| 基于损失平滑的对抗样本攻击方法 |
| |
| 引用本文: | 黎妹红,金双,杜晔.基于损失平滑的对抗样本攻击方法[J].北京航空航天大学学报,2024(2):663-670. |
| |
| 作者姓名: | 黎妹红 金双 杜晔 |
| |
| 作者单位: | 1. 北京交通大学智能交通数据安全与隐私保护技术北京市重点实验室;2. 北京交通大学计算机与信息技术学院 |
| |
| 基金项目: | 国家重点研发计划项目(2020YFB2103800,2020YFB2103802)~~; |
| |
| 摘 要: | 深度神经网络(DNNs)容易受到对抗样本的攻击,现有基于动量的对抗样本生成方法虽然可以达到接近100%的白盒攻击成功率,但是在攻击其他模型时效果仍不理想,黑盒攻击成功率较低。针对此,提出一种基于损失平滑的对抗样本攻击方法来提高对抗样本的可迁移性。在每一步计算梯度的迭代过程中,不直接使用当前梯度,而是使用局部平均梯度来累积动量,以此来抑制损失函数曲面存在的局部振荡现象,从而稳定更新方向,逃离局部极值点。在ImageNet数据集上的大量实验结果表明:所提方法与现有基于动量的方法相比,在单个模型攻击实验中的平均黑盒攻击成功率分别提升了38.07%和27.77%,在集成模型攻击实验中的平均黑盒攻击成功率分别提升了32.50%和28.63%。
|
| 关 键 词: | 深度神经网络 对抗样本 黑盒攻击 损失平滑 人工智能安全 |
|
