面向隱私保護的稀疏對抗攻擊樣本生成方法

王 濤,馬 川,陳淑平,尤殿龍

(1.河北科技師范學院 工商管理學院,河北 秦皇島 066004;2.燕山大學 工程訓練中心,河北 秦皇島 066004;3.燕山大學 圖書館,河北 秦皇島 066004;4.燕山大學 信息科學與工程學院,河北 秦皇島 066004)

0 引言

人工智能技術日益在計算機視覺領域中變得不可替代?；谏疃壬窠浘W絡(Deep Neural Network,DNN),智能設備通過對圖像的智能分析和處理,可支持目標檢測、目標識別、流量統計、事件監測、監控安防、AI 零售等應用場景[1-2],甚至可以進行視覺推理和場景理解[3-5]。人工智能在計算機視覺領域的應用正在重塑人們的生活、工作和思維的方式。但另一方面,圖像之中包含豐富的語義知識,可以透露很多本身內容之外的隱含信息,一旦被惡意使用將會對個人隱私構成巨大威脅。例如,利用深度學習模型可以從個人圖像中挖掘出職業[6]、健康狀況[7]、性取向[8]等敏感信息。結合大數據分析,甚至能夠得到用戶關系網[9]。在無死角監控和社交媒體共享的時代,如何保護個人隱私成為亟待解決的問題。

目前,對抗DNN 模型檢測的研究中,基于模糊處理的方法、數據中毒攻擊和對抗樣本攻擊被廣泛研究。Wilber 等人[10]使用模糊、像素化、變暗和遮擋等模糊技術對抗人臉測試。但基于模糊處理的方法要么對原圖像破壞過多,要么對DNN 識別系統無效。Cherepanova 等人[11]開發了LowKey系統,可以使用戶在社交媒體上公開圖像之前進行預處理(對圖像投毒),以便第三方DNN 模型無法將其用于人臉識別目的。Shan 等人[12]提出了Fawkes,幫助人們在公開圖像之前對其圖像進行投毒以抵御DNN 識別模型。當這些圖像用于訓練識別模型時,會導致用戶的正常圖像被錯誤識別。這種方案的前提是能夠向數據集中注入投毒圖像,如果目標模型已經訓練完畢或在干凈的數據集上進行訓練,則上述方法將失效。對抗樣本攻擊的方法是通過對圖像施以輕微擾動來欺騙DNN 模型,致其錯誤分類[13]。Yang 等人[14]提出了一種利用圖像加密技術生成對抗性身份掩碼的方法,并通過在人臉圖像上覆蓋掩碼來隱藏原始身份。該類方法的優勢是無論DNN 模型的結構如何,只需修改自己的圖像數據即可達到目的,因此更適合在真實場景中保護用戶隱私。

DNN 模型檢測的技術核心是基于深度學習的圖像分類。為了在監控和社交平臺這些真實場景中保護個人隱私,可以在圖像中添加少量擾動來對抗目標模型,致其錯誤分類,從而無法完成后續一系列未經授權的任務。如暴露在視頻監控下的人和物品可以貼擾動貼、發布到社交平臺的圖像可以在上傳時修改少量像素值,以此方式來對抗DNN 模型。

為了提高攻擊方法在真實場景中的實用性,降低對圖像的破壞性,本文使用稀疏對抗攻擊方法,即通過擾動少量像素(擾動像素即修改像素)進行對抗攻擊,以達到保護個人隱私的目的。

1 相關研究

Szegedy 等人[13]首次提出了對抗攻擊方法,發現微小擾動即可使DNN 錯誤分類。Goodfellow 等人[15]提出FGSM 算法,利用梯度來生成擾動,提供了一種簡單而快速地生成對抗樣本的方法。隨后,Kurakin 等人[16]對FGSM 算法進行拓展,提出了BIM 算法,用于物理世界中的對抗攻擊。Moosavi-Dezfooli 等人[17]提出了Deepfool 方法,基于超平面分類求解最小擾動,同等攻擊效果下得到了比FGSM 方法更少的擾動,并對分類器的魯棒性進行了量化。Rozsa 等人[18]提出了FGVM 算法,加強了對抗攻擊的泛化能力,可以對抗多種深度神經網絡。以上方法采用的是白盒攻擊,對目標模型的梯度、結構和參數等信息依賴程度高。此外,由于利用了L2或者L∞范數限制擾動幅度來生成最小擾動,微小的擾動雖然肉眼不可見,但通常需擾動整張圖像中的每一個像素,這就使得該類方法難以應用于真實場景。

Papernot 等人[19]在L0范數約束下進行定長擾動,提出了JSMA 算法,引入顯著圖概念,達到了只需修改少量的輸入特征即可使目標模型誤分類的目的。Narodytska 等人[20]利用一種基于局部搜索的算法來構造梯度的數值近似用以擾動圖像,只需修改很少的像素即可生成對抗樣本,且是一種黑盒攻擊方法。Su 等人[21]提出了一種One-pixel攻擊方法,利用差分進化算法,僅需獲取目標模型的輸出標簽的概率信息,不需要計算梯度即可生成對抗樣本(只是效率較低),是一種黑盒的攻擊方法。Carlini 和Wagner[22]分別在L0、L2和L∞范數約束下引入三種攻擊算法,在防御蒸餾和非蒸餾的網絡上都獲得了良好的效果,證明了算法的通用性。Modas 等人[23]提出了一種稀疏對抗攻擊方法SparseFool,可以快速地計算稀疏擾動,并能有效地擴展到高維數據。但較大的稀疏度會導致這些少量的像素被修改的過于顯著而容易被察覺(可感知)。為了提高稀疏對抗攻擊方法的不可感知性,Croce 等人[24]提出了CornerSearch 算法,通過添加額外的約束,使像素僅在特定區域擾動,并避免沿軸對齊邊緣擾動,從而達到稀疏擾動但肉眼仍然不易感知的目的。近期,Croce 等人[25]又提出了一種基于隨機搜索的多功能稀疏對抗攻擊框架Sparse-RS。

這些研究為本文帶來了啟發和靈感。其中,稀疏對抗攻擊的研究中,有的限制擾動像素的數量但不限制擾動的幅度,有的限制了像素擾動的幅度但不限制擾動的位置,有的限制在特定區域內擾動像素但又沒有兼顧擾動的幅度和數量。擾動過多的像素很難在真實場景中實施,不限制像素擾動的位置和幅度則對圖像破壞過大且易被感知。為了能夠同時滿足這些目標,最有效的方法就是把對抗樣本生成問題轉化為多目標優化問題,同時限制擾動像素的數量、幅度和位置。擾動像素的數量越少、幅度越小、位置越偏,則效果越好。下面闡述本文提出的稀疏對抗攻擊樣本的生成算法。

2 稀疏對抗攻擊樣本生成算法

本文在保證擾動盡可能小的前提下,遍歷正確類別之外的其他類別,并使其他類別的置信度盡可能大,據此生成對抗樣本。下面給出形式化的優化目標。

2.1 優化目標

一張圖像可用一個n維向量X=(x1,x2,…,xn)形式化地表示,其中分量xi表示圖像中的一個像素。若圖像是彩色的,xi是一個五元組,即xi=(mi,ni,Ri,Gi,Bi),其中mi,ni為像素xi的坐標,Ri,Gi,Bi表示像素xi的三個顏色分量。若圖像是灰度圖,則xi為一個三元組,即xi=(mi,ni,Gai),其中Gai為灰度。后文只針對五元組的彩色圖像進行闡述,三元組的灰度圖的擾動方法與之同理,故不再贅述。

令f是DNN 模型的分類器,f接收輸入向量X并計算圖像X屬于各類別的分類置信度(即概率)并取結果中最大的作為分類結果,比如計算后類別t的分類置信度最大,則f將X分類為類別t。令ft(X)表示圖像X屬于類別t的分類置信度。修改圖像X中的某些像素,對X進行擾動,得到擾動向量e(X)=(e1,e2,…,en)。其中ei的結構與xi完全相同,即ei=(mi,ni,Ri,Gi,Bi),其中mi,ni為像素ei的坐標,Ri,Gi,Bi表示像素ei的三個顏色分量的擾動量,若Ri,Gi,Bi的值都是0 則說明該像素沒有被擾動。令符號adv表示圖像未被擾動時由f分類得到的類別。添加擾動后,希望分類器f產生分類錯誤,這就需要f將圖像X分類為其原類別adv的置信度盡可能的小,而分類為其他類別的置信度應盡可能的大。同時,為了達到肉眼不易感知的目的,需要保證擾動e(X)盡可能的小。于是,優化目標可以形式化地表述為求下面問題的最優解e(X)?:

其中,C為類別總數,adv為圖像X未被擾動時由f分類得到的類別。本文算法屬于稀疏對抗攻擊算法,只修改少量像素進行擾動,由L0范數約束。即‖e(X)‖0≤k,其中k為擾動像素的個數,e(X)為稀疏向量,只有被擾動的像素才有RGB 擾動值,其他像素的RGB 擾動值都為0。為了便于表述,將e(X)稱為擾動向量,而將X+e(X)稱為擾動圖像向量,表示原圖像X被擾動之后的圖像。其值為X和e(X)中對應位置上的顏色分量相加之后得到的n維向量,簡記為E。

2.2 擾動向量構建

添加稀疏擾動后,為了盡可能地降低被肉眼識別出來的概率,需要限制擾動像素的幅度和擾動像素的位置。

2.2.1 限制擾動像素的幅度

限制擾動像素的幅度即限制擾動后的像素與原像素周圍的像素之間的色差。色差過大會增加被肉眼識別的概率,但色差過小又會降低對抗成功率。因此,將像素xi及與xi呈直線相鄰的2 個像素作為一組來計算標準差(即分別將水平、豎直以及兩條斜對角線這四條線上的三個像素作為一組計算顏色標準差,得到四組結果),記為σ1i、σ2i、、,如圖1(a)所示。選取其中最小的值,記為σi=min(σ1i,σ2i,σ3i,σ4i) 。顏色標準差反映色差的離散程度,在像素xi上加減這個σi,就得到像素xi的兩個擾動顏色值,即xi±σi,如圖1(b)和(c)所示。對于這兩個擾動顏色值,后續會分別計算其擾動效果,并將擾動效果更好的保留,作為該像素的擾動顏色。像素xi處在圖像的邊緣時,對于其缺失的緊鄰像素,以邊緣像素填充。為了便于表述,將一張圖像中所有像素與其周圍像素的顏色標準差向量記為σ,即σ=(σ1,σ2,…,σn)。

圖1 擾動顏色的生成Fig.1 Generation of perturbation color

先討論單像素攻擊,即k=1 的情況。此時擾動向量e(X)中只有一個像素非空,即e(X)=(0,0,…,σi,…,0)。對于單個像素xi,因為有兩種擾動方式,即xi±σi,所以可得到兩個單像素擾動圖像向量

圖2 單像素擾動圖像向量空間的生成Fig.2 Generation of one-pixel perturbation image vector spaces

利用分類器f對中的擾動圖像分類,計算各類別的置信度和分類結果。若發現分類結果不是其原來類別adv,則表示單像素攻擊成功。一般來說,單像素攻擊很難成功,但可以利用單像素擾動的分類置信度,進行多像素攻擊。

對于每一個類別t(t∈{1,2,…,C},t≠adv),計算Ei+和Ei-的分類置信度ft(Ei+) 和ft(Ei-),并取其中分類置信度更大的擾動圖像用于后續的多像素攻擊,為了便于表述,將篩選后的結果(Ei+或Ei-)簡記為Ei±,即

從式(3)中可知,Ei±指代的是導致分類器f分類為t的置信度最高的那個擾動xi像素的擾動圖像(Ei+或Ei-)。分別針對每一分類,按置信度降序排列。記圖像Ei±分類為t的置信度的排序序號為fsti,若fstift(Ej±) 。于是得到按分類置信度降序的排序矩陣Fs,

對于分類t(t=1,2,…,C,t≠adv),取Fs中第t列前N個排序序號所對應的擾動圖像,即可得到最可能將分類結果擾動成t的N個單像素擾動圖像。

2.2.2 限制擾動像素的位置

將擾動像素到圖像中心點的歐式距離作為擾動像素偏遠程度的度量,即dt()=‖(mi,ni)-(m′i,n′i)‖2,其中(mi,ni)為圖像Ei±中像素xi的坐標,(m′i,n′i)為圖像中心點的坐標。

本文的目標是在保證攻擊有效的前提下,搜索離中心區域盡可能遠的擾動像素,即擾動像素的位置越偏遠則效果越好。因此,針對每一類別t(t≠adv),選取Fs的第t列中排序序號前N個所對應的擾動圖像,再依據其dt(Ei±) 降序排序,排序后的序號記為dsti,若dstidt(Ej±) 。于是對于每一個類別t(t≠adv),都可以得到一個排序向量Dts=(ds1t,dst2,…,),該向量首先按分類為t的置信度降序,再按擾動像素離中心點的距離降序排列。所有類別t(t≠adv)的排序向量Dts就構成了新的排序矩陣Ds。這樣,就得到了按照dt(E±i) 排序后的N個單像素擾動圖像,這些圖像中擾動像素的位置各不相同,但其離中心點的距離比其他未被選取的擾動像素更遠。接下來利用這些擾動像素構建多像素擾動圖像。

2.2.3 利用抽樣方案生成對抗攻擊樣本

隨機抽取k個像素進行擾動,來生成一個針對類別t(t≠adv)的目標攻擊樣本,即‖e(X)‖0=k,k≥2。

為了同時保證擾動成功率和擾動效果(不易被肉眼識別),排序向量Dts中更靠前的擾動像素,被抽到的概率應該更大。在擾動成功率不明顯下降的基礎上進行微調,盡量調高排序靠前的樣本的抽樣率,得到抽樣公式

根據式(4),從{1,2,…,N}中隨機抽樣(s1,s2,…,sk),構造圖像X的k個擾動像素。當i=1 時,概率為3/N,當i=N時,概率為3/N3。這個分布保證能更大概率地抽取位置更遠、顏色修改對決策邊界影響更大的擾動像素。將針對類別t(t≠adv)進行目標攻擊的,具有k個擾動像素的擾動圖像簡記為。這樣,k個單像素的擾動效果通過疊加在一起,如圖3 所示。

圖3 k 像素擾動圖像的生成Fig.3 Generationng of k-pixel perturbation image

隨機進行Niter次抽樣,可以得到針對類別t(t≠adv)進行目標攻擊的Niter個k像素擾動圖像向量組成的向量空間,其中{s1i,s2i,…,sik}t表示第i次抽樣得到的k個像素的序號信息。利用分類器f對中的k像素擾動圖像分類,計算各類別的置信度和分類結果。若存在分類結果為t(不再分類為其原分類adv)的擾動圖像,則表示攻擊成功。遍歷除adv之外的所有種類,調整k的值,搜索擾動圖像,生成多像素對抗樣本。

與迭代方案[26]相比,抽樣方案的最大優勢在于,所有這些圖像都可以并行地輸入到分類器f中進行分類,這比迭代方案中的順序處理方式要快得多。而且,抽樣方案不像迭代方案一樣需依賴先前的步驟,因此不會陷入某些次優解。另外,相比進化算法等復雜算法,抽樣方案采用的算法更簡單,具有更好的性能。本文方法不依賴目標DNN 模型的結構、梯度和參數等信息,是一種黑盒對抗攻擊方法。

2.3 擾動算法

下面給出生成對抗樣本的具體步驟和算法。

1) 生成像素顏色標準差向量σ。

為圖像X中的每個像素計算其與周圍像素之間的標準差,得到顏色標準差向量σ。利用σ可以限制擾動像素的色差,達到擾動圖像后不易被覺察的目的。

對圖像X中一個像素xi進行擾動(xi±σi),會得到2 個單像素擾動圖像和,因此,向量空間中共有2n個單像素擾動圖像。用分類器f對中的擾動圖像進行分類,若分類結果不是其原分類adv,則找到對抗樣本,算法結束。否則,記錄n個擾動圖像的分類置信度(對于每一個類別t(t≠adv),圖像和中只留下分類置信度高的一個)。

3) 依據優化目標排序。

依據式(1)中的優化目標,分類器f將擾動圖像分類為其他類別t(t≠adv)的置信度應盡可能的大。對于每一個類別,根據步驟(2)中得到的分類置信度降序排序,得到排序矩陣Fs。遍歷類別1 到C(t≠adv),按像素離中心點的距離降序,為每一個類別t(t≠adv)計算出排序向量Dts。

希望生成的對抗樣本中擾動像素個數應盡可能地少,因此擾動像素個數k從2 開始,遍歷類別1 到C(t≠adv),根據式(4)的概率分布對Dts進行Niter次抽樣,得到k像素擾動圖像向量組成的向量空間,并在其中搜索對抗樣本。若無法生成對抗樣本,則逐漸增加k的值直到成功生成對抗樣本或k到達限定的最大擾動像素個數kmax為止。

根據以上步驟,即可為圖像生成對抗樣本,對抗DNN,其具體算法如算法1 所示。

在算法1 中,函數GenSigma(X)會生成顏色標準差向量σ,函數GenOnePixelPerturb(X,σ)會根據σ修改圖像X生成單像素擾動圖像向量空間,函數GenNPixelsPerturb(X,t,k,Niter)會針對每一個分類類別t(t≠adv)生成k像素擾動圖像向量空間。

綜上所述,首先進行單像素攻擊,找出哪些像素更容易攻擊成功,并依據優化目標對這些像素排序;然后通過抽樣將k(2≤k≤kmax)個單像素組合在一起進行多像素攻擊,生成對抗樣本。

3 實驗與評價

實驗基于經典的ResNet 網絡,使用手寫數字數據集MNIST 和普適物體數據集CIFAR-10。將最大擾動像素個數kmax設置為30,隨機抽樣次數Niter設置為1 000,N設置為100。

實驗選取了與本文方法最相關的5 種稀疏對抗攻擊方法進行對比分析。這5 種方法分別是One-Pixel[21]、CW[22]、SparseFool[23]、JSMA[19]及CornerSearch[24]。對比了對抗成功率、擾動幅度(色差)的均值和中位數、擾動位置的均值和中位數、對抗樣本效果等指標,并根據實驗結果分析了目標DNN 模型的分類空間特征。

3.1 對抗成功率和擾動數對比

每種方法進行100 次實驗,統計結果如表1所示。其中CornerSearch 選取的是與本文最相關的σ-map 模式的結果。

表1 對抗成功率及擾動像素數量對比Tab.1 Comparison of success rate and number of perturbation pixels

由表1 可知,在對抗成功率上,本文方法在MNIST 數據集上略低于SparseFool 和JSMA 方法,在CIFAR-10 數據集上則與其他方法相當或略高。這是由于MNIST 數據集中的圖像分辨率為28×28,像素較少導致了算法的優化能力無法有效發揮。從擾動均值和擾動中位數上可以看出,本文的方法擾動像素的數量少于CW 和JSMA,與SparseFool 相當,比 One-Pixel 和 CornerSearch略多。

3.2 對抗樣本效果對比

不失一般性,隨機選取了1 張圖片(ID:70),利用各方法對其擾動,每種方法重復實驗100 次,得到100 張擾動圖像,然后隨機抽取6 張展示在圖4 中。

圖4 對抗樣本效果對比Fig.4 The effect comparison of adversarial examples

由圖4 可以看出,JSMA 和CW 方法擾動的像素數量較多,其中JSMA 擾動像素的數量達到50之多。而為了保證對抗成功,使DNN 模型錯誤分類,One-Pixel、CW、SparseFool 和JSMA 四種方法未對像素的擾動幅度進行限制,致使其擾動像素與周圍像素間產生了非常大的色差,肉眼可見,對圖像的破壞性較大。CornerSearch 方法的σ-map 模式與本文方法都對像素的修改數量和修改幅度同時進行了限制,擾動像素與周圍像素間的色差較小,視覺效果良好,其變化不易感知。本文方法平均需要擾動12 個像素(圖像共有1 024 個像素,即擾動率1%),比CornerSearch 方法略多,但由于本文方法同時對圖像的擾動位置進行了限制,所以產生的擾動像素更靠圖像邊緣,對圖像的視覺影響更小,更不易感知。相比 One-Pixel、CornerSearch 和SparseFool 方法,本文對擾動像素的位置和幅度優化效果顯著,使得擾動像素更加不易感知,能更好地實現保護圖像信息而擾動不易察覺的目的。

3.3 DNN 模型分類空間特征分析

下面給出實驗中各種方法的擾動像素的位置和RGB 顏色分量的分布,并分析目標DNN 模型的分類空間特征。

擾動像素的位置分布如圖5 所示,位置由設置了透明度的圓圈標記。顏色較深的圓圈是由于多次疊加造成的,表明在100 次實驗中該位置多次被擾動,這意味著在這些位置擾動更容易成功,說明這些位置鄰近目標DNN 模型分類空間的邊界。擾動像素到圖像中心點的歐氏距離統計結果如表2 所示。對比來看,One-Pixel 和CornerSearch方法的擾動位置集中在圖像的中心位置附近,這表明當擾動像素的數量很少時,擾動圖像中心位置附近的像素更容易攻擊成功。而 CW、SparseFool 和JSMA 方法,擾動像素比較均勻地散布在圖像各處,這在JSMA 尤為明顯。表明當擾動像素的數量越來越多時,攻擊能否成功對位置因素的依賴性越來越小,即使在邊緣區域依然可以攻擊成功。這也證明了,只要合理選擇擾動像素,是可以找到擾動像素位置和擾動像素數量之間的平衡的,即可以擾動數量不多且較偏遠的像素達到對抗攻擊的目的。本文方法旨在尋找這種平衡,兼顧了擾動像素的位置、數量和擾動幅度,在保證擾動像素的數量不多、幅度不大的情況下,盡量尋找圖像邊緣位置進行擾動。從圖表中可以看出,本文方法的位置優化效果顯著。CornerSearch方法的σ-map 模式和本文方法都對擾動幅度進行了優化,導致擾動位置比較集中(圖中有更多的位置疊加在一起)。但本文方法距離中心點的位置均值達到了10.4,表明擾動發生在圖像中更偏遠的位置上。

表2 擾動像素位置與顏色對比Tab.2 Comparison of the position and color of perturbation pixels

圖5 位置分布及對比Fig.5 The location distribution and comparison

RGB 顏色分布情況如圖6 所示。由設置了透明度的星號標記的是擾動像素原來的RGB 顏色值,由設置了透明度的圓圈標記的是對應像素擾動后的顏色值。同樣,顏色較深的標記是因為多次疊加,表明在100 次實驗中擾動像素多次被擾動成該顏色,這意味著擾動成這些顏色更容易成功,說明這些顏色值鄰近目標DNN 模型的分類空間的邊界。

從圖6 中可以看出,星號標記的區域比較集中,表明被擾動的像素在原圖中的顏色比較接近。結合圖4 可知,在顏色接近的區域擾動更容易成功,甚至只對圖像的背景區域擾動依然可以攻擊成功。用同一像素擾動前后的RGB 顏色值的歐氏距離來度量該像素的擾動幅度,得到各方法的顏色統計數據,如表2 所示。相比其他幾種方法,本文方法的顏色擾動均值和中位數更小,表明像素在擾動前后的顏色變化不大,更為接近。說明本文方法生成的對抗樣本對原圖破壞性更小,肉眼更加不易感知。

3.4 樣本的泛化性評估

為了評估本文方法生成的對抗樣本的泛化性,選取圖像分類領域的經典神經網絡ResNet18、ResNet50、IncV3 和VGG16 對樣本進行遷移測試。數據集為CIFAR-10,最大擾動像素個數kmax設置為30,隨機抽樣次數Niter設置為1 000,N設置為100。

選定一個網絡模型作為原目標系統,并利用該系統為CIFAR-10 的測試集中的10 000 張圖片生成對抗樣本。將生成的10 000 個對抗樣本輸入其他網絡(遷移目標系統)進行遷移測試,并統計對抗成功率,結果如表3 所示。

表3 對抗樣本的遷移對抗成功率對比Tab.3 Comparison of migration adversarial success rate of adversarial examples %

從表3 中可以看出,同系列網絡(Resnet18 和Resnet50)的可遷移性較好,Resnet50 生成的樣本遷移到Resnet18,依然可以達到63.51%的對抗成功率。其他網絡間遷移,也可以達到20%到60%左右的對抗成功率。這也表明,對抗樣本主要分布在分類邊界,不同網絡模型的圖像分類邊界多有重疊,因此一種網絡生成的樣本也能保持不錯的泛化性,可用于攻擊其他網絡。這也意味著,生成樣本時,在目標系統中集成多個網絡模型,找到各類模型的分類邊界的重疊區域進行擾動,將會大大提高樣本的泛化能力。

3.5 實用性驗證

真實場景中涉及個人隱私和行人檢測的網絡模型更多的是目標檢測模型,但其技術基礎依然是圖像分類。與圖像分類模型的區別在于,目標檢測模型需要預測目標實例的位置(即檢測框),并在各個檢測框中根據分類置信度執行分類任務。為了驗證本文方法的實用性,將本文算法應用于工業界廣泛使用的目標檢測系統YOLOv5上,其攻擊效果如圖7 所示。行人檢測數據集采用MS COCO train2017 的子集COCO128[27]。

圖7 原圖與對抗樣本的檢測結果對比Fig.7 Comparison of detection results between original images and adversarial examples

遍歷YOLOv5 預測的每個檢測框,利用其分類置信度對像素進行擾動,生成對抗樣本,并將樣本輸入YOLOv5 進行測試。從圖7 中可以看出,本文算法對大目標和重疊較少的目標實例攻擊效果較好,但對重疊較多的目標實例,因為存在各檢測框重疊區域內的擾動像素覆蓋問題,導致攻擊效果一般。原圖和對抗樣本的檢測平均精度均值(Mean Average Precision,mAP)和對抗樣本的平均生成時間如表4 所示。圖像擾動前后的檢測平均精度均值由0.87 下降為0.45,對抗樣本的平均生成時間為2.7 s,表明本文算法具有良好的實用性,可用于目標檢測任務。

表4 原圖與對抗樣本的平均精度均值對比Tab.4 Comparison of mean average precision between the original images and the adversarial examples

4 結論

針對真實場景中的個人隱私保護問題,本文提出了一種稀疏對抗攻擊樣本的生成方法,對抗DNN 模型,致其錯誤分類從而無法完成后續未授權任務。本文在限制擾動像素數量的同時,對擾動幅度和擾動位置等多個目標進行優化,并采用抽樣方案簡捷高效地生成對抗樣本。實驗結果表明,在擾動率限制在1%以內的情況下,顯著優化了擾動像素的幅度以及位置,對原圖像破壞性更小,擾動更加不易感知。通過遷移測試和算法在目標檢測任務的應用,驗證了本文算法的泛化能力和實用性。