一個平臺來檢查圖像抵抗對抗攻擊的能力

迄今為止，深度神經(jīng)網(wǎng)絡(luò)（DNN）已被證明對于包括圖像和音頻分類在內(nèi)的廣泛應(yīng)用非常有前途。但是，它們的性能在很大程度上取決于用于訓(xùn)練它們的數(shù)據(jù)量，而且大型數(shù)據(jù)集并不總是很容易獲得。

如果DNN沒有經(jīng)過充分的訓(xùn)練，他們將更容易對數(shù)據(jù)進行錯誤分類。這使他們?nèi)菀资艿教囟愋偷?a target="_blank">網(wǎng)絡(luò)攻擊，稱為對抗攻擊。在對抗性攻擊中，攻擊者創(chuàng)建旨在欺騙DNN（即對抗性數(shù)據(jù)）的真實數(shù)據(jù)的副本，將其欺騙為錯誤分類的數(shù)據(jù)，從而損害其功能。

近年來，計算機科學(xué)家和開發(fā)人員提出了各種工具，可以通過檢測原始數(shù)據(jù)和對抗數(shù)據(jù)之間的差異來保護深度神經(jīng)體系結(jié)構(gòu)免受這些攻擊。但是，到目前為止，這些解決方案均未證明具有普遍效力。

武漢大學(xué)和武漢軟件工程職業(yè)學(xué)院的研究人員最近推出了一個平臺，該平臺可以通過計算復(fù)制圖像的容易程度來評估其抵制DNN的能力，從而評估圖像對對抗攻擊的魯棒性。這個名為FoolChecker的新平臺在Elsevier的Neurocomputing期刊上發(fā)表的一篇論文中進行了介紹。

研究人員在論文中寫道：“我們的論文提出了一個稱為FoolChecker的平臺，用于從圖像本身而非DNN模型的角度評估圖像對抗攻擊的魯棒性。”“我們定義了原始示例與對抗示例之間的最小感知距離，以量化對抗對抗攻擊的魯棒性?！?/p>

FoolChecker是量化圖像抵御攻擊性魯棒性的首批方法之一。在仿真中，這項技術(shù)取得了顯著成果，在相對較短的時間內(nèi)完成了計算。

在開發(fā)平臺時，研究人員比較了許多指標(biāo)以量化原始圖像與對抗圖像之間的距離。證明最有效的度量標(biāo)準(zhǔn)是原始樣本與對抗樣本之間的攝動靈敏度距離（PSD）。

FoolChecker的工作原理是計算成功欺騙DNN分類器所需的最小PSD。盡管需要手動計算，但研究人員開發(fā)了一種方法，該方法結(jié)合了稱為差分進化（DE）和貪婪算法的技術(shù)，貪婪算法是一種直觀的體系結(jié)構(gòu)，通常用于解決優(yōu)化問題。

研究人員寫道：“首先，將差分演化應(yīng)用于產(chǎn)生具有高擾動優(yōu)先級的候選擾動單位?！薄叭缓?，貪心算法嘗試將當(dāng)前具有最高擾動優(yōu)先級的像素添加到擾動單元中，直到欺騙DNN模型為止。最后，計算出擾動單元的感知距離，作為評估圖像抵抗對抗攻擊的魯棒性的指標(biāo)。 ”

研究人員通過一系列測試對FoolChecker進行了評估，發(fā)現(xiàn)它可以有效地計算某些圖像在被多個DNN處理后對對抗攻擊的魯棒性。他們的研究提供了證據(jù)，表明DNN模型的對抗性脆弱性也可能是由于外部因素（即，與模型性能無關(guān)）造成的，例如它正在處理的圖像的特征。

換句話說，該團隊發(fā)現(xiàn)，圖像本身在易于修改的程度方面可能會有所不同，從而會誘使DNN誤分類數(shù)據(jù)。將來，他們開發(fā)的平臺可用于評估饋送到DNN的數(shù)據(jù)的魯棒性，這可能會阻止攻擊者創(chuàng)建對抗性數(shù)據(jù)并因此而發(fā)動攻擊。