面向图像识别的对抗样本与攻击研究*

罗 鑫 夏学知

（武汉数字工程研究所 武汉 430205）

1 引言

近年来，人工智能的研究越来越广泛，其应用也已融入了许多领域并成为其中的重要组成部分。如今，人工智能将数学、计算机等多种学科知识结合起来，并且在各个方向上都表现不俗。人工智能在各行各业的研究已呈现星星之火、燎原之势。但越来越多的实验表明，人工智能就像一柄双刃剑，既为普罗大众提供方便，也提出了诸多挑战。

人工智能是一项使机器表现得像人类一样智能的技术。人工智能的概念刚提出时，研究人员主要是定义了智能的标准和研究目标，没有对智能的具体含义做出回应。此后，许多著名的研究人员提出了自己理解的人工智能概念，包括基本思想和基本内容，历经数年总结为：探讨利用计算机模拟人类智能行为的理论和技术。

由于深度学习理论的不断发展，特别是深度神经网络（Deep Neural Network，DNN）算法取得的巨大成功，在科技、产业和社会变革方面，人工智能都显示出了巨大的潜力，引起了全世界的关注。以深度学习为代表的人工智能技术正逐步应用于各个领域，包括图像分类［1～2］、目标检测［3］、语音识别［4～5］、自动驾驶［6～7］以及人脸识别［8～9］等。其中，最广泛最深入的用途是在图像领域。目前，在图像识别工作中，深度神经网络技术已超越了人类的视觉能力上线。例如，用于自动驾驶应用的交通标志图像识别、用于人脸识别应用的面部图像检测以及用于场景识别的不同场景图片分类等等。

现阶段人工智能的发展中，如数据投毒［10］、模型窃取［11］、后门攻击［12］、对抗样本［13］等给人们带来安全隐患的方法已广为人知并处于一个较为成熟的阶段，其中，又以对抗样本为热门的方向。2014年，Christian Szegedy 等［13］提出了对抗样本。他们发现，原始样本添加了细微干扰后，肉眼很难分辨二者。将扰动后的样本输入分类网络，使其给出错误的分类结果，从而达到攻击模型的目的。在当时最尖端的图像分类模型上，这个实验也取得了成功。通过构造对抗样本来攻击深度神经网络的方法被称为对抗攻击。由于图像对抗样本在图像领域中被广泛使用，它已经吸引了许多研究人员的注意。图像对抗样本的存在不仅对图像识别分类的应用效果有很大的影响，而且对人身财产的安全也会构成严重威胁。近年来，关于图像对抗样本的研究成果不断涌现，也是从侧面反映了图像对抗样本研究的重要性。

2 对抗技术相关知识

本节将从对抗样本的定义、成因、相关术语、分类几个方面对其进行简要介绍。

2.1 对抗样本的定义

对抗样本是通过在输入图像中添加精心构建的扰动来创建的样本，这些干扰是人眼所看不到的，而且可以使深度神经网络产生具有高置信度的错误分类结果。生成图像对抗样本的关键步骤是通过最大化预测和实际结果之间的差异来实现损失函数的最大化。这一步正好与DNN 训练的反向传播目标相反。如图1 所示，一开始，DNN 能以57.7%的置信度将正常样本分类为大熊猫，但对正常样本添加扰动噪声生成对抗样本后，分类器却以99.3%的置信度将对抗样本错误分类为长臂猿。而从人眼的识别能力来看，两张图片显示的都是大熊猫。

图1 对抗样本的生成示例

2.2 对抗样本的成因

关于对抗样本成因的探究一直是对抗技术研究工作中的难点，学者们对于对抗样本的成因目前尚未达成统一认识，存在着盲区假说、线性假说、边界倾斜假说、决策面假说、流形假说等几种解释［14］。

Szegedy 等［13］认为，在数据流中，存在着不常访问的区域，当采集到的数据不够全面时，分类器就无法对处于这些盲区的数据进行有效的处理，从而导致分类器的泛化性能不佳，继而产生误分类。Gu 等［15］对这些不常访问的盲区进行了分析，分析结果表明，此类盲区广泛分布在输入空间中，且具有一定的连续性。基于这个发现，Gu 等提出，对抗样本的出现与训练相关。

Goodfellow 等［16］不认可盲区假说，他们认为对抗样本的出现应该用线性假说来解释。深度学习模型中，大量的非线性转换与大量的线性行为并存，在多维数据中加入少量的干扰会造成模型的分类错误。以往的文献［17～19］都认为，对抗样本是一种跨多维连续的子空间的存在，各种子空间都有一部分是重叠的，因此，对抗样本具有一定的迁移性。Luo 等［20］在线性假说原有的基础上进行了补充说明，他们认为在特定的输入流形区内，深度神经网络是线性的，而在其他区域则是非线性的。

Tanay 等［21］提出了边界倾斜假说，他们认为仅从线性角度来解释对抗样本有一定的狭隘性。如果数据的子流形边界上存在对抗样本，当这个边界与真实的数据流形的边界有差异，那么这些对抗样本就会造成错误的输出。

Moosavi-Dezfooli 等［22～23］发现了一种通用性干扰并且给出了决策平面假说。假定有一个含有决策边界上大部分法向量的低维空间，Moosavi-Dezfooli 等利用该空间验证了［24］决策边界曲率与对抗样本之间的相关性，并给出了理论分析［25］。

流形假说有两种类型。一些研究结果表明［26～29］，与一般的实验数据相比，对抗样本在数据流形上存在着很大的差异。Gilmer 等［30～31］不赞成数据流形的差异这种解释，他们认为，对抗样本是在高维度的数据流形中生成的。他们自主构建了数据集，通过实验分析了对抗样本与数据流形高维几何结构之间的联系。

深度学习模型的非解释性和数据结构的复杂性，使得不同学者对对抗样本生成的研究存在着不同的侧重。所以，对于对抗样本的成因，界内尚未达成共识。

2.3 对抗样本相关术语

下面将介绍对抗技术研究中常用的一些术语。

1）受攻击模型：一般是基于深度学习的图像分类模型，对抗样本会使模型对输入做出误判。

2）对抗扰动：指添加在图像上的噪音，如果图像中加入了噪音，可能会被模型误认为是其它类别。

3）通用性：通用性一般是用来描述对抗扰动的。如果一个对抗扰动针对大部分模型都能生成对抗样本，则我们称该扰动具有通用性。

4）迁移性：与通用性不同，迁移性一般用来描述对抗样本。假设某个对抗样本能使A 模型发生误判，当该样本作用于B 模型时也能使其产生误判，则称该样本具有良好的迁移性。

5）置信度

我们将模型把某个输入归为某个类别的可能性称为置信度。如果目标模型输出一个具有高置信度的错误分类，那么导致模型产生这样输出的样本就是一个性能良好的对抗样本。

6）类别标签

模型输出的类别被称为类别标签。

7）攻击成功率

攻击者生成对抗样本并将其输入目标模型后，模型判断的错误率等于误判次数占总输入数的百分比，它是对抗样本攻击成功的数据化表达。模型判断的正确率则表示模型成功防御了对抗样本的效率，越低表明攻击者的成功率越高。

2.4 对抗的分类

按照不同的划分标准，我们可以将对抗攻击分为以下几种类型。

1）白盒攻击&黑盒攻击

对抗样本用于攻击目标模型的情况分为两种。根据攻击者对目标模型的知悉程度，划分为白盒攻击（white-box attack）和黑盒攻击（black-box attack）。白盒攻击中，攻击者可以获得关于目标模型的模型结构、参数和训练数据等信息。而黑盒攻击中，攻击者无法获取这些信息。因此，黑盒攻击比白盒攻击更难成功实施，其攻击场景与真实的情况更一致。

2）非针对性攻击&针对性攻击

对抗攻击依据攻击者的目标分为两类：非针对性攻击（non-targeted attack）和针对性攻击（targeted attack）。非针对性是指对抗样本的目标只会使模型产生错误结果；而针对性则要求对抗样本不仅导致模型产生误判，还要求结果是指定类型。

3）单步攻击&迭代攻击

对抗攻击根据生成样本的步骤的复杂性分为单步攻击（one-step attack）和迭代攻击（iterative attack）。在单步攻击中，执行一次基本操作后，攻击者就可获得样本；而在迭代攻击中，执行数次迭代操作，攻击者才可获得样本。通常，迭代情况相比单步情况更容易产生效用更好的样本，同时也需要更多的执行时间。

3 数据集

为了评价和比较各对抗算法的效果，实验人员一般会使用同一数据集进行实验。ImageNet、MNIST 和CIFAR-10 是三个目前主流研究使用较多的图像数据集。

ImageNet 是为了解决机器学习中的过拟合和泛化问题而创建的。ImageNet 是在2007年至2009年期间建立的，当时它作为论文在CVPR 2009会议上被发表，就数量和类别的丰富程度而言，它是最好的图像数据集。ILSVRC 挑战赛就是基于ImageNet进行攻击和防御的。

MNIST 数据集是美国国家标准和技术研究学会（NIST）的一个项目，它包含了250 名公民的手写数字图像，用于测试手写数字识别算法。该数据集包含训练样本六万个、测试样本一万个，图像被规范化为28×28。1998年，Yan LeCun 等首次提出了LeNet-5 网络［32］，它可以使用MNIST 识别手写数字类型。

CIFAR-10 是一个小型数据集，常用在普通的识别任务中，由Alex Krizhevsky 和Vinod Nair 创建。它共有尺寸为32×32 的样本共六万个，包括训练样本五万个、测试样本一万个。该数据集分为十类：汽车、鸟、飞机、鹿、猫、马、狗、卡车、蛙和船。

MNIST 和CIFAR-10 经常被用作对抗性能评估的图像数据集，因为它们的图像画面简单、尺寸很小，这样能简化实施步骤。

4 对抗样本生成技术

本节将总结和梳理主流的对抗样本生成技术。

4.1 基于梯度优化的算法

基于梯度优化的策略是当前对抗研究工作中研究者们最常用的一种攻击手段。这种策略的实行本质上就是依据模型的损失函数变化以达到干扰原始纯净输入样本的目的，进而使得模型对修改过后输入的样本进行错误的分类，或者将模型的分类输入到特定的错误目标类。这种方式实现简单，而且攻击成功率一般较高。最早提出的具有代表性的该类算法是FGSM（Fast Gradient Sign Method）算法。

快速梯度下降（FGSM）算法是Goodfellow 等［16］在2015年为ICLR 上提出的一种基于梯度的攻击方法。FGSM 方法在梯度上增加相反方向的扰动，使损失函数快速增长，最终导致模型错误分类。虽然这种方法可以快速生成对手样本，但由于攻击是一步到位的，所以计算出的扰动并不准确，导致成功率较低。为了解决这个问题，Kurakin 等［33］改进了FGSM 方法，提出了一个基础迭代方法（Basic Iterative Method，BIM），也 称 为I-FGSM（Iterative Fast Gradient Sign Method）方法。I-FGSM将单步的干扰计算过程分成几个步骤，并利用修剪操作将图像中的像素限制在一个有效的区域，从而提高攻击的成功率。

但是I-FGSM 生成的样本往往迁移性不够，因为它会过于拟合至局部的极值点。对于该问题，Dong 等［34］在I-FGSM 的基础上引入了动量的思想，提出MI-FGSM（Momentum Iterative Fast Gradient Sign Method）。该方法不仅稳定了梯度更新的方向，还克服了局部极值点这个问题。Xie 等［35］解决了I-FGSM 过度拟合的问题，他们使用图像变换手段，并将新方法称为多样性攻击方法（Diverse Inputs Iterative Fast Gradient Sign Method，DI2-FGSM）。由于MI-FGSM 与DI2-FGSM 都可获得具有较优迁移性的对抗样本，实际应用中可以将这两种方法用到黑盒情况中。

研究人员们一致认为现阶段最有效的基于梯度的办法是投影梯度下降方法（Project Gradient Descent，PGD）［36］。PGD 本质上也是I-FGSM 的增强版，它增加了迭代次数，增加了一定程度的随机性，显著提高了攻击效果。然而，PGD 方法还可以改进。例如，Sriramanan 等［37］通过增加损失函数松弛项来寻找更合适的梯度方向，提高了攻击效率。

4.2 基于直接优化的算法

基于直接优化的策略是目前对抗研究工作中另外一种主流思想。对抗样本生成算法实质上就是在干扰中寻求所需的样本，从而产生有效的算法。成为对抗样本，不仅要能欺骗模型，还要能欺骗人眼，所以对抗样本中的干扰越小越好。基于这种解释，研究者们将对抗样本的构造过程看作是一个最优问题的解决，通过寻优达到目的。

在2014年的ICLR会议上，Szegedy等首先提出了基于Box-constrained L-BFGS 算法［13］，这也是对抗研究工作的历史上第一次提出通过直接优化求解来达到对抗攻击目的的算法。该方法的思想中，研究者将对抗样本的产生看作凸优化问题来处理。Box-constrained L-BFGS 算法中，攻击者在现有的参数条件下确定超参数，然后用线性搜索方法寻找出最优的干扰，从而获得样本。

此外，最具代表性的基于直接优化的方法是Carlini 等所提出的C&W 算法［38］。该方法中，攻击者预先定义了众多不同的自定义目标函数，实际操作中算法会根据实验得到的反馈，从预定义的目标函数当中选择最佳的一个，从而实现对抗攻击。相对于前文提到的Box-constrained L-BFGS 算法来说，C&W 算法可以通过对目标函数中的变量进行调节来增加优化结果的空间，提高攻击的成功率。C&W 本质上还是基于Box-constrained L-BFGS 算法的改进，它可以产生效果更佳的针对蒸馏防御网络［39］的攻击。防御性蒸馏是把从复杂模型中学习到的“知识”进行转化，并将其化为具有简单结构的神经网络，从而防止攻击者与神经网络直接接触，实现对抗防御。C&W 方法通过对目标函数直接优化，生成了相对较小的干扰，但它同时也存在优化时间长、寻找合适超参数会耗费大量时间的问题。实验证明，C&W 方法的性能比L-BFGS、FGSM 更好。但是，由于C&W 存在寻找合适超参数会耗费大量时间的问题，它的攻击效率相对较低。

4.3 基于决策边界的算法

考虑从决策边界入手以解决对抗样本的生成问题是近几年较新颖的一种策略。基于这类思想的方法可以通过逐渐缩小样本与模型决策的边界之间的距离，从而实现对样本的错误分类［40］。

Moosavi-Dezfooli 等首先提出了一种用于产生单一输入图像对抗干扰的DeepFool 攻击算法［41］，它也是基于决策边界的策略中最为经典的一个对抗算法。在这个算法中，研究者们提供了样本鲁棒性、模型鲁棒性的首个定义，并允许精确计算分类任务中大型数据集上的扰动，继而可靠地量化分类器的鲁棒性。DeepFool 用一张干净的图像进行初始化，它被定义为在决策边界内。每次迭代时，用一个小的矢量扰动图像，计算出的小矢量使生成的图像更接近于边界。一旦图像的标签因受到干扰影响而根据网络的初始决策边界进行了修改，就对历次扰动求和，计算最终扰动。

以往的对抗样本生成算法大多都是针对单一的输入样本，Moosavi-Dezfooli 等在研究中发现，在深度学习模型中，存在着不依赖于输入的通用对抗干扰，该干扰依赖于目标模型的结构和数据集的特征。将具有通用性的对抗干扰添加到输入样本上后，我们就可以得到对抗样本。基于上述解释，Moosavi-Dezfooli等提出了UAPs（Universarial Adversarial Perturbations）攻击算法［22］。在该算法中，攻击者先随机采样一小部分数据，再在这些数据上进行迭代计算，多次迭代后采样数据的类别标签会变为决策边界另一侧的类别，对抗的目的由此达成。至此，具有通用性的对抗干扰就产生了。

4.4 基于迁移的算法

当适用于A 模型的对抗样本也能高效地作用于B 模型时，我们称该样本具有良好的迁移性。若反过来考量，我们从迁移性出发，设想某个对抗样本具有迁移性，那它是否能在类似原受攻击模型的其他模型上表现良好呢。根据这一思想［42］，研究者们开始探索基于迁移的对抗算法。

基于迁移的这一类算法，其过程就是，攻击者将使用现有的对抗算法对某个网络模型的替身发起攻击。替身与原模型在网络结构等方面一般具有一定的相似度，针对替身生成的样本具有迁移性，它们可以欺骗原模型。所以，在迁移攻击中，如何获得可替换的模型以及如何增强对抗样本的可迁移性是研究工作的两个重要的问题。

通过对目标模型的查询，得到类似的训练数据，再通过训练来产生替代模型，是获得替代模型的重要途径。在获得替代模型时，如何减少查询所产生的代价，减少因训练数据集合过少而导致的替代模型过拟合问题，是解决这一问题的两大关键。Papernot 等［43］利用reservior sampling 算法［44］确保了以同样的概率增加每一采样数据。试验数据证明，reservior sampling能够有效地减少查询检索过程中的开销。Li等［45］采用自主学习的办法，对具有最大信息量的样本进行查询，从而进一步减少了查询费用，改善了模型的训练效果。Xie 等［35］在数据强化思想的影响下，利用裁剪、旋转等方法对数据进行处理，使数据集得到迅速、高效的扩展，克服了替代模型容易出现过拟合现象这一问题。Dong 等［46］提出了转移不变攻击方法（translation-in-variant attack），该方法只需采用平移运算，训练数据由原图像和平移转换得到的样本组合而成。Wu等［47］提出了一种基于注意力权重的特征映射的正则化方法，改进了替代模型的过拟合问题。对抗样本迁移性的好坏取决于它能适用于多少模型。Li等［48］发现，在整合的多个替身模型中，没有必要存在很大的差异。仅通过使用现有的可替换模型，就可以产生多种不同的结果，将他们整合到一起就可以得到一个表现不错的模型，这一举措大大提高了模拟的迁移能力，同时还减少了模型的训练消耗。Che 等［49］研究了一种新的办法SMBEA（Serial-Mini-Batch-Ensemble-Attack），该方法将现有的可替换模型划分为若干组，采用3 种整合策略，减少了在某一类模型上的过分拟合，从而改善迁移能力。

4.5 其他攻击方法

因显著图（saliency maps）概念［50］的提出，不少学者专注于此并提出了新的对抗样本生成方法。Papernot 等［51］就是其中之一，他们提出了基于雅可比矩阵的显著图攻击方法（Jacobian-based Saliency Map Attack，JSMA）。利用梯度信息，他们首先找到出了对分类结果影响最大的像素位置，然后在这个位置上加入干扰，得到样本。

与FGSM 利用模型输出的损失函数梯度信息不同，JSMA主要利用模型的输出类别概率信息，来反向传播求得对应梯度信息。作者将其称为前向梯度。通过前向梯度，我们可以知道每个像素点对模型分类的结果的影响程度，进而利用前向梯度信息来更新干净样本，生成的对抗样本就能被分类成为指定的类别。引入了显著图的概念后，该方法就能细化分类结果受到不同输入特征的影响程度。实验过程中发现，很难找到一个满足要求的单一特征，所以另一种替代方案被提出：利用显著图来寻找对分类器输出影响最大的一对输入特征，也即每次计算都会得到两个特征。我们也可以理解为，在构建的显著图里，找两个绝对值最大的点的像素位置，一次迭代只更新这两个像素。

对抗攻击在特定场景下也存在一些极端情况，其中一种就是仅更改单个像素来欺骗分类器。One Pixel Attack 方法由Su 等［52］提出，并声称以平均70.97%的欺骗率在三个常见深度神经网络模型上成功实现无目标攻击，其中，每幅图像仅改变一个像素。这也是从高维空间以一个全新的角度对图像几何特征和深度神经网络模型进行观察。

该算法的主要出发点有两点：

1）分析自然图像邻域。在以前的一些工作中，大多是通过限制摄动矢量的长度以此对自然图像邻域进行几何分析。例如，在一般扰动的情况下，对每个像素添加较小的值，以此在自然图像周围的球形区域内搜索它与图像的关系。另外，研究DNN 输入空间的高维特征的另一种方法就是将几个像素的扰动看作是使用非常低维的切片来减小输入空间。

2）将评估指标可视化。我们无法够保证过往的算法造成的干扰一定不会被发现，最直接的方法就是限制我们要改变的像素数量，越少，被发现的可能性就越低。实际生活中，这样的办法确实行之有效。

实验开始时，创建一个矢量集，里面包含每张图像的横、纵坐标以及每个候选像素的RGB 值，然后通过随机变换各元素来生成子代。下轮迭代中，子代与父代进行竞争。这个过程中，将使用网络的概率标签作为评价标准。数轮竞争操作结束后，剩下的子代被用来修改初始图像中的像素。整个过程采用的就是差分进化，这样产生的对抗样本，在没有任何关于深度神经网络模型参数值或其梯度信息的情况下都能成功地欺骗深度神经网络模型。

相较其他算法，单像素攻击（One Pixel Attack）具有以下优点：

1）有效性。该算法成功地对三种常见的深度神经网络模型进行了非针对性攻击，成功率分别为68.71%、72.85%和63.53%。相比之下，ImageNet 数据集上BVLCAlexNet模型只有41.22%的效果。

2）半黑盒攻击。该算法只需要返回黑盒类标签的概率，而不需要知道深度神经网络的内部参数。

3）灵活性。单像素攻击（One Pixel Attack）可以攻击那些不可微或梯度难以计算的模型。

5 对抗技术的应用

大量的研究显示，对抗技术已经对深度学习系统的安全性构成了极大的威胁，这些应用系统可能会被对抗技术所误导进而产生安全问题。

5.1 人脸识别应用

现实世界中人脸识别应用越来越常见，各种身份验证的场合都能看到它的身影。对于人脸识别来说，对抗攻击就是在物理世界真实人脸上添加对抗扰动。常见的方法有：给人脸贴上贴纸（stickers），戴一副对抗眼镜（adversarial glasses），戴一顶帽子等。此外，还需要考虑到各种物理环境条件，例如：贴纸颜色差异（the chromatic aberration of sticker）、人脸面部形态变化（face variations）、环境条件变化（environmental condition variations）例如光照条件、相机角度等［53］。

Sharif 等［54］基于Kurakin 等［33］的研究成果提出了给人脸贴上贴纸的方式，对实际应用中的人脸识别系统进行了对抗攻击。由于针对人脸识别的攻击存在着不能直接改变输入样本的像素这一局限性，他们先利用攻击算法产生对抗干扰，然后在贴纸上打印出干扰图像，再贴在眼镜上，从而有效地实现攻击。

5.2 无人驾驶应用

基于深度学习技术的无人驾驶技术近几年越来越常见，但随着对抗研究的不断发展，无人驾驶的安全问题也日益突出。Lu［55］等将交通警告牌“STOP”作为研究对象，实现了基于图像分类的对抗样本生成算法并成功误导目标检测器。Eykholt等［56］设计实验，提出RP2（Robust Physical Perturbations）算法，并实现了针对无人驾驶系统中的交通标志识别能力的攻击，显示了对抗技术对其安全性的影响。

对抗研究中，大多数算法产生的干扰会因为打印［57］、相机等的二次传输产生误差，继而不能精准地攻击部署在现实应用场景中的系统。研究者们需充分考虑了现实情况下复杂的物理环境中的各种影响因素，比如自然环境的光照、系统的视角、识别的距离等条件。

6 对抗的防御

抵御对抗样本的干扰分为检测与防御两个类别，检测技术包括特征学习、分布统计、输入解离，防御技术则包括对抗训练、知识迁移、噪声抑制［58］。

早期的检测技术大多是研究分析对抗样本与初始输入样本之间的差异，后来研究者们意识到，检测必须与防御结合，只检不防无法抵御攻击，于是研究者们尝试把一个特定的或部分特征输入到检测器中来检测对抗样本。防御技术发展历程中，最早提出的办法是对抗训练，但对抗训练会因为过于依赖训练集而出现过拟合问题。近年来，噪声抑制技术成为了众多研究者探索的方向，但是噪声的衰减主要依靠梯度掩盖，该难题目前还没有得到有效的解决。

7 结语

随着人工智能的发展，深度学习的探索也会不断深入。未来将会出现大量更有效更快速的生成对抗样本的方法。对抗技术的深入研究不但能够促进深度学习模型的可解释性发展，还能够促进相关领域的人工智能安全性研究。当前，面向图像识别的对抗技术已经发展到了一个较为成熟的阶段。本文基于图像识别领域，从对抗技术的相关知识、主流的对抗算法、对抗技术现实应用以及对抗防御现状几个方面，整理总结并分析了对抗技术研究当前的状况，阐述了对抗样本的存在给深度学习模型带来的安全性挑战和威胁。

未来的面向深度学习的图像对抗研究工作重点主要在以下两个方面。一方面是研究更适用于现实场景的对抗技术，以达到更精确的攻击。现实环境的影响因素往往复杂繁多，如何使生成的对抗图像受到的影响最小、对抗干扰的畸变幅度最小值得研究者们提高关注。另一方面，探索一个具备较强泛化能力的通用对抗样本算法仍然很有必要。随着图像研究的不断深入和对深度神经网络原理的进一步探索，我们相信未来生成对抗样本的方法会有更好的发展。