近年来,基于深度神经网络的图像识别技术表现出良好的性能,然而研究表明神经网络容易受到对抗扰动攻击而发生分类错误,施加一个小的通用扰动就能使神经网络在整个数据集上失效.为构建更加健壮的神经网络,对通用扰动生成的研究显得至关重要.通用扰动生成问题要求得到一个扰动向量对整个数据集产生指定扰动率的攻击效果,相较于单张图片扰动生成问题其约束条件更严格,计算难度更大.目前已有算法得到的通用扰动范数较大,容易被人眼识别.文章基于优化理论提出新的通用扰动生成算法,在达到指定扰动率的同时能产生更小的通用扰动.算法结合PCA降维思想克服了问题的规模性带来的困难;然后利用单张对抗扰动向量的均值叠加随机噪声,得到满足扰动率的初始通用扰动;最后改进梯度下降方法在保证扰动率的同时得到更小的通用扰动.实验表明,该方法可有效攻击各类先进神经网络:在达到相同扰动率的情况下,所得通用扰动的范数较Uni.Perturbation算法的结果平均降低了54%.

• 单位
  华东师范大学