《表2 攻击集合模型的结果比较》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《聚焦图像对抗攻击算法PS-MIFGSM》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

使用MI-FGSM和PS-MIFGSM两种方法对集合模型进行攻击，实验参数设置和单模型攻击相同，实验结果如表2所示。从表2中可以看出使用以集合模型攻击生成的对抗样本攻击成功率很高，对于三种基础模型的攻击成功率都接近100%，这说明攻击集合模型的对抗样本具有良好的鲁棒性。并且还可以观察到，PS-MIFGSM算法的D(I，Ia）值比MI-FGSM小，这是因为攻击集合模型时，融合了多种图像分类模型的logits来计算目标函数J(x，y），使用Grad-CAM提取的卷积神经网络关注区域也是融合了多种分类模型对图像的共同关注区域，所以它在生成的对抗干扰信息时，会考虑多种分类模型对图像的损失信息，而不是像在单模型攻击中，只考虑单一分类模型的损失信息，所以攻击集合模型的方法更为鲁棒，它能以更高的效率和成功率来攻击大部分的分类模型。同时，由于PS-MIFGSM方法需要提取神经网络对图像在分类任务中的关注区域，所以和MI-FGSM相比，它在时间复杂度上略差。说明，在攻击集合模型时，PS-MIFGSM可以在确保攻击成功率的同时，降低对抗样本的干扰信息量，具有比MI-FGSM具有更好的攻击效率。