基于注意力机制的对抗样本生成算法

赵彬粟 李灵芳 罗明星

摘要：近年来对抗性攻击和对抗性防御的研究受到了广泛的关注，并有了大量的应用． 由于对样本的细小擾动可以改变识别效果，神经网络因而缺少鲁棒性． 基于注意力机制的投影梯度算法，研究对抗样本的攻击方法． 采用基于梯度加权类激活映射图寻找特殊区域，并添加噪声扰动，实现对抗性攻击． 使用ＭＮＩＳＴ、ＣＩＦＡＲ-１０ 和ＩｍａｇｅＮｅｔ 数据集，以ＶＧＧ１９、ＶＧＧ１６、Ｒｅｓｎｅｔ５０ 和Ｒｅｓｎｅｔ１８、ｉｎｃｅｐｔｉｏｎ＿ｖ３ 和Ｄｅｎｓｅｎｅｔ 作为目标模型． 针对ｍｉｎｉ ＩｍａｇｅＮｅｔ 数据集的攻击成功率达到９６． ３％ ，比ＦＧＳＭ 攻击算法提高了２３． ４％ 的成功率，并减少干扰区域，不容易被肉眼察觉，具有更好的攻击效果．

关键词：对抗样本；注意力机制；深度神经网络；对抗攻击

中图分类号：ＴＰ３ 文献标志码：Ａ 文章编号：１００１-８３９５（２０２３）０２-０２７５-１０

ｄｏｉ：１０． ３９６９ ／ ｊ． ｉｓｓｎ． １００１-８３９５． ２０２３． ０２． ０１７