LFO:分层特征遮挡技术,用于可迁移的针对性对抗攻击
《Expert Systems with Applications》:LFO: Layer-wise Feature Occlusion for Transferable Targeted Adversarial Attacks
【字体:
大
中
小
】
时间:2026年02月17日
来源:Expert Systems with Applications 7.5
编辑推荐:
提出基于中间层特征干扰和自适应步长优化的目标攻击方法LFO,通过Occlusion-aware Feature Dynamic Fusion模块抑制部分特征并动态融合,结合AI-FGSM策略自适应调整步长,显著提升跨模型攻击迁移能力,在ImageNet兼容数据集上攻击成功率较SOTA方法提高4.5%。
韩少杰|韩学强|赵鹏宇|张世辉
中国河北省秦皇岛市燕山大学软件学院人工智能学院
摘要
由于对抗性示例的出现,深度神经网络(DNN)表现出极大的脆弱性和不确定性。一个特别具有挑战性的问题是构建高度可迁移的针对性攻击。针对性攻击可以误导目标模型输出指定的类别,从而造成更大的伤害和破坏。尽管已经提出了一些方法来提高迁移性,但仍然有一些方面被忽视了,例如对中间层特征的有效干扰,这限制了迁移性。在本文中,我们构建了一种高度可迁移的针对性对抗性攻击方法,称为逐层特征遮挡(LFO)。首先,由于中间层特征对模型的分类结果有间接影响,我们创新性地设计了一个具有遮挡感知的功能动态融合(OFDF)模块,通过遮挡和融合多源特征来提高迁移性。据我们所知,OFDF模块首次在针对性攻击领域引入了“遮挡”的概念,以增强对抗性示例的攻击效果。此外,我们提出了自适应迭代FGSM(AI-FGSM)策略来动态更新步长。与以往工作的固定步长不同,该策略通过结合累积动量和随机扰动机制来动态更新步长,进一步提高了跨模型迁移性,同时保持了计算简单性。此外,AI-FGSM作为一种可插拔设计,能够与现有的对抗性攻击框架无缝集成,从而在不修改架构的情况下持续提高基线性能。在ImageNet-Compatible和CIFAR-10数据集上的广泛实验证明了所提出方法的优越性。例如,与最先进的方法相比,当从RN-50模型转移到ImageNet-Compatible数据集上的Inc-v3模型时,攻击成功率提高了4.5%。
引言
随着深度学习在多个领域的显著进展,如图像生成(Liu等人,2025年)、实例分割(Xu、Cao、Luo和Mu,2025年)以及工程应用(Ahmed、Gamal、Ismail、El-Din等人,2024年;Khafaga、Alhussan、El-kenawy、Ibrahim、El-Khalik、El-Mashad、Abdelhamid,2022a;Khafaga、Alhussan、El-kenawy、Takieldeen、Hassan、Hegazy、Eid、Ibrahim、Abdelhamid,2022b;Khodadadi、Abualigah、El-Kenawy、Snasel和Mirjalili,2022年;Salamai、El-kenawy和Abdelhameed,2021年),人工智能系统在这些领域的性能逐渐接近或超过了人类水平。然而,深度学习模型在区分对抗性示例时暴露出了明显的脆弱性和不稳定性(Goodfellow、Shlens和Szegoey,2015年;Kurakin、Goodfellow和Bengio,2018年;Szegoey等人,2014年)。通过对原始示例进行微小扰动,对抗性示例可以使深度学习模型做出错误的预测或判断。这一现象的揭示反映了深度学习模型在理解和推理方面的固有缺陷,从而引发了关于模型安全性和鲁棒性的重要研究。生成对抗性示例并利用这些示例来误导模型的过程称为对抗性攻击。
根据攻击者对目标模型的可访问性和不同的攻击策略,对抗性攻击可以分为白盒攻击(Agnihotri、Jung和Keuper,2024年;Carlini和Wagner,2017a;Goodfellow等人,2015年)和黑盒攻击(Eyas、Engstrom、Athalye和Lin,2018年;Mumcu和Yilmaz,2024年;Sun、Yu和Zhao,2024年;Weng、Luo和Li,2025年)。对于白盒攻击,攻击者可以完全访问目标模型的结构、参数和训练数据,从而准确计算输入数据的梯度信息并生成高效的对抗性示例。相比之下,黑盒攻击假设攻击者无法获得目标模型的内部信息,只能通过观察模型的输出或部分行为来进行推断。黑盒攻击通常涉及查询模型的输出,并使用生成的示例信息进行反向推断,以设计基于迁移的攻击(Huang等人,2019年;Zhang和Liu,2024年;Zhang、Chen、Li、Qian和Kuang,2024年)和基于查询的优化(Cheng等人,2020年;Du、Zhang、Zhou、Yang和Feng,2020年;Ilyas、Engstrom和Madry,2019年)。
此外,根据攻击目标,对抗性攻击还可以进一步分为针对性攻击和非针对性攻击。针对性攻击的目标是迫使模型做出特定的错误预测。这类攻击通常非常精确且目标明确,可能会造成更大的伤害。相比之下,非针对性攻击的目标是使模型产生错误的结果,但它们不关心具体的类别,只要模型输出发生变化即可。因此,我们的工作专注于黑盒环境中的针对性攻击。
在本文中,我们提出了一种可迁移的针对性攻击方法,称为逐层特征遮挡(LFO)。该方法包括两个关键设计:具有遮挡感知的功能动态融合(OFDF)模块和自适应迭代快速梯度符号方法(AI-FGSM)策略。对于第一个设计,OFDF模块旨在通过遮挡中间层的区域特征来提高针对性对抗性示例的迁移性。由于DNN的中间层特征对最终输出结果至关重要,因此在中间层使用OFDF模块进行特征遮挡干扰是高度可行的。然后以一定的概率融合被遮挡的特征,以增强对抗性示例的混淆能力。在我们的工作中,“遮挡”指的是忽略特征的部分值,即将它们设置为0(请参见图2)。对于第二个设计,AI-FGSM策略可以通过根据累积梯度和模型推理过程中的随机扰动来动态更新步长,从而进一步提高针对性攻击效果。此外,AI-FGSM作为一种可插拔设计,能够与现有的对抗性攻击框架无缝集成,从而在不修改架构的情况下持续提高基线性能。请参见图1,了解所提出的AI-FGSM与MI-FGSM之间的优化路径差异。总之,LFO方法通过遮挡中间层特征和动态优化步长有效地提高了针对性迁移性。所提出的方法可以有效暴露现有模型的缺点,并促进人工智能在安全性方面的发展。
我们进行了广泛的实验,使用各种模型和训练基线在ImageNet-Compatible数据集上评估所提出方法的性能。这些实验进一步证明,所提出的方法在很大程度上超过了最先进的方法。总结来说,本文的主要贡献如下:
•我们提出了一种优秀的针对性攻击方法,称为逐层特征遮挡(LFO),该方法结合了之前被忽视的遮挡特征扰动和动态更新步长的方法,生成了高度可迁移的对抗性示例,有效提高了针对性迁移性。
•我们创新性地提出了一个具有遮挡感知的功能动态融合(OFDF)模块,通过干扰模型的中间层特征来实现这一点。据我们所知,OFDF模块是第一个从遮挡中间特征的角度来提高针对性迁移性的方法。
•我们提出了一种简单但有效的优化策略,称为自适应迭代FGSM(AI-FGSM),它将累积梯度和随机扰动的概念整合到对抗性示例生成过程中,形成了一个轻量级的攻击策略。此外,作为一种可插拔组件,我们通过将其集成到现有的攻击方法中进行比较,验证了所提出的AI-FGSM的有效性和通用性。
•我们在ImageNet-Compatible和CIFAR-10数据集上对各种源和目标DNN模型进行了广泛的实验,证明了LFO方法比最先进的方法取得了显著的改进。
相关工作
相关工作
在本节中,我们回顾了现有的对抗性攻击和优化策略的研究。
问题表述
对于针对性攻击,假设攻击者拥有原始示例、源模型F和目标模型,这是一个在迁移攻击中预训练的图像分类器。针对性攻击的形式可以表示为:其中Attack(·)表示攻击方法,F是生成对抗性示例的源模型,y_t是目标类别,δx'是被误分类为y_t的对抗性示例。
实验设置
数据集设置。为了不失一般性,我们使用了一个官方的ImageNet-Compatible数据集1来进行针对性攻击,该数据集在2017年的NIPS对抗性攻击和防御竞赛中首次被引入。该数据集包含1000张大小为3×299×299的图像及其对应的标签。此外,我们还使用了CIFAR-10数据集
结论
本文旨在克服针对性攻击中的迁移性挑战。通过深入探索,我们发现干扰中间层特征和动态更新步长可以有效提高模型的迁移性。鉴于此,我们创新性地提出了逐层特征遮挡(LFO)方法,该方法考虑了具有遮挡感知的功能动态融合(OFDF)和自适应迭代FGSM(AI-FGSM)用于针对性攻击。综合实验表明
CRediT作者贡献声明
韩少杰:研究、方法论、可视化、撰写——原始草稿、撰写——审阅与编辑。韩学强:数据整理、研究、撰写——审阅与编辑、验证。赵鹏宇:研究、撰写——审阅与编辑、可视化。张世辉:概念化、方法论、验证、撰写——原始草稿、撰写——审阅与编辑。
利益冲突声明
作者声明他们没有已知的竞争财务利益或个人关系可能会影响本文报告的工作。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
