深度神經(jīng)網(wǎng)絡(luò)模型攻擊與防御技術(shù)研究一、深度神經(jīng)網(wǎng)絡(luò)模型概述

深度神經(jīng)網(wǎng)絡(luò)（DNN）是一種具有多層結(jié)構(gòu)的人工智能模型，通過學(xué)習(xí)大量數(shù)據(jù)中的復(fù)雜特征，在圖像識別、自然語言處理等領(lǐng)域展現(xiàn)出卓越性能。然而，DNN模型易受攻擊，其脆弱性對實際應(yīng)用構(gòu)成潛在威脅。

（一）DNN模型的基本結(jié)構(gòu)

1.輸入層：接收原始數(shù)據(jù)，如圖像或文本。

2.隱藏層：多層非線性變換，提取特征。

3.輸出層：生成預(yù)測結(jié)果，如分類標簽。

4.激活函數(shù)：引入非線性特性，增強模型表達能力。

（二）DNN模型的優(yōu)勢與局限性

1.優(yōu)勢：

-高準確率：通過大量數(shù)據(jù)訓(xùn)練，能捕捉細微特征。

-可遷移性：模型可應(yīng)用于不同任務(wù)，只需微調(diào)。

2.局限性：

-對噪聲敏感：微小擾動可能影響輸出。

-可解釋性差：深層模型難以理解內(nèi)部決策邏輯。

二、深度神經(jīng)網(wǎng)絡(luò)模型攻擊技術(shù)

DNN攻擊旨在通過惡意輸入或參數(shù)修改，降低模型性能或誤導(dǎo)輸出。主要分為兩類：

（一）對抗性攻擊

對抗性攻擊通過添加難以察覺的擾動，使模型產(chǎn)生錯誤分類。

1.白盒攻擊：攻擊者完全了解模型參數(shù)。

(1)預(yù)測梯度法（PGD）：逐步優(yōu)化輸入擾動。

(2)批歸一化對抗攻擊（BNAd）：利用批歸一化層特性。

2.黑盒攻擊：攻擊者僅知道模型輸入輸出。

(1)隨機梯度法（FGSM）：基于梯度的快速擾動生成。

(2)深度反向傳播（DRP）：通過多層模型推理生成擾動。

（二）非對抗性攻擊

非對抗性攻擊通過破壞模型結(jié)構(gòu)或訓(xùn)練過程，降低性能。

1.數(shù)據(jù)投毒：在訓(xùn)練集注入惡意樣本。

(1)生成方法：修改樣本標簽或添加噪聲。

(2)影響：導(dǎo)致模型泛化能力下降。

2.權(quán)重篡改：直接修改模型參數(shù)。

(1)手動修改：根據(jù)經(jīng)驗調(diào)整權(quán)重。

(2)自動修改：通過優(yōu)化算法生成篡改目標。

三、深度神經(jīng)網(wǎng)絡(luò)模型防御技術(shù)

針對上述攻擊，研究者提出了多種防御策略，分為輸入防御、模型優(yōu)化和訓(xùn)練方法三類。

（一）輸入防御技術(shù)

輸入防御通過預(yù)處理或后處理輸入，增強魯棒性。

1.噪聲注入：在輸入中添加隨機噪聲。

(1)高斯噪聲：符合正態(tài)分布的加性噪聲。

(2)椒鹽噪聲：隨機生成黑白像素點。

2.數(shù)據(jù)增強：通過變換擴充訓(xùn)練集。

(1)旋轉(zhuǎn)：隨機旋轉(zhuǎn)圖像±15°。

(2)改變亮度：調(diào)整像素強度。

（二）模型優(yōu)化技術(shù)

模型優(yōu)化通過結(jié)構(gòu)調(diào)整或參數(shù)調(diào)整提升防御能力。

1.正則化方法：減少過擬合。

(1)L1/L2正則化：限制權(quán)重絕對值或平方和。

(2)Dropout：隨機丟棄神經(jīng)元，降低依賴。

2.模型集成：結(jié)合多個模型結(jié)果。

(1)集成策略：Bagging或Boosting。

(2)優(yōu)勢：提高整體穩(wěn)定性。

（三）訓(xùn)練方法改進

改進訓(xùn)練過程以提升模型對攻擊的抵抗力。

1.對抗訓(xùn)練：在訓(xùn)練中引入對抗樣本。

(1)方法：使用PGD生成擾動樣本。

(2)效果：增強模型泛化能力。

2.自適應(yīng)防御：動態(tài)調(diào)整防御策略。

(1)監(jiān)測輸入：實時檢測異常擾動。

(2)動態(tài)調(diào)整：根據(jù)攻擊類型調(diào)整防御參數(shù)。

四、挑戰(zhàn)與未來方向

盡管現(xiàn)有防御技術(shù)取得進展，但仍面臨諸多挑戰(zhàn)，未來研究方向包括：

（一）防御與攻擊的動態(tài)博弈

1.攻擊技術(shù)演進：更隱蔽、高效的攻擊方法。

2.防御技術(shù)更新：實時響應(yīng)新型攻擊。

（二）跨領(lǐng)域防御策略

1.多模態(tài)融合：結(jié)合圖像、文本等多源數(shù)據(jù)。

2.模型輕量化：在邊緣設(shè)備部署防御機制。

（三）可解釋性增強

1.提高模型透明度：幫助理解攻擊路徑。

2.優(yōu)化防御邏輯：確保防御機制無漏洞。

一、深度神經(jīng)網(wǎng)絡(luò)模型概述

深度神經(jīng)網(wǎng)絡(luò)（DNN）是一種具有多層結(jié)構(gòu)的人工智能模型，通過學(xué)習(xí)大量數(shù)據(jù)中的復(fù)雜特征，在圖像識別、自然語言處理等領(lǐng)域展現(xiàn)出卓越性能。然而，DNN模型易受攻擊，其脆弱性對實際應(yīng)用構(gòu)成潛在威脅。

（一）DNN模型的基本結(jié)構(gòu)

1.輸入層：接收原始數(shù)據(jù)，如圖像或文本。輸入層神經(jīng)元數(shù)量通常等于特征維度，如28x28像素的圖像有784個神經(jīng)元。

2.隱藏層：多層非線性變換，提取特征。

-第一隱藏層可能包含256個神經(jīng)元，使用ReLU激活函數(shù)。

-后續(xù)隱藏層神經(jīng)元數(shù)量可逐漸減少，激活函數(shù)選擇需考慮任務(wù)特性。

3.輸出層：生成預(yù)測結(jié)果，如分類標簽。

-對于多分類任務(wù)，輸出層神經(jīng)元數(shù)量等于類別數(shù)，使用softmax激活函數(shù)。

-對于回歸任務(wù)，輸出層神經(jīng)元數(shù)量等于目標維度，無激活函數(shù)或使用線性激活。

4.激活函數(shù)：引入非線性特性，增強模型表達能力。

-ReLU函數(shù)計算高效，但存在“死亡ReLU”問題，可使用LeakyReLU或ParametricReLU替代。

-Sigmoid函數(shù)輸出范圍受限，易導(dǎo)致梯度消失，多用于二分類輸出層。

（二）DNN模型的優(yōu)勢與局限性

1.優(yōu)勢：

-高準確率：通過大量數(shù)據(jù)訓(xùn)練，能捕捉細微特征。例如，在ImageNet圖像識別任務(wù)中，DNN準確率可達94%以上。

-可遷移性：模型可應(yīng)用于不同任務(wù)，只需微調(diào)。例如，預(yù)訓(xùn)練的ResNet模型可微調(diào)用于醫(yī)學(xué)圖像檢測。

2.局限性：

-對噪聲敏感：微小擾動可能影響輸出。例如，向圖像添加0.01的標準高斯噪聲可能導(dǎo)致分類錯誤。

-可解釋性差：深層模型難以理解內(nèi)部決策邏輯。例如，難以解釋模型為何將某張貓圖分類為狗。

二、深度神經(jīng)網(wǎng)絡(luò)模型攻擊技術(shù)

DNN攻擊旨在通過惡意輸入或參數(shù)修改，降低模型性能或誤導(dǎo)輸出。主要分為兩類：

（一）對抗性攻擊

對抗性攻擊通過添加難以察覺的擾動，使模型產(chǎn)生錯誤分類。

1.白盒攻擊：攻擊者完全了解模型參數(shù)。

(1)預(yù)測梯度法（PGD）：逐步優(yōu)化輸入擾動。

-步驟：

1)初始化輸入樣本x?和擾動δ?=0。

2)在迭代t中，計算損失函數(shù)L(x+δ)對x的梯度?L(x+δ)。

3)更新擾動：δ<0xE2><0x82><0x9B>=δ<0xE1><0xB5><0xA8>+α?L(x+δ<0xE1><0xB5><0xA8>)，其中α為步長。

4)限制擾動幅度：||δ<0xE2><0x82><0x9B>||?≤ε。

5)更新樣本：x<0xE2><0x82><0x9B>=x?+δ<0xE2><0x82><0x9B>。

-應(yīng)用：PGD可在ImageNet上生成使ResNet50錯誤分類的擾動，擾動幅度小于1像素。

(2)批歸一化對抗攻擊（BNAd）：利用批歸一化層特性。

-原理：批歸一化層在訓(xùn)練時計算批次均值和方差，攻擊可修改均值或方差。

-步驟：

1)找到批歸一化層的位置。

2)計算該層輸入的梯度。

3)修改均值或方差參數(shù)，使輸出偏向易錯區(qū)域。

-優(yōu)勢：比PGD更隱蔽，擾動幅度更小。

2.黑盒攻擊：攻擊者僅知道模型輸入輸出。

(1)隨機梯度法（FGSM）：基于梯度的快速擾動生成。

-步驟：

1)計算原始輸入x?的梯度?L(x?)。

2)生成擾動：δ=εsign(?L(x?))，其中ε為擾動幅度。

3)攻擊樣本：x_adv=x?+δ。

-優(yōu)點：計算簡單，僅需一次梯度計算。

-缺點：擾動幅度較大，易被檢測。

(2)深度反向傳播（DRP）：通過多層模型推理生成擾動。

-步驟：

1)計算目標模型M的梯度?L_M(x?)。

2)對M的每一層L進行反向傳播，計算L的梯度?L_L(x<0xE1><0xB5><0xA8>)。

3)生成中間擾動：δ<0xE1><0xB5><0xA8>=εsign(?L_L(x<0xE1><0xB5><0xA8>))。

4)傳播擾動：x<0xE1><0xB5><0xA9>=x<0xE1><0xB5><0xA8>+δ<0xE1><0xB5><0xA8>。

5)重復(fù)步驟2-4，直到輸入層。

-優(yōu)勢：比FGSM更有效，但計算量更大。

（二）非對抗性攻擊

非對抗性攻擊通過破壞模型結(jié)構(gòu)或訓(xùn)練過程，降低性能。

1.數(shù)據(jù)投毒：在訓(xùn)練集注入惡意樣本。

(1)生成方法：修改樣本標簽或添加噪聲。

-標簽修改：將貓圖標簽改為狗。

-噪聲添加：在圖像中隨機位置添加高對比度方塊。

(2)影響：導(dǎo)致模型泛化能力下降。例如，在CIFAR-10上注入10%的投毒數(shù)據(jù)，模型準確率從90%下降至70%。

2.權(quán)重篡改：直接修改模型參數(shù)。

(1)手動修改：根據(jù)經(jīng)驗調(diào)整權(quán)重。

-方法：選擇隨機權(quán)重，減小其值。

(2)自動修改：通過優(yōu)化算法生成篡改目標。

-算法：使用梯度下降優(yōu)化目標函數(shù)，如最小化誤分類樣本數(shù)。

-效果：可顯著降低模型準確率，如將ImageNet模型準確率降至50%以下。

三、深度神經(jīng)網(wǎng)絡(luò)模型防御技術(shù)

針對上述攻擊，研究者提出了多種防御策略，分為輸入防御、模型優(yōu)化和訓(xùn)練方法三類。

（一）輸入防御技術(shù)

輸入防御通過預(yù)處理或后處理輸入，增強魯棒性。

1.噪聲注入：在輸入中添加隨機噪聲。

(1)高斯噪聲：符合正態(tài)分布的加性噪聲。

-參數(shù)：均值0，標準差0.01。

-應(yīng)用：在圖像分類中可提高模型對微小擾動的抵抗力。

(2)椒鹽噪聲：隨機生成黑白像素點。

-概率：每個像素點有5%概率被修改。

-效果：在CIFAR-10上可提高模型對對抗攻擊的防御能力。

2.數(shù)據(jù)增強：通過變換擴充訓(xùn)練集。

(1)旋轉(zhuǎn)：隨機旋轉(zhuǎn)圖像±15°。

-目的：使模型對旋轉(zhuǎn)不敏感。

(2)改變亮度：調(diào)整像素強度。

-參數(shù)：亮度因子在0.9到1.1之間。

-效果：提高模型對光照變化的魯棒性。

（二）模型優(yōu)化技術(shù)

模型優(yōu)化通過結(jié)構(gòu)調(diào)整或參數(shù)調(diào)整提升防御能力。

1.正則化方法：減少過擬合。

(1)L1/L2正則化：限制權(quán)重絕對值或平方和。

-參數(shù)：L2正則化系數(shù)為0.001。

-作用：懲罰過大的權(quán)重，使模型更平滑。

(2)Dropout：隨機丟棄神經(jīng)元，降低依賴。

-參數(shù)：丟棄概率為0.5。

-效果：在ImageNet上可提高模型對對抗攻擊的防御能力。

2.模型集成：結(jié)合多個模型結(jié)果。

(1)集成策略：Bagging或Boosting。

-Bagging：訓(xùn)練多個獨立模型，取多數(shù)投票結(jié)果。

-Boosting：順序訓(xùn)練模型，修正前一輪錯誤。

(2)優(yōu)勢：提高整體穩(wěn)定性。例如，將5個ResNet50模型集成，可顯著降低誤報率。

（三）訓(xùn)練方法改進

改進訓(xùn)練過程以提升模型對攻擊的抵抗力。

1.對抗訓(xùn)練：在訓(xùn)練中引入對抗樣本。

(1)方法：使用PGD生成擾動樣本。

-參數(shù)：步長α=0.01，迭代次數(shù)100，擾動幅度ε=0.3。

-效果：在ImageNet上可提高模型對PGD攻擊的防御能力。

(2)效果：在ImageNet上可提高模型對PGD攻擊的防御能力。

2.自適應(yīng)防御：動態(tài)調(diào)整防御策略。

(1)監(jiān)測輸入：實時檢測異常擾動。

-方法：計算輸入的統(tǒng)計特征，如均值、方差。

-觸發(fā)條件：特征偏離正常范圍超過閾值。

(2)動態(tài)調(diào)整：根據(jù)攻擊類型調(diào)整防御參數(shù)。

-策略：輕擾動時使用噪聲注入，重攻擊時啟動對抗訓(xùn)練。

四、挑戰(zhàn)與未來方向

盡管現(xiàn)有防御技術(shù)取得進展，但仍面臨諸多挑戰(zhàn)，未來研究方向包括：

（一）防御與攻擊的動態(tài)博弈

1.攻擊技術(shù)演進：更隱蔽、高效的攻擊方法。

-趨勢：開發(fā)無需梯度信息的黑盒攻擊，如基于優(yōu)化的方法。

2.防御技術(shù)更新：實時響應(yīng)新型攻擊。

-方向：研究自適應(yīng)防御機制，如在線學(xué)習(xí)對抗樣本。

（二）跨領(lǐng)域防御策略

1.多模態(tài)融合：結(jié)合圖像、文本等多源數(shù)據(jù)。

-方法：使用多模態(tài)注意力機制增強魯棒性。

2.模型輕量化：在邊緣設(shè)備部署防御機制。

-技術(shù)：設(shè)計小尺寸模型，如MobileNet，并集成防御模塊。

（三）可解釋性增強

1.提高模型透明度：幫助理解攻擊路徑。

-方法：使用注意力圖可視化模型關(guān)注區(qū)域。

2.優(yōu)化防御邏輯：確保防御機制無漏洞。

-方向：設(shè)計可驗證的防御策略，如形式化驗證。

一、深度神經(jīng)網(wǎng)絡(luò)模型概述

深度神經(jīng)網(wǎng)絡(luò)（DNN）是一種具有多層結(jié)構(gòu)的人工智能模型，通過學(xué)習(xí)大量數(shù)據(jù)中的復(fù)雜特征，在圖像識別、自然語言處理等領(lǐng)域展現(xiàn)出卓越性能。然而，DNN模型易受攻擊，其脆弱性對實際應(yīng)用構(gòu)成潛在威脅。

（一）DNN模型的基本結(jié)構(gòu)

1.輸入層：接收原始數(shù)據(jù)，如圖像或文本。

2.隱藏層：多層非線性變換，提取特征。

3.輸出層：生成預(yù)測結(jié)果，如分類標簽。

4.激活函數(shù)：引入非線性特性，增強模型表達能力。

（二）DNN模型的優(yōu)勢與局限性

1.優(yōu)勢：

-高準確率：通過大量數(shù)據(jù)訓(xùn)練，能捕捉細微特征。

-可遷移性：模型可應(yīng)用于不同任務(wù)，只需微調(diào)。

2.局限性：

-對噪聲敏感：微小擾動可能影響輸出。

-可解釋性差：深層模型難以理解內(nèi)部決策邏輯。

二、深度神經(jīng)網(wǎng)絡(luò)模型攻擊技術(shù)

DNN攻擊旨在通過惡意輸入或參數(shù)修改，降低模型性能或誤導(dǎo)輸出。主要分為兩類：

（一）對抗性攻擊

對抗性攻擊通過添加難以察覺的擾動，使模型產(chǎn)生錯誤分類。

1.白盒攻擊：攻擊者完全了解模型參數(shù)。

(1)預(yù)測梯度法（PGD）：逐步優(yōu)化輸入擾動。

(2)批歸一化對抗攻擊（BNAd）：利用批歸一化層特性。

2.黑盒攻擊：攻擊者僅知道模型輸入輸出。

(1)隨機梯度法（FGSM）：基于梯度的快速擾動生成。

(2)深度反向傳播（DRP）：通過多層模型推理生成擾動。

（二）非對抗性攻擊

非對抗性攻擊通過破壞模型結(jié)構(gòu)或訓(xùn)練過程，降低性能。

1.數(shù)據(jù)投毒：在訓(xùn)練集注入惡意樣本。

(1)生成方法：修改樣本標簽或添加噪聲。

(2)影響：導(dǎo)致模型泛化能力下降。

2.權(quán)重篡改：直接修改模型參數(shù)。

(1)手動修改：根據(jù)經(jīng)驗調(diào)整權(quán)重。

(2)自動修改：通過優(yōu)化算法生成篡改目標。

三、深度神經(jīng)網(wǎng)絡(luò)模型防御技術(shù)

針對上述攻擊，研究者提出了多種防御策略，分為輸入防御、模型優(yōu)化和訓(xùn)練方法三類。

（一）輸入防御技術(shù)

輸入防御通過預(yù)處理或后處理輸入，增強魯棒性。

1.噪聲注入：在輸入中添加隨機噪聲。

(1)高斯噪聲：符合正態(tài)分布的加性噪聲。

(2)椒鹽噪聲：隨機生成黑白像素點。

2.數(shù)據(jù)增強：通過變換擴充訓(xùn)練集。

(1)旋轉(zhuǎn)：隨機旋轉(zhuǎn)圖像±15°。

(2)改變亮度：調(diào)整像素強度。

（二）模型優(yōu)化技術(shù)

模型優(yōu)化通過結(jié)構(gòu)調(diào)整或參數(shù)調(diào)整提升防御能力。

1.正則化方法：減少過擬合。

(1)L1/L2正則化：限制權(quán)重絕對值或平方和。

(2)Dropout：隨機丟棄神經(jīng)元，降低依賴。

2.模型集成：結(jié)合多個模型結(jié)果。

(1)集成策略：Bagging或Boosting。

(2)優(yōu)勢：提高整體穩(wěn)定性。

（三）訓(xùn)練方法改進

改進訓(xùn)練過程以提升模型對攻擊的抵抗力。

1.對抗訓(xùn)練：在訓(xùn)練中引入對抗樣本。

(1)方法：使用PGD生成擾動樣本。

(2)效果：增強模型泛化能力。

2.自適應(yīng)防御：動態(tài)調(diào)整防御策略。

(1)監(jiān)測輸入：實時檢測異常擾動。

(2)動態(tài)調(diào)整：根據(jù)攻擊類型調(diào)整防御參數(shù)。

四、挑戰(zhàn)與未來方向

盡管現(xiàn)有防御技術(shù)取得進展，但仍面臨諸多挑戰(zhàn)，未來研究方向包括：

（一）防御與攻擊的動態(tài)博弈

1.攻擊技術(shù)演進：更隱蔽、高效的攻擊方法。

2.防御技術(shù)更新：實時響應(yīng)新型攻擊。

（二）跨領(lǐng)域防御策略

1.多模態(tài)融合：結(jié)合圖像、文本等多源數(shù)據(jù)。

2.模型輕量化：在邊緣設(shè)備部署防御機制。

（三）可解釋性增強

1.提高模型透明度：幫助理解攻擊路徑。

2.優(yōu)化防御邏輯：確保防御機制無漏洞。

一、深度神經(jīng)網(wǎng)絡(luò)模型概述

深度神經(jīng)網(wǎng)絡(luò)（DNN）是一種具有多層結(jié)構(gòu)的人工智能模型，通過學(xué)習(xí)大量數(shù)據(jù)中的復(fù)雜特征，在圖像識別、自然語言處理等領(lǐng)域展現(xiàn)出卓越性能。然而，DNN模型易受攻擊，其脆弱性對實際應(yīng)用構(gòu)成潛在威脅。

（一）DNN模型的基本結(jié)構(gòu)

1.輸入層：接收原始數(shù)據(jù)，如圖像或文本。輸入層神經(jīng)元數(shù)量通常等于特征維度，如28x28像素的圖像有784個神經(jīng)元。

2.隱藏層：多層非線性變換，提取特征。

-第一隱藏層可能包含256個神經(jīng)元，使用ReLU激活函數(shù)。

-后續(xù)隱藏層神經(jīng)元數(shù)量可逐漸減少，激活函數(shù)選擇需考慮任務(wù)特性。

3.輸出層：生成預(yù)測結(jié)果，如分類標簽。

-對于多分類任務(wù)，輸出層神經(jīng)元數(shù)量等于類別數(shù)，使用softmax激活函數(shù)。

-對于回歸任務(wù)，輸出層神經(jīng)元數(shù)量等于目標維度，無激活函數(shù)或使用線性激活。

4.激活函數(shù)：引入非線性特性，增強模型表達能力。

-ReLU函數(shù)計算高效，但存在“死亡ReLU”問題，可使用LeakyReLU或ParametricReLU替代。

-Sigmoid函數(shù)輸出范圍受限，易導(dǎo)致梯度消失，多用于二分類輸出層。

（二）DNN模型的優(yōu)勢與局限性

1.優(yōu)勢：

-高準確率：通過大量數(shù)據(jù)訓(xùn)練，能捕捉細微特征。例如，在ImageNet圖像識別任務(wù)中，DNN準確率可達94%以上。

-可遷移性：模型可應(yīng)用于不同任務(wù)，只需微調(diào)。例如，預(yù)訓(xùn)練的ResNet模型可微調(diào)用于醫(yī)學(xué)圖像檢測。

2.局限性：

-對噪聲敏感：微小擾動可能影響輸出。例如，向圖像添加0.01的標準高斯噪聲可能導(dǎo)致分類錯誤。

-可解釋性差：深層模型難以理解內(nèi)部決策邏輯。例如，難以解釋模型為何將某張貓圖分類為狗。

二、深度神經(jīng)網(wǎng)絡(luò)模型攻擊技術(shù)

DNN攻擊旨在通過惡意輸入或參數(shù)修改，降低模型性能或誤導(dǎo)輸出。主要分為兩類：

（一）對抗性攻擊

對抗性攻擊通過添加難以察覺的擾動，使模型產(chǎn)生錯誤分類。

1.白盒攻擊：攻擊者完全了解模型參數(shù)。

(1)預(yù)測梯度法（PGD）：逐步優(yōu)化輸入擾動。

-步驟：

1)初始化輸入樣本x?和擾動δ?=0。

2)在迭代t中，計算損失函數(shù)L(x+δ)對x的梯度?L(x+δ)。

3)更新擾動：δ<0xE2><0x82><0x9B>=δ<0xE1><0xB5><0xA8>+α?L(x+δ<0xE1><0xB5><0xA8>)，其中α為步長。

4)限制擾動幅度：||δ<0xE2><0x82><0x9B>||?≤ε。

5)更新樣本：x<0xE2><0x82><0x9B>=x?+δ<0xE2><0x82><0x9B>。

-應(yīng)用：PGD可在ImageNet上生成使ResNet50錯誤分類的擾動，擾動幅度小于1像素。

(2)批歸一化對抗攻擊（BNAd）：利用批歸一化層特性。

-原理：批歸一化層在訓(xùn)練時計算批次均值和方差，攻擊可修改均值或方差。

-步驟：

1)找到批歸一化層的位置。

2)計算該層輸入的梯度。

3)修改均值或方差參數(shù)，使輸出偏向易錯區(qū)域。

-優(yōu)勢：比PGD更隱蔽，擾動幅度更小。

2.黑盒攻擊：攻擊者僅知道模型輸入輸出。

(1)隨機梯度法（FGSM）：基于梯度的快速擾動生成。

-步驟：

1)計算原始輸入x?的梯度?L(x?)。

2)生成擾動：δ=εsign(?L(x?))，其中ε為擾動幅度。

3)攻擊樣本：x_adv=x?+δ。

-優(yōu)點：計算簡單，僅需一次梯度計算。

-缺點：擾動幅度較大，易被檢測。

(2)深度反向傳播（DRP）：通過多層模型推理生成擾動。

-步驟：

1)計算目標模型M的梯度?L_M(x?)。

2)對M的每一層L進行反向傳播，計算L的梯度?L_L(x<0xE1><0xB5><0xA8>)。

3)生成中間擾動：δ<0xE1><0xB5><0xA8>=εsign(?L_L(x<0xE1><0xB5><0xA8>))。

4)傳播擾動：x<0xE1><0xB5><0xA9>=x<0xE1><0xB5><0xA8>+δ<0xE1><0xB5><0xA8>。

5)重復(fù)步驟2-4，直到輸入層。

-優(yōu)勢：比FGSM更有效，但計算量更大。

（二）非對抗性攻擊

非對抗性攻擊通過破壞模型結(jié)構(gòu)或訓(xùn)練過程，降低性能。

1.數(shù)據(jù)投毒：在訓(xùn)練集注入惡意樣本。

(1)生成方法：修改樣本標簽或添加噪聲。

-標簽修改：將貓圖標簽改為狗。

-噪聲添加：在圖像中隨機位置添加高對比度方塊。

(2)影響：導(dǎo)致模型泛化能力下降。例如，在CIFAR-10上注入10%的投毒數(shù)據(jù)，模型準確率從90%下降至70%。

2.權(quán)重篡改：直接修改模型參數(shù)。

(1)手動修改：根據(jù)經(jīng)驗調(diào)整權(quán)重。

-方法：選擇隨機權(quán)重，減小其值。

(2)自動修改：通過優(yōu)化算法生成篡改目標。

-算法：使用梯度下降優(yōu)化目標函數(shù)，如最小化誤分類樣本數(shù)。

-效果：可顯著降低模型準確率，如將ImageNet模型準確率降至50%以下。

三、深度神經(jīng)網(wǎng)絡(luò)模型防御技術(shù)

針對上述攻擊，研究者提出了多種防御策略，分為輸入防御、模型優(yōu)化和訓(xùn)練方法三類。

（一）輸入防御技術(shù)

輸入防御通過預(yù)處理或后處理輸入，增強魯棒性。

1.噪聲注入：在輸入中添加隨機噪聲。

(1)高斯噪聲：符合正態(tài)分布的加性噪聲。

-參數(shù)：均值0，標準差0.01。

-應(yīng)用：在圖像分類中可提高模型對微小擾動的抵抗力。

(2)椒鹽噪聲：隨機生成黑白像素點。

-概率：每個像素點有5%概率被修改。

-效果：在CIFAR-10上可提高模型對對抗攻擊的防御能力。

2.數(shù)據(jù)增強：通過變換擴充訓(xùn)練集。

(1)旋轉(zhuǎn)：隨機旋轉(zhuǎn)圖像±15°。

-目的：使模型對旋轉(zhuǎn)不敏感。

(2)改變亮度：調(diào)整像素強度。

-參數(shù)：亮度因子在0.9到1.1之間。

-效果：提高模型對光照變化的魯棒性。

（二）模型優(yōu)化技術(shù)

模型優(yōu)化通過