迄今為止，深度神經(jīng)網(wǎng)絡（DNN）已被證明對于包括圖像和音頻分類在內(nèi)的廣泛應用非常有前途。但是，它們的性能在很大程度上取決于用于訓練它們的數(shù)據(jù)量，而且大型數(shù)據(jù)集并不總是很容易獲得。

如果DNN沒有經(jīng)過充分的訓練，他們將更容易對數(shù)據(jù)進行錯誤分類。這使他們?nèi)菀资艿教囟愋偷木W(wǎng)絡攻擊，稱為對抗攻擊。在對抗性攻擊中，攻擊者創(chuàng)建旨在欺騙DNN（即對抗性數(shù)據(jù)）的真實數(shù)據(jù)的副本，將其欺騙為錯誤分類的數(shù)據(jù)，從而損害其功能。

近年來，計算機科學家和開發(fā)人員提出了各種工具，可以通過檢測原始數(shù)據(jù)和對抗數(shù)據(jù)之間的差異來保護深度神經(jīng)體系結構免受這些攻擊。但是，到目前為止，這些解決方案均未證明具有普遍效力。

武漢大學和武漢軟件工程職業(yè)學院的研究人員最近推出了一個平臺，該平臺可以通過計算復制圖像的容易程度來評估其抵制DNN的能力，從而評估圖像對對抗攻擊的魯棒性。這個名為FoolChecker的新平臺在Elsevier的Neurocomputing期刊上發(fā)表的一篇論文中進行了介紹。

研究人員在論文中寫道：“我們的論文提出了一個稱為FoolChecker的平臺，用于從圖像本身而非DNN模型的角度評估圖像對抗攻擊的魯棒性?！薄拔覀兌x了原始示例與對抗示例之間的最小感知距離，以量化對抗對抗攻擊的魯棒性?！?/p>

FoolChecker是量化圖像抵御攻擊性魯棒性的首批方法之一。在仿真中，這項技術取得了顯著成果，在相對較短的時間內(nèi)完成了計算。

在開發(fā)平臺時，研究人員比較了許多指標以量化原始圖像與對抗圖像之間的距離。證明最有效的度量標準是原始樣本與對抗樣本之間的攝動靈敏度距離（PSD）。

FoolChecker的工作原理是計算成功欺騙DNN分類器所需的最小PSD。盡管需要手動計算，但研究人員開發(fā)了一種方法，該方法結合了稱為差分進化（DE）和貪婪算法的技術，貪婪算法是一種直觀的體系結構，通常用于解決優(yōu)化問題。

研究人員寫道：“首先，將差分演化應用于產(chǎn)生具有高擾動優(yōu)先級的候選擾動單位。”“然后，貪心算法嘗試將當前具有最高擾動優(yōu)先級的像素添加到擾動單元中，直到欺騙DNN模型為止。最后，計算出擾動單元的感知距離，作為評估圖像抵抗對抗攻擊的魯棒性的指標。 ”

研究人員通過一系列測試對FoolChecker進行了評估，發(fā)現(xiàn)它可以有效地計算某些圖像在被多個DNN處理后對對抗攻擊的魯棒性。他們的研究提供了證據(jù)，表明DNN模型的對抗性脆弱性也可能是由于外部因素（即，與模型性能無關）造成的，例如它正在處理的圖像的特征。

換句話說，該團隊發(fā)現(xiàn)，圖像本身在易于修改的程度方面可能會有所不同，從而會誘使DNN誤分類數(shù)據(jù)。將來，他們開發(fā)的平臺可用于評估饋送到DNN的數(shù)據(jù)的魯棒性，這可能會阻止攻擊者創(chuàng)建對抗性數(shù)據(jù)并因此而發(fā)動攻擊。