章 進(jìn)，李 琦

(南京郵電大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南京 210023)

0 引 言

目前，深度學(xué)習(xí)在許多領(lǐng)域取得了迅猛的發(fā)展。例如：機(jī)器視覺(jué)[1-2]、語(yǔ)音識(shí)別[3]、自然語(yǔ)言處理[4]、惡意軟件檢測(cè)[5]等，甚至一度超過(guò)了人類(lèi)的水平。但是神經(jīng)網(wǎng)絡(luò)與其他系統(tǒng)一樣存在安全性和魯棒性的問(wèn)題。通過(guò)添加一些精心設(shè)計(jì)的噪聲到圖片上，可以使得深度神經(jīng)網(wǎng)絡(luò)給出置信度非常高的錯(cuò)誤的預(yù)測(cè)，然而這些噪聲對(duì)于人類(lèi)來(lái)說(shuō)是不可見(jiàn)的。添加了這些噪聲的圖片就稱(chēng)之為對(duì)抗樣本[6]，對(duì)應(yīng)的攻擊稱(chēng)之為對(duì)抗攻擊。在實(shí)際生活中，深度學(xué)習(xí)的部署需要較高的安全性，例如人臉識(shí)別[7]、自動(dòng)駕駛[8-9]等，因此研究強(qiáng)有力的對(duì)抗攻擊算法，對(duì)于理解深度網(wǎng)絡(luò)內(nèi)在的脆弱性，進(jìn)一步提升模型的魯棒性和安全性就變得非常有意義。

在探索深度學(xué)習(xí)可解釋性的過(guò)程中，Christian Szegedy等人[6]提出了對(duì)抗樣本(adversarial examples)的概念，即在數(shù)據(jù)集中通過(guò)添加細(xì)微的擾動(dòng)所形成的輸入樣本，將導(dǎo)致模型以高置信度給出一個(gè)錯(cuò)誤的輸出。他們發(fā)現(xiàn)許多深度學(xué)習(xí)模型，包括卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural network，CNN)對(duì)于對(duì)抗樣本都具有極高的脆弱性。同時(shí)，對(duì)抗樣本具有遷移性，很多情況下，在訓(xùn)練集的不同子集上訓(xùn)練得到的網(wǎng)絡(luò)架構(gòu)不同的模型都會(huì)對(duì)同一個(gè)對(duì)抗樣本做出錯(cuò)誤的分類(lèi)。根據(jù)目標(biāo)模型的架構(gòu)和參數(shù)是否已知可以將對(duì)抗攻擊分為：白盒攻擊和黑盒攻擊。最近幾年，有許多的攻擊算法相繼提出，其中主要的是基于梯度的攻擊算法。這些算法可以被進(jìn)一步地劃分為單步的和多步的。Goodfellow等人[10]指出神經(jīng)網(wǎng)絡(luò)對(duì)對(duì)抗樣本表現(xiàn)脆弱性的原因是神經(jīng)網(wǎng)絡(luò)的線(xiàn)性性，與早期所認(rèn)為的非線(xiàn)性和過(guò)擬合有所不同，并提出了一種快速生成對(duì)抗樣本的方法(fast gradient sign method，F(xiàn)GSM)，這個(gè)算法是單步的并且具有較高的遷移性。Kurakin等人[11]將FGSM進(jìn)一步改進(jìn)，提出了多步的迭代版本的FGSM(iterative fast gradient sign method，I-FGSM)，這個(gè)算法進(jìn)一步提升了白盒攻擊的成功率，但是對(duì)于目標(biāo)模型產(chǎn)生了過(guò)擬合，遷移性較差。為了進(jìn)一步提升攻擊成功率和遷移性，Dong等人[12]將動(dòng)量引入到I-FGSM，提出了(momentum iterative fast gradient sign method，MI-FGSM)算法。該算法可以有效避免震蕩，穩(wěn)定對(duì)抗樣本更新方向，加速逼近最優(yōu)值。之后，Jiadong Lin等人[13]認(rèn)為MI-FGSM算法使得梯度不斷累積，無(wú)限制加速，可能會(huì)錯(cuò)過(guò)最優(yōu)值，將Nesterov集成到了MI-FGSM，提出了(Nesterov-momentum iterative fast gradient sign method，NI-FGSM)算法。該算法在每次對(duì)抗樣本更新的時(shí)候粗略地估算下一次的位置，達(dá)到及時(shí)減速的目的，來(lái)避免梯度更新的太快。

由于之前的對(duì)抗樣本生成算法可能會(huì)陷入局部最優(yōu)值的情況，需要一種方法來(lái)有效地評(píng)估樣本的梯度。Sundararajan等人[14]認(rèn)為對(duì)于非線(xiàn)性深度網(wǎng)絡(luò)，輸入對(duì)于輸出的梯度很容易飽和，導(dǎo)致一個(gè)重要的輸入可能會(huì)有一個(gè)很小的梯度，并提出積分梯度(integrated gradients)這一算法。該算法通過(guò)在數(shù)據(jù)點(diǎn)周?chē)g隔小范圍的均勻采樣，并對(duì)這些采樣的數(shù)據(jù)進(jìn)行梯度計(jì)算，最后將這些梯度進(jìn)行累加，用來(lái)表示當(dāng)前樣本的梯度。用這個(gè)集成的梯度更好地捕獲了輸入對(duì)于輸出的重要性。受到這種方法的啟發(fā)，該文將間隔小范圍的均勻采樣變?yōu)榘凑臻g隔指數(shù)增長(zhǎng)范圍進(jìn)行采樣，從而避免采樣次數(shù)過(guò)多所帶來(lái)的計(jì)算消耗和大量無(wú)用的相似樣本采樣。同時(shí)，將采樣的樣本用于損失函數(shù)的計(jì)算，這樣做不僅考慮了原始樣本的損失同樣考慮了當(dāng)前樣本線(xiàn)性比例上的損失，可以看作是在當(dāng)前樣本上的損失的一個(gè)集成，將其稱(chēng)之為積分損失(integrated loss)。在此基礎(chǔ)上提出了積分損失快速梯度符號(hào)法(integrated loss fast gradient sign method，IL-FGSM)。該算法利用積分損失作為優(yōu)化的目標(biāo)函數(shù)，一定程度上避免了梯度飽和的情況，從而更好地達(dá)到全局最優(yōu)值。實(shí)驗(yàn)結(jié)果表明，IL-FGSM效果較好，相比于基線(xiàn)方法提升了10%～20%的攻擊成功率。

1 相關(guān)知識(shí)

1.1 符號(hào)說(shuō)明

神經(jīng)網(wǎng)絡(luò)是一個(gè)函數(shù)F(x)=y，接受一個(gè)輸入x∈Rn，產(chǎn)生一個(gè)輸出y∈Rm。模型F也隱式地包含一些模型參數(shù)θ。該文重點(diǎn)研究了用作m類(lèi)分類(lèi)器的神經(jīng)網(wǎng)絡(luò)。使用softmax函數(shù)計(jì)算網(wǎng)絡(luò)的輸出，該函數(shù)確保輸出向量y滿(mǎn)足0≤yi≤1，y1+…+ym=1。因此，輸出向量y被視為概率分布，即yi被視為輸入x具有類(lèi)別i的概率。分類(lèi)器將C(x)=argmaxF(x)i作為輸入x的標(biāo)簽。設(shè)C*(x)為x的正確標(biāo)簽。softmax函數(shù)的輸入稱(chēng)為logits。定義F為包含softmax函數(shù)的全連接神經(jīng)網(wǎng)絡(luò)，Z(x)=z為除了softmax之外的所有層的輸出，所以z為softmax的輸入，即logits，則：

F(x)=softmax(Z(x))=y

1.2 對(duì)抗樣本

Szegedy等人[6]首先指出了對(duì)抗樣本的存在：給定有效的輸入x和目標(biāo)t≠C*(x)，通?？梢哉业筋?lèi)似的輸入x'，使得C(x')=t，但x，x'根據(jù)某種距離度量是接近的。樣本x'具有這個(gè)屬性被稱(chēng)為有目標(biāo)的對(duì)抗樣本。相反是無(wú)目標(biāo)的對(duì)抗樣本,只尋找輸入x'，滿(mǎn)足C(x')≠C(x)，并且x，x'很接近，而不是將x分類(lèi)為給定的目標(biāo)類(lèi)別。因此，無(wú)目標(biāo)攻擊比起有目標(biāo)攻擊實(shí)施起來(lái)更加容易。

2 白盒攻擊算法

研究者們提出了許多的方法來(lái)生成對(duì)抗樣本，這里進(jìn)行一個(gè)簡(jiǎn)要的介紹。

2.1 I-FGSM & PGD

由于FGSM是在梯度的符號(hào)方向上進(jìn)行一次的單個(gè)步長(zhǎng)ε的擾動(dòng)，更新生成的對(duì)抗樣本擾動(dòng)強(qiáng)度較大，Kurakin等人[11]提出了基礎(chǔ)迭代法I-FGSM。該算法采用多個(gè)較小的步長(zhǎng)α更新優(yōu)化擾動(dòng)強(qiáng)度，同時(shí)將結(jié)果裁剪到約束范圍ε，產(chǎn)生的對(duì)抗樣本攻擊能力更強(qiáng)。

Madry等人[15]提出了梯度投影下降方法(projected gradient descent，PGD)，一個(gè)更強(qiáng)的FGSM方法的變種，主要思想是在更新對(duì)抗樣本前，使用一個(gè)隨機(jī)的起點(diǎn)作為對(duì)抗樣本的初始值。

2.2 MI-FGSM & NI-FGSM

為了解決I-FGSM的遷移性較差的問(wèn)題，Yong等人[12]提出了動(dòng)量迭代快速梯度符號(hào)法(MI-FGSM)。該方法將動(dòng)量項(xiàng)加入到攻擊的過(guò)程中，來(lái)穩(wěn)定的更新方向，避免了迭代過(guò)程中可能出現(xiàn)的梯度更新震蕩和落入較差的局部最優(yōu)值。更新步驟類(lèi)似于I-FGSM，替換的公式如下：

其中，μ是動(dòng)量項(xiàng)衰減因子，通常設(shè)置為1；g0=0，gn是第n次的搜集的梯度。

Lin等人[13]利用Nesterov來(lái)加速梯度下降并穩(wěn)定梯度更新方向，在每次計(jì)算梯度前，提前使用下一次的對(duì)抗樣本作為當(dāng)前對(duì)抗樣本，提出了NI-FGSM算法，公式如下：

2.3 DIM & TIM

Xie等人[16]將輸入多樣性加入對(duì)抗樣本的生成過(guò)程，進(jìn)一步改善了對(duì)抗樣本的遷移性，提出了DIM(diverse input method)算法。DIM的更新步驟和I-FGSM相似，具有如下的替換：

其中，p是概率值，表示有p的概率使用這個(gè)隨機(jī)變換函數(shù)，p的概率保持原始的輸入。這樣做的目的是為了在不減少白盒攻擊成功率的情況下，進(jìn)一步提升黑盒攻擊的成功率。通常設(shè)置p=0.5。

他們又將DIM和MI-FGSM整合到一起提出了M-DI2-FGSM，直覺(jué)上，動(dòng)量和多樣性輸入是兩個(gè)完全不同的方式來(lái)緩解過(guò)擬合的現(xiàn)象，通過(guò)將它們自然地結(jié)合到一起形成一個(gè)更強(qiáng)的攻擊。總體上的更新過(guò)程和MI-FGSM相似，其中梯度的更新替換如下：

由于DIM是在單個(gè)樣本上進(jìn)行的優(yōu)化擾動(dòng)，Dong等人[17]在計(jì)算當(dāng)前對(duì)抗樣本時(shí)，對(duì)該樣本進(jìn)行一系列的圖像變換操作，形成一個(gè)表示當(dāng)前對(duì)抗樣本的集合，用該集合來(lái)優(yōu)化對(duì)抗擾動(dòng)，由于計(jì)算效率的原因，他們進(jìn)一步提出了TIM(translation-invariant method)。具體的，通過(guò)將沒(méi)有變換的原始圖片和一個(gè)內(nèi)核矩陣(通常為高斯核)進(jìn)行卷積操作，對(duì)梯度進(jìn)行高斯模糊，以此來(lái)增加對(duì)抗樣本的魯棒性。DIM和TIM都是增加對(duì)抗樣本遷移性的方法，通過(guò)將這兩個(gè)方法結(jié)合到一起是目前有效的增加對(duì)抗樣本遷移性的方法。

3 IL-FGSM & ENS-IL-FGSM

這里首先介紹積分梯度的概念，然后給出所提方法IL-FGSM的定義。

3.1 Integrated Gradients

為了有效評(píng)估模型輸入對(duì)于輸出的梯度，Sundararajan等人[14]提出了積分梯度(integrated gradients)這一算法。該算法初始時(shí)輸入一個(gè)零排列的矩陣，隨后讓輸入數(shù)據(jù)逐步向測(cè)試的目標(biāo)數(shù)據(jù)轉(zhuǎn)變，以此通過(guò)模型輸出的變化反過(guò)來(lái)研究輸入對(duì)于輸出的影響，有效估計(jì)了模型輸入對(duì)于輸出的影響程度，一定程度上避免了輸入對(duì)于輸出的過(guò)飽和情況。具體的公式如下：

Xbaseline在他們的設(shè)置中，對(duì)于圖片是純黑的圖片，對(duì)于文本數(shù)據(jù)是全為零的嵌入向量。s是估計(jì)X的積分梯度需要計(jì)算的采樣總數(shù)。

3.2 IL-FGSM

基于積分梯度算法，提出了積分損失快速梯度符號(hào)法IL-FGSM。該算法將積分損失(integrated loss)作為它的損失函數(shù)，替換了原本的對(duì)抗樣本生成算法中的單一的損失，一定程度上避免由單一損失計(jì)算出來(lái)的梯度出現(xiàn)飽和的現(xiàn)象，更容易地估算出當(dāng)前樣本對(duì)于模型輸出的梯度，從而更好地達(dá)到全局最優(yōu)值。

具體的，在每次的迭代過(guò)程中，IL-FGSM依靠當(dāng)前樣本的積分損失來(lái)更新輸入的圖片：

3.3 ENS-IL-FGSM

同時(shí)攻擊多個(gè)模型，稱(chēng)為集成攻擊。與攻擊單個(gè)模型相比，同時(shí)攻擊多個(gè)模型，可以顯著提高對(duì)抗樣本的遷移性。集成攻擊的思想十分直觀，如果一個(gè)對(duì)抗樣本能同時(shí)攻擊多個(gè)模型，那么它很可能對(duì)其他模型仍具有攻擊性。

采用攻擊多個(gè)模型的logits集成，由于logits捕捉概率預(yù)測(cè)之間的對(duì)數(shù)關(guān)系，因此由logits融合的模型集合匯集了所有模型的精細(xì)細(xì)節(jié)輸出，這些模型的脆弱性很容易被發(fā)現(xiàn)。具體的，攻擊K個(gè)模型：

L(X,y;θ)=-1y·log(softmax(Z(x)))

其中，-1y是標(biāo)簽y的one-hot編碼的向量。將攻擊多個(gè)模型的策略集成到提出的方法IL-FGSM，并命名為ENS-IL-FGSM(ensemble integrated loss fast gradient sign method)。相較于IL-FGSM，ENS-IL-FGSM具有如下的替換：

4 實(shí) 驗(yàn)

通過(guò)實(shí)驗(yàn)來(lái)證明所提IL-FGSM方法和ENS-IL-FGSM的優(yōu)勢(shì)。首先，提供了實(shí)驗(yàn)的相關(guān)設(shè)置，然后，比較了積分損失的采樣策略，接著，分析了積分損失的采樣次數(shù)問(wèn)題。之后，將該方法和幾個(gè)基線(xiàn)方法在常規(guī)訓(xùn)練和對(duì)抗訓(xùn)練的模型上進(jìn)行了比較。最后，將增加對(duì)抗樣本遷移性的方法與該方法結(jié)合起來(lái)，與基線(xiàn)方法進(jìn)行了進(jìn)一步的比較。

4.1 設(shè) 置

數(shù)據(jù)集：攻擊一個(gè)不能將原始的圖片正確分類(lèi)的分類(lèi)器是沒(méi)有意義的，所以隨機(jī)選擇了ILSVRC2012驗(yàn)證集上的1 000張屬于1 000個(gè)類(lèi)別的圖片，這些圖片都可以被本實(shí)驗(yàn)的所有分類(lèi)器正確分類(lèi)。

網(wǎng)絡(luò)：考慮了7個(gè)模型，其中4個(gè)是常規(guī)訓(xùn)練的模型：Inception-v3(Inc-v3)[19],Inception-v4(Inc-v4),Inception-Resnet-v2(IncRes-v2)[20]和Resnet-v2-101(Res-101)[21]，3個(gè)是對(duì)抗訓(xùn)練的模型：Inc-v3-ens3，Inc-v3-ens4和IncRes-v3-ens[22]。

超參數(shù)：對(duì)于網(wǎng)絡(luò)的超參數(shù)，與Dong等人[12]的設(shè)置相同，最大的擾動(dòng)ε=16，迭代次數(shù)T=10，步長(zhǎng)α=1.6。對(duì)于MI-FGSM，采用默認(rèn)的衰減參數(shù)μ=1.0。對(duì)于DI-FGSM，變換概率p=0.5。對(duì)于TIM，采用高斯核，內(nèi)核大小設(shè)置為7×7。

4.2 均勻采樣OR指數(shù)采樣

在計(jì)算Integrated Loss的過(guò)程中，對(duì)于同一個(gè)樣本計(jì)算其IL損失，可以分為兩種方式：均勻采樣和指數(shù)采樣。均勻采樣指的是將樣本在全為零的黑色的圖片到該樣本空間等比例的進(jìn)行樣本的損失計(jì)算然后集成。指數(shù)采樣指的是將樣本在全為零的黑色的圖片到該樣本空間進(jìn)行間隔指數(shù)比例的樣本損失計(jì)算然后集成。

將IL-FGSM分別在這兩種采樣策略下進(jìn)行了比較。具體的，使用IL-FGSM在這兩種策略下，設(shè)置采樣次數(shù)都為5，攻擊常規(guī)訓(xùn)練的模型，這些模型包括(Inc-v3，Inc-v4，IncRes-v2和Res-101)。如表 1所示，可以看出均勻采樣和指數(shù)采樣幾乎具有相同的攻擊用時(shí)，但是指數(shù)采樣的攻擊成功率平均要比均勻采樣高出5%～10%。因?yàn)榫鶆虿蓸?，每次采樣間隔的距離較近，導(dǎo)致了大量相似樣本的計(jì)算，所以攻擊成功率偏低。因此，綜合攻擊用時(shí)和攻擊成功率，選擇指數(shù)采樣作為計(jì)算Integrated Loss的一種采樣策略。

表1 單個(gè)模型設(shè)置下，使用均勻采樣和指數(shù)采樣攻擊七個(gè)模型的攻擊成功率(*表示白盒攻擊) %

4.3 采樣次數(shù)

合理的采樣次數(shù)可以提供更好的梯度方向并且使計(jì)算變得更加高效。因此，研究了不同采樣次數(shù)s的影響。使用Inc-v3生成對(duì)抗樣本攻擊Inc-v3，Inc-v4，IncRes-v2，Res-101，使用的采樣次數(shù)從1到8。圖 1顯示了不同采樣次數(shù)的攻擊成功率，可以看出攻擊成功率隨著采樣次數(shù)的增加而不斷改善，在采樣次數(shù)為5時(shí)，所有模型都獲得了較高的成功率，5之后攻擊成功率上升的相對(duì)平緩，所以綜合計(jì)算消耗和攻擊成功率的影響，選擇采樣次數(shù)為5。

圖1 不同采樣次數(shù)的攻擊成功率

4.4 攻擊單個(gè)模型

在這個(gè)部分，將IL-FGSM和其他的黑盒攻擊方法(I-FGSM,MI-FGSM,NI-FGSM)進(jìn)行比較，攻擊單個(gè)模型。如表2所示，文中方法改善了所有的基線(xiàn)方法的攻擊成功率。一般的，IL-FGSM和其他基線(xiàn)方法一樣都具有幾乎100%的白盒攻擊成功率，在黑盒攻擊上，文中方法超過(guò)了基線(xiàn)攻擊10%～20%。表明這些高級(jí)的對(duì)抗訓(xùn)練的模型在黑盒攻擊IL-FGSM攻擊下只是提供了微弱的防護(hù)。同樣的可以觀看到，使用的白盒模型的結(jié)構(gòu)越復(fù)雜，生成的對(duì)抗樣本的遷移性越好。

表2 單個(gè)模型設(shè)置下，攻擊七個(gè)模型的攻擊成功率(*表示白盒攻擊) %

4.5 攻擊集成模型

集成方法在研究中被廣泛地采用來(lái)增加模型的表現(xiàn)和魯棒性。集成的思想同樣也可以用到對(duì)抗攻擊上，因?yàn)槿绻粋€(gè)對(duì)抗樣本對(duì)于多個(gè)模型都是對(duì)抗的，那么它很有可能捕獲到了內(nèi)在的對(duì)抗方向，并且更容易在同一時(shí)間遷移到其他模型上，從而進(jìn)一步提升黑盒的攻擊成功率。目前，有三個(gè)常用的集成策略：logits集成、預(yù)測(cè)集成、損失集成，其中l(wèi)ogits集成被認(rèn)為是有效的集成策略。

考慮用IL-FGSM的集成模型算法ENS-IL-FGSM同時(shí)攻擊多個(gè)模型在logits上的集成。具體的，使用(FGSM，MI-FGSM，NI-FGSM，ENS-IL-FGSM)攻擊常規(guī)訓(xùn)練的模型集合，這些模型包括(Inc-v3，Inc-v4，IncRes-v2和Res-101),并將它們的權(quán)重設(shè)置為相等的。

如表3所示，與攻擊單個(gè)模型相比，攻擊集成的模型，在保持白盒攻擊成功率的情況下，明顯改善了黑盒攻擊的成功率，并且文中方法在保持較高的白盒攻擊的同時(shí)，在黑盒攻擊上超過(guò)了基線(xiàn)攻擊10%～20%。表明這些高級(jí)的對(duì)抗訓(xùn)練的模型在黑盒攻擊ENS-IL-FGSM的攻擊下只是提供了微弱的防護(hù)。

表3 集成模型設(shè)置下，攻擊七個(gè)模型的攻擊成功率(*表示白盒攻擊) %

為了進(jìn)一步提升IL-FGSM的黑盒攻擊成功率，將改善樣本遷移性的方法DIM和TIM集成到文中方法中。具體的，將它們與FGSM，MI-FGSM，NI-FGSM，IL-FGSM進(jìn)行了集成，并進(jìn)行了進(jìn)一步的比較。如表4所示，IL-FGSM集成了DIM和TIM，在保持較高白盒攻擊成功率的同時(shí)，在黑盒攻擊上達(dá)到了70%～85%的攻擊成功率，這個(gè)效果堪比白盒攻擊。

表4 集成模型設(shè)置下，集成DIM和TIM方法，攻擊七個(gè)模型的攻擊成功率(*表示白盒攻擊) %

4.6 攻擊用時(shí)分析

衡量一個(gè)對(duì)抗樣本生成算法的好壞，不僅要考慮這個(gè)算法的攻擊成功率，還要考慮這個(gè)算法的時(shí)間復(fù)雜度，也就是攻擊所用時(shí)間。在這個(gè)部分，將IL-FGSM和其他的黑盒攻擊方法(I-FGSM，MI-FGSM，NI-FGSM)在攻擊用時(shí)方面進(jìn)行比較。如表5所示，IL-FGSM在攻擊用時(shí)方面比其他基線(xiàn)方法平均多出4倍的用時(shí)。因?yàn)镮L-FGSM使用Integrated Loss作為它的損失函數(shù)，相比于其他基線(xiàn)方法，對(duì)于每一個(gè)樣本只計(jì)算了一次損失，IL-FGSM計(jì)算了這個(gè)樣本的線(xiàn)性比例損失的集成，所以相對(duì)的用時(shí)較多。

表5 單個(gè)模型設(shè)置下，四個(gè)方法的攻擊用時(shí) s

5 結(jié)束語(yǔ)

對(duì)抗樣本的存在嚴(yán)重威脅到深度學(xué)習(xí)在眾多安全領(lǐng)域的運(yùn)用，因此對(duì)抗樣本生成算法也成了當(dāng)下研究的熱點(diǎn)。該文提出了一種新的方法，積分損失快速梯度符號(hào)法IL-FGSM。該方法利用了輸入的間隔指數(shù)范圍采樣的損失函數(shù)的集成來(lái)更新對(duì)抗樣本，與單個(gè)損失函數(shù)的更新相比，使用了當(dāng)前輸入樣本的積分損失來(lái)更新當(dāng)前的對(duì)抗樣本，這可以更好地避免梯度出現(xiàn)飽和的情況，引導(dǎo)梯度在全局最優(yōu)的方向上更新。實(shí)驗(yàn)結(jié)果表明，IL-FGSM不僅提高了白盒攻擊的成功率也提高了黑盒攻擊的成功率。除此之外，將增加樣本遷移性的方法DIM和TIM集成到了該方法，進(jìn)一步提升了黑盒攻擊的成功率。實(shí)驗(yàn)顯示IL-FGSM提升了基線(xiàn)攻擊10%～20%的攻擊成功率。與基線(xiàn)方法相比，該方法生成了更強(qiáng)的對(duì)抗樣本，但是計(jì)算消耗較大。未來(lái)，將做進(jìn)一步的研究來(lái)加快積分損失的計(jì)算。