近年来，深度神经网络(deep neural network, DNN)在自动驾驶^[1]、医学图像分析^[2]等诸多领域表现出了卓越性能。但文献[3-4]阐明了DNN容易对精心设计的对抗样本产生误判，并且通常不会被人类发现，这可能会在现实应用中引发严重错误。此外，这些对抗样本在不同模型体系结构之间的迁移性对实际应用提出了更大的挑战。因此，对抗攻击的研究受到越来越多的关注^[5]。

对抗攻击通常分为白盒攻击和黑盒攻击。白盒攻击^[4-5]可以访问目标模型的架构和参数；黑盒攻击^[6-19]无法获取目标模型的信息，因此更接近真实世界的场景。基于迁移性的黑盒攻击在替代模型上构建对抗样本来欺骗目标模型。通过采用不同的优化策略，设计各种损失函数，利用多种数据增广等方法，迁移性得到了较大提高。

但是，在迁移性得到有效提高的同时，对抗样本的不可察觉性并不令人满意。原因在于，以上大多数方法都是在RGB空间中采用无穷范数或L₂范数作为度量人类感知的标准，并约束原图像和对抗样本之间的扰动幅度。采用无穷范数约束倾向于让所有像素点都产生最大限度的变化，而采用L₂范数的对抗样本倾向于让所有像素点产生变化。这种对所有像素点进行修改的方法忽视了像素点的重要性差异，从而增加了人眼的不可察觉性。

众所周知，L₁范数具有稀疏性^[20]，能够筛选重要特征，被广泛用于压缩感知^[6]、稀疏恢复^[7]等问题。然而，目前基于L₁范数约束的对抗攻击研究还不够深入，特别是利用L₁范数提升不可察觉性和增强迁移性的方法还没有相关文献记载。本研究认为L₁范数由于其内在稀疏性，可以选择重要像素进行攻击而保持次要像素不变，从而把有限的扰动量用在高效的目标区域，以减少不必要的像素改变，从而降低不可察觉性；同时，通过特征选择还可以降低对抗样本过拟合于替代模型的风险。该方法适用于所有基于L_p范数约束的对抗攻击方法，通过将L_p范数替换成L₁范数约束可以获得不可察觉性的改善和迁移性的提高。

此外，从可解释性^[8-9]角度分析，深度神经网络能够识别目标主要是因为能够提取目标区域信息并进行加工整理。文献[10-11]给出了显著性(saliency)计算方法，即计算输入图片像素点对损失函数的偏导数的绝对值，偏导数绝对值大的像素更为显著，对模型推理作用更大。同理，对抗攻击的重点应该是对模型显著性较大的像素。本研究以显著性大小为依据对像素进行分类，只攻击显著性超过阈值的像素，并与L₁约束相结合，提出L₁-mask约束方法，该方法能够进一步提升对抗攻击的性能。

本研究的主要贡献包括3个方面：

1) 提出了一种基于L₁范数并充分利用像素显著性信息的约束方法L₁-mask。该方法采用投影算法求解L₁范数约束优化问题，实现对特征的差异化处理，并且对显著性较低的特征进行遮盖，使有限的扰动更多作用于重要特征，改善了对抗攻击的不可察觉性，同时降低了对抗样本过拟合于替代模型的风险，提升了对抗攻击的迁移性。

2) 提出了部分参数设定的解析方法。提出不同约束方式下扰动值ε之间的对应比例关系，并建立模型，根据扰动值ε确定步长α和mask系数λ，使ε成为唯一需要调整的超参数，有效降低了对抗攻击超参搜索维度，节约了实验能耗及时间开销。

3) 实验验证了本研究方法的有效性。在ImageNet-Compatible数据集上对不同约束方法的黑盒攻击能力和不可察觉性进行检验。实验结果表明，在相同的黑盒攻击成功率下，基于L₁约束的对抗攻击方法不可察觉性指标(frechet inception distance, FID)比无穷范数低约5.7%，基于L₁-mask约束的FID比无穷范数低约9.5%。

1.   相关工作

对抗攻击度量不可察觉性的理想指标是FID，但该指标数学表达复杂，难以在优化过程中直接运用。为便于优化求解，现有研究大多通过P范数约束图片变化距离，常用的范数约束包括：无穷范数、L₂范数、L₁范数和L₀范数。

无穷范数约束要求对抗噪声在$ {[-\mathrm{\varepsilon },\mathrm{\varepsilon }]}^{d} $内变化(其中d表示输入图片的维度)。文献[4]提出了快速梯度符号方法(fast gradient sign method，FGSM)，让图片的每个像素在梯度符号的方向上产生ε位移，可快速生成对抗样本。文献[5]提出迭代版本的快速梯度符号方法(iterative fast gradient sign method，I-FGSM)，提升了白盒攻击的成功率。文献[12-16]提出了动量迭代快速梯度符号方法(momentum iterative fast gradient sign method，MI-FGSM)、Nesterov动量迭代快速梯度符号方法(Nesterov iterative fast gradient sign method，NI-FGSM)、平移不变迭代快速梯度符号方法(translation-invariant iterative fast gradient sign method，TI-FGSM)、 多样化输入迭代快速梯度符号方法(diverse inputs iterative fast gradient sign method，DI-FGSM)、基于补丁的迭代快速梯度符号方法(patch-wise iterative fast gradient sign method， PI-FGSM)等方法，通过引入动量等手段提升迭代攻击方向的稳定性，从而提升了黑盒攻击的迁移性。基于无穷范数约束的对抗攻击因计算便捷而被广泛应用，但该约束方式倾向于让所有像素点都产生最大限度的变化，降低了对抗攻击的不可察觉性。如图1所示，无穷范数约束产生的对抗样本不仅在目标区域产生噪声，也在背景中产生了明显的条纹，这些条纹会使人眼很容易察觉；同时，这些条纹会导致对抗样本过拟合于替代模型，降低对抗迁移性。

图  1  无穷范数约束生成对抗样本

Fig.  1  Adversarial sample generated by L_∞

下载: 全尺寸图片

L₂范数约束要求对抗噪声的L₂范数小于扰动值ε，对于超出约束范围的解向L₂范数球投影，即对抗噪声除以自身的L₂范数再乘以ε。文献[17-19,21]提出的基于L₂范数的投影梯度下降方法(projected gradient descent L₂，PGDL₂)、自动投影梯度下降(autoprojected gradient descent，APGD)、特征对抗攻击(feature adversarial attack，FAB)、方形攻击(SquareAttack)等算法都有L₂版本。基于L₂范数约束的对抗攻击因便于计算而应用也较为广泛，但该约束方式没有对特征进行差异化处理，对抗攻击的不可察觉性仍有提升空间。

L₁范数约束要求对抗噪声的L₁范数小于扰动值ε，对于超出约束范围的解向L₁范数球投影。但是向L₁范数球投影计算较为复杂，因此，L₁范数约束在对抗攻击中的研究还比较少。文献[22]在APGD算法基础上结合L₁范数球投影方法提出L₁-APGD算法，但未进行不可察觉性分析。文献[23]提出的基于L₁范数的弹性网络攻击(elastic-net attacks to deep neural networks based-L₁，EADL₁)算法利用了L₁正则化项，相比于投影计算，降低了计算难度，但无法获得准确的约束范围。总之，将L₁范数用于度量对抗攻击距离的研究还不够深入，特别是对不可察觉性的作用还需要进一步研究。

L₀范数约束要求对抗样本改变的像素点数量小于ε，对于每一点的变化量不作要求，因此，其生成的对抗样本通常可察觉。目前，L₀范数约束在稀疏对抗攻击领域应用广泛，其生成的对抗补丁可直接应用于真实世界。文献[24]提出了OnePixel算法，文献[25]提出的SparseFool算法能够在只改变少数像素点的情况下取得较好的攻击效果，文献[26-27]提出的Pixel和基于雅可比矩阵的显著图攻击(Jacobian-based saliency map attack，JSMA)算法也是稀疏对抗攻击的常用方法。

2.   L₁-mask约束方法

为改善对抗样本的不可察觉性，本研究提出了L₁-mask约束方法。该约束方法可以无障碍推广至所有基于L_p范数约束的对抗攻击算法。本节以经典的MI-FGSM为例，设计其基于L₁约束的版本MI-L₁，并在此基础上充分利用像素的显著性差异设计MI-L₁-mask算法，进一步提升算法效能。

2.1   L₁范数约束

L₁范数具有稀疏性，向L₁范数球投影的解是一个稀疏解，因此L₁范数也被叫作稀疏规则算子。通过向L₁范数球投影可以实现特征的稀疏选择，过滤掉无关特征而保留重要特征。基于L₁范数约束的无目标攻击方法可用数学公式表达为

式中：$ {\boldsymbol{x}} $表示真实样本，$ {{\boldsymbol{x}}^ * } $表示对抗样本，J表示损失函数，ε₁表示对抗扰动。

求解式(1)常用的方法是投影次梯度方法，但向L₁范数球投影的计算难度明显高于向无穷范数球和L₂范数球投影。值得庆幸的是(Duchi等^[28])给出了向L₁范数球投影的方法：

令$ {\boldsymbol{v}} = {{\boldsymbol{x}}^ * } - {\boldsymbol{x}} $，$ {\boldsymbol{w}} = {P_{0,{\varepsilon _1}}}({\boldsymbol{v}}) $，其中$ {P_{0,{\varepsilon _1}}}( \cdot ) $表示向中心为0、半径为ε₁的L₁范数球投影。那么，如果$ {\left\| {\boldsymbol{v}} \right\|_1} \leqslant {\varepsilon _1} $，则${\boldsymbol{w}} = {\boldsymbol{v}}$；如果$ {\left\| {\boldsymbol{v}} \right\|_1} > {\varepsilon _1} $，则

1)令${\boldsymbol{u}}$表示${\boldsymbol{v}}$的绝对值矢量，即${{{u}}_i} = \left| {{v_i}} \right|$，对矢量${\boldsymbol{u}}$进行降序排序得到，$ {\boldsymbol{u}}:{u_1} \geqslant {u_2} \geqslant \cdots \geqslant {u_d} $；

2)$\rho ({\varepsilon _1},{\boldsymbol{u}}) = \max \left\{ j \in [n]:{u_j} - \dfrac{1}{j}\left(\displaystyle\sum\limits_{r = 1}^j {{u_r} - {\varepsilon _1}} \right) > 0 \right\} $；

3)定义$\theta = \dfrac{1}{\rho }\left(\displaystyle\sum_{i = 1}^\rho {{u_i} - {\varepsilon _1}} \right)$；

4)${\boldsymbol{w}}$的分量${w_i} = {\mathrm{sign}}({v_i})\max \{ {u_i} - \theta ,0\} $。

利用上述投影方法，基于无穷范数约束和L₂范数约束的对抗攻击方法可以无障碍地拓展到其L₁范数约束形式。本文以经典的MI-FGSM为例介绍其拓展方法。MI-FGSM原始更新规则描述为

式中：${{\boldsymbol{g}}_t}$为前t次迭代中累加的梯度，μ为动量系数，α为每次迭代时使用梯度符号对样本更新的步长。$ {\mathrm{Cli}}{{\mathrm{p}}}_{{\boldsymbol{x}},{\varepsilon }_{\infty }}\{ \cdot \} $为裁剪函数，能够保证生成的对抗样本符合${{\mathrm{L}}_\infty }$范数约束。MIFGSM的L₁范数约束形式只需将式(4)换成向L₁投影，即

完整的MI-L₁算法如算法1。

算法1　MI-L₁

输入　模型f，图片样本x，标记y，扰动${\varepsilon _1}$，步长α；默认参数：损失函数J为交叉熵，迭代步数T=10，动量系数$\mu = 1$。

输出　对抗样本${{\boldsymbol{x}}^*}$，满足${\left\| {{{\boldsymbol{x}}^*} - {\boldsymbol{x}}} \right\|_1} \leqslant {\varepsilon _1}$。

1) 初始化：${{\boldsymbol{g}}_0} = 0;{\boldsymbol{x}}_0^* = 0;$

2) 循环t=0至T−1：

3) 计算梯度${\boldsymbol{g}} = {\nabla _x}J\left( {{\boldsymbol{x}}_t^*,y} \right)$；

4) 更新动量${{\boldsymbol{g}}_{t + 1}} = \mu \cdot {{\boldsymbol{g}}_t} + \dfrac{{{\boldsymbol{g}}}}{{{\boldsymbol{g}}{_1}}}$；

5) 更新${\boldsymbol{x}}_{t + 1}^* = {\boldsymbol{x}}_t^* + \alpha \cdot {\mathrm{sign}}\left( {{{\boldsymbol{g}}_{t + 1}}} \right)$；

6) 向L₁范数球投影${\boldsymbol{x}}_{t + 1}^* = {P_{{\boldsymbol{x}},{\varepsilon _1}}}\left\{ {{\boldsymbol{x}}_{t + 1}^*} \right\}$。

图2给出了图1中甲虫图片在MI和MI-L₁产生对抗噪声的热力图和分布图，其中频数率指某类像素占像素总数的比例。向无穷范数球投影后绝大部分像素的变化都在最大值附近，对不同重要性的特征进行了无差别的处理；向L₁范数球投影后，噪声幅值分布较为分散，部分像素变化为零，部分像素变化值较大，一定程度上实现了特征的差异化处理。但目标区域和背景区域噪声差别并不明显，并没有使敏感的目标区域获得更大的改变而背景区域获得较小的改变。上述分析表明，L₁范数约束与梯度符号方法结合产生的特征选择效果不够明显，究其原因，可能是梯度符号方法使显著性不同的像素产生了相同的改变量，这些无差别的改变量在向L₁范数球投影过程中难以产生差别化作用，导致特征选择的效果没有充分显露。

图  2  对抗噪声分析

Fig.  2  Adversarial noise analysis

下载: 全尺寸图片

2.2   L₁-mask约束方法

为充分利用目标区域和背景区域所蕴含的信息量差异，本研究借鉴深度神经网络可解释性分析方法，对图片进行了显著性分析。图3为图片像素对ResNet-152模型的显著性分析。显著性图由各像素对损失函数求偏导数取绝对值后绘制，其中显著性计算方法为

图  3  显著性值分析

Fig.  3  Saliency analysis

下载: 全尺寸图片

该图显示模型对图片中的甲虫所在区域敏感，即甲虫所在区域像素点显著更高，而背景区域像素显著性低，对模型推理作用小；图3(c)为显著性值分布图，该图显示显著性值呈指数分布，即大部分像素显著性值在0附近，只有少数像素显著性较大，对模型推理贡献较大。

由上述分析可得，像素的显著性对特征选择提供了重要依据，即在采用L₁范数约束的同时，把显著性较低的像素遮盖(保持其不变)，并将有限扰动量分配给显著性高的像素，以降低背景区域的低效率改变，从而获得更好的攻击针对性。该方法称为L₁-mask约束方法。令m表示遮盖向量，其形状与输入图片相同，维度为H×W×C(高度×宽度×通道)，其元素q_i计算规则为

式中：τ为阈值，τ的大小由未被遮盖的像素所占比例$\lambda $确定，称之为mask系数。那么，基于L₁-mask约束的对抗攻击，更新公式只需要将式(5)替换为

该算法实现方法如算法2。

算法2　MI-L₁-mask

输入　模型f，图片样本x，标记y，扰动${\varepsilon _1}$，步长α，mask系数λ；默认参数：损失函数J为交叉熵，迭代步数T=10，动量系数$\mu = 1$。

输出　对抗样本${{\boldsymbol{x}}^*}$，满足${\left\| {{{\boldsymbol{x}}^*} - {\boldsymbol{x}}} \right\|_1} \leqslant {\varepsilon _1}$。

1) 初始化：${{\boldsymbol{g}}_0} = 0；{\boldsymbol{x}}_0^* = 0;$

2) 循环t=0至T–1：

3) 计算梯度${\boldsymbol{g}} = {\nabla _{\boldsymbol{x}}}J\left( {{\boldsymbol{x}}_t^*,y} \right)$；

4) 如果t=0：

5) 由式(6)计算显著性并排列${s_1} < {s_2} < \cdots < {s_d}$；

6) 计算阈值$ \tau ={s}_{d\times (1-\lambda )} $，d为输入图片维数；

7) 由式(7)计算m；

8) 更新动量${{\boldsymbol{g}}_{t + 1}} = \mu \cdot {{\boldsymbol{g}}_t} + \dfrac{{{\boldsymbol{g}}}}{{{\boldsymbol{g}}{_1}}}$；

9) 更新${\boldsymbol{x}}_{t + 1}^* = {\boldsymbol{x}}_t^* + \alpha \cdot {\mathrm{sign}}\left( {{{\boldsymbol{g}}_{t + 1}}} \right) \odot {\boldsymbol{m}}$；

10) 向L₁范数球投影${\boldsymbol{x}}_{t + 1}^* = {P_{x,{\varepsilon _1}}}\left\{ {{\boldsymbol{x}}_{t + 1}^*} \right\}$。

图4为甲虫图片经MI-L₁-mask算法生成的对抗样本进行噪声分析的情况。其中，图4(a)为各像素点扰动幅值热力图，图4(b)为各像素点扰动幅值分布图。由图4可知，背景区域像素未发生改变，说明L₁-mask约束能够有效过滤背景无用信息，使噪声更加集中地攻击目标区域，同时降低无效攻击对不可察觉性的影响。

图  4  L₁-mask约束的对抗噪声分析

Fig.  4  Noise analysis based on L₁-mask constraint method

下载: 全尺寸图片

3.   实验及分析

为验证L_∞、L₂、L₁、L₁-mask 4种约束方法对黑盒攻击不可察觉性及迁移性的影响，选取经典的MI-FGSM和APGD算法作为基准算法进行实验。对比实验可以无障碍拓展至PGD、FAB等其他基于梯度的对抗攻击算法，因篇幅限制在此不做赘述。

3.1   实验设置

数据集。按照对抗训练的通用做法，本文在ImageNet-Compatible数据集上验证不同约束方法的攻击效能。该数据集由1000张图片组成，每张图片的尺寸为299×299×3。

模型。本文选用5种卷积神经网络模型和1种视觉Transformer(vision Transformer, ViT)模型。其中，5种卷积神经网络模型分别是Inception-v3(Inc-v3)^[29]、GoogleNet^[30]、ResNet-152^[31]、VGG-16 ^[32]和 MobileNet-v2 (Mob-v2) ^[33]，它们采用torchvision库提供的模型框架和预训练参数；ViT模型选用Vit_base_patch16_224(ViT-B)^[34]，采用timm库提供的模型和预训练参数。本文以Inc-v3和ResNet-152为黑盒攻击替代模型，其余4种模型为黑盒攻击目标模型。

对比方法。本文以MI和APGD方法在L_∞、L₂、L₁、L₁-mask 4种约束下的表现为例，验证4种约束的效能，可以无障碍地推广至所有基于梯度的攻击方法。其中无穷范数约束方法参见文献[12]，L₂范数约束方法如算法3。

算法3　MI-L₂

输入　模型f，图片样本x，标记y，扰动$ {\varepsilon _2} $，步长α；默认参数：损失函数J为交叉熵，迭代步数T=10，动量系数$\mu = 1$。

输出　对抗样本${{\boldsymbol{x}}^*}$，满足${\left\| {{{\boldsymbol{x}}^*} - {\boldsymbol{x}}} \right\|_2} \leqslant {\varepsilon _2}$。

1) 初始化：${{\boldsymbol{g}}_0} = 0;{\boldsymbol{x}}_0^* = 0$；

2) 循环t=0至T−1：

3) 计算梯度${\boldsymbol{g}} = {\nabla _{\boldsymbol{x}}}J\left( {{\boldsymbol{x}}_t^*,y} \right)$；

4) 更新动量${{\boldsymbol{g}}_{t + 1}} = \mu \cdot {{\boldsymbol{g}}_t} + \dfrac{{{\boldsymbol{g}}}}{{{{\left\| {{\boldsymbol{g}}} \right\|}_1}}}$；

5) 更新${\boldsymbol{x}}_{t + 1}^* = {\boldsymbol{x}}_t^* + \alpha \cdot {\mathrm{sign}}\left( {{{\boldsymbol{g}}_{t + 1}}} \right)$；

6) 向L₂范数球投影${\boldsymbol{x}}_{t + 1}^* = {P_{{\boldsymbol{x}},{\varepsilon _2}}}\left\{ {{\boldsymbol{x}}_{t + 1}^*} \right\}$.

实现细节。在后续的实验研究中，所有实验均在PyTorch^[35]框架下编程完成；对抗攻击方法调用torchattacks^[36]库或在此基础上对约束方法进行改进；FID引用pytorch_fid库进行计算；所有实验在RTX 3060 GPU上完成。

评价标准。区分为迁移性和不可察觉性：迁移性采用黑盒攻击成功率R_AS(attack success rate, ASR)度量，ASR定义为

相同条件下ASR值越大迁移性越好，反之则说明迁移性越差。不可察觉性采用FID^[37]度量，FID值越小则说明不可察觉性越好，反之则越差。

3.2   参数设置

按照对抗攻击通常做法，本文迭代步数取10次。

1) 约束大小ε。为研究对抗攻击成功率与FID之间的关系(FID只能通过ε间接调节)，需要估计不同范数扰动值ε之间的对应关系，以使不同方法的FID在大致相当范围内变化，进一步研究约束方法对黑盒攻击成功率的影响。对于299×299×3的图片而言，以无穷范数为基准，讨论其他两类约束的对应范围：假设图片的每个像素都产生了一个单位变化，则对应的L₁范数变化约为$ 299\times 299\times 3\approx 27 \times 10^4 $；对应的L₂范数变化约为$ \sqrt {299 \times 299 \times 3} \approx 518 $，以此为依据设置约束值ε的变化范围，即：

2) 步长α。无穷范数采用torchattacks库中MI-FGSM默认的设置方法$\alpha = \dfrac{{{\varepsilon _\infty }}}{T} \times 2.5$。其中，T是迭代步数；2.5是步长系数，表示约40%的迭代次数在约束空间内部寻优，约60%的迭代次数在约束空间边界寻优。其他约束方式的步长系数用β表示。则对于L₂范数，有

对于L₁范数，有

由图5可知β₂=1.5，β₁=2时，综合性能最佳。对于L₁-mask，还有1个参数mask系数λ需要确定。显然，λ应与$ {\varepsilon _1} $正相关，步长α也应与$ {\varepsilon _1} $正相关，假设α和λ在各自变化区间内等比例增减。RGB图片所有像素在[0,255]变化，因为迭代步数T=10，假设α在[0,25.5]变化，mask的比例λ在[0,1]变化。显然，α和λ正相关，设λ=α/25.5，那么，

图  5  步长系数影响

Fig.  5  Influence of step size constraints

下载: 全尺寸图片

经求解得步长α的设置如表1所示。通过该关系，步长α、mask系数λ均可以由ε来表示，ε成为唯一的超参数，有效提升了实验效率。

3.3   实验结果及分析

3.3.1   基于MI的实验

表2给出了Inc-v3和ResNet-152作为替代模型时，4种约束方式ASR与FID关系。

根据表2的实验数据绘制ASR与FID关系图，如图6所示。从图中可以清晰地看到，在相同的FID情况下L₁-mask约束对抗攻击成功率最高，L₁次之，L₂再次之，L_∞最差。该结论与理论分析一致。

图  6  4种约束方式ASR与FID关系对比

Fig.  6  Comparison of ASR and FID among four constraints

下载: 全尺寸图片

用线性插值法计算ASR为30%、40%、50%、60%、69%时4种约束方法的平均FID(表3)。由表3可知，在相同ASR下，以无穷范数约束为参考，L₂方法的FID值下降了约3.7%，L₁方法的FID值下降了约5.7%，L₁-mask方法的FID值下降了约9.5%。实验数据证明了L₁方法和L₁-mask方法在改善不可察觉性方面的有效性。

图7给出选取3张图片和黑盒攻击成功率相当的对抗样本时，4种范数约束的不可察觉性差别对比。可以看出，无穷范数的图片背景噪声最大，不可察觉性最差，L₂范数约束其次，L₁范数再次，L₁-mask的图片背景噪声最小，不可察觉性最好，实验结果证明了提出的理论假设。

图  7  不同约束方式对抗样本实例

Fig.  7  Different constraint methods counteract sample instances

下载: 全尺寸图片

3.3.2   基于APGD的实验

为进一步验证L_∞、L₂、L₁、L₁-mask 4种约束方法对黑盒攻击不可察觉性及迁移性的影响，选取APGD为基准算法进行实验。其中APGD-L_∞、APGD-L₂的实验方法参见文献[18]，APGD-L₁、Autoattack-L₁的实现方法参见文献[22]，APGD-L₁-mask的实现方法为在APGD-L₁算法基础上加上式(6)～(8)。

实验结果如表4所示。该表给出了ResNet-152作为替代模型时，APGD算法4种约束方式及Autoattack-L₁的ASR与FID关系。

根据表4的实验数据绘制黑盒攻击成功率ASR与FID距离关系图，如图8所示。从图中可以清晰地看到，相同的FID情况下L₁-mask约束对抗攻击成功率最高，L₁次之，L₂再次之，L_∞最差；相比于Autoattack-L₁方法也有较大优势。该结果说明L₁-mask方法能够有效提升对抗攻击方法的不可察觉性和对抗攻击迁移性。

图  8  APGD算法4种约束方式ASR与FID关系对比

Fig.  8  Comparison of ASR and FID among four constraint methods of APGD

下载: 全尺寸图片

4.   结束语

本文提出了一种基于L₁范数约束的对抗攻击方法，并在此基础上通过显著性分析设计了基于L₁-mask约束的对抗攻击方法。通过实验证明，两种攻击方法在相同的黑盒攻击成功率下不可察觉性得到改善，性能优于基于无穷范数和L₂范数约束的对抗攻击方法。

在后续研究工作中，将在更大规模、更多样化的数据集上验证基于L₁范数及L₁-mask约束的对抗攻击算法的性能，同时考虑拓展至基于扩散模型的攻击方法上，以进一步探索和改进其适用性。

此外，L₁范数具有稀疏性，与基于L₀范数约束的稀疏对抗密切相关，将探索以L₁-mask约束替代L₀范数约束，提升稀疏对抗可求解性。

另外，约束优化问题大多可以通过罚函数方法转化为无约束优化问题，而后通过近端梯度方法进行求解。将探索把多种约束混合使用，而后转化为正则化问题进行求解，提升对抗攻击的综合效能。

最后，数据增广技术是一种有效提升对抗攻击性能的手段，拟通过向图片增加随机噪声的方法增加原始图片的丰富性，再通过求平均值的方法获得对抗样本。