深度神经网络的快速发展使得其在计算机视觉和自然语言处理等领域取得较大成功，但在最近的研究中发现，对抗攻击会导致神经网络的表现性能变差，对各类系统的安全保密性造成严重威胁。现有的黑盒攻击方法在人脸识别中性能表现较差，攻击成功率较低且生成对抗样本迁移性不高。因此提出了一种结合高斯滤波和掩码的G-MASK对抗攻击方法，首先利用Grad-CAM输出的热力图来确定对抗样本的掩码区域，使其只在掩码区域施加扰动，提高黑盒攻击成功率；其次采用扰动集成方法提高黑盒迁移能力，增强黑盒攻击鲁棒性；最后对生成的扰动进行高斯平滑处理，降低集成模型之间干扰噪声的差异，提高图像质量，增强扰动掩蔽性。实验结果表明所提出的G-MASK方法针对不同的人脸识别模型能够在保证白盒攻击较高成功率的条件下显著提升黑盒攻击效果，同时拥有更好的掩蔽性。经过模型扰动集成的对抗样本白盒攻击成功率均提高至98.5%以上，黑盒攻击成功率最高达到75.9%，与快速梯度符号法、迭代快速梯度符号法和动量迭代快速梯度符号法相比分别提升12.1%、10.6%和8.2%，充分验证了该方法的有效性。

• 单位
  西南石油大学