验证码^[1]的全称为全自动区分计算机和人类的图灵测试(Completely Automated Public Turing test to tell Computers and Humans Apart, CAPTCHA)，是目前大多数网站或应用程序注册和登录的安全机制。随着技术的进步，各式各样的验证码被提出并实现，包括基于文本识别任务^[2]、图像标注任务^[3]、音频交互任务^[4]、游戏交互^[5]任务等。与其他类型验证码相比，基于文本的验证码，即字符型验证码，在设计上考虑到了人类的视觉特点，非常适合人类用户的阅读和填写，因其具有易于理解的特性和对用户友好的特点，被广泛应用于当前的互联网人机交互验证中。

一个好的验证码方案的特点很简单：人类容易识别，而机器无法识别^[6]。如何在增强验证码方案安全性的同时提高用户友好性，是本文研究的重点，也是当前验证码安全方案研究领域的重大挑战。

在第1类研究中，研究人员往往是通过添加遮挡线、添加噪声、扭曲字符等方式来增加文本验证码的安全性。通过字符变形扭曲来提高文本验证码的安全性最早可以追溯到2003年的一篇由Luis等合著的文献中^[1]，该文提出了使用“填字游戏”作为验证码的想法，并通过对字符进行扭曲和变形来提高其安全性，以防止自动化攻击和垃圾邮件的泛滥，这篇论文被认为是验证码技术的开山之作。在此之后，陆续有更多的研究者使用此类方法为提高文本验证码的安全性做出了贡献。例如，Bursztein等^[7]在对7种不同类型的传统文本验证码进行攻击测试后提出通过增加扰动、颜色、旋转、变形等方式来对验证码的安全性做出改进。由于起源较早，可以将此类方法生成的文本验证码称为传统的文本验证码。图1(a) 展示了一些传统文本验证码的样例，从图中可以观察到这些传统文本验证码中过多的遮挡线和过于严重的字符变形在提高了安全性的同时也给人类用户制造了难题，对用户体验产生负面影响，可能将人类拒之门外，这违背了验证码设计的初衷。为了设计出既满足安全性又充分友好的文本验证码，研究人员提出了第2类对文本验证码安全性的探究，即对抗性文本验证码。

在第2类研究中，研究人员基于原始的验证码图像，通过引入对抗因子对图像添加对抗扰动^[8]，以生成对抗性文本验证码。对抗扰动不同于背景噪声，它是一种人为生成的微小扰动向量^[9]，能够欺骗深度学习攻击模型，使得识别模型产生错误的分类结果，由此来提高文本验证码的安全性。2015年Goodfellow等^[9]首次将对抗样本引入到机器学习领域，但其主要的研究方向并不是文本验证码，而是将对抗学习应用于图像分类任务中。他们提出了一种新的对抗学习方法用以生成对抗性样本，并揭示了深度学习模型的漏洞和脆弱性。此外，该方法展示了即使只加入微小的扰动，也能够使得深度学习模型的准确率显著下降，这种成功应用在图像领域的对抗学习方法，启示了学者在文本验证码领域的探索和改进。随后，Shi等^[10]和Kwon等^[11]基于先进的扰动算法提出了对抗性验证码生成框架，包括基于快速梯度符号算法(Fast Gradient Sign Method, FGSM)^[9]、迭代的快速梯度符号算法(Iterative FGSM, I-FGSM)^[12]和基于雅可比矩阵的显著性图攻击算法(Jacobian-based Saliency Map Attack, JSMA)^[13]等。他们通过对验证码图像添加对抗扰动来愚弄攻击模型，且生成的验证码图像与传统的文本验证码相比，有着更高的安全性。图1(b)展示了一些先前工作生成的对抗性文本验证码样例，从中可以发现，由于引入的扰动因子没有得到充分的控制，所生成的验证码图像同样会对人类用户识别造成额外的干扰。由此可见，控制好扰动因子是生成安全且易用的对抗性文本验证码的关键。Zheng等^[14]在使用扰动算法的基础上对用户行为进行了分析，加入了合理的概率模型，根据概率选择将普通的或者强度高的验证码传递给用户，但由于模型依赖于特定的扰动算法进行训练，生成的图像容易被先进的攻击者模型识别。

为了解决上述问题，本文提出了一种带随机化策略的扰动优化框架，用以生成文本验证码图像(Perturbation Optimization Network with Randomization for Text-based CAPTCHAs Generation, PORG)。该方法生成的文本验证码图像可以较好地平衡安全性和用户友好性。具体来说，本文从两个方面入手，首先，本文设计了一个带有随机策略的扰动生成网络(Perturbation Generation Network, PGN)，利用先进的扰动算法创建更为丰富多样的扰动因子，使得攻击模型难以摸清图像规律，有效防止生成的验证码图像被特定的攻击方法成功识别。其次，本文设计了一种扰动优化网络(Perturbation Optimization Network, PON) 来改善引入的扰动因子，综合考虑了验证码图像在粗粒度的全局特征和在细粒度的底层特征，使得优化后的文本验证码图像能够在有效抵御攻击者模型的同时保持高度的用户友好性。图1(c)展示了该方法生成的部分样例，从中可以看到所生成的验证码图像与原始验证码图像高度相似，且对人类用户比较友好。

本文的主要贡献总结如下：

(1) 设计了一个扰动生成网络(PGN)，基于多种先进的扰动方法构建丰富的扰动因子，采用随机化策略生成具有强鲁棒性的扰动验证码图像。

(2) 提出了一个扰动优化网络(PON)，通过扩展图像在特征级别的差距和缩小全局级别的距离来优化生成的文本验证码，使得生成的文本验证码在有效防御攻击者模型的同时保持用户友好性。

(3) 在8个真实世界的数据集上进行了大量的定量和定性实验，证明了所提出方法在文本验证码生成任务上的有效性和优越性。此外，还为8个网站提供了优化后的验证码生成解决方案。

1 方法介绍 1.1 框架概述

本文提出的PORG框架如图2所示，主要由扰动生成网络(PGN)和扰动优化网络(PON)组成。其中，PGN引入多种高级扰动方法以构建丰富的扰动因子，并设计随机化策略以生成多样化的扰动图像。此外，PON模块负责提取图像全局特征和底层特征以优化PGN模块生成的扰动图像，帮助所生成的图像有效抵御攻击者模型，同时保持用户友好性。

1.2 扰动生成网络

现有的对抗性验证码生成方法通常使用特定的方法生成验证码图像，这些图像很容易被高级攻击者模型识别。为了解决这个问题，PGN采用了基于高级扰动方法的随机化策略来生成丰富的扰动验证码，具体网络细节如图3所示。本文将PGN分为2个子模块，即通用生成网络和随机化策略。

1.2.1 通用生成网络

通用生成网络总结了一种验证码图像的扰动生成策略。给定原始图像 $ {\boldsymbol{I}}_{\mathrm{o}} $ 和相应的标签 $ {\boldsymbol{L}}_{\mathrm{o}} $，本网络利用CNN (Convolutional Neural Networks) 提取验证码图像的特征图并将其输入到全连接层以将特征维度降低至 $ {d}_{\mathrm{m}} $。验证码原始特征 $ \boldsymbol{C}\in {\mathbf{R}}^{{d}_{\mathrm{m}}} $ 的提取过程可以表示为式(1) 。

$ \boldsymbol{C}=\sigma ({\boldsymbol{W}}_{\mathrm{c}}\cdot \mathrm{C}\mathrm{N}\mathrm{N}({\boldsymbol{I}}_{\mathrm{o}}\left) \right) $

(1)

式中：$ \mathrm{C}\mathrm{N}\mathrm{N}(\cdot ) $ 为卷积神经网络结构，$ {\boldsymbol{W}}_{\mathrm{c}} $ 为全连接层的权重矩阵，$ \sigma (\cdot ) $ 为所使用的激活函数。

随后，将原始特征 $ \boldsymbol{C} $ 输入到Bi-LSTM (Bi-directional Long Short-Term Memory)^[15]模型中以计算特征中每个元素的隐藏状态，并拼接序列计算结果中前向和后向的最终隐藏层状态，从而得到序列特征 $ {\boldsymbol{F}}_{\mathrm{s}}\in {\mathbf{R}}^{2*{d}_{\mathrm{m}}} $。紧接着，$ {\boldsymbol{F}}_{\mathrm{s}} $ 经过全连接层传递计算得到原始图像的目标标签特征 $ {\boldsymbol{F}}_{\mathrm{t}}\in {\mathbf{R}}^{\mathrm{n}\mathrm{u}\mathrm{m}} $ ，其中符号 $ \mathrm{n}\mathrm{u}\mathrm{m} $ 是验证码识别结果中可能出现的字符数。具体的处理过程可以表示为式(2)和(3)。

$ {\boldsymbol{F}}_{\mathrm{s}}={\mathrm{L}\mathrm{S}\mathrm{T}\mathrm{M}}_{\mathrm{b}}\left(\boldsymbol{C}\right) $

(2)

$ {\boldsymbol{F}}_{\mathrm{t}}=\sigma ({\boldsymbol{W}}_{\mathrm{s}}\cdot {\boldsymbol{F}}_{\mathrm{s}}) $

(3)

式中：$ {\mathrm{L}\mathrm{S}\mathrm{T}\mathrm{M}}_{\mathrm{b}}(\cdot ) $ 为Bi-LSTM模型，$ {\boldsymbol{W}}_{\mathrm{s}} $ 为全连接层的权重矩阵，$ \sigma (\cdot ) $ 为使用的激活函数。

最后，通过解码 $ {\boldsymbol{L}}_{\mathrm{o}} $ 以获取原始标签特征 $ {\boldsymbol{F}}_{\mathrm{o}}\in {\mathbf{R}}^{\mathrm{n}\mathrm{u}\mathrm{m}} $，并计算原始标签特征 $ {\boldsymbol{F}}_{\mathrm{o}} $ 和目标标签特征 $ {\boldsymbol{F}}_{\mathrm{t}} $ 之间的损失值。基于该损失值，本文通过梯度反向传播算法对 $ {\boldsymbol{I}}_{\mathrm{o}} $ 进行计算以得到初步的图像扰动因子 $ {\boldsymbol{P}}_{\mathrm{p}} $。上述处理过程可以表示为式(4)和(5)。

$ {\boldsymbol{F}}_{\mathrm{o}}=\mathrm{d}\mathrm{e}\mathrm{c}\mathrm{o}\mathrm{d}\mathrm{e}\left({\boldsymbol{L}}_{\mathrm{o}}\right) $

(4)

$ {\boldsymbol{P}}_{\mathrm{p}}={\nabla }_{{\boldsymbol{I}}_{\mathrm{o}}}{\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{c}}({\boldsymbol{F}}_{\mathrm{o}},{\boldsymbol{F}}_{\mathrm{t}}) $

(5)

式中：$ \mathrm{d}\mathrm{e}\mathrm{c}\mathrm{o}\mathrm{d}\mathrm{e}(\cdot ) $ 为解码器，将原始图像标签转化为便于 $ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{c}} $ 进行损失计算的特征表示，$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{c}} $ 为用于衡量2个标签特征相似性的损失函数。$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{c}} $ 的详细内容见第1.4节。

1.2.2 随机化策略

随机化策略旨在确保所生成的图像扰动因子 $ {\boldsymbol{P}}_{\mathrm{p}} $ 可以充分吸收多种高级扰动算法的特性，这使得图像扰动因子的模式更为丰富。高级扰动算法的集合可以表示为 $ \mathrm{M}\mathrm{S}=[{M}_{1},{M}_{2},\cdot \cdot \cdot ,{M}_{n}] $，$ n $ 表示集合中的方法数量，本模块从 $ \mathrm{M}\mathrm{S} $ 中随机选择多个方法作为随机化策略的基本方法，使用通用生成网络计算每个扰动方法与原始输入之间的损失差异，进而选择最合适的损失结果以生成最终的图像扰动因子 $ {\boldsymbol{P}}_{\mathrm{r}} $ 及扰动验证码图像 $ {\boldsymbol{I}}_{\mathrm{p}} $。具体的随机化处理过程如式(6)、(7)所示。

$ {\boldsymbol{P}}_{\mathrm{r}}=\underset{i\in n}{\mathrm{max}}\mathrm{R}\mathrm{a}\mathrm{n}\mathrm{d}\mathrm{o}\mathrm{m}({\mathrm{C}\mathrm{G}\mathrm{N}(M}_{i},{\boldsymbol{I}}_{\mathrm{o}},{\boldsymbol{L}}_{\mathrm{o}}) ) $

(6)

$ {\boldsymbol{I}}_{\mathrm{p}}={\boldsymbol{I}}_{\mathrm{o}}+{\boldsymbol{P}}_{\mathrm{r}} $

(7)

式中：$ \mathrm{R}\mathrm{a}\mathrm{n}\mathrm{d}\mathrm{o}\mathrm{m}(\cdot ) $ 为随机化策略，$ \mathrm{C}\mathrm{G}\mathrm{N}\left(\cdot \right) $ 为通用生成网络。

所提出的扰动生成网络(PGN)模块的过程如算法1所示。

算法1　扰动生成网络(PGN)模块算法

1) 输入：原始图像 $ {{\boldsymbol{I}}_{\mathrm{o}} }$，原始标签 $ {{\boldsymbol{L}}_{\mathrm{o}} }$，高级扰动算法的集合 $ {\mathrm{M}\mathrm{S} }$

2) 初始化；

　(a) $ {{\boldsymbol{I}}_{\mathrm{p}}\leftarrow {\boldsymbol{I}}_{\mathrm{o}} }$

　(b) ${ \mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}\leftarrow 0 }$

　(c) for number of training iterations do

　(d) 　for $ {{M}_{i}} $ in $ {\mathrm{M}\mathrm{S}} $ do

　(e) 　　${ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{i}=\mathrm{C}\mathrm{T}\mathrm{C}\left({M}_{i}\right({\boldsymbol{I}}_{\mathrm{p}},{\boldsymbol{L}}_{\mathrm{o}}\left) \right) }$

　(f) 　　${ \mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}=\mathrm{m}\mathrm{a}\mathrm{x}(\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s},{\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{i})} $

　(g) 　end for

　(h) 　$ {{\boldsymbol{P}}_{\mathrm{p}}\leftarrow \Delta \mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s} }$

　(i) 　$ {{\boldsymbol{I}}_{\mathrm{p}}\leftarrow {\boldsymbol{I}}_{\mathrm{p}}+{\boldsymbol{P}}_{\mathrm{p}} }$

　(j) end for

3) 输出：扰动图像 $ {{\boldsymbol{I}}_{\mathrm{p}} }$

1.3 扰动优化网络

现有方法所生成的验证码图像在有效提高安全性的同时也带来了模糊及噪声过多等干扰问题，这些干扰项对于人眼的识别十分不友好。因此，本文设计了扰动优化网络(PON)模块，通过在特征级别上扩大间距并在全局级别上缩小距离的方式来优化生成的验证码图像，使生成的验证码图像既可以保持人类友好性，又可以有效地对抗攻击者模型。PON模块可以划分为编码网络和全局网络两个子模块，具体的结构如图4所示。

1.3.1 编码网络

编码网络模块旨在提取原始图像 $ {\boldsymbol{I}}_{\mathrm{o}} $ 和扰动图像 $ {\boldsymbol{I}}_{\mathrm{p}} $ 的底层特征。以原始图像为例，本文使用VGG-19 (Visual Geometry Group 19) ^[16]提取图像的视觉特征，并将这些特征输入到全连接层以将维度降低至 $ {d}_{\mathrm{a}} $。所提取的视觉特征表示为 $ {\boldsymbol{V}}_{\mathrm{o}}\in {\mathbf{R}}^{{\mathrm{d}}_{\mathrm{a}}} $，提取处理操作如式(8) 所示。

$ {\boldsymbol{V}}_{\mathrm{o}}=\sigma ({\boldsymbol{W}}_{\mathrm{v}}\cdot \mathrm{V}\mathrm{G}\mathrm{G}({\boldsymbol{I}}_{\mathrm{o}}\left) \right) $

(8)

式中：$ \mathrm{V}\mathrm{G}\mathrm{G}(\cdot ) $ 为预训练的VGG-19^[16]模型，$ {\boldsymbol{W}}_{\mathrm{v}} $ 为全连接层的权重矩阵，$ \sigma (\cdot ) $ 为使用的激活函数。

随后，为了进一步对齐图像之间的特征级别差异，本文使用共享参数的投影结构将提取的视觉特征投影到共享特征空间中。

最终原始图像的底层特征 $ {\boldsymbol{O}}_{\mathrm{f}} $ 可以通过式(9)得到：

$ {\boldsymbol{O}}_{\mathrm{f}}={\boldsymbol{W}}_{2}\cdot \sigma ({\boldsymbol{W}}_{1}\cdot {\boldsymbol{V}}_{\mathrm{o}}) $

(9)

式中：$ {\boldsymbol{W}}_{1} $、$ {\boldsymbol{W}}_{2} $ 为全连接层的权重矩阵，$ \sigma (\cdot ) $ 为使用的激活函数。

相应地，扰动图像的视觉特征 $ {\boldsymbol{V}}_{\mathrm{p}} $和底层特征 $ {\boldsymbol{P}}_{\mathrm{f}} $ 可按以下方法计算：

$ {\boldsymbol{V}}_{\mathrm{p}}=\sigma ({\boldsymbol{W}}_{\mathrm{v}}\cdot \mathrm{V}\mathrm{G}\mathrm{G}({\boldsymbol{I}}_{\mathrm{p}}\left) \right) $

(10)

$ {\boldsymbol{P}}_{\mathrm{f}}={\boldsymbol{W}}_{2}\cdot \sigma ({\boldsymbol{W}}_{1}\cdot {\boldsymbol{V}}_{\mathrm{p}}) $

(11)

1.3.2 全局网络

给定原始图像 $ {\boldsymbol{I}}_{\mathrm{o}} $ 和扰动图像 $ {\boldsymbol{I}}_{\mathrm{p}} $，本文设计了全局网络模块来提取所输入图像的全局性特征。全局网络在设计上采用了卷积核大小为$ 1 \times 1 $ 的特殊卷积处理和平均池化操作，分别提取2种图像类型的全局级别特征。

以原始图像 $ {\boldsymbol{I}}_{\mathrm{o}} $ 为例，全局特征提取处理可以表示为

$ {\boldsymbol{P}}_{\mathrm{g}}=\sigma ({\boldsymbol{W}}_{\mathrm{g}}\cdot \mathrm{A}\mathrm{v}\mathrm{g}\mathrm{P}\mathrm{o}\mathrm{o}\mathrm{l}({\mathrm{C}\mathrm{N}\mathrm{N}}_{1*1}\left({\boldsymbol{I}}_{\mathrm{p}}\right) \left) \right) $

(13)

最后，扰动生成优化网络(PON)模块利用两种图像的底层特征 $ {\boldsymbol{O}}_{\mathrm{f}} $ 和 $ {\boldsymbol{P}}_{\mathrm{f}} $ 计算图像之间的特征级别损失，并通过全局特征 $ {\boldsymbol{O}}_{\mathrm{g}} $ 和 $ {\boldsymbol{P}}_{\mathrm{g}} $ 计算两者之间的全局级别差异。

基于特征级别和全局级别的损失差异结果在扰动图像 $ {\boldsymbol{I}}_{\mathrm{p}} $ 上进行梯度反向传播计算从而得到最终的扰动因子 $ \boldsymbol{P} $。此过程可以表示为

$ \boldsymbol{P}={\nabla }_{{\boldsymbol{I}}_{\mathrm{p}}}\left({\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{f}}\right({\boldsymbol{O}}_{\mathrm{f}},{\boldsymbol{P}}_{\mathrm{f}}) +{\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{g}}({\boldsymbol{O}}_{\mathrm{g}},{\boldsymbol{P}}_{\mathrm{g}},{\boldsymbol{I}}_{\mathrm{o}},{\boldsymbol{I}}_{\mathrm{p}}) ) $

(14)

$ {\boldsymbol{I}}_{\mathrm{t}}={\boldsymbol{I}}_{\mathrm{o}}+\boldsymbol{P} $

(15)

式中：$ {\boldsymbol{I}}_{\mathrm{t}} $ 为PORG的图像优化处理结果，$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{f}} $ 为用于衡量图像特征级别相似性的损失函数，$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{g}} $ 为用于衡量图像全局级别相似性的损失函数，有关损失函数 $ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{f}} $ 和 $ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{g}} $ 的细节可以参见第1.4节。

1.4 损失函数

在损失函数方面，本文利用Connectionist Temporal Classification (CTC)损失函数生成初步的扰动图像，并设计了特征级别的损失函数和全局级别的损失函数以优化所生成的图像。

1.4.1 Connectionist Temporal Classification (CTC)

CTC^[17]是一种用于序列分类问题的神经网络技术，在本文中被应用于扰动图像的生成，它可以处理连续空间中的标签序列，计算连续原始序列和目标序列之间的差异，进而产生可微分的损失值。

1.4.2 特征损失函数

特征损失函数旨在最大化原始图像和生成图像之间在特征级别上的差距，从而保证攻击者模型无法有效识别验证码的标签内容。

给定两种图像的底层特征 $ {\boldsymbol{O}}_{\mathrm{f}} $ 和 $ {\boldsymbol{P}}_{\mathrm{f}} $，特征损失函数的计算可以表示为

$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{f}}({\boldsymbol{O}}_{\mathrm{f}},{\boldsymbol{P}}_{\mathrm{f}}) =\mathrm{c}\mathrm{l}\mathrm{a}\mathrm{m}\mathrm{p}\left({\mathrm{c}\mathrm{o}\mathrm{s}}_{{\rm{s}}}\right({\boldsymbol{O}}_{\mathrm{f}},{\boldsymbol{P}}_{\mathrm{f}}) ,\alpha ) $

(16)

式中：$ \mathrm{c}\mathrm{l}\mathrm{a}\mathrm{m}\mathrm{p}(\cdot ) $ 为一个约束函数，将损失值限制在适当的范围内，$ {\mathrm{c}\mathrm{o}\mathrm{s}}_{{\rm{s}}}(\cdot ) $ 为余弦相似度函数，$ \alpha $ 为对应的超参数。

1.4.3 全局损失函数

全局损失函数旨在最小化原始图像和生成图像在全局级别上的距离，确保人眼可以有效地识别出文本验证码内容，保证所生成图像的用户友好性。

全局损失函数 $ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{g}} $ 主要由3部分组成，分别为全局特征损失 $ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{f}} $、内容损失 $ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{c}} $ 和风格损失 $ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{s}} $，损失的计算过程可以表示为

$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{f}}=\mathrm{M}\mathrm{S}\mathrm{E}({\boldsymbol{O}}_{\mathrm{g}},{\boldsymbol{P}}_{\mathrm{g}}) $

(17)

$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{c}}={‖{\boldsymbol{I}}_{\mathrm{o}}-{\boldsymbol{I}}_{\mathrm{p}}‖}_{\mathrm{F}}^{2}*\beta $

(18)

$ {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{s}}=\mathrm{M}\mathrm{S}\mathrm{E}\left(\mathrm{G}\mathrm{r}\mathrm{a}\mathrm{m}\right({\boldsymbol{I}}_{\mathrm{o}}) -\mathrm{G}\mathrm{r}\mathrm{a}\mathrm{m}({\boldsymbol{I}}_{\mathrm{p}}\left) \right) $

(19)

$ \begin{split} {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{g}} \left({\boldsymbol{O}}_{\mathrm{g}},{\boldsymbol{P}}_{\mathrm{g}},{\boldsymbol{I}}_{\mathrm{o}},{\boldsymbol{I}}_{\mathrm{p}}\right) =&{\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{f}}\left({\boldsymbol{O}}_{\mathrm{g}},{\boldsymbol{P}}_{\mathrm{g}}\right) + {\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{c}}\left({\boldsymbol{I}}_{\mathrm{o}},{\boldsymbol{I}}_{\mathrm{p}}\right) + \\ &{\mathrm{L}\mathrm{o}\mathrm{s}\mathrm{s}}_{\mathrm{s}}({\boldsymbol{I}}_{\mathrm{o}},{\boldsymbol{I}}_{\mathrm{p}}) \end{split} $

(20)

式中：$ \mathrm{M}\mathrm{S}\mathrm{E}(\cdot ) $ 为均方误差，$ \mathrm{G}\mathrm{r}\mathrm{a}\mathrm{m}(\cdot ) $ 用于计算图像的Gram矩阵^[18]，$ \beta $ 为对应的超参数。

2 实验设计

为了验证所提出方法(PORG)的有效性，本文在8个真实世界数据集上进行了一系列实验，并从验证码识别准确率以及人眼视觉效果两方面对所提出方法(PORG)以及基线方法进行了全面的评估。本章主要介绍实验的相关细节。

2.1 数据集

本文从8个访问量较大的真实世界网站中收集了2595张验证码图像作为数据集，包括CET、CNKI、Gdgov、Gohimall、Jxfw、NRA、NSFC和Weibo。

(1) CET验证码数据集采集自全国大学英语考试系统，共包含104张验证码图像，数据样本由大小写字母组成，较为简单容易识别。

(2) CNKI数据集采集自中国知网，共计510 张验证码图像。该数据集由字母或数字组成，其中包含了一些常见的验证码干扰处理方法，如字符粘附、线性噪声等。

(3) Gdgov数据集采集自广东省身份认证平台，共包含108张验证码图像。该数据集使用的验证码采用字符比例变化法。

(4) Gohimall数据集采集自大型购物网站，包含100张验证码图像，具有点噪声和局部失真的特点。

(5) Jxfw数据集采集自广东工业大学教务系统，验证码图像具备字符扭曲的特点，在本实验中共计采集了585张图像。

(6) NRA数据集采集自国家铁路局网站，包含109 张验证码图像。数据集图像内容主要由数字字符组成，图像处理方法主要包括干扰背景和变换字符颜色的方法。

(7) NSFC数据集采集自国家自然科学基金系统，共计102张验证码图像。该数据集背景干净，且字符颜色单一。

(8) Weibo数据集收集自微博在线网站。该数据集具有适度失真或黏附的特征，在本实验中采集超过了 977 张图像。

2.2 评价指标

研究文本验证码的生成任务需要遵循验证码方案的设计初衷，故在评估模型生成的文本验证码图像时，除了评价安全性，还需要对用户友好性进行评估。为了更全面地评估所提出方法的有效性和优越性，本文采用了定量评估和定性评估两种方法。

在衡量安全性方面，本文使用了定量评估的方法，主要采用攻击模型的识别准确率作为评价指标，即文本验证码图像被攻击模型正确识别的比例，在相同的实验条件下这个数值越大，说明文本验证码图像被攻击模型成功破解的概率越高，相应的安全性也就越差。本文使用两个先进的攻击模型对原始验证码图像和生成的验证码图像分别进行攻击，得到原始图像的攻击准确率 $ {{A}}_{\mathrm{o}} $ 和生成图像的攻击准确率 $ {{A}}_{\mathrm{t}} $，对比分析2种准确率数据可以得出模型的安全性性能。

在评估友好性方面，本文同时使用了定量评估和定性评估的方法。在定量评估中主要采用人类用户对验证码图像的识别准确率作为评价指标，即文本验证码图像被人类用户正确识别的比例，在相同的实验条件下这个数值越大，说明文本验证码图像被人类正确处理的可能性越高。在定性评估中主要采用人类用户对生成验证码图像与原始验证码图像的相似度评价作为指标，该实验在亚马逊众包平台(Amazon Mechanical Turk, AMT) 邀请了600名志愿者，每位志愿者都将收到特定组数的图像相似度对比问卷。通过该实验可以得到志愿者们对PORG生成的文本验证码的友好性评价数据，进而分析所生成图像的用户友好性。

2.3 基线方法模型

本文使用先进的识别模型CTC (Connectionist Temporal Classification) ^[17]和ResNet (Residual Network) ^[19]作为攻击者，并选取了6种先进的扰动算法模型进行对比实验，包括GDM^[20]、FGM^[21]、FGSM^[9]、I-FGSM^[12]、MI-FGSM^[22]和JSMA^[13]。

GDM (Gradient Descent Method) ^[20]是一种针对深度神经网络的攻击方法。该方法通过反向传播算法获取输入图像的梯度，并根据梯度生成扰动向量，以此来欺骗模型进行错误分类。

FGM (Fast Gradient Method) ^[21]是一种基于梯度的对抗攻击方法。该方法通过计算损失函数关于输入图像的梯度，来生成扰动向量以欺骗模型。

FGSM (Fast Gradient Sign Method) ^[9]设计了一种更加简单有效的对抗攻击方式，通过计算模型对输入图像的梯度，使用符号函数得到其特定的梯度方向，并乘以一个步长，最后将得到的扰动向量添加到原始输入上，生成对抗样本。

I-FGSM (Iterative FGSM) ^[12]是在FGSM方法的基础上改进的一种迭代式对抗攻击方法，它可以利用小步长多次应用FGSM的步骤，在每个步骤之后裁剪中间结果的像素值以确保它们在原始图像的邻域内，从而生成更具迁移性的对抗样本。

MI-FGSM (Momentum-based Iterative FGSM) ^[22]在I-FGSM方法的基础上，引入了动量项，使得攻击过程中更新的方向更稳定，同时避免陷入局部极值点，从而生成更具迁移性的对抗样本。

JSMA (Jacobian-based Saliency Map Attack) ^[13]是一种基于深度神经网络输入输出映射的对抗攻击方法，通过限制扰动向量的范数来生成对抗样本，以此来快速干扰模型的分类行为。

2.4 实验设置

本文提出的文本验证码生成模型基于Pytorch框架实现，同时为提高模型训练的效率和速度，实验依托的服务器资源为NVIDIA RTX 3090 GPU(24 GB内存)。在模型训练过程中，将学习率设置为 $ 2 \times {10}^{-4} $，训练的迭代次数为100次，同时采用Adam优化器，动量设置为0.5，损失函数中使用的超参数 $ \alpha $ 设置为0，$ \beta $设置为0.1。

3 实验结果与分析 3.1 整体方法性能分析

表1总结了所提出的PORG方法在8个数据集上的性能，从中可以得出以下观察结果：(1) 与原始图像相比，PORG生成的验证码图像的识别准确率均有所下降。虽然不同的数据集在不同的识别模型中准确率不同，但准确率的降幅都超过50%。(2) 本文所提出的PORG方法获得了良好的性能，这主要归功于扰动生成网络(PGN)利用随机化策略生成了多样化的扰动因子，以及扰动优化网络(PON)通过扩大图像在特征级别上的差距且缩小图像在全局级别上的距离有效优化了所生成的扰动图像。

3.2 扰动优化网络性能分析

为了评估扰动优化网络(PON)模块对验证码图像的优化效果，该实验将每种基线方法的原始性能同经过PON模块优化后的性能结果进行比较。从表2中可以看出，经过PON模块处理后，扰动方法对比原始处理均有了更低的识别准确率，这说明提出的扰动优化网络模块可以扩大验证码图像在特征级别上的差距，有效地增加了识别模型的攻击难度。

3.3 生成图像效果对比分析

为了对比PORG与基线方法在不同数据集上的视觉效果，图5汇总了基线方法和本文提出的PORG方法在8个实验数据集上的验证码生成示例，从中可以观察到：(1) 基线对抗方法所生成的图像有明显的噪声，并且在视觉效果上与原始图像的差异较大。例如，在NSFC和Weibo数据集中，FGM^[21]方法生成图像的颜色由于扰动而发生改变，严重影响了人类的识别。(2) PORG生成的验证码图像在视觉上看起来与原始图像非常相似，同原始验证码图像一样容易被人类用户识别，保证了用户友好。

3.4 人工测评分析

为了评估本研究提出的PORG框架生成的文本验证码图像的视觉效果，在搜集到的8个现实世界数据集中随机选择了168组文本验证码图像，并从亚马逊众包平台(Amazon Mechanical Turk，AMT)招募了600名志愿者对每组图像的视觉相似性和识别结果进行评估。图6和表3分别总结了相似性分布和人类识别的准确率，从中可以发现：(1) 86.04%的志愿者认为本文提出的PORG框架生成的扰动文本验证码图像与原始图像高度相似。(2) 原始图像和生成的图像之间的识别准确率差异很小。(3) 实验结果表明，PORG生成的验证码与原始验证码高度相似，对人类具有很高的用户友好性，能够被人类用户成功识别。

3.5 消融实验分析

本文所提出的PORG框架由PGN和PON两个模块组成，为了研究各个模块在框架中所带来的提升，本文逐步拆解框架的各个部分进行消融实验。这里将不包含PON模块的PORG表示为PORG_PON，将不包含任何模块的PORG表示为PORG_CLEAN，表4总结了 PORG 不同变体的性能，从中有以下观察结果。(1) 包含所有组件的PORG在所有数据集上均获得了最佳性能，证明了每个模块的重要性。(2)与PORG_CLEAN相比，PORG_PON的攻击成功率有所降低。原因在于PGN模块不仅采用对抗方式增加了图像的扰动，而且采用随机化策略丰富了扰动因子，大大增加了攻击模型的识别难度，提高了安全性。

4 结论

本文提出了一种带有随机化策略的扰动优化框架PORG，用于生成文本型验证码，较好地平衡了生成验证码的安全性和用户友好性。该框架设计了一种扰动生成网络(PGN)，结合先进的扰动方法和随机化策略以生成了多样化的扰动因子，有效地防御识别模型的攻击。同时，本文设计了一种扰动优化模块(PON)，分别从特征级别和全局级别对所生成成的图像进行优化处理，使其所生成的图像扰动因子更不易被人类察觉。本文在8个验证码数据集进行了充分的实验评估，所生成的文本型验证码相较之前的工作在提升用户友好性的同时表现出更低的识别准确率，证明了所提出的框架模型的优越性。