謝云旭，吳錫，彭靜

（成都信息工程大學 計算機學院，成都 610225）

0 概述

各類深度神經(jīng)網(wǎng)絡模型的提出使得計算機視覺問題得以快速被解決，然而，這些模型容易受到對抗樣本的嚴重干擾。對抗樣本指針對圖像人為設計微小擾動算法所生成的樣本［1］，通過生成的擾動向量與原有干凈圖像進行疊加從而產(chǎn)生不同類型的對抗樣本，能夠導致各類深度神經(jīng)網(wǎng)絡模型以較高的概率產(chǎn)生錯誤的預測結果。對對抗樣本進行分析有利于發(fā)現(xiàn)模型的缺陷及脆弱性，進而通過一定的防御手段來對模型進行有方向性的改進，因此，目前迫切需要對對抗攻擊以及對抗樣本進行研究。

現(xiàn)有的對抗攻擊算法根據(jù)攻擊目標的不同可以分成無目標攻擊和目標攻擊，2 種攻擊模式截然相反。無目標攻擊計算的是距離當前分類邊界最短的方向及距離，其無明確的目標類指向性，而只與當前目標所屬分類超平面的形狀和高維空間位置相關。目標攻擊計算的是當前目標距離目標分類邊界的最小向量，其擾動方向和當前分類區(qū)域離目標分類區(qū)域的距離相關。

由于對抗攻擊算法可以轉化為一類非線性約束優(yōu)化問題，其類型和最小化范數(shù)類型Lp相關，而不同的范數(shù)類型代表的對抗攻擊算法理論截然不同。其中，無窮范數(shù)攻擊［1-3］中最為典型的是快速梯度符號攻擊方法（Fast Gradient Sign Method，F(xiàn)GSM）［1］，其攻擊原理是利用損失函數(shù)的梯度來確定像素強度應改變的方向，以使損失函數(shù)向極值變化。通過網(wǎng)絡結構將計算出的損失函數(shù)的梯度反傳至輸入樣本上進而得到擾動。PGD（Project Gradient Decent）在FGSM 的基礎上進行擾動的隨機初始化，使得其產(chǎn)生的擾動能夠概率性地跳出局部最優(yōu)區(qū)間。在二范數(shù)攻擊中，DeepFool 算法［4］通過有限次迭代計算擾動點相距當前分類決策邊界的最短投影距離，即擾動多次計算離開當前決策區(qū)間的最短投影距離并進行疊加，直到分類器判斷錯誤或者達到最大迭代次數(shù)為止。0、1 范數(shù)在形式上均存在稀疏性特點，SparseFool算法［5］在DeepFool的基礎上控制生成擾動的稀疏性L0，其先通過L2DeepFool 算法計算擾動，再以L2計算的擾動作為目標，每次在一個像素點進行單像素擾動，最后達到控制L0的目的，其擾動像素點的選擇基于每次梯度中對于其方向貢獻最大的點。JSMA 算法［6］只改變少量的像素，每次會修改原有圖像的個別像素并記錄每個像素對于分類結果的影響的映射矩陣，通過迭代式的計算最終達到影響分類的目的。C&W 攻擊［7］是一種基于優(yōu)化的攻擊，其核心思想是假設對抗樣本是一個變量，要使其成功攻擊分類器模型，必須滿足與原始樣本的距離要盡可能小，并且能夠誤導分類器模型對其進行錯誤分類。

本文針對計算機視覺任務中深度神經(jīng)網(wǎng)絡模型普遍存在的脆弱性及現(xiàn)有對抗攻擊大多數(shù)基于后選框或單張圖片的缺陷，提出一種類梯度全局擾動算法GCP。該算法首先利用單張輸入圖片中感興趣的目標，以類為單位收集類梯度形成圖片尺度擾動，然后結合數(shù)據(jù)集中多張圖片及相應的圖像尺度擾動形成針對整個數(shù)據(jù)集的全局擾動。在標準公開數(shù)據(jù)集的2 種視覺任務中進行實驗，以驗證GCP 算法相較現(xiàn)有對抗攻擊算法的性能優(yōu)勢。

1 相關工作

目標檢測和人體姿態(tài)估計是計算機視覺領域的2 個重要任務。

目標檢測任務的目標是識別出輸入圖像中所有感興趣目標的類別及位置。根據(jù)目標檢測器定位目標方式的不同，現(xiàn)有目標檢測模型可分為2類，即基于錨框和無錨框?；阱^框的目標檢測器利用算法中的錨框在輸入圖像中提取大量的候選目標框，根據(jù)處理過程的不同又分為一階算法和二階算法：一階算法包括SSD［8］、YOLO 系列［9-10］，這類算法的檢測精度普遍低于二階算法，但是擁有更快的速度；二階算法包括R-CNN系列，如Faster R-CNN［11］，其特點是檢測精度較高。最近的研究表明，改良的Transformer 模型SwinNet［12］可以借助其編碼分層特征來高效完成目標檢測任務?，F(xiàn)有的對于目標檢測的對抗攻擊方法絕大多數(shù)都針對模型候選框或者單張圖片進行擾動生成，如DAG（Dense Adversary Generation）［13］和UEA（Unified and Efficient Adversary）［14］。DAG為專門針對目標檢測器Faster R-CNN 而設計的對抗算法，其根據(jù)Faster R-CNN 產(chǎn)生的候選框進行對抗擾動計算。由于Faster R-CNN 模型在推斷時會形成大量的候選框，導致DAG 在生成對抗擾動時通常需要進行大量迭代，使得算法時間效率較低。UEA 是基于生成對抗網(wǎng)絡（Generative Adversarial Network，GAN）的對抗攻擊方法，其特點是需要額外時間來對GAN 模型進行訓練從而可以有效模擬對抗擾動。UEA 與DAG 類似，也是一個基于攻擊候選框的方法，由于錨框目標檢測器的候選框數(shù)量巨大，導致對抗樣本算法需要消耗大量的時間成本來對所有候選框進行擾動計算。

人體姿態(tài)估計是恢復輸入圖像中人類目標關節(jié)點的算法，其是計算機分析人類復雜行為模式和動作特點的關鍵步驟，在多種場景中得到廣泛應用。文獻［15］提出一種新型的行人檢測姿勢嵌入網(wǎng)絡，通過嵌入行人的姿態(tài)信息解決現(xiàn)有行人檢測方法中的遮擋問題。文獻［16］提出一種多階段網(wǎng)絡，通過結構化的空間學習和捕捉瞬時信息，從而保證視頻短時間結果的一致性。上述研究使用的深度神經(jīng)網(wǎng)絡模型在進行人體姿態(tài)估計時性能遠超傳統(tǒng)機器學習方法，在進行姿態(tài)估計求解時，其需將問題轉化為對人體關鍵點的預測，即預測圖像中人體關鍵點的二維坐標(x，y)。HPE 從具體求解策略上分為從上至下（top-down）及從下至上（bottom-up）的方法。自上而下的方法包括Hourglass 模型等［17-18］，其檢測模式是從檢測人體位置開始，首先在目標檢測邊界框中生成人的位置，然后對每個人類目標進行單獨人體姿勢估計。自下而上的方法［19-20］首先在輸入圖像中預測每個人類所有身體部位的空間位置，然后通過其他擬合算法對所有關節(jié)點進行分組。在性能方面，自上而下的方法通常計算成本較高但是具有更高的精度，而自下而上的方法通常具有更快的推斷速度?，F(xiàn)有對于人體姿態(tài)估計的對抗攻擊方法缺乏相應研究，導致這類模型更易受到對抗攻擊的影響［21］。文獻［21］針對姿態(tài)估計的對抗攻擊，研究基于最優(yōu)化無窮范數(shù)的PGD 算法的FPE 及PPE，其方法是根據(jù)單張輸入圖像形成基于最小化無窮范數(shù)的擾動，其中擾動生成是根據(jù)整張輸入圖像中的所有對象來收集的，而不同類型的關節(jié)信息無法在收集梯度的環(huán)節(jié)中進行區(qū)別，因此，可能會造成攻擊效果不佳的問題。

由于目前的對抗攻擊算法是基于圖像或模型候選框而生成的，均具有針對單張圖片的限制，難以通過少量的樣本對大量數(shù)據(jù)形成有效干擾，因此，相關對抗防御策略可以針對性地優(yōu)化目標模型，使之能在一定程度上有效抵抗其干擾。在近期的研究中，文獻［22］以數(shù)據(jù)集內多張圖片為基礎生成一個針對分類問題的全局對抗樣本算法UAP（Universal Adversarial Perturbations）［22］，其算法生成的全局對抗樣本具有較高的泛化能力，并可以有效地對整個數(shù)據(jù)集形成干擾。文獻［23］在UAP 的基礎上將此類全局對抗樣本應用到語義分割問題中。由于該類全局對抗算法體現(xiàn)出了高泛化性，因此其對整個數(shù)據(jù)集或大量數(shù)據(jù)形成了有效干擾，該類對抗樣本對于各類深度學習模型的危害尤為嚴重。同時，此種全局擾動在很多計算機視覺任務中尚未得到足夠重視，因此，對抗防御難以利用相關的對抗樣本進行有效研究。相較圖片分類等較為簡單的計算機視覺問題，目標檢測、人體姿態(tài)估計除了需對輸入圖像中可能存在的多個大小不同的目標進行分類，還需要針對每個目標找到其空間位置。直接延用UAP 的全局對抗理論難以形成精準的對抗攻擊，即在擾動不可見的同時干擾模型的預測結果。

本文提出一種類梯度全局擾動算法GCP，該算法首先利用單張輸入圖片中感興趣的目標類作為單位快速進行類梯度收集并生成圖片尺度擾動，以類為單位進行梯度收集可以著重針對輸入圖像中目標類別間的聯(lián)系與區(qū)別，通過一次性收集同一類別內所有目標的梯度，達到快速收集梯度同時凸顯不同類別區(qū)別的目的?；诂F(xiàn)有經(jīng)典對抗算法形成圖像尺度的對抗擾動，在此基礎上，結合數(shù)據(jù)集中多張圖片及相應圖像尺度擾動形成針對整個數(shù)據(jù)集的全局擾動。在標準公開數(shù)據(jù)集Pascal VOC［24］和MSCOCO-keypoints［25］上的2種計算機視覺任務中進行實驗，通過多種計算機視覺任務中全局對抗樣本的有效性來說明深度神經(jīng)網(wǎng)絡模型在高維決策邊界之間存在一定的幾何相關性，利用這類對抗擾動有利于對模型進行改進。

2 網(wǎng)絡設計

相較錨框模型［11］，無錨框目標檢測器［26-28］的結構更精簡統(tǒng)一［29］。本文采用CenterNet 模型［26］作為目標網(wǎng)絡，CenterNet 模型是典型的無錨框模型，在結構上使用全卷積結構。在CenterNet 模型中，輸入圖像滿足img ∈?W×H×3，模型結果為圖像中目標中心點熱圖H，其中R是模型的下采樣比例，c是中心點的類別數(shù)量。在目標檢測預測過程中，一個預測值vi，j，c=1 對應于一個被檢測到第c類的目標前景中心點，而vi，j，c=0 對應一個被檢測到背景的點。該網(wǎng)絡采用可變形卷積網(wǎng)絡（Deformable Convolutional Network，DCN）［30］，同時可結合多種典型帶全卷積結構模型用于預測空間熱圖H，如沙漏模型Stacked-Hourglass［31］以及DLA（Deep Layer Aggregation）模型［18］。CenterNet以中心點檢測為基礎，通過中心點及回歸目標的高、寬來定位一個完整目標的大小和位置。

除了目標檢測外，CenterNet 還可以執(zhí)行人體姿勢估計任務，其目標是對輸入圖像中每個人類目標的所有關節(jié)空間位置進行預測。人體在模型中的姿態(tài)表現(xiàn)是一個擁有k×2 維的屬性，其中，k為人體目標的關節(jié)數(shù)量，2 代表每個關節(jié)為包含坐標的空間位置。姿態(tài)預測共分為2 個步驟，在首步進行預測時，模型會直接預測人類目標的中心點Kpi，再通過估計一個回歸偏移量J*來達到對所有k個關節(jié)點的首步預測，其中，偏移量，從而可以 得到單階段預測結果為同時，模型會仿照目標檢測任務的預測模式對輸入圖像中人類關節(jié)進行k關節(jié)點的多目標預測，與第一階段不同的是，每個關節(jié)點都為不同類別的中心點，共計k個類別。最后，網(wǎng)絡會結合兩步預測結果，將首步回歸到的關節(jié)點Li與第二次預測中第i類的目標進行校正，其最終結果只會考慮人體目標檢測邊界框內的候選結果，從而提升模型預測的魯棒性。

3 對抗攻擊算法

3.1 全局擾動

產(chǎn)生對抗擾動的問題可以歸納為以下通用約束性優(yōu)化問題，如式（1）～式（3）所示：

其中：p是最小化的范數(shù)類型，{p|p∈0，1，…，∞}；函數(shù)表示無錨框模型檢測到的物體類別；x和xadv分別表示干凈圖像和對抗樣本。優(yōu)化問題的目標是在施加擾動向量r后，模型對對抗樣本xadv的推斷結果與干凈圖像x不同。

由于產(chǎn)生的是全局擾動，參與生成擾動的多個數(shù)據(jù)為x={x1，x2，…，xm}并滿足{x|x?U}，其中，U為一個已知數(shù)據(jù)集，因此全局擾動可以轉化為以下約束性優(yōu)化問題，如式（4）～式（5）所示：

其中：P為滿足一定約束條件的概率值；1-κ為全局擾動干擾下模型的推斷正確率。

本文算法采用收集類梯度的方式來產(chǎn)生擾動，原因是同一類的目標在梯度上存在近似特點。同時，由于CenterNet 的檢測結果f(x，obj)依賴于檢測到的中心點keypoint 及偏移量offset，考慮到偏移量和CenterNet 目標中心點keypoint 同時對結果產(chǎn)生影響，因此，利用對抗擾動攻擊上述兩者以欺騙模型。此時可以將上述約束性優(yōu)化問題轉化為式（6）～式（8）：

其中：obj 為輸入圖像中屬于i類的目標，其中包含檢測到的相應的中心點和偏移量；f(x，obj)為CenterNet的檢測結果；C為檢測器CenterNet 檢測到的目標類別。全局對抗擾動的生成流程如圖1 所示。

圖1 GCP 算法總體流程Fig.1 Overall procedure of GCP algorithm

3.2 擾動生成

第一步針對單張圖像生成圖像尺度的對抗擾動，具體方法為采用最小化L∞范數(shù)的PGD 來生成L∞擾動。由于算法按照類別進行梯度收集，同類別目標梯度具有相似性，在姿態(tài)估計任務中輸入圖像的目標在模型中體現(xiàn)為人類關節(jié)的中心點，因此首先需要得到所有檢測到的中心點并按照類別進行分類，即P={P1，P2，…，Pk}，計算同一類別總損失并反傳至輸入圖像以計算類梯度rc：

其中：LLosscategory為收集到的屬于c類的類損失；pi為屬于PC的類中心點；rc為通過模型反向傳播得到的圖像擾動。

將梯度進行規(guī)范化并疊加收集到的類梯度，得到單張圖片的擾動，如下：

其中：ε表示單步步長，有，T表示對抗算法中迭代步的最大次數(shù)，η表示擾動的總步長。

如圖2 所示，通過數(shù)據(jù)集中的多張圖片形成對整個數(shù)據(jù)集的全局擾動。首先收集數(shù)據(jù)集中參與全局擾動的k個數(shù)據(jù)的圖片尺度擾動，為了確保收集到的擾動滿足rG的范在規(guī)定的擾動步長ζ之內，需要進一步將全局擾動投影到半徑為擾動半徑ζ的球o上，最終得到全局擾動，如下：

圖2 單張圖像擾動與全局擾動示意圖Fig.2 Schematic diagram of single image perturbation and global perturbation

其中：k表示參與全局對抗樣本生成的數(shù)據(jù)總數(shù)。

4 實驗設置

4.1 數(shù)據(jù)集

Pascal VOC 是一個用于多種計算機視覺任務的常用數(shù)據(jù)集，該數(shù)據(jù)集包含人類等20 類常用目標，包括Pascal VOC 2007—2012 的訓練集、驗證集及測試集。本次實驗涉及的攻擊使用其測試集數(shù)據(jù)，數(shù)據(jù)總量為4 952 張圖像。MS-COCO 數(shù)據(jù)集一共包含80 個目標類別，本次實驗采用的是COCO-val 2017中帶人類姿態(tài)估計的數(shù)據(jù)標簽 MS-COCO-keypoints，數(shù)據(jù)量總共為5 000 張圖像，共包含11 004 個人類目標，平均一張圖像中有2.2 個人類目標。

4.2 實驗環(huán)境

本次實驗基于64 bit 的Windows10 操作系統(tǒng)，在一臺戴爾（Dell）Precision T5810 圖形工作站上開展實驗，CPU 型號為I9-7960X-@2.8 GHz 處理器，GPU為 NVIDIA GeForce GTX1080Ti 8 GB 顯卡，采用PyTorch 深度學習框架，運行環(huán)境為PyTorch 1.1.0，使用的主要軟件工具為 Pycharm。

4.3 評價指標

使用4 個指標來評估所生成的全局對抗樣本的對抗性能，包括平均精度均值（mean Average Precision，mAP）、攻擊成功率（Attack Success Rate，ASR）及可見性指標PL0和PL2。

mAP 為數(shù)據(jù)集中人類關節(jié)點的平均精度均值，其值為查準-查全（Precision-Recall）曲線的下側面積，其中Recall、Precision 分別為查全率和查準率，RRecall=TTP/(TTP+FFN)，PPrecision=TTP/(TTP+FFP)，其 中：TP 表示真實是正樣本且預測為正樣本的數(shù)量；TN表示真實是負樣本且預測為負樣本的數(shù)量；FP 表示真實是負樣本但預測為正樣本的數(shù)量；FN 表示真實是正樣本但預測為負樣本的數(shù)量。

ASR 主要計算模型受全局對抗樣本攻擊前后mAP 值的變化情況，其代表模型抵抗全局對抗攻擊的能力，計算如式（15）所示：

其中：mmAP，clean和mmAP，attack分別代表攻擊前后模型預測的mAP值。攻擊成功率越低，代表該模型對抗白盒攻擊的性能越高。

使用對抗樣本可見性指標用于衡量全局對抗擾動的可見性強弱，擾動可見性越高，越容易被人類發(fā)現(xiàn)，而擾動可見性越低，越能與干凈樣本融為一體。具體可見性指標由PL0和PL2決定，其中，PL0控制擾動稀疏性，PL2控制擾動像素強度，計算分別如下：

其中：pxi為對抗樣本中的像素值；n為圖像像素的總數(shù)量；k*為擾動改變的像素數(shù)量。

5 結果分析

5.1 目標檢測任務

在Pascal VOC 挑戰(zhàn)賽的測試數(shù)據(jù)集上進行實驗，測試集共包含4 952 張圖片用于測試全局對抗攻擊算法GCP 在目標檢測任務中的有效性，實驗結果如表1、表2 及圖3 所示。

表1 Pascal VOC 數(shù)據(jù)集上的量化指標結果Table 1 Quantitative indicator results on the Pascal VOC dataset

表2 對抗擾動可見性量化指標結果1Table 2 Quantitative indicator results 1 of counter disturbance visibility

圖3 Pascal VOC 數(shù)據(jù)集上干凈樣本和對抗樣本的可視化結果Fig.3 Visualization results of clean and adversarial samples on Pascal VOC dataset

表1 數(shù)據(jù)為Pascal VOC 數(shù)據(jù)集上目標檢測任務對抗攻擊結果，其中，Backbones 代表骨干網(wǎng)絡，mmAP，clean和mmAP，attack分別為攻擊前后的mAP值，ASR 為對抗攻擊成功率，Time 代表對抗擾動單張推算時間。從表1 可以看出：GCP 算法在骨干網(wǎng)絡為DLA34 時達到最高的對抗攻擊成功率，與單張圖片算法PGD 的ASR 保持一致，達到0.93，但其推段時間僅為PGD 算法的1/13；在骨干網(wǎng)絡為ResNet18 和ResNet101時，GCP 算法的ASR 值較骨干網(wǎng)絡為DLA34 時低，分別為0.89和0.91，其原因是骨干網(wǎng)絡結果較為簡單，與此同時推段時間也更短，達到0.05 s 和0.08 s；DAG 為攻擊Faster R-CNN的對抗攻擊算法，雖然ASR較高（達到0.92），但是由于DAG 為針對候選框的對抗攻擊算法，其推斷時間遠高于基于全局和基于單張圖片的方法。

表2 所示為全局擾動算法GCP 在目標檢測任務中與現(xiàn)有算法的可見性比較，較高的可見性意味著生成的對抗樣本更容易被人類發(fā)覺。本次實驗涉及的對抗方法都為非稀疏擾動算法，因此得到的PL0值都接近1.0。在PL2的比較中，基于骨干網(wǎng)絡ResNet18 的GCP 全局對抗樣本擾動值最低，為4.6×10-3，DAG 對抗算法的PL2達到最高，為9.0×10-3，表明本文算法生成的對抗擾動強度較低，不可見性更高。

圖3 所示為樣本的可視化結果，第1 行是輸入圖像，第2 行是干凈樣本檢測結果，骨干網(wǎng)絡為DLA34，第3 行是GCP 的對抗攻擊結果及擾動，參與生成全局擾動的圖片尺度擾動為1 000。

5.2 人體姿態(tài)估計任務

本次實驗在MS-COCO-keypoints 挑戰(zhàn)賽的測試數(shù)據(jù)集上進行，測試集共包含5 000 張圖片，用于測試全局對抗攻擊算法GCP 在人體姿態(tài)估計任務中的性能，實驗結果如表3、表4 及圖4～圖6 所示。

表3 MS-COCO-keypoints 數(shù)據(jù)集上的白盒攻擊量化指標結果Table 3 Quantitative indicator results of white box attacks on the MS-COCO-keypoints dataset

表4 對抗擾動可見性量化指標結果2Table 4 Quantitative indicator results 2 of counter disturbance visibility

表3 數(shù)據(jù)為 MS-COCO-keypoints 數(shù)據(jù)集上人體姿態(tài)估計對抗攻擊結果。從表3 可以看出：相較現(xiàn)有算法，GCP 算法的性能更好，mmAP，attack更低，在骨干網(wǎng)絡為DLA34時，基于GCP 的對抗擾動在數(shù)據(jù)集中mmAP，attack為0.08，其相應的ASR 為0.85，是對抗算法FPE 的166%，為PPE 算法的110%；骨干網(wǎng)絡為Hourglass 時GCP結果略低于DLA34，其原因是Hourglass 模型復雜度更高，受對抗攻擊干擾的抵抗能力較高；在生成及推斷速度上，全局擾動GCP 達到25 FPS，基本滿足實時攻擊的要求。因為現(xiàn)有算法多數(shù)基于攻擊圖片和候選框，需根據(jù)攻擊目標單獨計算梯度及擾動，而全局擾動不受圖片數(shù)量或模型生成的候選框的限制，其生成及推斷時間遠優(yōu)于現(xiàn)有算法。

表4 總結了在姿態(tài)估計任務中全局擾動算法GCP 與現(xiàn)有算法的可見性比較。由于本次實驗所涉及的方法均為非稀疏擾動算法，因此得到的PL0值都接近1.0。在PL2的比較中，本文算法的擾動值均低于3.0×10-3，比現(xiàn)有算法的可見性更低，這表明本文算法生成的對抗擾動相對現(xiàn)有算法更不容易被人類所發(fā)現(xiàn)。

圖4 所示為在不同數(shù)量圖像生成的全局擾動影響下的mmAP，attack結果。從圖4 可以看出：對抗攻擊的整體效果隨著參加生成全局擾動圖像的增加而加強，同時在組別為10 的情況下顯示出全局擾動效果不佳，mmAP，attack僅從干凈樣本的0.53變?yōu)?.48，其 原因是過少的樣本參與的全局擾動無法對整個數(shù)據(jù)集形成有效的攻擊，過少的樣本無法提取出針對人類目標的所有類型關節(jié)點（k=17）的信息及梯度，如在10 組別下，提取出的一類關節(jié)點僅為0.6張，同時攻擊效果會受到輸入圖片中人類數(shù)量、大小等其他因素的影響；mmAP，attack在數(shù)據(jù)量為1 000 的全局擾動下可以達到最好效果，而在數(shù)據(jù)量為2 000 時效果變差，其原因是生成全局擾動的數(shù)據(jù)過多，對抗擾動會對產(chǎn)生擾動的數(shù)據(jù)形成過擬合。

進一步測試生成全局擾動的循環(huán)次數(shù)對模型的影響，結果如圖5 所示。從圖5 可以看出：在擾動數(shù)為1時，擾動顯示出相對較弱的性能；在擾動數(shù)為5 時性能達到最高，攻擊成功率ASR 在圖像數(shù)為1 000 時達到0.91；當擾動數(shù)為10時，性能相對5 時較弱，但同樣在圖像數(shù)為1 000 時達到最高性能，其值為0.89。過高或過低的循環(huán)數(shù)形成的全局擾動會基于數(shù)據(jù)集形成欠擬合和過擬合，前者較低的循環(huán)數(shù)無法有效形成全局對抗樣本，從而難以影響數(shù)據(jù)集中的所有數(shù)據(jù)，后者形成的擾動對參與的圖像形成依賴，無法較好地影響數(shù)據(jù)集中的其他圖像。

圖5 全局擾動循環(huán)數(shù)對ASR 的影響Fig.5 Influence of global disturbance cyclic number on ASR

圖6 所示為實驗數(shù)據(jù)集中受全局擾動影響的圖像的可視化結果，第1 列為干凈人體姿態(tài)估計檢測結果，第2、第3、第4 列分別為生成數(shù)據(jù)量為100、1 000 和2 000 的全局擾動影響結果，第1 行圖像為較簡單目標圖像，第2 行為普通多目標圖像，第3 行為較復雜多目標圖像，第4 行為不同數(shù)量圖像參與的全局擾動。由圖6 可以看出，在圖像數(shù)為1 000 時形成的擾動性能最高，在相應的可視化圖像中可以看到此時模型檢測出的結果最少，其發(fā)生錯誤的概率也最高，體現(xiàn)出全局對抗樣本在數(shù)據(jù)集中的有效性。

圖6 全局擾動可視化結果Fig.6 Global disturbance visualization results

6 結束語

本文提出一種全局擾動對抗攻擊算法GCP。首先利用輸入圖像中的目標類，以類為單位收集類梯度，按照此方式進行梯度收集可以利用類內目標梯度上的相似性，避免直接疊加擾動對擾動性能的影響，進而生成圖片尺度擾動。在此基礎上，基于一定數(shù)量的圖片尺度擾動形成針對人體姿態(tài)估計任務的全局擾動，全局擾動克服了現(xiàn)有對抗擾動生成方法基于圖片或基于候選框的缺點，可以針對大量數(shù)據(jù)形成有效的干擾，同時在推斷速度上基本達到實時攻擊的要求。實驗結果驗證了GCP 算法的有效性。然而，由于全局對抗樣本的生成需要多張圖片尺度擾動及若干循環(huán)迭代過程，其生成過程具有較高的時間復雜度并需要更多的超參數(shù)。下一步將改善全局對抗樣本，優(yōu)化參數(shù)設置，使算法能適用于更多的網(wǎng)絡并且性能更高。在此基礎上，進一步探究深度神經(jīng)網(wǎng)絡模型中的潛在安全漏洞問題，結合全卷積結構可解釋性方法及掩碼技術，提高對抗樣本的不可見性，為深度神經(jīng)網(wǎng)絡模型抵抗對抗樣本的相關研究提供參考。