抗樣本生成算法中，并利用指數衰減率對迭代步長進行衰減處理，可以獲得比動量迭代攻擊更好的性能。此外，數據增強能夠提高模型的泛化能力，不同的數據增強方式也能夠使擾動穩定，提升對抗樣本的泛化能力。所以，本文提出對空間域的多種變換方式進行加權，變換方式主要選用常見的翻轉、平移、尺度和旋轉4 種變換，使用加權計算后的梯度進行更新以獲得更穩定的梯度方向。本文主要貢獻如下：

1）提出了基于Nesterov 更新和Belief 參數的Adam 優化算法NABD，以及空間域變換的梯度加權數據增強方法STW，并將NABD 和STW 應用于對抗樣本生成以獲得更穩定的梯度更新方向，提高樣本的攻擊性能。

2）在ILSVRC 2012 驗證集［22］上分別進行單模型和集成模型對抗樣本攻擊實驗，驗證所提出的對應改進算法生成的對抗樣本的性能。

3）通過消融分析驗證算法的有效性，并研究算法中空間域變換率、最大擾動值和迭代次數對攻擊成功率和對抗樣本遷移性的影響，給出超參數的設置建議。

1 相關工作

給定一個分類器f(x)：x?X→y?Y，該分類器對于輸入樣本x的預測結果是標簽y。對抗攻擊就是在樣本x附近尋找對抗樣本x*使分類器錯誤分類。對于分類器f(x)=y，通過無目標攻擊得到的一個對抗樣本x*就是通過添加小噪聲到x，但不改變標簽，將分類器誤導為f(x*) ≠y；一個有目標攻擊的對抗樣本旨在通過輸出一個特定的標簽f(x*)=y*來欺騙分類器，其中，x*是攻擊指定的目標標簽，y*≠y。在大多數情況下，對抗噪聲的Lp范數要求小于一個允許的值ε，即‖x-x*‖p<ε，其中p=0,1,2,∞。

1.1 快速梯度符號法

文獻［10］提出快速梯度符號法，該方法通過添加擾動使損失函數L(xadv,y；θ)最大化，這些擾動是在梯度方向上進行單步更新得到的。該方法生成的對抗樣本能獲得較高的黑盒攻擊成功率，但由于更新方向不夠精確會導致噪聲較明顯且白盒攻擊成功率不理想。具體實現流程如式（1）所示：

其中：?x L(x,y；θ) 為損失函數關于x的梯度；sign(?)為符號函數。

1.2 迭代快速梯度符號法

文獻［11］提出迭代快速梯度符號法（I-FGSM），該方法將擾動大小ε擴展為一個更小的步長α。隨著迭代次數的增加，該方法可以有效地提高白盒攻擊成功率，但同時也會導致對抗樣本過于適應單個模型而無法達到較高的黑盒攻擊成功率。具體實現流程如式（2）所示：

其中：xadv,0=x；t為迭代次數；α大小由迭代次數t決定。

1.3 投影梯度下降法

投影梯度下降法（PGD）是一種更有效的梯度攻擊方法，它在I-FGSM 的基礎上添加一個球內限制，允許球內的隨機點初始化搜索對抗樣本。具體實現流程如式（3）所示：

其中：Clipε,x(?)函數將生成的對抗樣本限制在x的ε球面內。

1.4 動量迭代快速梯度符號法

文獻［15］提出基于動量的迭代快速梯度符號方法（MI-FGSM）在I-FGSM 中整合動量。該方法在參數的更新過程中累積梯度，加快收斂速度，逃脫局部極值的束縛，獲得更穩定的更新方向，減輕過擬合，有效地提高了攻擊性能，實現了更高的可轉移性。具體實現流程如式（4）、式（5）所示：

其中：gt是第t次累積梯度；μ是衰減因子。

1.5 Nesterov 迭代快速梯度符號法

文獻［23］提出基于Nesterov 算法的迭代快速梯度符號法（NI-FGSM），該方法在MI-FGSM 中引入NAG 思想來提高對抗樣本的可轉移性。具體實現流程如式（6）～式（8）所示：

1.6 集成模型攻擊方法

文獻［15］提出logits 集成方法，將logits 激活融合以達到攻擊多個模型的目的。該方法利用概率預測之間的對數關系進行集成，logits 集成的模型集合幾乎聚合了各個模型的輸出。在集成各種攻擊方法和各種模型時，logits 中的集成優于預測中的集成和損失中的集成。具體實現流程如式（9）、式（10）所示：

其中：lk(x)是第k個模型的logits；ωk≥0 是整體權重；1y是y的one-hot 編碼。

1.7 Adam 和AdaBelief 優化器

Adam［21］算法是RMSProp 結合動量的優化算法，該方法在保持梯度更新方向穩定的同時還加快了收斂速度。具體更新過程如式（11）～式（15）所示：

其中：mt、vt分別為累積梯度gt在動量形式下的一階矩估計和二階矩估計、分別為偏差校正后的mt和vt；β1、β2為指數衰減率；θt為更新參數；δ為防止除0 的極小值。

其中：δ為超參數。

2 NABD-STW-NIM 算法

2.1 穩定自適應矩估計和步長衰減方法

為了進一步提高攻擊成功率，本文所提出的NABD 優化算法在Adam 的基礎上整合NAG 加速梯度的思想，引入Belief 參數并根據指數衰減率對步長做衰減處理。在梯度下降過程中幫助提前計算下一個梯度，然后進行修正，這樣可以平衡穩定地更新方向，避免局部極大值。推導過程如式（18）、式（19）所示：

NABD 算法的具體實現如式（20）～式（22）所示：

其中：αt為衰減步長；ε為擾動大小

2.2 空間域變換梯度加權方法

除了考慮將一個更好的梯度優化算法用于對抗攻擊外，考慮利用數據增強的方法來提高對抗樣本質量。在相同模型上，通過保損變換可以使得初始圖像的損失值與變換圖像的損失值相似，以此實現模型擴充。受此啟發，通過在空間域進行多種變換的方式進行數據增強，采用與傳統數據增強不同的加權平均梯度的方式融合多種變換從而達到更好的攻擊效果。研究人員提出一種空間域變換梯度加權（STW）方法，通過對圖片進行翻轉、平移、尺度、旋轉這幾種特征變換，并將特征變換后計算損失得到的梯度加權平均后進行更新。具體實現如式（23）所示：

其中：N可取4；S1為F(xadv,t,p)；S2為T(xadv,t,p,d)；S3為S(xadv,t,p,n)；S4為R(xadv,t,p,α)。

1）對整張圖片做隨機翻轉處理，它將輸入樣本進行左右方向上的水平翻轉，以概率p控制輸入圖像的翻轉率。

2）對整張圖片做隨機平移處理，將原圖在隨機方向上進行裁剪，限制最大裁剪距離為d個像素，將裁剪后的圖像進行填充以保持原圖大小，平移概率為p。

3）對整張圖片進行隨機尺度大小的調整，將輸入圖像以p的概率對每個像素進行相同倍數n的放大或縮小。

4）對整張圖片進行旋轉調整，將圖像沿中心旋轉，旋轉角度在(-a,a)區間內，旋轉概率為p。

2.3 結合NIM 的更新方法

NI-FGSM 集成了一個預期的模型更新到MI-FGSM 中，受此啟發，該方法也將一個預期的模型更新集成到NABD-STW 中以獲得更高的攻擊成功率。NABD-STW-NIM 的具體實現流程可以表示為：

2.4 對抗樣本生成算法

本文所提出的NABD-STW-NIM 攻擊算法是將基于穩定矩估計的優化方法和基于空間域變換的梯度加權方法相結合的一個更強大的攻擊方法，算法流程如圖1 所示。

NABD-STW-NIM 單模型算法和集成模型算法分別如下：

算法1NABD-STW-NIM（單模型）

算法2NABD-STW-NIM（集成模型）

3 實驗與結果分析

3.1 實驗設置

實驗設置主要包含以下內容：

1）數據集

從ILSVRC 2012 驗證集的1 000 個類別中隨機選取1 000 張能以較高精度被測試模型正確分類的測試圖片。實驗中輸入和輸出樣本大小均為299×299×3。

2）分類模型

實驗使用7 個測試模型為實驗的攻擊對象，包括4 個正常訓練的模型和3 個對抗訓練的模型：即Inc-v3［25］、Inc-v4［26］、IncRes-v2［26］、Res-101［27］和Inc-v3ens3、Inc-v3ens4、IncRes-v2ens［27］。

3）基準方法

為了更好地評估該算法的有效性，在實驗中選擇了4 種經典的對抗攻擊算法（FGSM、I-FGSM、MI-FGSM、NI-FGSM）作為比較基線，與NABD-STW算法和NABD-STW-NIM 算法進行分析對比。

4）損失函數與超參數

實驗中采用交叉熵函數，圖片像素值為［0，255］像素，最大擾動值ε=16，迭代次數T=10，指數衰減率β1=0.9、β2=0.99，極小值δ=10-8，衰減因子μ=1.0，空間域變換概率p=0.5，最大平移距離d=32，尺度調整倍數n=0.5，旋轉調整角度α=30。

3.2 單模型攻擊

本節使用NABD-STW 和NABD-STW-NIM 算法進行單模型攻擊實驗，如表1 所示（其中加粗數字為最優值），與單模型設置下的基線進行比較，NABD-STW-NIM 不僅在白盒模型上有較高的成功率，而且在黑盒設置下的成功率也普遍高于其他方法，其中，*為白盒，其余為黑盒。NABD-STW 在IncRes-v2 上生成的對抗樣本攻擊Inc-v3 的成功率達到72.3%，NABD-STW-NIM 的成功率達到74.5%。針對Inc-v3 的對抗樣本在對抗訓練網絡中，NABDSTW 相較于MI-FGSM 的攻擊成功率提高了7.1%，NABD-STW-NIM 相較于NI-FGSM 提高了5.7%。這充分地證明了本文算法對于提高對抗樣本遷移能力的有效性。圖2 展示了不同攻擊方法為Inc-v3 生成的對抗圖像。

表1 單模型攻擊成功率對比Table 1 Comparison of attack success rate of single model %

圖2 不同攻擊方法生成的對抗樣本Fig.2 Adversarial samples generated by different attack methods

3.3 集成模型攻擊

在單模型攻擊中，當NABD-STW-NIM 算法面對普通訓練網絡時，黑盒攻擊成功率得到明顯提高，但在面對對抗訓練網絡時效果欠佳。所以，根據文獻［15］的啟發，本文考慮通過同時攻擊多個模型來展示NABD-STW 和NABD-STW-NIM 算法的性能。集成模型的攻擊方式主要是將白盒模型對應的logits 輸出值進行加權融合作為最終的logits 值，這樣的方法可以使得到的對抗樣本適用于多個模型，以獲得更好的遷移性。如表2 所示，集成模型攻擊對于所有模型的成功率都有很大提高，但隨之帶來了更多計算資源的消耗。在表中，*為白盒，其余為黑盒，在黑盒設置下，NABD-STW-NIM 算法攻擊成功率始終比基線高出10%～30%。

表2 集成模型攻擊成功率對比Table 2 Comparison of attack success rate of integrated model %

3.4 消融分析

本節通過消融實驗進行對比分析，驗證NABDSTW-NIM 算法的有效性，實驗中使用Inc-v3 作為白盒模型尋找對抗樣本，在I-FGSM 的基礎上不斷加入所提出方法來進行攻擊。實驗結果如表3 所示，其中，√表示加入該算法。

表3 消融實驗成功率對比Table 3 Comparison of successful rate of ablation experiment %

可以發現，NABD 算法可以將黑盒攻擊成功率提高約30%，加入STW 算法后，黑盒攻擊成功率再次提高約8%，在此基礎上加入Nesterov 更新可以將攻擊成功率提高約4%，本文算法的最強組合NABDSTW-NIM 能夠逐步增強黑盒攻擊成功率，同時保持白盒攻擊的穩健，有效提高對抗樣本性能。

為了進一步驗證STW 算法的有效性，本文為攻擊方法設置基線。當黑盒攻擊成功率處于同一基線時比較不同攻擊方法的擾動量大小，從而排除存在大量無效擾動的可能。這里將基線設置為30%，Inc-v3 作為白盒，Inc-v4 作為黑盒，擾動量通過原樣本與對抗樣本之間的歐氏距離計算得出。實驗結果如表4 所示，可以發現，當攻擊成功率處于同一水平時，NABD-STW-NIM 算法的擾動量小于其他攻擊算法擾動量，證實了STW 算法的有效性。

表4 不同攻擊算法的擾動量對比Table 4 Comparison of disturbance of different attack algorithms

3.5 超參數

本節進行一系列拓展實驗，討論算法中不同超參數對攻擊成功率的影響，主要包括空間域變換概率p、最大擾動值ε和迭代次數T。

關于空間域變換概率p的影響，設置p的范圍為0～1，增長幅度為0.1，當p=0時不發生變換。以Inc-v3為白盒生成對抗樣本，其余3 個正常訓練模型作為黑盒模型進行測試，圖3（a）為空間域變換概率對成功率的影響情況。可以觀察到在白盒攻擊中的成功率接近100%，黑盒攻擊成功率也隨著空間域變換概率的遞增而增加。當轉換概率較小時，攻擊成功率提高更明顯，從圖中可以看出，p>0.5 時的攻擊成功率比p<0.5 時平緩，因此在資源有限的情況下為了獲得更高的性價比，會選擇將空間域變換概率設置為p=0.5。在資源充足的情況下可以設置p=1 以實現最高的黑盒攻擊成功率。

圖3 各參數與攻擊成功率的關系Fig.3 Relationship between each parameters and attack success rate

關于迭代次數T的影響，設置空間域變換概率p=0.5，迭代次數的范圍為1～10，增長幅度為1。如圖3（b）所示，可以發現攻擊成功率隨迭代次數的增加略有提高。將本文算法與MI-FGSM 算法進行比較，其中實線為NABD-STW-NIM 算法攻擊成功率，虛線為MI-FGSM 算法攻擊成功率。可以明顯看到實線在虛線之上，并且在黑盒攻擊中，MI-FGSM 的成功率隨迭代次數增加而略有下降，但本文提出的算法卻能夠保持穩定，這主要是由于本文使用動態的步長衰減方法可以有效緩解迭代次數帶來對抗樣本“過擬合”、遷移性下降的問題。在實驗中，選擇迭代次數T=10 以提高攻擊成功率，同時確保對抗樣本的生成效率。

關于最大擾動值對攻擊成功率的影響，圖像最大擾動ε的范圍為2～20，增長幅度為2。如圖3（c）所示，黑盒攻擊成功率隨著擾動增大呈上升趨勢。但ε增大的同時，對抗樣本中的噪聲也會更加明顯，不同擾動值生成對抗樣本的差異如圖4 所示，可以看出當ε=32時，對抗樣本噪聲太大，易被人眼識別。因此，實驗中選擇ε=16 來生成對抗樣本，在保證對抗樣本合理的同時，盡可能地實現較高的攻擊成功率。

圖4 不同擾動大小生成的對抗樣本Fig.4 Adversarial samples generated by different disturbance sizes

4 結束語

本文提出一種基于優化的對抗樣本生成算法，該算法由基于Adam 優化的穩定自適應矩估計算法NABD 和空間域變換梯度加權算法STW 共同組成。NABD 的目標是在基于梯度的攻擊中采用Adam 優化算法，并在Adam 中引入Belief 參數和Nesterov 更新，與Nesterov 迭代快速梯度符號法相結合并對步長做衰減處理，以獲得更穩定的矩估計。STW 的目標是利用模型在空間域的多種變換實現模型擴充，與現有方法不同，STW 選擇將不同轉換的梯度進行加權以獲得更好的泛化性。實驗結果表明，NABDSTW-NIM 算法有效提高了對抗樣本的可遷移性，緩解了對抗樣本生成過程中的“過擬合”現象，不僅顯著提升攻擊成功率，而且還在一定程度上打破了對抗防御機制。下一步將進行對抗擾動縮小的相關研究，為深度神經網絡對抗訓練提供與原樣本差距更小、更精確的對抗樣本，以提高神經網絡的正確性。