基于改进积分梯度的黑盒迁移攻击算法

对抗样本可以轻易攻击深度神经网络,影响模型的使用安全。虽然白盒攻击方法有优秀的成功率,但是在黑盒迁移攻击时通常表现出较差的效果。目前最先进的TAIG算法基于积分梯度,可以提升对抗样本的迁移性。但研究发现其积分路径缺失到饱和区的有效信息,并且使用不恰当的基线和梯度计算,限制了算法攻击成功率的上限。改进了积分梯度并提出了IIGA攻击算法(improved integrated gradients attack)。改进积分梯度将有限路径扩展为无限路径,融合输入到真实饱和区的梯度累计,可以表征每个分量更准确的重要性;并提出信息熵基线,确保基线相对于模型不含任何信息。IIGA将生成的改进积分梯度进行平滑处理作为攻击的反向优化方向,平滑操作过滤因神经网络在小范围偏导剧烈跳动而产生的大量噪点,使梯度信息集中于视觉特征,并在迭代过程中加入动量信息稳定梯度方向。在ImageNet数据集上进行的大量实验表明IIGA不仅在白盒攻击下优于FGSM、C&W等算法,在黑盒迁移攻击模式下也大大超过了SI-NI、VMI、AOA和TAIG等先进的算法。