摘 要

随着深度学习的不断发展，图像分类在安保、交通以及金融等领域的应用日益广泛，恶意攻击引发的安全问题已经成为亟待解决的关键问题。目前，研究人员提出了“对抗样本”这一概念。通过在原有样本中添加微小扰动降低原有分类的准确率。对抗攻击的相关研究有助于完善分类模型攻击的防御方式。

本文在对卷积神经网络和对抗攻击相关概念进行介绍的基础上，按照扰动肉眼是否可见进行分类，对部分像素扰动攻击的代表方法JSMA、ONE-PIXEL、Adversarial Patch和LaVAN的攻击思想和基本数学原理进行研究。

在评估算力后，对雅可比映射攻击算法进行详细的数学原理分析。本文在LeNet-5上完成了针对MNIST数据集的JSMA算法攻击可行性验证实验，并对算法大量生成攻击样本成功率和扰动率以及数据集受攻击难易程度进行测试。实验结果表明算法在简单线性网络和LeNet网络上的攻击成功率分别可达到92%和80%，且每个样本平均仅修改了约5%的输入特征。同时，最大样本失真度需要根据网络和待攻击样本进行针对性测试寻找最优值，而网络非线性结构会降低算法攻击的成功率。最后，针对数据集受攻击难易程度的定性说明以期对抗攻击的防御研究工作做出解释。

关键词：对抗样本；部分像素扰动；JSMA算法；LeNet-5

Abstract

With the continuous development of deep learning, the application of image classification in the fields of security, transportation and finance is becoming more and more extensive. The security problems caused by malicious attacks have become the key problems to be solved urgently. At present, researchers have proposed the concept of "adversarial samples". The accuracy of the original classification is reduced by adding small disturbances to the original sample. The related research on countering attacks helps to improve the defense methods of the classification model attacks.

In this paper, based on the introduction of convolutional neural networks and related concepts of counterattacks, according to whether the perturbation is visible to the naked eye, the representative methods of some pixel perturbation attacks JSMA, ONE-PIXEL, Adversarial Patch and LaVAN attack ideas and basic math Principles are studied.

After evaluating the computing power, a detailed mathematical analysis of the Jacobian mapping attack algorithm is performed. In this paper, the feasibility verification experiment of the JSMA algorithm against the MNIST data set is completed on LeNet-5, and the success rate and disturbance rate of the large number of attack samples generated by the algorithm and the difficulty of attacking the data set are tested. Experimental results show that the attack success rate of the algorithm on simple linear network and LeNet network can reach 92% and 80% respectively, and each sample only modifies the input feature by about 5% on average. At the same time, the maximum sample distortion degree needs to be tested according to the network and the samples to be attacked to find the optimal value, and the network nonlinear structure will reduce the success rate of algorithm attacks. Finally, the qualitative description of the ease of attack on the data set is expected to explain the defense research work against attacks.

Key Words：adversarial samples; partial pixel disturbance; JSMA algorithm; LeNet-5

目 录

第1章 绪论 1

1.1 研究背景与意义 1

1.2 国内外研究现状 1

1.3 本文主要研究内容 2

第2章 基础理论与实验环境 3

2.1 卷积神经网络 3

2.1.1 卷积神经网络概述 3

2.1.2 LeNet-5 3

2.2 数据集 4

2.3 云平台 4

2.4 本章小结 4

第3章 部分像素扰动对抗样本生成技术 6

3.1 对抗攻击概述 6

3.1.1 对抗攻击的分类 6

3.1.2 对抗攻击的能力 6

3.2 对抗样本概述 7

3.2.1 对抗样本的定义 7

3.2.2 对抗样本生成技术的分类 7

3.3 部分像素扰动技术代表模型 7

3.3.1 肉眼不可见型 8

3.3.2 肉眼可见型 9

3.4 本章小结 10

第4章 部分像素扰动攻击图像样本的实现 11

4.1 JSMA算法详解 11

4.1.1 计算卷积神经网络的前向导数 11

4.1.2 构造对抗显著图 12

4.1.3 修改样本 14

4.2 JSMA的实验验证 14

4.3 本章小结 16

第5章 JSMA相关实验 17

5.1 生成大量对抗样本 17

5.1.1 改变最大失真度 17

5.1.2 改变网络 18

5.2 攻击难易程度分析 20

5.3 本章小结 21

第6章 总结与展望 22

6.1 该课题取得的成果 22

6.2 仍存在的不足与思考 22

参考文献 24

致 谢 26

第1章 绪论

1.1 研究背景与意义

在计算机视觉领域，深度学习优于传统的机器学习技术，图像分类是其中最突出的应用。图像分类问题是指研究给定输入图像并判断图像所属类别的问题。随着分类精度和识别速度的提高，金融、交通和医学等领域纷纷进行创新使用基于深度学习的图像分类算法使工作自动化，如自动驾驶中的路况识别系统^[1]、视频监控中的目标识别系统^[2]、金融支付中的人脸识别系统^[3]等。。

(a)路况识别 (b) 人脸识别支付