基于改進(jìn)積分梯度的黑盒遷移攻擊算法

王正來，關(guān)勝曉

中國科學(xué)技術(shù)大學(xué)信息科學(xué)技術(shù)學(xué)院，合肥 230026

目前深度學(xué)習(xí)已廣泛應(yīng)用于生活的方方面面，例如人臉識別、自動駕駛、文本翻譯、機(jī)器人技術(shù)等。隨之而來，網(wǎng)絡(luò)模型的安全性成為了數(shù)據(jù)工作者關(guān)注的重點，研究者發(fā)現(xiàn)了對抗樣本的存在，即在輸入中添加微小、人眼難以察覺的、經(jīng)過精心設(shè)計的擾動制作成對抗樣本輸入分類模型就可以改變模型的預(yù)測結(jié)果[1]。深度學(xué)習(xí)的各種任務(wù)方向都發(fā)現(xiàn)了對抗樣本的存在，包括目標(biāo)檢測、圖像分割、文本分類、強(qiáng)化學(xué)習(xí)等，并可以將樣本從數(shù)字世界轉(zhuǎn)移到物理世界中進(jìn)行物理對抗攻擊[2]。使用妝容遷移來生成人臉對抗樣本可以防止面部信息被不正當(dāng)?shù)娜四樝到y(tǒng)識別[3]。給交通指示牌照射精心設(shè)置的激光就可以引起自動駕駛識別系統(tǒng)出錯進(jìn)而造成安全事故[4]。因此，對于攻擊方法和對應(yīng)防御方法的研究有著重要的現(xiàn)實意義。

攻擊方式主要分為白盒攻擊和黑盒攻擊，區(qū)別在于是否可以訪問模型的具體信息。白盒攻擊常用算法包括FGSM[5]、C&W[6]、PGD[7]等，而非理想的攻擊對象一般處于黑盒模式，無法得知具體的結(jié)構(gòu)，也不能得到模型返回的梯度等信息。黑盒攻擊分為查詢和遷移兩種，基于查詢的攻擊需要多次訪問模型輸出，易引起監(jiān)控者警覺，而遷移攻擊主要基于對抗樣本的遷移性，即針對不同層數(shù)、激活函數(shù)、超參數(shù)和訓(xùn)練集的神經(jīng)網(wǎng)絡(luò)生成的對抗樣具有穩(wěn)健的攻擊性，在代理模型上生成的對抗樣本可以誤導(dǎo)其他未知模型。

目前攻擊算法遷移性能普遍不高，近幾年為提高對抗樣本的遷移性，研究者聚焦于優(yōu)化更新梯度方向，比如將動量項整合到迭代過程中[8]，擺脫不良的局部最優(yōu)，或者引入輸入多尺度變換[9]，使梯度方向更準(zhǔn)確。但是基于梯度的方法存在固有的缺陷，當(dāng)輸入圖片的特征進(jìn)入飽和區(qū)時，單純計算一點的反向梯度較小。其他的研究基于歸因技術(shù)更改神經(jīng)元注意力進(jìn)行操作，提高內(nèi)部失真，如FIA[10]、NAA[11]、ATA[12]等，但是所用歸因技術(shù)指代性不夠。Huang 等人[13]將積分梯度[14]（integrated gradients）引入對抗攻擊，提出了目前最先進(jìn)的TAIG算法，并證明其同時從優(yōu)化目標(biāo)函數(shù)、修改注意力、平滑決策面三個方面進(jìn)行攻擊。TAIG 有兩種版本，基于直線積分的TAIG-S和基于直線區(qū)間隨機(jī)采樣路徑的TAIG-R。積分梯度是一種歸因技術(shù)，用來顯示原圖中每個像素對預(yù)測結(jié)果的影響程度，但是其存在以下問題：一是默認(rèn)輸入已進(jìn)入飽和區(qū)，將路徑限定于基線到輸入的有限路徑內(nèi)來計算路徑上的梯度累積，但是真實輸入?yún)s并未飽和，其忽略了線段外區(qū)域的有效梯度累積，使歸因圖喪失了大量有效信息；二是目前還沒有優(yōu)秀的基線，一般憑經(jīng)驗選取為全0圖，但是對于模型來說并非不含任何信息；三是高維神經(jīng)網(wǎng)絡(luò)在小尺度上快速抖動會導(dǎo)致路徑中單個點的梯度計算出現(xiàn)誤差，從而生成的歸因圖含有較多噪點，而不同模型傾向于關(guān)注相似的區(qū)域，特征外過量噪點限制了TAIG算法的攻擊性能。

為了解決以上問題，本文改進(jìn)了積分梯度，提出無限路徑的擴(kuò)展積分梯度EIG（extended integrated gradients）和信息熵基線。在IG的基礎(chǔ)上額外融合輸入到真實飽和區(qū)的梯度累積，更明確了指代輸入中每個像素的重要性，用EIG 替換TAIG 算法中的積分梯度可以明顯提升其攻擊性能；信息熵基線針對每個模型單獨訓(xùn)練，使模型沒有任何傾向。并基于此提出了一種改進(jìn)積分梯度的對抗樣本生成方法IIGA，其具有比TAIG更強(qiáng)的攻擊性和遷移性能。圖1 展示了該算法通過攻擊ResNet 來遷移攻擊其余模型的例子，IIGA 使用基于信息熵基線的EIG生成的梯度結(jié)果，同時在路徑計算中引入梯度平滑[15]，在每一點周圍區(qū)間高斯采樣，通過多輸入平均可以抑制梯度噪點，大大提升了算法遷移性。

圖1 IIGA遷移攻擊Fig.1 Transferable attack of IIGA

本文貢獻(xiàn)總結(jié)如下：

（1）提出了無限路徑的擴(kuò)展積分梯度EIG，可以生成更高質(zhì)量的歸因圖并提升TAIG性能。

（2）提出了信息熵基線，針對每個模型單獨訓(xùn)練，以很少的代價確?；€的無信息。

（3）提出了一種遷移攻擊算法IIGA，基于EIG 和信息熵基線的梯度結(jié)果進(jìn)行平滑，過濾梯度噪聲，具有更高的白盒和黑盒遷移性能。

（4）通過大量的實驗驗證了提出的改進(jìn)積分梯度攻擊算法的優(yōu)越效果。

1 相關(guān)工作

1.1 積分梯度

在做出決斷時，人類傾向于借助物體的某些特征并分配注意力，同樣，因為神經(jīng)網(wǎng)絡(luò)的高維非線性使模型解釋非常困難，歸因技術(shù)可以用來顯示輸入圖片中每個像素對最終輸出結(jié)果的影響，即通過歸因圖來表示模型分配給每個像素的注意力大小。

常用的歸因技術(shù)包括直接梯度、CAM[16]、Grad-CAM[17]、LRP[18]等，積分梯度[14]是一種路徑方法，結(jié)合了直接梯度和LRP分而治之的思想，在輸入到基線值的路徑上對梯度進(jìn)行積分來構(gòu)建更精確的歸因結(jié)果，避免了飽和問題，可以生成更細(xì)致的歸因圖。

路徑方法描述如下：定義一個映射函數(shù)f:?n→?k，表示一個深度網(wǎng)絡(luò)，xe∈?n為輸入圖片，y∈?k為輸出，經(jīng)過softmax 歸一處理之后可以表示不同類別置信度。令起始點為x′，定義一個路徑函數(shù)γ:[0,1]→?n，表示從起始點γ(0)=x′到終點γ(1)=xe的路徑。路徑法沿γ(α)對函數(shù)梯度進(jìn)行積分，α∈[0,1]，則輸入xe第i維的路徑積分梯度為：

積分梯度法是路徑方法中的一個特例，沿著直線進(jìn)行積分，即γ(α)=x′+α(xe-x′),α∈[0,1]。其公式表達(dá)如下：

所有路徑方法都滿足不變性、敏感性、線性和完整性定理，而積分梯度法同時還滿足保對稱性，即交換兩個參數(shù)的位置會保持輸出結(jié)果不變，這樣多個特征不需要按照固定的模式輸入歸因系統(tǒng)，可以減少預(yù)處理步驟，因此積分梯度法是路徑方法中最優(yōu)的選擇。

1.2 黑盒遷移攻擊

對抗樣本的概念最先由Szegedy 等人[1]提出，對于分類器f，給定輸入x和真實標(biāo)簽l。找到一個微小擾動δ，滿足‖δ‖p≤ε,ε為約束，‖· ‖p為Lp范數(shù)，生成xadv=x+δ，使得f(xadv)≠l。

黑盒攻擊是找到對抗樣本最困難的攻擊場景，不能獲得模型的內(nèi)部細(xì)節(jié)和梯度，主要分為基于查詢和基于遷移兩種方式?；谶w移的攻擊使用更加廣泛，使用代理模型制作對抗樣本，與黑盒模型隔絕，管理員無法通過監(jiān)控訪問來規(guī)避攻擊。

FGSM[5]是經(jīng)典的一次攻擊算法，攻擊速度快，C&W[6]是一種優(yōu)化方法，定義了多種約束函數(shù)將非線性約束轉(zhuǎn)化可求解形式，但是兩種算法對抗樣本遷移性都較差。近年來針對梯度提出了多種改進(jìn)方法，MI[8]將動量項整合到迭代過程中，來穩(wěn)定更新方向，提供攻擊可遷移性。SI-NI[9]引入縮放不變性來進(jìn)行數(shù)據(jù)增強(qiáng)和Nesterov accelerated gradient 來跳出局部最優(yōu)解，進(jìn)行更好的優(yōu)化。VMI[19]在每次迭代過程中不直接使用上輪累積的梯度，而是對梯度進(jìn)行方差調(diào)整，進(jìn)一步穩(wěn)定更新方向。SM2I[20]提出了新的動量方法空間動量，對輸入進(jìn)行隨機(jī)變換并利用不同區(qū)域的特征來生成更加穩(wěn)定的梯度結(jié)果。還有一些研究引入注意力機(jī)制修改模型中間層或者針對歸因圖進(jìn)行優(yōu)化，可以提升攻擊的遷移性。因為不同優(yōu)秀的模型所關(guān)注的特征是類似的且集中于人類視覺觀察的特征區(qū)域，因此針對修改共同關(guān)注的注意力區(qū)域可以提升對抗樣本的遷移性。FIA[10]引入聚合梯度來獲得輸入的特征區(qū)域，指導(dǎo)破壞主導(dǎo)模型決策的重要特征。ATA[12]將通過反向傳播梯度估計不同特征對模型方向的重要性，對同一層所有特征圖通道求和并經(jīng)過ReLU濾除負(fù)特征。AOA[21]與ATA類似，利用LRP的變體來計算歸因圖，并提出了幾種抑制注意力的優(yōu)化目標(biāo)函數(shù)。TAIG[13]基于積分梯度，從有限路徑中提取模型的注意力并作為攻擊的優(yōu)化方向，達(dá)到了目前的最佳，但是還有很大的提升空間。

針對遷移性的研究雖然有一定成果但是遷移攻擊成功率依然不夠理想。針對梯度的改進(jìn)方法未考慮梯度飽和問題，而引入注意力的優(yōu)化策略使用的歸因技術(shù)指代粗糙，不能聚焦于模型所共同關(guān)注的部分。本文提出的算法可以同時彌補(bǔ)這兩個方面的不足。

2 本文方法

本文優(yōu)化了積分梯度，提出了擴(kuò)展積分梯度的歸因方法EIG和信息熵基線，并基于此提出了一種改進(jìn)積分梯度的對抗攻擊方法IIGA，可以大幅度提高白盒攻擊和黑盒遷移攻擊的性能，下面詳細(xì)介紹該方法的具體實現(xiàn)過程。

2.1 改進(jìn)積分梯度

2.1.1 擴(kuò)展路徑

積分梯度本質(zhì)就是防止輸入圖片進(jìn)入飽和區(qū)從而導(dǎo)致梯度為零，但是真實圖片并不一定進(jìn)入飽和區(qū)。在基線到輸入之間的有限路徑理想化地認(rèn)可這一設(shè)定，而更準(zhǔn)確的方法是在原來路徑的基礎(chǔ)上加上輸入xe到真實飽和點x∞的補(bǔ)充區(qū)間，其中x∞=γ(+∞)，存在基線到輸入路徑延長線的無窮遠(yuǎn)處，則延長區(qū)間上的歸因補(bǔ)充為：

本文提出了擴(kuò)展路徑的積分梯度EIG，EIG 包括兩個部分，一個是α∈[0,1]，另一個是α∈[1,ω]，其中ω趨近于無窮：

雖然擴(kuò)展路徑趨近于無窮，在實際計算的時候會很快進(jìn)入飽和區(qū)，ω取一個大于2 的整數(shù)即可，在實際計算過程中采用離散形式，m為離散量，其離散形式為：

圖2（a）展示了用ResNet50預(yù)測輸入圖片，當(dāng)α從0（采用0基線）經(jīng)過1（原圖）到ω=3（接近飽和區(qū)）時，樣本預(yù)測為目標(biāo)類別的置信度，同時為了測量不同的路徑范圍對預(yù)測結(jié)果的影響，圖（b）計算了每個點梯度的l2范數(shù)，可以看出α在2.5 之后目標(biāo)類別置信度和反向梯度才逐漸趨近于0，將不同分段產(chǎn)生的歸因圖展示如圖2（d）～（f）所示，（f）表示的EIG 綜合了額外路徑的信息，比（d）代表的IG更好地顯示了歸因像素位置和強(qiáng)度。

圖2 不同路徑區(qū)段結(jié)果Fig.2 Results for different path segments

并且將擴(kuò)展積分替換TAIG算法的積分梯度可以明顯提升TAIG攻擊的效果，具體結(jié)果見3.2和3.3節(jié)。

2.1.2 信息熵基線

除了積分路徑，基線值x′也非常重要，表示中性的、不含任何信息的輸入量。目前對于基線的研究并不多，大多數(shù)都是以人類直覺作為參考，在圖像任務(wù)中一般使用全黑圖、全白圖和隨機(jī)值，在自然語言領(lǐng)域采用全零向量。然而從模型的視角來說，這些基線并非是中性的，比如區(qū)分黑夜和白天任務(wù)，使用全黑或全白基線的模型有各自不同傾向性。有研究[22]指出基線的選擇對模型解釋效果會產(chǎn)生顯著影響，基線代表模型功能缺失性的參考點，選擇恒定顏色的基線會使模型喪失對該顏色的關(guān)注度，而如果特征位于該顏色范圍則會遭到模型的忽略。因此積分梯度采用更恰當(dāng)?shù)幕€會得出更真實的關(guān)注度，有助于在對抗攻擊任務(wù)中產(chǎn)生更準(zhǔn)確的擾動方向。

熵代表隨機(jī)變量不確定度的度量，為了解決以上缺陷，可以用信息熵[23]來度量輸入對特定模型的信息攜帶量：

根據(jù)積分梯度的定義，基線相對于模型來說不包含任何信息量，因此最優(yōu)的基線應(yīng)該攜帶最少的信息量，用以下公式來表示：

在具體實現(xiàn)的過程中可以在0 基線的基礎(chǔ)上簡單地通過幾輪迭代來降低H(x)，圖3展示了0值基線（全黑圖）和信息熵基線輸入分類模型的預(yù)測結(jié)果，橫坐標(biāo)包含1 000個不同類，縱坐標(biāo)為經(jīng)過歸一化之后的輸出置信度，可以看出0值基線輸入模型依然會有自己傾向的類別，表明含有一定信息，與基線的定義不匹配，而信息熵基線各類別的置信度大致相當(dāng)，模型不能得出任何結(jié)果。

圖3 不同基線預(yù)測結(jié)果Fig.3 Different baseline prediction results

2.2 基于改進(jìn)積分梯度的攻擊算法

改進(jìn)積分梯度衡量了直接與網(wǎng)絡(luò)模型預(yù)測結(jié)果相關(guān)像素的敏感度，而反向更改這些輸入像素點的值可以抑制模型輸出某一類別的傾向，在特征世界里變相擦除了不同模型判別某一類別所共同依賴的特征。本文提出了IIGA 攻擊算法，與TAIG 的思想類似，針對圖像特征區(qū)域進(jìn)行攻擊。

但是IIGA并不是直接將生成的改進(jìn)積分梯度結(jié)果作為優(yōu)化方向，因為神經(jīng)網(wǎng)絡(luò)是高維的，其函數(shù)的導(dǎo)數(shù)在小尺度上會快速抖動，而基于ReLU激活函數(shù)使網(wǎng)絡(luò)不是連續(xù)可導(dǎo)[15]，這導(dǎo)致計算的積分梯度存在許多噪點，并隨機(jī)分布在圖片的各個區(qū)域。這些散布在無關(guān)區(qū)域的噪點導(dǎo)致在樣本遷移時影響了大量不相關(guān)的區(qū)域，而對真實公共部分特征的關(guān)注不夠，造成攻擊其他模型時成功率下降。

針對以上問題IIGA 引入平滑梯度操作來濾去噪點。在原始輸入x的鄰域內(nèi)進(jìn)行高斯采樣，具體地，加入高斯隨機(jī)噪聲，分別計算不同輸入的積分梯度，平滑之后的積分梯度取平均值：

其中，p為高斯采樣的樣本數(shù)，N(0,σ2)是均值為0，標(biāo)準(zhǔn)差為σ的高斯噪聲。平滑梯度的本質(zhì)就是輸入大量相近的圖片求平均來抑制高維神經(jīng)網(wǎng)絡(luò)的快速波動。圖4 展示了圖片使用不同積分梯度計算的結(jié)果，IG 和EIG采用信息熵基線相比0基線關(guān)注的特征區(qū)域更加明顯。加入梯度平滑操作之后歸因圖中無關(guān)區(qū)域的噪點顯著減少，而結(jié)合信息熵基線和平滑梯度的歸因圖（e）、（i）將關(guān)注點都集中于鳥本身區(qū)域。

圖4 積分梯度歸因圖Fig.4 Integrated gradient attribution map

經(jīng)過平滑之后的積分梯度相比現(xiàn)有方法更加有效的衡量了圖片的注意力，在IIGA迭代攻擊中引入動量，攻擊形式如下：

其中，μ為動量系數(shù)，動量項的引入可以在迭代過程中擺脫不良的局部最大值，穩(wěn)定更新方向。ε為擾動系數(shù)，sign(·) 為裁剪函數(shù)，將數(shù)據(jù)限定在真實像素范圍內(nèi)。因為計算出的IG 矩陣元素大小不均，為了限制其無窮范數(shù)，裁剪函數(shù)提取積分梯度方向，將一步擾動ε均分為多步小擾動形式，T為劃分步數(shù)，則每次的擾動距離為ε/T。在實際攻擊過程中，為了減少計算量，可以判斷每一小步是否攻擊成功，如果不成功則再重新計算更新方向進(jìn)行下一小步的更新，攻擊成功則跳出循環(huán)。

算法偽代碼見算法1，先初始化參數(shù)并依靠幾輪迭代生成信息熵基線，攻擊時在每次迭代攻擊中在單個點周圍采樣p次，求計算的改進(jìn)梯度積分的平均，并且通過動量融合上一輪梯度的信息來優(yōu)化對抗樣本。

算法1改進(jìn)積分梯度算法（IIGA）

輸入：分類模型f，圖片x，真實標(biāo)簽l，更新步數(shù)T，離散路徑分段m，積分?jǐn)U展系數(shù)ω，標(biāo)準(zhǔn)差σ，高斯采樣數(shù)p，動量系數(shù)μ。

輸出：對抗樣本xadv。

3 實驗

本章設(shè)計實驗來驗證改進(jìn)積分梯度算法攻擊的性能，首先介紹實驗使用的數(shù)據(jù)集、模型、對比方法等，然后比較白盒模式下的攻擊效果，以及黑盒遷移攻擊性能，最后比較算法中超參數(shù)取值對攻擊效果的影響。

3.1 實驗設(shè)計

（1）數(shù)據(jù)集。本文使用的數(shù)據(jù)集為從ImageNet[24]挑選的1 000 張圖片，并且保證所有分類模型都可以正確預(yù)測結(jié)果，這樣可以忽略不同模型分類準(zhǔn)確度的差異，只關(guān)注算法本身在不同結(jié)構(gòu)模型上的攻擊效果。

（2）模型。為了公正合理地評判不同攻擊方法的優(yōu)劣，被測模型分別選擇CNN 結(jié)構(gòu)的模型ResNet-50[25]、InceptionV3[26]（簡稱Inc-V3）、EfficentNet B3[27]（簡稱Effi-B3）?；赥ransformer架構(gòu)的分類模型Swin Transformer[28]（簡稱Swin）和MViTv2[29]。以及結(jié)合卷積的Transformer架構(gòu)、Convolutional Transformers[30]（簡稱CvT），分別選取各種模型的版本為Swin-B，MViTv2-B 和CvT-13，所有模型均在ImageNet數(shù)據(jù)集上進(jìn)行訓(xùn)練。

（3）基線算法。白盒攻擊模式下比較算法包括FGSM、C&W、ATA、AOA、FIA、TAIG-S 和TAIG-R。在黑盒模式下，基線算法包括遷移性較強(qiáng)的算法SI-NI、ATA、AOA、VMI、FIA、SM2I、TAIG-S、TAIG-R，同時還包括EIG版本的TAIG。固定IIGA方差σ=0.15,μ=0.9。

（4）評測指標(biāo)。評測指標(biāo)包括：

①攻擊成功率：攻擊成功樣本數(shù)/總樣本數(shù)量；

②平均攻擊耗時：每個樣本的平均生成時間。

實驗代碼采用PyTorch 框架編寫，硬件平臺采用兩塊NVIDIA GeForce RTX 3090。

3.2 白盒攻擊

黑盒遷移攻擊是依賴白盒算法攻擊代理模型生成的對抗樣本去攻擊未知模型，而一般方法白盒攻擊和遷移攻擊相互矛盾，在代理模型上攻擊成功率越高則遷移性較差。而IIGA 因為關(guān)注了準(zhǔn)確的注意力特征，可以減輕兩者之間的權(quán)衡，在白盒和黑盒兩種模式都取得優(yōu)異的性能。

將改進(jìn)算法與流行的白盒攻擊方法進(jìn)行比較，實驗采用單步攻擊，即對原圖只進(jìn)行一輪擾動更新，限定相同的最大擾動距離ε為8/255，這樣可以拋棄其他因素，比較算法本身計算更新方向的優(yōu)劣，而如果采用多步攻擊，大多數(shù)算法都可以取得接近100%的成功率。TAIG和IIGA的分段值m都設(shè)置為20，平滑梯度采樣數(shù)p設(shè)置為25，ω為4。

檢驗不同算法分別單步攻擊ResNet-50、Inc-v3、Effi-B3、Swin、MViTv2-B 和CvT-13，攻擊成功率見表1。從表中可以得出，在白盒模式下，將TAIG中的積分梯度更換為擴(kuò)展積分梯度EIG 可以明顯地提升其白盒攻擊的成功率，TAIG-S攻擊ResNet-50準(zhǔn)確率提升了13個百分點以上。所提出的IIGA算法超過了所有對比的白盒方法，比TAIG-S攻擊準(zhǔn)確率平均高12個百分點，比TAIG-R高9個百分點，達(dá)到了目前的SOTA。

表1 不同攻擊算法單步攻擊模型的成功率Table 1 Success rate of single-step attack models of different attack methods 單位：%

3.3 黑盒遷移攻擊

遷移攻擊是一種常用的黑盒攻擊方式，具有隱蔽性高，不需要查詢模型等優(yōu)點。所有算法都基于迭代的方法，限定同樣的迭代次數(shù)T=5，擾動ε=8/255，攻擊代理模型ResNet-50，所有算法都達(dá)到了100%左右的成功率，將攻擊成功的對抗樣本遷移攻擊其他模型，這樣可以過濾掉失敗樣本對檢驗結(jié)果的干擾。TAIG 和IIGA的參數(shù)設(shè)置與3.2節(jié)保持一致。

表2比較了不同算法遷移攻擊成功率，可以看到將IG替換為EIG的TAIG兩種版本算法的遷移性能都有一定的提高，分別提高了2～4個百分點。IIGA攻擊所有模型都取得了最佳的效果，平均遷移攻擊成功率超過SI-NI的12個百分點，TAIG-R的6個百分點，提升明顯。

表2 攻擊代理模型生成對抗樣本的遷移攻擊成功率Table 2 Transferable attack success rate for attack agent models generating adversarial samples 單位：%

3.4 攻擊耗時

本文統(tǒng)計了不同算法制作單張對抗樣本的平均耗時，攻擊ResNet-50 模型，限定ε=8/255,T=1,m=20,p=25,ω=4，結(jié)果見表3。每個方法的計算時間有一定差別，除去加法等基本計算的時間，主要花費在輸入模型計算反向梯度的次數(shù)上，F(xiàn)GSM、C&W、AOA、ATA和FIA每次迭代輸入計算一次梯度反向傳播，時間復(fù)雜度為O(T)。同理，因為每一次迭代都包含多次固定的梯度反向計算，SI-NI、VMI、SM2I的時間復(fù)雜度都為O(k·T)，k為不同算法輸入模型的次數(shù)。TAIG 在每一次迭代過程中進(jìn)行m次梯度計算，時間復(fù)雜度為O(m·T)，IIGA的時間復(fù)雜度為O(mpω·T)，所有算法的時間復(fù)雜度都為O(T)。IIGA 因為系數(shù)相比于TAIG 更大，在實際耗時上不占優(yōu)勢，但是因為每一段的計算過程都一樣，可以將多次輸入組合成多batchsize的張量，降低輸入模型的次數(shù)，因此并不會花費太多倍的時間。在實際測試中TAIG-R 處理一張圖片為104 ms，而IIGA 為352 ms，大約為TAIG的3倍。

表3 單步攻擊平均耗時Table 3 Average running time for single-step attack單位：ms

3.5 消融實驗

IIGA 結(jié)合了擴(kuò)展積分梯度、信息熵基線和梯度平滑，下面比較兩種改進(jìn)方法各自的提升效果。設(shè)置ε=8/255,m=20,p=25,ω=4，按照3.2 和3.3 節(jié)敘述的操作，分別比較擴(kuò)展積分梯度使用0 基線、隨機(jī)基線和信息熵基線，以及在各自種情況下加入平滑梯度操作的結(jié)果。如表4所示，分別比較白盒攻擊和黑盒遷移攻擊的平均成功率，相比于基線選擇，平滑梯度得到的提升更大，而結(jié)合兩種操作的IIGA 取得了最佳性能。隨機(jī)基線因為是在[0，1]之間取值，輸入到基線之間的點逐漸失去語義信息，不適合對抗攻擊任務(wù)，而0 基線和信息熵基線都在0附近，輸入與基線的插值相對于0成比例，圖片的整體信息還在，則其梯度信息具有參考價值。

表4 消融實驗Table 4 Ablation experiments單位：%

3.6 參數(shù)分析

這部分具體檢驗IIGA算法中不同參數(shù)對算法性能的影響。

（1）迭代步數(shù)T。固定IIGA 劃分段m=20，擾動距離ε=8/255，高斯采樣數(shù)p=25,ω=4，比較不同的迭代步數(shù)T下白盒攻擊目標(biāo)模型的成功率。具體如圖5所示，橫坐標(biāo)為迭代輪數(shù)，縱坐標(biāo)為攻擊成功率，隨著T的增加，成功率明顯增強(qiáng)，經(jīng)過4～5 輪左右的迭代結(jié)果逐漸趨近于飽和。

圖5 不同迭代步數(shù)T 攻擊成功率Fig.5 Attack success rate of different T

（2）擴(kuò)展范圍ω。固定ε=8/255,T=1,m=20,p=25。如圖6所示，ω分別取值1、2、3、4、5、6，可以看出擴(kuò)展范圍越大，獲得的積分梯度信息更準(zhǔn)確，攻擊準(zhǔn)確率逐步提高，w=4 時趨近于穩(wěn)定，綜合考慮計算量，w可以取值4。

圖6 不同擴(kuò)展參數(shù)ω 攻擊成功率Fig.6 Attack success rate of different ω

（3）分段數(shù)m。IIGA 采用離散方式近似計算積分梯度，固定ε=8/255,T=1,p=25,ω=4。圖7 比較不同分段數(shù)m下白盒攻擊的成功率，橫坐標(biāo)為m，縱坐標(biāo)為攻擊成功率，m分別取值為5、10、15、20、25和30。隨著分段數(shù)劃分得越多，攻擊成功率有所提升，但需要的計算量會更高，m=10 時已經(jīng)達(dá)到了可接受的結(jié)果。

圖7 不同分段數(shù)m 攻擊成功率Fig.7 Attack success rate of different m

（4）高斯采樣數(shù)p。固定ε=8/255,T=1,m=20,ω=4,如圖8所示，p分別取值5、10、15、20、25、30，可以看出高斯采樣的數(shù)量與攻擊效果存在明顯的正相關(guān)關(guān)系，p值越大，平滑之后的積分梯度更精確，攻擊準(zhǔn)確率逐步提高，p=15 時趨近于穩(wěn)定。

圖8 不同高斯采樣數(shù)p 攻擊成功率Fig.8 Attack success rate of different p

4 結(jié)束語

本文針對現(xiàn)有算法的不足，改進(jìn)了積分梯度，提出了擴(kuò)展積分梯度EIG和信息熵基線，并提出了基于EIG、新基線和梯度平滑的對抗攻擊算法IIGA。實驗結(jié)果表明EIG可以生成比積分梯度更優(yōu)秀的歸因圖，基于信息熵基線的IIGA算法對不同架構(gòu)的模型都具有較強(qiáng)的白盒攻擊和黑盒攻擊成功率，單步攻擊準(zhǔn)確率超過了經(jīng)典的白盒攻擊算法，黑盒模式中大大提升了對抗樣本的遷移能力，比TAIG 等目前最先進(jìn)的一些算法表現(xiàn)更優(yōu)秀。但是IIGA 引入了一些額外計算，在運行時間上處于劣勢。后續(xù)將對歸因技術(shù)引入對抗攻擊進(jìn)行更深入的研究。