基于多目标进化模型的黑盒图像对抗攻击算法研究

发布时间：2021-12-10 07:41

　　基于深度学习模型的图像分类器具有优良分类能力,但同时存在安全隐患,例如在原始图像样本上叠加微小扰动会使分类器产生分类偏差,攻击者利用该隐患对目标模型分类器进行攻击,称为对抗样本攻击,叠加扰动后的样本称为对抗样本。对抗攻击的本质是寻求最优扰动,使得对抗样本既能误导目标模型分类器且失真程度最小,即同时优化对抗攻击能力及对抗样本视觉质量。多数攻击场景下,攻击者对目标模型的了解十分有限,导致攻击者只能进行黑盒攻击。一类通用的黑盒攻击算法基于迭代寻优思想,通过不断查询目标模型分类器的分类结果动态调整扰动,最终实现对抗攻击。如何在有限次数的访问查询目标模型分类器的基础上获得最优扰动是实现对抗攻击的关键所在。针对现有黑盒攻击算法难以同时优化对抗攻击能力及对抗样本视觉质量的问题,本文提出基于多目标进化的图像对抗样本生成框架（MOEA-AEGF）。框架将对抗扰动编码成染色体个体,基于Pareto多目标进化理论寻优,寻优结果为一组具有多样性的Pareto最优扰动,攻击者能够根据主观偏好制定筛选策略最终确定对抗扰动进而实施对抗攻击。本文对所提框架中的个体编码、个体适应度评估、进化策略等模块展开研究,提出了M... 

【文章来源】：哈尔滨工业大学黑龙江省 211工程院校 985工程院校

【文章页数】：68 页

【学位级别】：硕士

【部分图文】：

切比雪夫聚合法进化示意图

3.2 基于多目标进化模型的黑盒图像对抗攻击框架 基于多目标进化模型的黑盒图像对抗攻击框架（An Adversarial Examples Generation Framework Based on A Multi-objective Evolutionary，MOEA-AEGF）。针对图像分类问题，对抗样本的生成可以通过在原始图像上叠加扰动噪声实现，扰动噪声影响分类器过程中的计算结果从而使分类器最终造成误分类。在实际攻击场景下，攻击者期望生成的对抗样本与原始样本尽可能的相似，来保证对抗样本的视觉质量，由此可知，对抗样本生成过程的关键问题是如何寻求得到最优的对抗扰动。 种群初始化

多样性的辅助策略等内容；最后在 3.4 节中对本章所研究内容进行简短的总结。 3.2 基于多目标进化模型的黑盒图像对抗攻击框架 基于多目标进化模型的黑盒图像对抗攻击框架（An Adversarial Examples Generation Framework Based on A Multi-objective Evolutionary，MOEA-AEGF）。针对图像分类问题，对抗样本的生成可以通过在原始图像上叠加扰动噪声实现，扰动噪声影响分类器过程中的计算结果从而使分类器最终造成误分类。在实际攻击场景下，攻击者期望生成的对抗样本与原始样本尽可能的相似，来保证对抗样本的视觉质量，由此可知，对抗样本生成过程的关键问题是如何寻求得到最优的对抗扰动。 种群初始化

【参考文献】：
期刊论文
[1]基于深度学习的工业车辆驾驶行为识别[J]. 李俊杰,邓海勤,高志勇,张勇.  信息通信技术. 2019(01)
[2]多目标优化问题的研究概述[J]. 肖晓伟,肖迪,林锦国,肖玉峰.  计算机应用研究. 2011(03)



本文编号：3532173