面向深度模型的对抗攻击与对抗防御技术综述

作者及机构
本文由王文萱（西北工业大学计算机学院）、汪成磊（西北工业大学计算机学院）、齐慧慧（西北工业大学国家卓越工程师学院）、叶梦昊（西北工业大学计算机学院）、张艳宁（西北工业大学计算机学院，通信作者）共同完成，发表于《信号处理》（Journal of Signal Processing）2025年第41卷第2期。研究团队来自空天地海一体化大数据应用技术国家工程实验室，依托西北工业大学在计算机视觉与人工智能领域的学术积累。

论文主题与背景
本文是一篇系统性综述，聚焦深度学习模型在计算机视觉任务（如图像分类、目标检测）中面临的对抗攻击（Adversarial Attack）与防御技术（Adversarial Defense）。随着深度学习在安全敏感领域（如自动驾驶、金融系统、医疗诊断）的广泛应用，其脆弱性暴露无遗：攻击者通过精心设计的微小扰动（对抗样本，Adversarial Examples）可诱使模型以高置信度输出错误结果，威胁系统可靠性。例如，对抗眼镜可欺骗人脸识别系统，对抗噪声可导致自动驾驶漏检车辆。本文旨在梳理对抗攻击与防御的研究现状，分析技术分类、方法原理、应用案例及未来挑战。

主要观点与论据

1. 对抗攻击的基本概念与分类
对抗攻击的核心是通过添加人类难以察觉的扰动（如FGSM生成的噪声）使模型误分类。攻击可按知识条件分为：
- 白盒攻击（White-box Attack）：攻击者完全知晓模型参数与架构（如FGSM、PGD）。
- 黑盒攻击（Black-box Attack）：仅依赖输入输出交互（如ZOO、One Pixel Attack）。
- 灰盒攻击（Gray-box Attack）：部分信息已知。

按攻击目标分为：
- 有目标攻击（Targeted Attack）：误导模型至特定类别（如C&W攻击）。
- 无目标攻击（Non-targeted Attack）：仅需输出错误结果（如DeepFool）。
- 通用攻击（Universal Attack）：单扰动影响多样本（如UAP）。

支持证据：Szegedy等（2013）首次发现对抗样本现象；Goodfellow等（2014）提出线性性是模型脆弱性的根源；Moosavi-Dezfooli等（2017）证明通用扰动的存在性。

2. 经典对抗攻击方法
本文详细分析了24种攻击算法，代表性案例如下：
- 基于梯度的攻击：FGSM利用单步梯度符号生成扰动；PGD通过迭代投影增强攻击效果。
- 基于优化的攻击：C&W攻击针对防御蒸馏（Defensive Distillation）优化目标函数。
- 基于GAN的攻击：AdvGAN通过生成对抗网络直接合成对抗样本，隐蔽性更强。
- 黑盒迁移攻击：Meta-Attack结合元学习减少查询次数；FIA（Feature Imitation Attack）通过特征模仿提升迁移性。

实验数据：在ImageNet数据集上，PGD攻击可使ResNet-50的准确率从76%降至3%；UAP扰动在L2范数约束下对多模型平均攻击成功率达85%。

3. 对抗防御技术的三大方向
防御策略分为三类：

3.1 模型优化
- 防御蒸馏（Defensive Distillation）：通过知识迁移平滑模型输出概率，降低梯度敏感性（Papernot等，2016）。
- 正则化：如曲率正则化（Moosavi-Dezfooli，2019）减少决策边界曲率，SOAR（二阶对抗正则器）近似内层最大化问题（Ma等，2022）。

效果：防御蒸馏可抵御FGSM攻击，但对C&W攻击效果有限；SOAR在MNIST上对PGD攻击的鲁棒性提升20%。

3.2 数据优化
- 对抗训练（Adversarial Training）：将对抗样本加入训练数据（Madry等，2017）。改进方法包括：半监督训练（Carmon等，2019）、一致性正则化（Tack等，2022）。
- 输入转换：PixelDefense用VAE重建图像去除扰动；ComDefend通过压缩-重建流程过滤噪声（Jia等，2019）。

局限性：对抗训练计算成本高；输入转换可能损害原始数据特征。

3.3 附加网络
- 基于GAN的防御：Defense-GAN生成干净样本替代对抗输入（Samangouei等，2018）。
- 对抗样本检测：MAGNET框架结合检测器与变流器（Meng等，2017）；徐东伟等（2023）融合决策边界敏感性与小波变换提升检测率。

挑战：GAN训练不稳定；检测方法易受自适应攻击绕过。

4. 应用实例与挑战
- 目标检测：DAG攻击（Xie等，2017）通过密集对抗生成扰乱YOLO模型；ADC框架（Yin等，2022）规避上下文一致性检查，攻击成功率超85%。
- 人脸识别：GMAA（Li等，2023）利用流形攻击泛化多身份状态；ARA（Zhang等，2022）通过物理光照模型生成自然对抗样本。

实际挑战：物理域攻击（如对抗贴纸）的隐蔽性；多模型联动效应放大攻击影响。

论文价值与意义
1. 学术价值：系统梳理对抗攻防技术体系，揭示深度学习安全漏洞的理论机制。
2. 应用价值：为自动驾驶、生物认证等关键领域提供防御方案设计指南。
3. 未来方向：大模型时代的对抗鲁棒性、跨模态攻击防御、可解释性与安全的平衡。

亮点
- 全面性：涵盖24种攻击方法与7类防御策略，对比其优劣与适用场景。
- 前沿性：引入扩散模型（如AdvDiffusion）、因果推理（Xu等，2023）等新兴技术。
- 批判性：指出现有防御在计算效率与泛化性上的不足，呼吁跨学科合作。