一种加权最大化激活的无数据通用对抗攻击

对抗攻击产生的对抗样本能够影响神经网络在图像分类任务中的预测结果。由于对抗样本难以察觉,具有迁移性,即同一个对抗样本能干扰不同结构模型的判断,因此制作对抗扰动,生成对抗样本在检测模型缺陷等方面有重大意义。近几年提出的无数据通用对抗攻击在无数据条件下仅通过最大化激活所有卷积层的激活值来制作对抗扰动,更加接近模型真实应用场景,但忽略了不同的卷积层提取的特征差异,导致对抗样本迁移性较差。现提出一种加权最大化激活的无数据通用攻击方法,为每个卷积层赋予相应的权重,利用不同卷积层激活值对通用扰动的影响,提高对抗样本的迁移性。在ImageNet验证集上的实验表明,加权最大化激活攻击方法相比于其他方法具有良好的攻击效果;消融实验表明,通用对抗扰动能够从浅层卷积层学习泛化特征,具有更好的迁移性。