基于双频域变换与高频梯度引导的对抗攻击迁移性增强方法

《Chinese Journal of Electronics》：Enhancing the Transferability of Adversarial Attacks Through Dual-Frequency Domain Transforms and High-Frequency Gradient Guided

【字体： 大 中 小 】 时间：2025年11月12日 来源：Chinese Journal of Electronics 3

　　

在人工智能飞速发展的今天，深度神经网络（DNNs）已成为图像分类、人脸识别、自动驾驶等领域的核心技术。然而，这些看似强大的模型却隐藏着一个致命弱点——只需在原始图像中添加人眼难以察觉的微小扰动，就能让最先进的神经网络产生错误的分类结果。这种现象被称为"对抗样本攻击"，它像一把双刃剑，既揭示了模型的脆弱性，也为提升模型安全性指明了方向。

对抗攻击主要分为白盒攻击和黑盒攻击两种场景。在白盒攻击中，攻击者可以获取模型的全部信息，因此攻击成功率极高。但在现实应用中，这种理想条件几乎不存在。更常见的是黑盒攻击场景，即攻击者只能通过替代模型来生成对抗样本，再希望这些样本能够成功迁移到目标模型上。然而，由于不同模型之间存在显著差异，对抗样本的迁移性往往较差，这成为制约对抗攻击实际应用的关键瓶颈。

针对这一挑战，研究者们提出了多种解决方案。有的方法专注于改进梯度计算策略，如动量迭代快速梯度符号法（MI-FGSM）和方差调整（VT-FGSM）；有的则通过输入变换来增强模型多样性，如尺度不变方法（SIM）和混合输入（Admix）。然而，这些方法在梯度积累过程中容易保留过多替代模型的特征信息，导致生成的对抗样本出现过拟合现象。同时，传统的空间域变换方法在处理图像时表现不够稳定，难以有效模拟目标模型的特性。

正是在这样的背景下，熊茂林等人提出了一种创新的解决方案——基于双频域变换和高频梯度引导的对抗攻击迁移性增强方法。这项发表在《Chinese Journal of Electronics》上的研究，从频域分析的全新视角出发，为解决对抗样本迁移性问题开辟了新途径。

研究人员采用了几项关键技术方法：首先构建了基于离散余弦变换（DCT）和离散小波变换（DWT）的双频域变换框架，通过谱链接图（Spectral Linkage Map）分析模型间的频域特征差异；其次开发了附加高频梯度攻击（AHPI-FGSM）算法，利用图像的高频分量引导梯度下降方向；最后在ImageNet兼容数据集上进行了系统验证，该数据集包含1000张299×299尺寸的图像，覆盖了六种正常训练模型和三种集成防御模型。

谱链接图的构建与分析

研究人员引入谱链接图来系统分析模型间的差异。频域图像变换具有结构性规律，其中高频分量编码边界和轮廓特征，而低频分量对应中心区域。通过结合DCT和DWT，生成的谱链接图能够更全面地反映模型对频域成分的关注模式，为模拟目标模型提供了理论依据。

双频域变换框架

研究提出了融合DCT和DWT的双频域变换方法μ(·)。DCT变换将图像的低频成分集中在频域图的左上角，其余区域为高频成分；DWT则通过一级分解得到四个分量：低频分量、水平高频分量、垂直高频分量和对角高频分量。通过矩阵加法和Hadamard积的组合，该方法能够生成多样化的谱链接图，有效缩小替代模型与目标模型之间的特征分布差距。

附加高频梯度攻击算法

针对梯度积累导致的过拟合问题，研究提出了AHPI-FGSM算法。该算法利用DWT分解得到的垂直高频分量来引导梯度下降方向，在每次迭代中加入高频成分的梯度积累，使梯度下降更加稳定。具体而言，梯度更新过程在传统动量积累的基础上，增加了高频分量的前瞻性指导，避免了对抗样本对原始模型的过拟合。

攻击正常训练模型的效果

在六种主流模型上的实验结果表明，D2SI-AHPI-FGSM方法显著优于现有攻击方法。以Inception-v3（Inc-v3）为替代模型时，对其他五种模型的平均攻击成功率达到92.6%，比S2I-MI-FGSM、FI-MI-FGSM、VT-MI-FGSM和SI-NI-FGSM分别提高了6%、10.9%、19.7%和15.6%。这表明该方法有效提升了对抗样本的迁移性，并缓解了原始模型的过拟合问题。

攻击集成模型的性能

在面对具有更强鲁棒性的集成模型时，D2SI-AHPI-FGSM同样表现出色。当与TI-DIM和TI-SI-DIM等方法结合时，在IncRes-v2模型上的攻击成功率比S2I-TI-DIM平均提高9%。特别是在多模型集成攻击中，该方法对三个集成模型的平均攻击成功率超过98%，证明其在不同防御场景下都具有良好的适应性。

消融实验与参数分析

研究还深入分析了关键参数对攻击效果的影响。正态分布参数μ的实验表明，当μ=0.6时攻击效果达到峰值；频域变换份额参数ξ的研究显示，ξ=0.8时能获得最佳攻击效果。这些结果为理解频域成分在对抗攻击中的作用机制提供了重要见解。

注意力可视化分析

通过Grad-CAM技术对Inc-v3模型的注意力转移进行可视化比较发现，D2SI-AHPI-FGSM生成的对抗样本能够更彻底地改变模型的注意力聚焦区域，使模型的关注点转移到其他位置，这进一步解释了该方法为何能有效提升对抗样本的迁移性。

这项研究的意义不仅在于提出了一种有效的对抗攻击方法，更重要的是为理解深度神经网络的频域特性提供了新视角。通过频域分析，研究者能够更深入地揭示模型决策机制的本质特征，为后续的模型防御和安全性研究奠定基础。虽然该方法在跨模型攻击性能上仍存在一定局限，但其开创性的研究思路将为未来对抗样本研究提供重要参考。

研究的创新性体现在三个层面：方法论上，首次将双频域变换与高频梯度引导相结合；技术上，提出了谱链接图的概念和AHPI-FGSM算法；应用上，在多个模型上验证了方法的有效性。这些成果不仅推动了对抗攻击技术的发展，也为构建更安全的深度学习系统提供了理论支撑和实践指导。

随着人工智能技术在关键领域的广泛应用，模型安全性问题日益凸显。这项研究通过提升对抗样本的迁移性，既为模型安全性评估提供了更强大的工具，也为开发更鲁棒的防御方法指明了方向。未来，随着频域分析技术的进一步成熟，我们有望看到更多基于频域特性的创新方法出现，共同推动人工智能安全性的全面提升。