【声纳与人工智能融合——从理论前沿到自主系统实战(进阶篇)】第十九章 声纳AI的对抗鲁棒性与安全防御

张开发
2026/4/9 2:06:14 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

【声纳与人工智能融合——从理论前沿到自主系统实战(进阶篇)】第十九章 声纳AI的对抗鲁棒性与安全防御
19.1 物理可实现的对抗攻击与防御19.1.1 声纳图像中基于投影梯度下降(PGD)的数字对抗样本生成深度神经网络在声纳目标检测任务中的成功应用依赖于训练数据与测试数据来自相同分布的假设。然而,对抗样本通过向输入声纳图像注入精心设计的微扰动,能够导致高性能检测模型产生高置信度的错误输出,而对人类观察者而言图像内容几乎无明显变化。投影梯度下降(Projected Gradient Descent, PGD)作为生成对抗样本的最强一阶攻击方法,通过迭代优化扰动向量,将其投影到允许的范数球内,从而找到在约束条件下最大化分类损失的最优扰动。给定输入声纳图像 x∈[0,1]H×W 及其对应的真实标签 y ,深度神经网络分类器 fθ​ 的参数为 θ 。PGD攻击的目标是求解以下约束优化问题:δmax​L(fθ​(x+δ),y)s.t.∥δ∥p​≤ϵ其中 L 表示分类损失函数(通常为交叉熵损失),δ 为对抗扰动,ϵ 为扰动预算,约束范数通常取 L∞​ 或 L2​ 。对于声纳图像,L∞​ 范数约束 ∥δ∥∞​≤ϵ 确保每个像素的修改量不超过 ϵ ,保持图像的局部一致性。PGD通过多步梯度上升迭代求解该问题。在第 t 次迭代,扰动更新遵循:xt+1​=ΠBϵ​(x)​(xt​+α⋅sign(∇xt​​L(fθ​(xt​),y)))其中 α 为步长,ΠBϵ​(x)​ 表示将扰动投影到以 x 为中心、半径为 ϵ 的 Lp​ 范数球内的操作。对于 L∞​ 范数,投影操作逐元素裁剪至 [x−ϵ,x+ϵ] 区间,并进一步裁剪至有效像素范围 [0,1] 。迭代初始化通常采用随机起点 x0​=x+U(−ϵ,ϵ) 以增强攻击的多样性

更多文章