随着人工智能和机器学习的日益普及,文献中已经提出了针对深度学习模型的广泛攻击。逃避攻击和中毒攻击都试图利用对抗性变化的样本来欺骗受害者模型以错误地分类对抗样本。尽管这种攻击声称是隐形的,即对人的眼睛看不见,但很少评估这种说法。在本文中,我们介绍了第一个大规模研究,涉及对深度学习的攻击中使用的对抗样本的隐身性。我们已经对六个流行的基准数据集实施了20种代表性的对抗ML攻击。我们使用两种互补方法评估了攻击样本的隐身性:(1)一项数值研究,采用24个指标用于图像相似性或质量评估; (2)对3组问卷的用户研究,从1,000多个回答中收集了20,000多次注释。我们的结果表明,大多数现有攻击引入了不可忽略的扰动,这些扰动对人的眼睛并不隐秘。我们进一步分析了有助于攻击隐身性的因素。我们进一步研究了数值分析与用户研究之间的相关性,并证明某些图像质量指标可能在攻击设计中提供有用的指导,而评估的图像质量和攻击的视觉隐身性之间仍然存在显着差距。
translated by 谷歌翻译