0 引言
深度学习技术在计算机视觉、语音识别、自然语言处理等各个领域有着广泛的应用,然而有研究表明,深度神经网络具有一定的脆弱性[1],该脆弱性使得深度神经网络容易受到攻击,这一问题引起了广泛的重视。对抗样本攻击是攻击深度神经网络的主要方法,该方法通过对原样本添加微小的、不可察觉的扰动生成对抗样本,使得深度神经网络对该样本做出错误的预测。
对抗样本的迁移性指针对结构已知的深度神经网络模型生成的对抗样本,能使得结构未知的深度神经网络模型对该样本做出错误预测。如果对抗样本有更好的迁移性,其就能更好地攻击结构和参数未知的模型,这也是利用对抗样本进行攻击的主要应用场景。攻击者在拥有深度神经网络模型的结构和参数信息的前提下进行的对抗样本攻击,称为在白盒条件下的对抗样本攻击。现有的白盒条件下的对抗样本攻击方法虽然有较高的攻击成功率,但是其生成的对抗样本的迁移性较差,在主要的应用场景中并不适用。迁移性差的主要原因在于,这类方法所生成的对抗样本与模型的结构和参数高度耦合,其扰动难以对结构和参数不同的其他模型进行有效的干扰。迁移性差的这一缺点在目标神经网络引入了防御方法时表现得更为明显。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003593
作者信息:
叶启松,戴旭初
(中国科学技术大学 网络空间安全学院,安徽 合肥230026)
凡《网络安全与数据治理》(原《信息技术与网络安全》)录用的文章,如作者没有关于汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权等版权的特殊声明,即视作该文章署名作者同意将该文章的汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权授予本刊,本刊有权授权本刊合作数据库、合作媒体等合作伙伴使用。同时,本刊支付的稿酬已包含上述使用的费用,特此声明。