《表1 攻击单模型的结果比较》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《聚焦图像对抗攻击算法PS-MIFGSM》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

注：带*号的模型名称是表示攻击的模型，后缀带（w）的结果表示为白盒攻击，其他为黑盒攻击。

从表1中可以看出当白盒攻击时，PS-MIFGSM和MI-FGSM的攻击成功率很高，模型对对抗样本的分类准确率几乎为0%：一方面，PS-MIFGSM保持了和MI-FGSM同等的攻击成功率；另一方面，PS-MIFGSM有效降低了原样本和对抗样本的差异化。这也说明本文使用Grad-CAM提取的卷积神经网络关注区域是正确有效的，对这些区域进行攻击确实能达到对整张图像进行攻击的效果。但是PS-MIFGSM在黑盒攻击时，攻击成功率稍低于MI-FGSM[11]算法，因为攻击失败的图片的D（I，Ia）值会是设定的最大值64，所以总D（I，Ia）值也会偏高一些。由于不同模型在图像分类任务上所提取到的特征图不同，所以PS-MIFGSM在单模型攻击时，它只会在本模型的重点关注区域加上对抗扰动。但是MI-FGSM[11]是对整张图所有像素点增加对抗扰动，所以它在单模型攻击中的黑盒攻击效果要好一些。