對抗生成網(wǎng)絡GAN在對抗攻擊與防御中的應用

對抗生成網(wǎng)絡GAN在對抗攻擊與防御中的應用*】（山東大學網(wǎng)絡空間安全研究院山東青島266237）摘要：對抗生成網(wǎng)絡GAN在圖像生成等多方面已經(jīng)取得了巨大的成功，其吸取的主要思想就是對抗博弈，最終達到“納什均衡”.盡管GAN令人興奮，但從網(wǎng)絡安全的角度來看，它們確實構(gòu)成了一個重大威脅，并且在密碼破解、惡意軟件檢測、面部識別等領域有著深遠的應用.而在對抗攻擊中最重要的就是生成對抗樣本，運用GAN在生成圖像的功能，為對抗樣本的生成提供了可能；基于GAN的對抗樣本的生成能具有更高的真實性，對現(xiàn)有的一些防御手段可以更好的擊破，改變了以往生成對抗樣本主要是集中在修改梯度變化較大的像素，轉(zhuǎn)為學習樣本的分布規(guī)律，提取特征，更好的生成對抗樣本.對抗樣本生成的過程主要是加入擾動，那對抗樣本的防御就可以使用GAN來去掉擾動，從而抵御對抗樣本的攻擊,其能較好的抵御黑盒攻擊.關鍵詞：半白盒攻擊;對抗生成網(wǎng)絡GAN;對抗樣本;對抗防御.TheApplicationofGANinConfrontationAttackandDefense1(SchoolofCyberScienceandTechnology,ShandongUniversity,Shandong266237)Abstract:TheconfrontationgenerationnetworkGANhasachievedgreatsuccessinmanyaspectssuchasimagegeneration.Themainideaithasabsorbedisconfrontationgame,andfinallyreaches"soequilibrium".AlthoughGANsareexciting,theydoposeamajorthreatfromtheperspectiveofnetworksecurityandhavefar-reachingapplicationsinfieldssuchaspasswordcracking,malwaredetection,andfacialrecognition.Themostimportantthinginaconfrontationattackistogenerateconfrontationsamples.TheuseofGAN'sfunctioningeneratingimagesprovidesthepossibilityforthegenerationofconfrontationsamples;thegenerationofconfrontationsamplesbasedonGANcanhaveahigherdegreeofauthenticity,whichisbetterforsomeexistingones.Defensivemethodscanbebetterbroken,changingthepreviousgenerationofadversarialsamplesmainlyfocusedonmodifyingpixelswithlargegradientchanges,turningtolearningthedistributionlawofsamples,extractingfeatures,andbettergeneratingadversarialsamples.Theprocessofadversarialsamplegenerationismainlytoadddisturbance,thenthedefenseoftheadversarialsamplecanuseGANtoremovetheperturbation,therebyresistingtheattackoftheadversarialsample,whichcanbetterresisttheblackboxattack.Keywords：semi-whiteboxattack;adversarialgenerativenetwork-GAN;adversarialsample;adversarialdefense.1引言深度學習迎來新的一波發(fā)展熱潮，推進人工智能向前邁進一大步，并在廣泛的應用中取得了卓越的進展,例如生物科學、計算機視覺、語音識別、自然語言理解和惡意軟件檢測等.2013年，由Szegedy等人⑴提出，對輸入樣本添加一些人無法察覺的細微的干擾,導致模型以高置信度給出一個錯誤的輸出，由此對抗樣本的概念開始出現(xiàn)并不斷發(fā)展，如今，已經(jīng)變成AI安全領域內(nèi)不可忽略的一部分.GAN是一種對抗生成網(wǎng)絡，是一種深度學習模型，是復雜分布上無監(jiān)督學習的方法之一.模型通過框架中（至少）兩個模塊：生成模型（Generative）和判別模型（Discriminative）的互相博弈學習產(chǎn)生好的輸出.GAN在高清晰圖片生成、文字到圖像的轉(zhuǎn)換、預測不同年齡的長相、照片修復等方向取得了巨大的成果.而GAN在對抗樣本的生成也有不少的研究并且也取得了不少好的成果，本文將對GAN在生成對抗樣本中的應用做一個歸納與總結(jié).2背景2.1對抗攻擊對抗攻擊是一種讓目標模型做出誤判誤或是達到竊取目的的攻擊，目前常見的對抗攻擊可以分為以下三類1）黑盒攻擊：攻擊者不知道模型參數(shù)，也無法知道模型的訓練數(shù)據(jù)集.攻擊這類模型通常是訓練一個攻擊目標的替代模型來構(gòu)造對抗樣本.為獲得訓練數(shù)據(jù)集一般是將一小部分數(shù)據(jù)集送入目標分類器中,得到輸出值并對此進行數(shù)據(jù)增強.2）白盒攻擊：攻擊者知道模型的所有參數(shù)，例如：網(wǎng)絡結(jié)構(gòu)和權限，防御機制的細節(jié)等.攻擊者獲得模型的損失函數(shù)，能夠?qū)_動目標值.3）灰盒攻擊：介于1）,2）之間.攻擊者知道網(wǎng)絡結(jié)構(gòu)和防御機制，但是不知道具體參數(shù)；灰盒攻擊又可以分為半白盒攻擊和半黑盒攻擊.對抗樣本這一概念由Szegedyetal.⑴提出，對輸入樣本添加一些人無法察覺的細微的干擾，導致模型以高置信度給出一個錯誤的輸出.Szegedy等人首先通過添加輕微擾動來干擾輸入樣本，使基于深度神經(jīng)網(wǎng)絡（DNN）的圖片識別系統(tǒng)輸出攻擊者想要的任意錯誤結(jié)果.率先實現(xiàn)了對抗樣本在圖像攻擊上的應用.表1總結(jié)了一些常見的一些攻擊算法，主要羅列了白盒與黑盒攻擊中的經(jīng)典對抗算法.GoodFellow等人⑵認為度神經(jīng)網(wǎng)絡在高緯空間中的線性特性已經(jīng)足以產(chǎn)生這種攻擊行為；對抗樣本的存在表明了神經(jīng)網(wǎng)絡的脆弱性，而對抗樣本存在的主要原因是模型的高度線性，即使使用

了非線性函數(shù)作為激活函數(shù)，但是在局部空間內(nèi)，非線性仍可以看作是線性的.近年來，對對抗樣本的研究已經(jīng)從圖像領域擴展到語音識別，自動駕駛等領域，比如在語音識別領域,XuejingYuan等人⑶已經(jīng)實現(xiàn)把對抗樣本(Command)注入到音樂中(CommanderSong)進而大規(guī)模影響語音識別系統(tǒng)的正常工作.對抗樣本的存在的攻擊已經(jīng)不可忽視.表1：常見對抗算法攻擊方式攻擊算法核心要點WFSGM對loss函數(shù)的輸入變量求梯度作為擾動WBIM識別概率最小的類別代替對抗擾動中的類別變量WPGDFGSM是做一次迭代，而PGD是做多次迭代WDeepFool迭代計算的方法生成最小擾動，將位于分類邊界內(nèi)的圖像逐步推到邊界外WC&W通過限制無窮、二和零范數(shù)使得擾動無法被察覺BUAP即通過降級相應的排名指標來生成針對UAP的檢索，以打破圖像特征的鄰域關系BJSMA提出了限制零范數(shù)的方法BZOO通過有限差分，利用數(shù)值方法去估計梯度，從而去改變輸入BEAD“彈性網(wǎng)優(yōu)化問題''的思路來生成對抗樣本W(wǎng)-BGAN對抗基于GAN的對抗上表中W表示白盒攻擊,B表示黑盒攻擊,W-B表示半白盒攻擊(灰盒攻擊).2.2對抗生成網(wǎng)絡自2014年IanGoodfellow^4：］提出了GAN(GenerativeAdversarialNetwork)以來，生成對抗網(wǎng)絡(GAN)已經(jīng)廣泛應用于高清晰圖片生成、文字到圖像的轉(zhuǎn)換、預測不同年齡的長相、照片修復等方向并且取得了巨大的成功.GAN神經(jīng)網(wǎng)絡是基于博弈論［2］而設計的一種對抗博弈過程，不斷相互對抗，不斷相互學習而最終達到雙方共同提高的目的，形成一種“那么均衡”.GAN的主要結(jié)構(gòu)包括一個生成器G(Generator)和一個判別器D(Discriminator)，通過生成網(wǎng)絡G和判別網(wǎng)絡D不斷博弈,進而使G學習到數(shù)據(jù)的分布,并利用G網(wǎng)絡生成我們所需要的樣本.其GAN模式圖如圖1所示.G是一個生成式的網(wǎng)絡，它接收一個隨機的噪聲z(隨機數(shù))，通過這個噪聲生成樣本,D是一個判別網(wǎng)絡，判別樣本是不是“真實的”.它的輸入?yún)?shù)是尤，輸出D(x)代表x為真實樣本的概率，如果為1,就代表為真，而輸出為0,就代表為假.由于GAN網(wǎng)絡區(qū)別于一般的神經(jīng)網(wǎng)絡，其代價函數(shù)也較一般有所不同,一般的,GAN網(wǎng)絡的代價函數(shù)使用JS散度來度量,JS散度衡量的是兩個概率分布的相似度.圖1：GAN結(jié)構(gòu)更新參數(shù)的方法是先固定判別器來更新生成器，然后在固定生成器更新判別器；這里給出G和D的代價函數(shù)及參數(shù)的更新方法.生成器G的代價函數(shù)：1JG=一并[log(1-D(G(z)))]mi=1使用Adam梯度下降法來更新參數(shù)：0=Adam(yQ(Jg),0)判別器D的代價函數(shù)：'''15Jd=并[-logD(xi)-log(1-D(G(zi)))]mi=1使用Adam梯度下降法來更新參數(shù)：0d=Adam(V0d(Jd),0)3基于GAN的對抗攻擊GAN生成對抗樣本的方式一般不需要獲取太多的背景知識，適用于攻擊難度較高的半白盒攻擊,半黑盒攻擊和黑盒攻擊.生成對抗樣本的方法比較多，主流方法主要是(也可以參考表1)：基于梯度下降的FGSM及FGSM的變種，如：BIM,PGD,FGSM等.基于優(yōu)化的生成方式;如CW,JSMA,Hot/Cold等等.3基于GAN的生成方式.前兩種對抗樣本生成的方法對樣本的生成有閾值控制，經(jīng)過跟仔細的辨認還是可以了解到對抗樣本與真實樣本之間在梯度突變的地方還是有明顯的區(qū)別；而且這兩種方法在大規(guī)模樣本攻擊情況下效率不是很高，不適用與實時對抗.而基于GAN的方式可以生成與真實圖像更加接近的對抗樣本,一旦生成器訓練完成，就可以部署到響應的模型中嵌套，可以大規(guī)模高效的生成對抗樣本，就不需要在訪問被攻擊的模型.通過生成對抗網(wǎng)絡的生成器進行對抗樣本生成.首先利用生成對抗網(wǎng)絡中的生成器生對抗樣本數(shù)據(jù)，然后用模型中的判別器約束對抗樣本的分布和原數(shù)據(jù)相同，保證對抗樣本的逼真性，同時，使用類別概率向量重排序函數(shù)約束對抗，樣本的類別為指定攻擊類別，保證對抗樣本在被攻擊模型上的有效性.AdvGAN2019年ChaoweiXiao等人⑸提出了AdvGAN,利用生成對抗網(wǎng)絡去生成對抗樣本,AdvGAN的做法是將原始樣本(即：X)通過GAN的生成器映生成一個擾動G3)(即：2019年ChaoweiXiao等人⑸提出了AdvGAN,利用生成對抗網(wǎng)絡去生成對抗樣本,AdvGAN的做法是將原始樣本(即：X)通過GAN的生成器映生成一個擾動G3)(即：門)，然后將擾動G3)與原始樣本疊加(即：G3)+X)，然后再將此對抗樣本與原始樣本交給判別器分辨.其算法流程如下圖2：GeneratorTangeiwhrte-box|_/distilledbhck-b-oK—OriginalinstanceDiscriminatorT+G(T)HSEqPerturbedinstance圖2：AdvGAN模型一個生成器G,一個判別器D和目標攻擊網(wǎng)絡f.在這里，生成器G接受一張原始圖像輸入實例x,然后生成微小擾動G(x).接著X+G(x)會被送到判別器d,判別器的任務是分辨生成數(shù)據(jù)和原始數(shù)據(jù).被攻擊模型表示為f,f將X+G(x)作為輸入，然后輸出它的對抗損失，其中它的損失表示預測類別和攻擊到其錯誤分類類別的距離或者是與真實類別標簽相反的距離.AdvGAN與FGSM,Opt等相對比起來，在MNIST和CIFAR-10數(shù)據(jù)集上其攻擊的成功率有較大的提高；并且在加有防御算法的情況下,AdvGAN仍然取得很高的攻擊成功率，顯現(xiàn)出AdvGAN的優(yōu)越性.這是一種主要用于半白盒攻擊中比較實用的攻擊手段，但是對黑盒攻擊來說，其遷移性不強，不能很好的用于黑盒攻擊.AdvGAN++AdvGAN++[6]是在AdvGAN基礎上發(fā)展而來的,相比與AdvGAN,其算法性能上有所提高，可以更好地學習和模擬出真實圖像分布.這是一種半黑盒攻擊,而且對黑盒攻擊也有92.76%的攻擊成功率.大多數(shù)的黑盒攻擊策略是基于對抗樣本的遷移現(xiàn)象.在這些方法中，攻擊者會首先訓練一個本地模型，然后通過本地模型模擬被攻擊的模型來生成對抗樣本.這些方法希望同樣的對抗樣本同時也可以攻擊其他類似的模型.很多應用的學習系統(tǒng)允許查詢訪問，然而，有極少的工作可以利用對于

目標模型查詢的訪問去構(gòu)建對抗樣本從而超過利用遷移性構(gòu)建對抗樣本的效果.相反地，AdvGAN++可以不依賴于遷移性進行黑盒攻擊.其生成對抗樣本的原理圖如圖3：LAdv圖3：LAdv圖3：AdvGAN++原理GAN圖3表示了AdvGAN++的整個架構(gòu)，其中主要包含三個部分：一個生成器G,一個判別器D和一個目標模型C.在這里，真實樣本經(jīng)過的D3)的特征提取后與噪音(X)形成G的輸入向量vector,然后將經(jīng)過生成器生成對抗樣本adv，然后將生成好的對抗樣本與真實樣本交給判別器去識別；最后將生成的對抗樣本adv輸入到目標分類模型C中，其中輸出的損失為匕小.優(yōu)化目標損失函數(shù)，當模型達到最優(yōu)時，adv即為對抗樣本.其中參數(shù)更新的方法是使用隨機梯度更新法，如下所示：1mV0—Y[-logD(xi)-log(1-D(G(zIf(x?))))]

i=1從目標模型中提取特征f(Xi)，通過求解最小一最大博弈問題，得到G和D的最優(yōu)參數(shù).AdvGAN和AdvGAN++有一個共同的特點就是，在目前的防御體系下，這兩種攻擊方法都是有效的，而AdvGAN++比AdvGAN高3%-7%.NaturalGANNaturalGAN[7是一種既可以用于圖像又可以用于文本的對抗樣本生成方法，其根本原理是去隱特征空間尋找對抗樣本，這樣產(chǎn)生的對抗樣本更加自然其更具有針對性.NaturalGAN對抗樣本生成分為兩階段，第一階段是將樣本空間映射到隱特征空間中去；如下圖4所示：

圖4：NaturalGAN第一階段首先用真實數(shù)據(jù)訓練好WGAN中的生成器G和判別器D，生成器是將隱特征空間映射到樣本z=G(I(x))

x=I(G(z))空間中去工=G(x)(z-x)，然后再需要訓練一個逆轉(zhuǎn)器I，完成z=z=G(I(x))

x=I(G(z))第二階段如圖5所示:圖5：Natural圖5：NaturalGAN第二階段第二階段為利用階段一訓練好的網(wǎng)絡在隱特征空間中搜索對抗樣本.對于一個特定的真實數(shù)據(jù)x,利用I將其映射回隱空間，然后在隱空間上對z'進行隨機擾動得到~,最后由生成器G得到相應的對抗樣本.由實驗結(jié)果得出基于FGSM生成的對抗擾動毫無語義性可言，但是基于NaturalGAN方法生成的對抗樣本則在外觀上更加自然；實驗還對比了不同模型進行對抗樣本生成的實驗，發(fā)現(xiàn)魯棒性更高的模型需要的迭代次數(shù)更多.Rob-GANRob-GAN[8主要是在訓練的過程中引入了對抗樣本的訓練,這樣的GAN網(wǎng)絡其魯棒性更好，通過PGD攻擊所得到的對抗樣本用來訓練，可以加速GAN網(wǎng)絡的收斂,訓練出來的生成器泛化能力更強,再用來生成對抗樣本就具有更強的攻擊能力.但是這種方法在訓練網(wǎng)絡時只“看到”所有訓練樣本附近小區(qū)域內(nèi)的對抗樣本，而數(shù)據(jù)流形中的其余圖像則沒有受到保護，所以這種方法生成的對抗樣本在訓練集上獲得不錯的魯棒性,但是在測試集上顯著下降.將對抗攻擊學習和生成對抗網(wǎng)絡組成一個新的模型，將生成器、判別器和對抗攻擊者組合訓練,通過在SNGAN中引入對抗學習中的對抗樣本的元素,不僅可以加速GAN的訓練，提高生成圖像的質(zhì)量，更重要的可以得到魯棒性更好的判別器.其次精細化訓練判別器D.用假樣本和真實數(shù)據(jù)樣本繼續(xù)訓練階段一訓練好的判別器D,使得它能夠有更好的魯棒性抵御對抗攻擊.AdvFacesAdvFace[9]可以自動產(chǎn)生不可察覺的擾動,這些擾動可以避開最先進的人臉識別系統(tǒng)，其模糊攻擊和模擬攻擊的攻擊成功率非常高.AdvFaces是一種自動對抗性人臉合成方法，它通過對抗學習在顯著的面部區(qū)域產(chǎn)生最小的擾動.AdvFaces是通過對原始圖片的特征提取之后，生成一個類似于輪廓特征的“面具”，再將此“面具”與原始圖像疊加,得到對抗樣本.其原理圖6如下圖6：AdvFace原理圖這些對抗示例是由于對探測圖像添加了較小的擾動而產(chǎn)生的.這樣的對抗圖像可能導致最先進的人臉識別系統(tǒng)錯誤地拒絕真實的主體(混淆攻擊)或錯誤地匹配冒名頂替者(冒充攻擊)，其損失的計算如下：'l=E[max(q,11G(x)II)]<[=E；[1-F(y,x+G(x))]lGN=E[logD(x)-log(1-D(x+G(x)))]其中\(zhòng)表示添加干擾的損失函數(shù)f是對抗樣本與原始圖像之間的損失」gan是GAN網(wǎng)絡的損失.總的損失是這三部分的加和，即I=*I+人I+1，其中人和人是損失的超參數(shù).通過實驗顯示lossppiiGANipAdvFaces可以保證與原圖像高相似度的同時實現(xiàn)高攻擊準確率.PS-GANPS-GANEio]是使用對抗生成網(wǎng)絡(GAN)來生成視覺保真度較好且與場景語義相關度較高的對抗補丁，讓自動駕駛的圖片識別器誤分類，以在數(shù)字世界和物理世界完成對深度學習模型的攻擊.將塊生成視為通過對抗過程的塊到塊的變換，輸入任意類型的塊輸出與攻擊圖像感知高相關的對抗塊.為了進一步提高攻擊能力，提出了一種結(jié)合對抗生成的注意機制來預測關鍵的攻擊區(qū)域，從而生成更真實、更具攻擊性的對抗塊PS-GAN找到一種能夠生成的對抗塊可以欺騙被攻擊網(wǎng)絡的視覺感知度的攻擊方法.對抗塊在視覺上應該是自然的，與圖像內(nèi)容具有很強的感知相關性，同時在空間上定位于感知敏感的位置.利用被攻擊網(wǎng)絡的視覺感知,增強視覺保真以及攻擊性能，使用補丁到補丁的翻譯過程，以追求視覺上的自然和上下文相關的對抗性補丁.同時引入視覺注意去捕獲空間分布感知，引導攻擊位置.圖7：PS-GAN攻擊如圖7所示,給一個限速度20km/h與30km/h的路牌標志在適當位置放置一個攻擊塊后，自動駕駛系統(tǒng)識別為禁行標志，達到了攻擊的目的.（7）AI-GAN之前的AdvGAN在訓練中固定了目標類別，并且發(fā)現(xiàn)將AdvGAN修改為將原始圖像和目標類別作為輸入時,會很難訓練它.AI-GANS提出了具有不同訓練策略的GAN來解決此問題.這是一種兩階段方法，使用投影梯度下降（PGD）攻擊在第一階段激發(fā)GAN的訓練，在第二階段應用GAN的標準訓練.訓練后，生成器可以近似估算對抗實例的條件分布，并在給定不同目標類別的情況下生成對抗擾動.實驗評估了MNIST的性能，與AdvGAN相比，以類似的擾動幅度獲得了更高的攻擊成功率.4基于GAN的防御4.1常用的防御手段對抗防御是抵制對抗攻擊的手段與方法，目前，對抗防御主要分為以下三類.1）調(diào)整訓練數(shù)據(jù)使得模型魯棒性更強；比如：用對抗樣本進行數(shù)據(jù)增強；但是這種方法由于對抗樣本由攻擊產(chǎn)生，在攻擊策略更換后，這種防御方式將會表現(xiàn)不佳［12-14］.2）對分類器進行防御蒸餾訓練；利用這種方式使得網(wǎng)絡更加平滑，輸入點附近的梯度較小，從而難以生成對抗樣本.這種防御方式對白盒攻擊防御效果好，但是對黑盒攻擊效果不好［13-15］.3）嘗試去除輸入中的噪聲；這種方法對灰盒攻擊尤其有效［16-2。］.這些方法可以被進一步細分為兩種類型：（a）完全防御；（b）僅探測.完全防御方法的目標是讓網(wǎng)絡將對抗樣本識別為正確的類別；僅探測方法的目標是檢測對抗樣本，一旦發(fā)現(xiàn)就將對抗樣本丟棄或是不被識別.考慮到對抗樣本的錯誤分類主要是由輸入圖像的一些像素級的擾動引起的，因此希望提出一種算法來消除輸入圖像的對抗擾動，從而達到防御對抗攻擊的目的.這里可以把樣本的對抗擾動消除定義為學習從對抗樣本到原始樣本的流形映射的問題.生成對抗網(wǎng)絡(GAN)是一種功能強大的工具,其可用于學習數(shù)據(jù)分布并形成生成器.利用GAN來學習真實數(shù)據(jù)分布，從而在對抗性輸入的前提下生成良性預測.基于以上的分析,本文簡單介紹幾種用GAN相關模型來防御對抗攻擊的方法.4.26入1^的防御手段Defense-GANDefense-GAN[15],是利用生成模型的表達能力來保護深度神經(jīng)網(wǎng)絡免受攻擊的框架.Defense-GAN的訓練是模擬真實圖像的分布.在推斷時，通過在其學習的分布中搜索接近于對抗樣本的圖像來清除對抗樣本，這個輸出然后送到分類器.這種方法可以用于任何分類模型，不會修改分類器結(jié)構(gòu)或訓練過程.它也可以用來防御任何攻擊，因為它不會假設生成對抗樣本的過程的知識.其算法流程圖如下圖8所示：圖8：Defense-GAN原理圖Z*的計算采用的L次GD(GradientDescent)算法,Defense-GAN可以連同任意分類器使用并且不會影響分類器結(jié)構(gòu),可以看作是一個分類任務之前的預處理；如果GAN表達能力足夠好，則沒必要重新訓練分類器；對任意形式的攻擊都能起到防御效果；Defense-GAN高度非線性，基于梯度的白盒攻擊將很難實現(xiàn).APE-GANGoodfellow等[16]提出的生成對抗網(wǎng)絡(GAN)能夠利用隨機噪聲生成與原始分布相似的數(shù)據(jù)集,APE-GAN是一種基于GAN利用對抗樣本生成與原始樣本相似的重構(gòu)圖像的框架.先利用原始樣本和對抗樣本訓練生成對抗網(wǎng)絡，訓練好以后，將對抗樣本和原始樣本先經(jīng)過生成器將對抗擾動消除以后，再給目標分類器進行分類.首先定義對抗圖像和干凈圖像之間的微小擾動：IXadv—XII=n理想情況下，可以將擾動從對抗樣本中完全脫離出來，這也意味著xadv的分布與x高度一致,GAN的全局最優(yōu)性是G的生成分布與數(shù)據(jù)生成分布樣本的一致性，兩者是吻合的,也說明了利用GAN來消除擾動的可行性.APE-GAN的最終目標是訓練一個生成模型G,它能夠為輸入的對抗樣本生成對應的與原始樣本分布一致的重構(gòu)樣本.訓練的優(yōu)化目標是:9=argmin一￡l(G。(xadv),X)k=1因為這里不是利用隨機噪聲而是用樣本來生成重構(gòu)樣本，所以重構(gòu)圖像的質(zhì)量問題是一個需要考慮的問題.作者考慮在生成器的損失函數(shù)中進行約束，將生成器的損失函數(shù)定義為加權和的形式,由像素級的均方誤差(MSE)損失和對抗性損失組成.結(jié)果表明，無論是規(guī)則或不規(guī)則的擾動,APE-GAN都可以很有效地消除擾動.APE-GAN可以與其他防御一起工作，例如對抗訓練.另一個方面，框架具有很強的適用性，可以在不知道目標模型的情況下處理對抗樣本.FBGANFBGANE17］是一種比較新穎的防御方法，其首先捕獲任何輸入的語義信息(原始或敵對狀態(tài))，然后通過這些信息檢索未受干擾的輸入.Defense-GAN也利用了GAN的生成能力，此外,FBGAN還添加了一個編碼器進行語義推理，如圖9所示.與Defense-GAN相比,FBGAN不需要額外的搜索過程就可以在生成的空間中獲得對抗性最強的對手.編碼器將直接提供語義潛在代碼以重構(gòu)未受干擾的圖像.圖9：FBGAN防御圖⑷BCGANBCGAN［18］提出了一種稱為邊界條件GAN的新型防御機制，以增強針對對抗示例的深度神經(jīng)網(wǎng)絡的魯棒性.邊界條件GAN是條件GAN的改進版本，可以在經(jīng)過預訓練的分類器的決策邊界附近生成帶有真實標簽的邊界樣本.這些邊界樣本被作為數(shù)據(jù)擴充發(fā)送到預訓練的分類器，以使決策邊界更加魯棒.實驗表明，通過BCGAN可以持續(xù)成功地防御各種類型的對抗攻擊，還提供了有關魯棒性提高和決策邊界可視化的進一步定量研究，證明策略的有效性.這種使用邊界樣本來增強網(wǎng)絡魯棒性的新防御機制為防御對抗攻擊開辟了一條新途徑.5總結(jié)盡管以上只是列舉了一些GAN在對抗攻擊中的攻擊與防御方法，但GAN在其他方面仍然有巨大的威脅,GAN對機器學習的攻擊是通過對機器學習采取敵對的方法，攻擊者可以制造復雜的攻擊，以至于欺騙了我們最先進的系統(tǒng).GAN甚至有能力欺騙基于機器學習的防御系統(tǒng)，這意味著任何依賴機器學習的系統(tǒng)都不再安全[21-24].隨著GAN越來越受歡迎，網(wǎng)絡安全從業(yè)者跟上研究和技術的步伐，以最好地裝備自己，以理解和識別攻擊是至關重要的.正如我們所知，當涉及到令人興奮的新技術時,安全往往是事后考慮的問題.因此，我們作為網(wǎng)絡安全領域的成員，有責任始終考慮可能出現(xiàn)的問題,并在攻擊者之前搶先兩步.本文在文末附錄簡單介紹了幾種GAN對其他模型的一些威脅僉-30].參考文獻(References):ChristianSzegedy,WojciechZaremba,IlyaSutskever,JoanBruna,IanGoodfellow,RobFergus.Intriguingpropertiesofneuralnetworks.arXiv:1312.6199,2014.KurakinA,GoodfellowI,BengioS.Adversarialexamplesinthephysicalworld[C].ICLR(Workshop).2017.XuejingYuan,YuxuanChenetal.CommanderSong:ASystematicApproachforPracticalAdversarialVoiceRecognition[C].ISBN.2018.Goodfellow,IanJ.Pouget-Abadie,Jean;Mirza,Mehdietal.GenerativeAdversarialNetworks.arXiv:1406.2661.2014.ChaoweiXiao,BoLi,Jun-YanZhu,WarrenHe,MingyanLiu,etal.AdversarialExampleswithAdversarialNetworks.arXiv:1801.02610,2018.PuneetMangla,SurganJandial,SakshiVarshney,VineethNBalasubramanian.AdvGAN++:Harnessinglatentlayersforadversarygeneration.arXiv:1908.00706,2019.ZhengliZhao,DheeruDua,SameerSingh.GeneratingNaturalAdversarialExamples.arXiv:1710.11342,2018.XuanqingLiu,Cho-JuiHsieh.Rob-GAN:Generator,Discriminator,andAdversarialAttacker.arXiv:1807.10454,2019.DebayanDeb,JianbangZhang,AnilK.Jain.AdvFaces:AdversarialFaceSynthesis.arXiv:1908.05008,2019.ShiweiShen,GuoqingJin,KeGao,YongdongZhang.APE-GAN:AdversarialPerturbationEliminationwithGAN.arXiv:1707.05474,2017TaoBai,JunZhao,JinlinZhu,ShoudongHan,JiefengChen,BoLi.AI-GAN:Attack-InspiredGenerationofAdversarialExamples.arXiv:2002.02196,2020PouyaSamangouei,MayaKabkab,RamaChellappa.Defense-GAN:ProtectingClassifiersainstdversarialAttacksUsingGenerativeModels.arXiv:1805.06605,2018Liu,Aishan,XianglongLiu,JiaxinFan,YuqingMa,AnlanZhang,HuiyuanXieandD.Tao.Perceptual-SensitiveGANforGeneratingAdversarialPatches.AAAI(2019).Moosavi-DezfooliSM,FawziA,FawziO,FrossardP.Universaladversarialperturbations[C].ProceedingsoftheIEEEconferenceoncomputervisionandpatternrecognition.2017:1765-1773.RuyingBao,SihangLiang,QingcanWang.FeaturizedBidirectionalGAN:AdversarialDefenseviaAdversariallyLearnedSemanticInference.arXiv:1805.07862,2018.KeSun,ZhanxinZhu,ZhouchenLin.EnhancingtheRobustnessofDeepNeuralNetworksbyBoundaryConditionalGAN.arXiv:1902.11029,2019.BrilandHitaj,PaoloGasti,GiuseppeAteniese,FernandoPerez-Cruz.PassGAN:ADeepLearningApproachforPasswordGuessing.arXiv:1709.00440,2019.GoodfellowIJ,ShlensJ,SzegedyC.Explainingandharnessingadversarialexamples[C].ICLR(Poster).2015.TramerF,KurakinA,PapernotN,GoodfellowI,BonehD,McDanielP.Ensembleadversarialtraining:Attacksanddefenses[C].ICLR(Poster).2018.MadryA,MakelovA,SchmidtL,TsiprasD,VladuA.Towardsdeeplearningmodelsresistanttoadversarialattacks[C].ICLR(Poster).2018.C.Xiao,B.Li,J.-Y.Zhu,W.He,M.Liuetal.Generatingadversarialexampleswithadversarialnetworks.arXivpreprintarXiv:1801.02610,2018.YanpeiLiu,XinyunChen,ChangLiu,andDawnSong.Delvingintotransferableadversarialexamplesandblackboxattacks.arXivpreprintarXiv:1611.02770,2016WangHao,YeungDY.TowardsBayesiandeeplearning:aframeworkandsomeexistingmethods[J].IEEETransactionsonKnowledgeandDataEngineering,2016,28(12):3395-3408.KiferD,MachanavajjhalaA.NofreelunchindataprivacyConferenceonManagementofData,Athens,Jun12-16,2011.NewYork:ACM,2011:193-204.YaoYucheng,SongLing,EChi.Investigationondistributedk-meansclusteringalgorithmofhomomorphicencryption[J].ComputerTechnologyandDevelopment,2017,27(2):81-85.Gilad-BachrachR,DowlinN,LaineK,etal.CryptoNets:applyingneuralnetworkstoencrypteddatawithhighthroughputandaccuracy[C]//Proceedingsofthe33rdInternationalConferenceonMachineLearning,Jun19-24,2016:201-210.ZhangWenke,YangYong,YangYu.Securemulti-pa