随着深度学习相关技术在计算机视觉、自然语言处理等领域的快速发展和广泛应用，深度学习模型逐渐成为了高价值攻击目标，其固有的易受噪声干扰的安全隐患也逐步暴露出来，如基于生成对抗网络（GAN）或机器学习的方式，通过添加少量特定的噪声来生成对抗样本，导致现有的深度学习模型失效。目前的对抗攻击技术一般针对特定深度学习模型，使用海量算力搜索特定扰动噪声，无论是GAN还是传统机器学习方式，其计算效率和对抗攻击成功率受制于数据、算力和模型网络结构。为了解决对抗攻击的计算效率和对抗攻击成功率问题，着眼于深度学习模型的结构化分析，以ResNeXt50/ResNeXt101为例，基于数据增强技术，经过调制干预，由非序列图像数据生成序列数据，进而分析ResNeXt50/ResNeXt101模型的结构弱点-时不变稳定结构，然后提出一种基于Wasserstein距离，仅需少量样本即可定位该结构性弱点的方法，最后基于L范数提出一种针对其结构性弱点的新型对抗攻击方法，对算力、数据的要求大幅下降。基于ImageNet数据集的测试表明，新方法能大幅降低对抗攻击所需的算力要求，以C&W方法为基准进行的理论分析和实验结果均表明，在同样环境下，该对抗攻击方法的成功率为0.99，相对于C&W方法提高了5.32%；平均攻击时间为6.52s，相对于C&W算法降低了10.81%；对抗样本的失真度为0.50，相对于C&W算法降低了18.03%，各指标分析均表明本方法显著优于C&W方法。

• 单位
  中国科学技术大学; 中国科学技术大学苏州研究院