目的 对抗样本严重干扰了深度神经网络的正常工作。现有的对抗样本检测方案虽然能准确区分正常样本与对抗样本,但是无法判断具体的对抗攻击方法。对此,提出一种基于多质量因子压缩误差的对抗样本攻击方法识别方案,利用对抗噪声对JPEG压缩的敏感性实现攻击方法的识别。方法 首先使用卷积层模拟JPEG压缩、解压缩过程中的颜色转换和空频域变换,实现JPEG误差在图形处理器(graphic processing unit,GPU)上的并行提取。提出多因子误差注意力机制,在计算多个质量因子压缩误差的同时,依据样本差异自适应调整各质量因子误差分支的权重。以特征统计层为基础提出注意力特征统计层。多因子误差分支的输出经融合卷积后,获取卷积层多维特征的同时计算特征权重,从而形成高并行对抗攻击方法识别模型。结果 本文以Image Net图像分类数据集为基础,使用8种攻击方法生成了15个子数据集,攻击方法识别率在91%以上;在快速梯度符号法(fast gradient sign method,FGSM)和基本迭代法(basic iterative method,BIM)数据集上,噪声强度识别成功率超过96%;在对抗样本检测任务中,检测准确率达到96%。结论 所提出的多因子误差注意力模型综合利用了对抗噪声的分布差异及其对JPEG压缩的敏感性,不仅取得了优异的对抗攻击方法识别效果,而且对于对抗噪声强度识别、对抗样本检测等任务有着优越表现。

• 出版日期2023
• 单位南京信息工程大学