迄今為止，深度神經(jīng)網(wǎng)絡(luò)（DNN）已被證明對(duì)于包括圖像和音頻分類在內(nèi)的廣泛應(yīng)用非常有前途。但是，它們的性能在很大程度上取決于用于訓(xùn)練它們的數(shù)據(jù)量，而且大型數(shù)據(jù)集并不總是很容易獲得。

如果DNN沒(méi)有經(jīng)過(guò)充分的訓(xùn)練，他們將更容易對(duì)數(shù)據(jù)進(jìn)行錯(cuò)誤分類。這使他們?nèi)菀资艿教囟愋偷木W(wǎng)絡(luò)攻擊，稱為對(duì)抗攻擊。在對(duì)抗性攻擊中，攻擊者創(chuàng)建旨在欺騙DNN（即對(duì)抗性數(shù)據(jù)）的真實(shí)數(shù)據(jù)的副本，將其欺騙為錯(cuò)誤分類的數(shù)據(jù)，從而損害其功能。

近年來(lái)，計(jì)算機(jī)科學(xué)家和開(kāi)發(fā)人員提出了各種工具，可以通過(guò)檢測(cè)原始數(shù)據(jù)和對(duì)抗數(shù)據(jù)之間的差異來(lái)保護(hù)深度神經(jīng)體系結(jié)構(gòu)免受這些攻擊。但是，到目前為止，這些解決方案均未證明具有普遍效力。

武漢大學(xué)和武漢軟件工程職業(yè)學(xué)院的研究人員最近推出了一個(gè)平臺(tái)，該平臺(tái)可以通過(guò)計(jì)算復(fù)制圖像的容易程度來(lái)評(píng)估其抵制DNN的能力，從而評(píng)估圖像對(duì)對(duì)抗攻擊的魯棒性。這個(gè)名為FoolChecker的新平臺(tái)在Elsevier的Neurocomputing期刊上發(fā)表的一篇論文中進(jìn)行了介紹。

研究人員在論文中寫道：“我們的論文提出了一個(gè)稱為FoolChecker的平臺(tái)，用于從圖像本身而非DNN模型的角度評(píng)估圖像對(duì)抗攻擊的魯棒性。”“我們定義了原始示例與對(duì)抗示例之間的最小感知距離，以量化對(duì)抗對(duì)抗攻擊的魯棒性。”

FoolChecker是量化圖像抵御攻擊性魯棒性的首批方法之一。在仿真中，這項(xiàng)技術(shù)取得了顯著成果，在相對(duì)較短的時(shí)間內(nèi)完成了計(jì)算。

在開(kāi)發(fā)平臺(tái)時(shí)，研究人員比較了許多指標(biāo)以量化原始圖像與對(duì)抗圖像之間的距離。證明最有效的度量標(biāo)準(zhǔn)是原始樣本與對(duì)抗樣本之間的攝動(dòng)靈敏度距離（PSD）。

FoolChecker的工作原理是計(jì)算成功欺騙DNN分類器所需的最小PSD。盡管需要手動(dòng)計(jì)算，但研究人員開(kāi)發(fā)了一種方法，該方法結(jié)合了稱為差分進(jìn)化（DE）和貪婪算法的技術(shù)，貪婪算法是一種直觀的體系結(jié)構(gòu)，通常用于解決優(yōu)化問(wèn)題。

研究人員寫道：“首先，將差分演化應(yīng)用于產(chǎn)生具有高擾動(dòng)優(yōu)先級(jí)的候選擾動(dòng)單位。”“然后，貪心算法嘗試將當(dāng)前具有最高擾動(dòng)優(yōu)先級(jí)的像素添加到擾動(dòng)單元中，直到欺騙DNN模型為止。最后，計(jì)算出擾動(dòng)單元的感知距離，作為評(píng)估圖像抵抗對(duì)抗攻擊的魯棒性的指標(biāo)。 ”

研究人員通過(guò)一系列測(cè)試對(duì)FoolChecker進(jìn)行了評(píng)估，發(fā)現(xiàn)它可以有效地計(jì)算某些圖像在被多個(gè)DNN處理后對(duì)對(duì)抗攻擊的魯棒性。他們的研究提供了證據(jù)，表明DNN模型的對(duì)抗性脆弱性也可能是由于外部因素（即，與模型性能無(wú)關(guān)）造成的，例如它正在處理的圖像的特征。

換句話說(shuō)，該團(tuán)隊(duì)發(fā)現(xiàn)，圖像本身在易于修改的程度方面可能會(huì)有所不同，從而會(huì)誘使DNN誤分類數(shù)據(jù)。將來(lái)，他們開(kāi)發(fā)的平臺(tái)可用于評(píng)估饋送到DNN的數(shù)據(jù)的魯棒性，這可能會(huì)阻止攻擊者創(chuàng)建對(duì)抗性數(shù)據(jù)并因此而發(fā)動(dòng)攻擊。