从不同角度来看,对对抗样本的评价有很多种,以下介绍常见的几种。
1. 错误分类性
错误分类[43]是生成对抗样本的最基本要求,也是对抗样本的基本特性。对于目标攻击和非目标攻击,有不同的错误分类要求。对于一个攻击算法错误分类性的评估,可以包括两方面:错误分类率;错误分类的标签置信度。错误分类率是指在利用特定的攻击算法攻击一组测试样本来生成对抗样本时,生成的对抗样本能够欺骗分类器的数目占所有的测试样本总数的百分比。一般认为,错误分类率与算法攻击强度成正比。在这个基础上,使用错误分类的置信度来进一步评估错误分类性,具体表示为所有攻击成功的对抗样本的平均置信度,错误分类的标签置信度表明被错误分类的可能性,二者成正比。
2. 不可见性
不可见性也是生成对抗样本的基本要求,即生成的对抗样本中的扰动是肉眼不可见的。通常,这一要求包含在攻击算法的目标函数中,大多使用正则范数来控制扰动的大小,常用的有L0、L2 和 L∞。其中L0 范数是指向量中非零元素的个数,若希望扰动对肉眼不可见,则要求L0 范数足够小,即希望向量中的大部分元素为 0,此处的向量表示原始图像和对抗样本之间的距离。L2 范数表示为 w2 ,得出的结果为向量w 各元素的平方和的平方根,这就要求向量中的每个元素都很小,任何一个元素过大都可能引起L2过大。L∞范数用于求得向量中最大的元素值,与 L0 和 L2 相似,这也要求向量中不能存在特别大的元素。
3. 鲁棒性
由于在现实世界中,对抗样本在作为输入数据被输入分类网络前,必然经历包括自然噪声在内的转换处理过程,因此鲁棒性就作为对抗样本能否在各种现实情况下维持原有的攻击能力的评判标准。度量鲁棒性不是依靠度量对每一种转化处理的鲁棒性,因为现实世界中的转换处理是不可枚举的。通常,为了度量鲁棒性,会选取具有代表性的不同处理方法,如叠加高斯噪声、压缩图像等。通过这样的方式生成的对抗样本的错误分类率如果与未处理过的情况下相似,就可以说这种攻击算法产生的对抗样本具有鲁棒性。
4. 攻击效率(www.xing528.com)
攻击效率即攻击算法生成对抗样本的平均时间。时间越短,效率就越高。只有掌握了不同攻击算法的攻击,才能对它们进行比较,从而筛选出相对于实际情况更符合的攻击算法,同时攻击效率也会影响对抗训练中训练模型的效率。
5. 可转移性
可转移性是对抗样本的常见属性之一。Szegedy 等人首次发现一个基于神经网络生成的对抗样本可以欺骗使用不同数据集训练的相同的神经网络。Papernot 等人发现一个基于神经网络生成的对抗样本可以欺骗其他不同结构的神经网络,甚至可以欺骗那些使用不同机器学习算法训练过的分类器。对于黑盒攻击算法,对抗样本的可转移性在无法了解被攻击的深度神经网络的内部情况下至关重要。攻击者可以利用对抗样本的可转移性,在攻击目标模型之前,选择一个替代深度神经网络模型,并生成对抗样本来攻击这个替代模型。通过这样的方式生成的对抗样本可以很容易地攻击一个黑盒模型。从防御的观点来看,如果可以找到一种方法停止对抗样本的可转移性,那么防御者就可以防御所有需要了解内部结构参数的白盒攻击算法。
可以从简单到困难的三个维度来定义对抗样本的可转移性:
(1)在相同的神经网络结构不同的训练数据集之间转移。
(2)在不同的神经网络结构相同的训练任务之间转移。
(3)在不同训练任务的所有不同神经网络之间转移(如说将目标检测的对抗样本转移到语义分析中)。现在已经有许多研究人员对对抗样本的可转移性进行验证来试验对抗样本的性能。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
