拓扑自适应粒子群优化的黑盒对抗攻击
深度学习模型在对抗攻击面前非常脆弱,即使对数据添加一个小的、感知上无法区分的扰动,也很容易降低其分类性能.针对现有黑盒对抗攻击方法存在效率低和成功率不高的问题,提出基于拓扑自适应粒子群优化的黑盒对抗攻击方法.首先根据原始图像随机生成初始对抗样本种群;然后根据邻域信息计算各样本的扰动并在搜索空间内迭代,计算动态惩罚项系数以控制样本的适应度值,当迭代多次种群适应度值未提高时,各样本进行邻域重分布,根据进化轨迹调整状态;最后修剪多余扰动获得最终的对抗样本.以InceptionV3等分类模型为攻击对象,使用MNIST,CIFAR-10 和 ImageNet 数据集,在相同的样本数量和模型访问限制条件下,进行无目标对抗攻击和目标对抗攻击实验.结果表明,与现有方法相比,所提攻击方法具有较少的模型访问次数和较高的攻击成功率,对 InceptionV3 模型的平均访问次数为 2502,攻击成功率为 94.30%.
深度学习、粒子群优化、黑盒对抗攻击、邻域重分布、对抗样本
35
TP391.41(计算技术、计算机技术)
国家自然科学基金61873277
2023-11-14(万方平台首次上网日期,不代表论文的发表时间)
共10页
1239-1248
