基于图像边缘的语义对抗样本

方贤进，刘子豪，杨高明

(安徽理工大学计算机科学与工程学院，安徽 淮南 232001)

随着深度神经网络(Deep Neural Network，DNN)在各个领域应用性能的提升，神经网络的安全性问题逐渐引起人们的重视，在一些涉及隐私安全领域尤为关键[1]，对抗样本[2]8-10便是问题之一。对抗样本通过在原始图片上添加人为设计的扰动导致神经网络错误分类，同时添加的扰动难以用肉眼察觉，对于模型的危害程度较高。此外，对于对抗样本的研究可以帮助神经网络模型防御对抗攻击，提高模型的鲁棒性，对神经网络的可解释性研究同样有帮助。

传统的对抗攻击算法[3-5]8-10，23大多数使用范数作为对图片整体添加扰动的约束，其依靠单个像素扰动的数值较小而不易察觉。但最近的一些研究[6]表明，仅使用范数作为扰动的约束和度量与人眼的感知并不相符，因为使用范数作为度量并没有考虑图片中相邻像素的关系。例如，将扰动添加在背景纯色区域，即便微小的扰动也很容易被感知。还有一些研究[7-8]4，1 157通过区域的选择减少在图片上添加扰动的区域，即仅在图片部分重要的地方添加噪声，使生成的对抗样本具有语义性，但往往选择的区域均为实心区域，内部区域并没有细分。另外区域的选择受限于图片的复杂度以及算法性能，在观察中很难根据选择出的区域来判断图片的类别，进而表明当前划分区域的语义性不足。这两类对抗攻击对比如图1所示，最后一列将添加的噪声单独列出并进行放大使其更易于观察。从图1可以看出，与全局对抗攻击相比，语义对抗攻击减少了在背景区域添加的噪声，但整体噪声依然凌乱。因此，如果设计的扰动更细致并添加在不敏感的区域，可以使噪声不易察觉，具有更好的语义性。同时，在减少噪声区域让扰动难以发现后，可以提高扰动的幅度，使图片经过预处理后保留更多的扰动。

图1 全局和语义对抗攻击与本文提出的边缘攻击对比

针对以上问题，同时结合神经网络可解释性的研究[9]，神经网络分类由于依赖图片的材质纹理等低级局部特征，很难学习到物体形状的抽象特征，因此与人类的感知并不相符。本文借助神经网络对于纹理信息的依赖，将图片的边缘轮廓作为扰动的限定区域来约束全局的扰动，提出了基于梯度的边缘语义对抗攻击，使用传统的Canny算法[10]和基于神经网络的HED算法[11]对图像的边缘信息进行提取，并将提取的结果二值化后作为选择的局部掩码区域，最后将计算出的全局扰动与掩码图片结合实现对添加扰动的约束。从图1可以看出，本方法对噪声进行约束后使得添加的扰动明显少于之前的工作，同时添加扰动的位置更加有序。此外，本文利用了多个Transformer和CNN模型，比较这两类模型对于图像边缘识别能力的差异。

本节首先介绍本文中用到一些数学符号和函数的含义，使用f(·)表示用于分类的神经网络。对于给定的输入图片x及其标签y，根据对抗攻击算法计算出对抗样本xadv，并使得神经网络的分类结果与原始图片的结果不同，表示为f(x)≠f(xadv)，即模型出现误分类的情况。为了约束添加的扰动，使用L∞范数对对抗样本添加的扰动进行约束，使其满足‖xadv-x‖∞≤ε的约束条件，其中ε代表添加扰动的幅度。对于图片中超出表示范围的像素，使用Clip(x,-ε,ε)函数对图片的像素值进行限制，表示将所有像素的数值约束在[-ε,ε]范围内，防止其超出表示范围图片无法正常显示。

对抗样本的目标是最大化神经网络的损失函数并保持添加扰动满足约束条件，其定义通过公式(1)进行概括，其中J(xadv,y;θ)表示对抗样本在神经网络中对应的损失函数，θ表示神经网络的参数，s.t.是subject to的缩写，表示受约束的意思。根据对目标模型的结构和参数权重了解程度分为黑盒模型和白盒模型。白盒模型表示可以获取模型的结构参数，同时了解数据预处理策略，而黑盒模型无法获取模型的具体参数权重等信息。

(1)

1.1 基于梯度的全局对抗攻击

文献[3]3提出了反向传播的一阶梯度计算对抗样本扰动的FGSM算法，此算法实现简单且对白盒模型攻击效果显著，相比文献[2]5提出的使用L-BFGS算法简化了对抗样本的计算复杂度。其核心是计算出损失函数对于输入x的梯度作为扰动η，并与原始输入x相加使其与变量x的距离尽可能远，扰动的大小由ε控制，符号函数sign使大于0的输出为1，小于0的输出为-1，确保对于扰动的限制。

(2)

xadv=Clip(x+η,0,1)

(3)

文献[12]103提出多步迭代攻击I-FGSM改进FGSM单步攻击，提高攻击成功率，还表明对抗样本并不仅存在于虚拟数字世界，同样对现实世界产生威胁。

x0=x

(4)

文献[5]4提出的PGD攻击与文献[12]105的算法类似，在起始阶段采用随机开始的策略，即对原始图片添加高斯噪声后再进行迭代计算扰动，攻击成功率进一步提高。虽然其在白盒模型攻击的成功率上远高于FGSM算法，但其迁移性能力却出现下降。

在提出迭代攻击之后，文献[13]9 182认为PGD算法中每轮迭代中沿梯度符号的方向移动过大，容易陷入局部极值点，对于攻击的模型过拟合，降低了对抗样本的迁移性。为解决上述问题引入结合动量的迭代方式，将每轮迭代计算出的梯度进行累积来加速下降的速度，提出了MI-FGSM攻击

(5)

式中：gt表示前t轮累计的梯度；
μ用来控制累加的系数，当μ为0时的时候，MI-FGSM退化为迭代方式的FGSM算法。

由于在每轮迭代中梯度的大小不同，因此可选择将其除以自己的L1距离来实现归一化。该方法相比I-FGSM和FGSM算法提高了对抗样本的迁移性，意味着黑盒攻击的成功率得到了明显提升，但在实际观察中可以发现，基于MI-FGSM生成的扰动相比FGSM算法更容易察觉。除此之外，研究还表明结合多个模型来计算出的对抗样本同样也能提高迁移性。

除了结合动量来对迭代攻击进行改进，文献[14]提出NI-FGSM对MI-FGSM进行改进，改变原本计算梯度的位置

(6)

为提高黑盒模型攻击的迁移性，文献[15]2 730通过对图片按照一定的概率p进行随机变换并作为神经网络的输入生成对抗样本可以避免过拟合的情况。

(7)

式中：T(·)为变换函数表明会按照概率p对输入进行变换，其中包含对图片进行随机调整大小，并在图像的周围随机填充，可以视为一种数据增强的方式。

1.2 基于梯度的语义对抗攻击

基于全局的对抗样本攻击成功率和迁移性的不断提高，对于对抗样本是否可以被感知也引起了人们的关注。使用范数只考虑单个像素之间的差异并没有考虑局部，而人工设计的SSIM[16]图片相似度指标偏向于模糊处理图片和人眼真实的感知存在差异。针对以上问题，提出借助神经网络对图片进行特征提取最后计算图片的相似度，借助神经网络实现的相似度量与人眼感知更加契合。文献[17]用LPIPS图像感知相似度的度量指标对传统的范数指标进行替换，达到添加的扰动更不易察觉以及更具有语义性的效果。生成的扰动更加符合人眼的感知更具有语义性，更不易察觉，但却大幅提高了计算复杂性。

除了替换扰动的约束指标外，还有一些研究选择在更符合感知的色彩空间中计算扰动。文献[18]将图片从RGB色彩空间变换到HSV(Hue Saturation Value)色彩空间来缓解RGB色彩空间变换不均匀的问题。文献[19]提出将扰动的计算转移至CIELUV色彩空间中寻找。然而，这种方法添加的扰动仍是全局扰动，没有考虑到语义的区域选择，减少了噪点但会使图片出现色差。

另外一类直观的方式是通过限定添加扰动区域来约束扰动总量。文献[20]使用神经网络的显著图技术筛选出神经网络在图片识别中的敏感区域，保留在这个区域的扰动，通过约束扰动的区域来限制总量。文献[8]1152使用语义分割算法提取对观察者敏感的图片区域，只保留在此区域的扰动。文献[7]4采用显著目标检测提取图片的前景区域，将其作为二值掩码与全局扰动进行结合。区域的选择减少了噪声在纯色区域出现的情况，同时选择的区域基本覆盖了图片的目标区域，保留的扰动仍然可以干扰模型分类，其对抗样本效果如图1的语义对抗样本所示，减少对于背景区域添加的扰动。但该方法选择区域为实心区域，对于物体的内部区域并没有更细致的划分，很难根据实心区域的形状来判断图片的类别，表明缺乏语义信息，区域的选择没有真正从人类观察者的视角出发。

2.1 图像边缘区域掩码的选择

首先以MNIST手写数字数据集为例，其包含了各个数字低像素的手写图片(见图2a)。对于这种复杂度较低的图片，具有明显的轮廓特征，边缘提取后的效果如图2右侧所示。在去除掉大部分像素后，虽然边缘图片与原始图片存在差异，但人眼依然可以轻松识别数字，表明提取出的边缘图片中包含足够的语义信息。基于此现象，假设边缘提取后的区域对于人类的识别具有重要的作用，同时若模型对于图片的识别依赖的特征与人类越接近，则对于这些区域扰动会更有效地干扰到模型。

(a)原始照片 (b)边缘提取后照片

本文分别采用Canny和HED两种算法提取图片的边缘信息作为掩码。首先采用Canny算法，由于图片中的噪声是灰度变化很大的区域，容易被识别为伪边缘，所以对图片进行降噪处理，使用高斯滤波使图像变得平滑，但也有可能增大边缘的宽度。在完成图像降噪后，通过计算图像梯度得到图片各个区域灰度变化的情况，灰度变换比较明显的区域即边缘。使用Sobel或者其他算子得到水平和垂直方向的梯度并进行合并，综合得到当前像素位置(m,n)的梯度公式(8)，并根据此计算出当前像素的梯度方向θ。

(8)

(9)

在得到各个像素点的梯度值和梯度方向后，对其进行非极大值抑制操作，去除不构成边缘的无关点。通过设定的valuemin和valuemax的阈值筛选。任何边缘的梯度大于valuemax，则被确定为边缘；
小于valuemin的则被确定为非边缘丢弃；
位于两个阈值间的为待分类边缘，最后基于连续性进行判断。

基于神经网络实现的HED边缘检测算法可以得到更具有语义信息的边缘图片，网络的输入为原始图片，输出为提取出边缘的图片。由于在网络不同深度的特征图片包含的纹理和边缘信息不同，HED算法将神经网络不同深度下的卷积层进行上采样后加权结合，实现了更好的检测效果。相较于Canny检测算法可以更好地提取出更多的纹理特征，同时提取的图片线条具有深浅，两种边缘提取算法处理的结果如图3所示，虽然图片失去了颜色和大部分的像素信息，人眼对于HED算法提取后的边缘图片也可作出分类，进一步表明边缘图片中包含语义特征信息。并且HED算法提取到的边缘信息主要是主要物体的轮廓，对背景区域的关注较少，而Canny算法提取的图片更复杂，物体内部包含更多信息。综上，虽然Canny算法处理的图片包含了更多的纹理信息，但从人类角度HED算法得到的图片更利于识别。

图3 边缘提取算法处理效果图

在获取到不同算法提取的边缘图片后，将进一步使用几种主流的CNN模型和使用注意力机制的Transformer模型分别测试对于这种边缘图片的识别。比较这两类模型对于处于原始数据分布外的数据是否具有泛化的能力，同时检测模型是否学习到了在去除颜色后图片全局的抽象特征。

2.2 基于边缘的语义对抗样本

在分析了使用提取的边缘图片作为掩码区域的可行性后，进一步研究边缘语义对抗样本的生成流程。基于边缘语义对抗样本主要分为两部分，首先使用全局的对抗攻击算法得到在全图添加扰动的全局扰动，同时使用HED边缘提取算法获取边缘图片作为边缘掩码，按照设定的阈值对其进行二值化处理，得到最终的掩码图片。然后将全局扰动与掩码图片进行点乘运算保留在边缘区域的扰动，得到的边缘扰动会远少于之前的全局扰动。为了提高对抗样本的迁移性，在计算全局扰动前对原始图片采取数据增强的策略，将图片按照一定的概率进行旋转后传入神经网络进行计算，其整体流程图如下图4所示。从图4可以看出，经过与边缘掩码的结合后得到的边缘扰动具有自行车的形状，噪声分布在图片中主要物体的周围。本算法可以与当前基于梯度的全局对抗攻击进行结合，其算法流程图如下。

图4 边缘语义对抗样本生成流程图

算法1 ：Mask-R-FGSM算法

输入：包含n张图片的样本X=(x1,x2,…,xn)，对应的标签Y,每张图片对应的轮廓边缘区域的集合Xmask

参数：使用多个用于分类的神经网络f(x)，网络参数为θ。迭代的次数用N表示，旋转操作函数T，旋转变换的概率为p

室温下，分别用超纯水配制 50 mL200 ng·L-1的HHCB和AHTN溶液，分别投入0、20、40、80、160、240、320、400 mg·L-1不同用量的PAC，反应时间为120 min。不同PAC投加量对2种合成麝香去除率的影响如图5所示。

输出：生成的使用轮廓边缘进行区域约束的对抗样本集合Xadv

返回:生成的对抗样本集合Xadv

1:步长α=ε/10

2:累加梯度g0=0；
初始的对抗样本x0adv=x

3: forxiinXdo

9: end for

10: end for

3.1 数据集和测试模型

本文提出的攻击算法对图片语义信息区域进行划分，低分辨率的图片的图像质量较差，很难提取出有效的语义信息，因此对于图片的分辨率有一定的要求。基于此情况，使用NIPS2017对抗样本攻防竞赛的数据集，其数据类别与ImageNet数据集兼容，可以使用基于ImageNet的预训练模型对其进行识别，其中包含了1 000张缩放到299*299*3大小的图片用于评估对抗样本攻击的效果。

充分验证提出的攻击算法对于黑盒模型攻击的有效性，使用8个CNN模型，其中分为基础的神经网络inception-v3(Inc-v3)[21]、inception-v4(Inc-v4)、inception-Resnet-v2(IncRes-v2)[22]以及Resnet-V2-152(Res-152)，还有经过对抗训练后的鲁棒模型:Inc-v3ens、Inc-v4ens、IncRes-v2ens[23]来评估鲁棒模型的防御能力。选择当下两个流行的Transformer模型，即ViT[24]、Swin[25]两个模型与CNN模型对比，验证模型对于边缘图片的识别泛化能力。

3.2 对照算法和超参数设置

1)攻击算法结合 边缘对抗攻击与多个基于梯度的全局对抗攻击结合，其中包括NI-FGSM[14]4、MI-FGSM[13]9188、DIM[15]2729、TI-DIM、NI-TI-DIM攻击算法。与多种攻击算法结合后，分别记作MNI-FGSM、MMI-FGSM、MDIM、MTI-DIM、MNI-TI-DIM对抗攻击。

2)超参数设置 设置对抗攻击的扰动分别为ε=16，同时图片像素范围为[0,255]，动量的衰减率为u=1.0。关于DIM算法中随机变换操作的概率设置为p=0.7，图片旋转的角度范围参考[7]5设置为[-10°,10°]。关于TI-FGSM攻击，设置卷积核的大小为7*7。所有攻击的迭代次数N=20。对边缘提取得到的图片选择以10为阈值将掩码图片转换为二进制掩码图片，将所有大于10的像素值置为1，小于10的值置为0。

3.3 边缘对抗攻击改进效果验证

设计对抗样本的主要目标是使攻击的模型出现错误分类的情况，因此攻击成功率是衡量对抗样本效果的重要指标，等于模型对于数据集分类错误的比例。本文使用8个CNN模型来测试4种全局对抗攻击算法与本文策略结合的效果，借助CNN模型Inception-v3的分类结果和模型权重来生成对抗样本，对Inception-v3模型的攻击成功率来评估白盒模型的攻击效果，对其他CNN模型的攻击成功率来评估黑盒模型的迁移攻击效果。实验结果如表1所示，各行中加粗的名称代表本文改进的攻击算法。对白盒模型攻击成功率均在95%以上，但由于限制了扰动的区域减少了扰动，对于未经过对抗训练的模型的攻击成功率会下降。而经过对抗训练的鲁棒模型的攻击结果与普通模型相反，攻击成功率与全局对抗攻击相比均有提升，表明该算法攻击的区域对于鲁棒模型的判别依赖的区域更符合，提高了对抗样本的迁移性。同时本文算法与多种基于梯度的攻击算法相结合后对于鲁棒模型的攻击上均有小幅度的提升，验证了改进的普适性。通过分析可以发现，经过对抗训练得到的鲁棒模型对于选择语义区域的扰动更加敏感，表明鲁棒模型分类依靠的区域与人眼判别依赖更接近。

表1 边缘对抗攻击与全局对抗攻击成功率比较

3.4 扰动可感知性验证

在对抗样本攻击对于模型的攻击成功率接近的情况下，添加的扰动是否容易被感知同样是重要的度量指标。虽然攻击设定的单像素的最大扰动值一样，但不同算法扰动的像素比例不同，所以不同攻击算法扰动的可感知性存在差异，多种算法生成的对抗样本的细节对比如图5所示。通过对区域的放大可以看出，边缘对抗样本在背景区域添加的扰动远小于全局对抗样本和语义对抗样本，添加的噪声只出现在颜色变换明显的边缘区域，比背景上的噪声更不易察觉。

图5 对抗样本图片的细节放大对比

为了量化人眼对于生成对抗样本与原始图片相似度的判断，除了采用SSIM[16]6、PSNR以及L2、L1等传统度量指标外，还使用了基于神经网络训练的LPIPS的感知相似度来模拟人眼的感知。SSIM取值范围为[-1,1]，值越接近1表示两张图片越相似，PSNR数值越大表示图片质量越好，范数和LPIPS等指标越小图像相似度越好，多种全局对抗样本与本文对抗样本与原图的相似度比较结果如表2所示，其中各行中名称加粗的代表本文的边缘对抗攻击。在L2、L1范数的度量下边缘对抗样本添加的扰动与全局对抗样本相比减少了50%，另外SSIM和PSNR指标也有显著的改进，在LPIPS的感知相似度指标下有接近2倍的提升，从数值层面表明本文提出边缘对抗样本与原图更加相似，添加的扰动更难察觉。

表2 对抗样本与原始图片相似度比较

图6展示了原始图片与对抗样本的对比。可以看出，边缘对抗样本的显示效果优于全局对抗样本，在背景区域的噪点少于全局对抗样本，从人类观察者的视角来看更加难以察觉。

图6 边缘语义对抗样本与全局对抗样本对比图

3.5 两类模型对于边缘图片的识别

在探索了本文边缘对抗样本对于CNN模型的攻击效果之后，还测试了CNN和 Transformer的这两类模型对于边缘提取图片的分类准确率，研究选择的边缘图片是否包含足够的特征用于分类，实验结果如表3所示。后两行表示使用不同的算法得到的边缘图片在不同模型的分类准确率。在经过边缘提取操作后，图片失去了颜色信息和大量的纹理信息，与模型训练使用的原始数据集存在明显差异，考验模型的泛化能力。从表3中可以看出，选择的两类模型对干净样本的分类准确率接近，但对边缘图片的识别存在明显的差异。基于CNN的Inc-v3和对抗训练的鲁棒模型Inc-v3adv的模型识别准确率不到10%，而ViT和Swin模型的识别准确率是CNN模型准确率的2～4倍，Transformer模型的泛化性能明显优于CNN模型。不同边缘提取算法在Transformer模型的识别结果的差异也比CNN模型小。值得注意的是，Swin-Large模型对使用Canny算法提取的边缘图片的识别准确率高于使用HED算法。实验数据表明，Transformer模型对于原始数据集分布外的数据泛化性能更好，从新的角度验证了Transformer相较于CNN模型学习到了更加抽象的全局特征。值得注意的是，通过对抗训练也可以提升模型对于这类图片的识别能力，间接验证了经过对抗训练后的CNN鲁棒模型也学习到了图片的更抽象的全局特征。

表3 CNN与Transformer模型对于不同边缘图片识别准确率

本文提出了边缘语义对抗攻击，相较于其他的对抗攻击选择的扰动区域更具有语义性且面积更小，通过与多种全局对抗攻击的结合验证了算法的普适性。实验结果表明，在减少了添加扰动的基础上对于鲁棒模型攻击的成功率仍有提升，提高了对于黑盒模型的攻击迁移性。通过对攻击成功率的分析可以发现，与原始CNN模型相比，经过对抗训练的CNN模型在分类时依赖图片中物体的边缘区域，表明对抗训练的模型学习到全局特征，但更容易被本文的攻击算法攻击。从扰动可感知的量化指标来看，添加的边缘噪声远小于其他对抗攻击添加的全局噪声，显著减少了扰动的总量，体现了使用边缘掩码改进的有效性。本文还测试了CNN与Transformer这两类模型对于边缘图片的识别准确率。结果表明，两类模型虽然对于原始样本的分类准确率相近，但Transformer模型对于边缘图片的识别远高于CNN模型，从新的角度了验证了Transformer模型学习到了图片更全局的特征。同时，对抗训练后的CNN模型的准确率的提升，表明对抗训练可以提升CNN模型的泛化能力，从新的视角研究了对抗训练对CNN模型的影响。

与之前的全局对抗攻击相比，寻找出添加在图片局部的扰动更能体现出模型分类的特征偏好，提升神经网络的可解释性，同时使对抗样本更具有语义性不易察觉。在后续的工作中，将继续研究这种边缘特征对于模型分类的影响，探索模型对于边缘区域的特征依赖以及对模型泛化能力和鲁棒性的影响，同时基于Transformer模型与CNN模型的差异，从Transformer模型中借鉴对于这种全局特征的模块并迁移至CNN模型中，使CNN模型使用更多的全局的特征，进一步探索模型对对抗样本的防御能力。

猜你喜欢 全局扰动边缘 Cahn-Hilliard-Brinkman系统的全局吸引子数学物理学报(2022年4期)2022-08-22Bernoulli泛函上典则酉对合的扰动数学物理学报(2022年4期)2022-08-22量子Navier-Stokes方程弱解的全局存在性数学物理学报(2022年2期)2022-04-26一类四次扰动Liénard系统的极限环分支数学物理学报(2021年4期)2021-08-30带扰动块的细长旋成体背部绕流数值模拟北京航空航天大学学报(2021年7期)2021-08-13(h)性质及其扰动数学物理学报(2019年4期)2019-10-10落子山东，意在全局金桥(2018年4期)2018-09-26一张图看懂边缘计算通信产业报(2016年44期)2017-03-13新思路：牵一发动全局中国卫生(2014年5期)2014-11-10在边缘寻找自我雕塑(1999年2期)1999-06-28 相关热词搜索：语义，样本，对抗，