计算机应用
Journal of Computer Applications
ISSN 1001-9081,CN 51-1307/TP
,北京 100000)
(*通信作者电子邮箱 wlby_zzmy_******@)
摘 要: 面对对抗样本的攻击,深度神经网络是脆弱的,特别是这种对抗样本是在原始输入图像上添加人眼几乎不可见的
噪声,从而让深度神经网络误分类,这给深度神经网络带来了安全威胁。因此在深度神经网络部署前,对抗性攻击可以作为
评估模型鲁棒性的重要方法。但是,在黑盒情况下,对抗样本的攻击成功率还有待提高,即对抗样本的可迁移性还有待提升。
针对这一情况,提出了基于图像翻转变换的对抗样本生成算法——FT-MI-FGSM。首先,从数据增强的角度出发,在对抗样本
生成过程的每次迭代中,对原始输入图像进行随机翻转变换;然后计算变换后图像的梯度;最后基于此梯度生成对抗样本,
以此来消除对抗样本生成过程中的过拟合,提升对抗样本的可迁移性。此外,还通过使用攻击集成模型的方法,进一步提高
对抗样本的可迁移性。在 ImageNet 数据集上的广泛实验验证了所提算法的有效性。与 I-FGSM 和 MI-FGSM 相比,无论是在
正常训练网络还是对抗训练网络上,FT-MI-FGSM 算法有着更高的黑盒攻击成功率。
关键词: 图像翻转变换;对抗样本;黑盒攻击;深度神经网络;可迁移性
中图分类号:TP391 文献标志码: A
Algorithm for generating adversarial examples based on image
flip transform
YANG Bo1, ZHANG Hengwei1*, LI Zheming1,2, XU Kaiyong1
( Strategic Support Force Information Engineering University, Zhengzhou 450001, China;
基于图像翻转变换的对抗样本生成算法 来自淘豆网m.daumloan.com转载请标明出处.
