基于双流对抗攻击的视觉Transformer对抗迁移性提升方法

《IEEE Access》：Improving Adversarial Transferability on Vision Transformers via Dual-Flow Adversarial Attack

【字体： 大 中 小 】 时间：2026年01月06日 来源：IEEE Access 3.6

　　

在人工智能安全领域，深度神经网络尤其是视觉Transformer(ViT)的脆弱性已成为亟待解决的关键问题。尽管ViT在图像分类等任务中表现出色，但研究表明它们极易受到对抗样本的攻击——这些经过精心设计的微小扰动能够欺骗模型产生错误预测。更令人担忧的是，从ViT生成的对抗样本在迁移到卷积神经网络(CNN)时效果显著下降，这严重限制了对抗攻击在实际场景中的应用价值。

现有方法如动量令牌嵌入(MTE)采用固定衰减系数的指数移动平均来平滑历史令牌嵌入，虽然能抑制噪声，但无法适应不同时间步历史信息的动态价值变化。同时，基于注意力图多样化(AMD)的方法虽然增加了表示多样性，但其随机性会导致性能波动。这些问题凸显了需要一种能够同时实现自适应中间表示建模和显式增强跨架构特征对齐的统一框架。

为了解决这些挑战，武汉理工大学周渤海等人提出了双流对抗攻击(DFAA)方法，该工作已被《IEEE Access》收录。DFAA的核心创新在于同时优化前向传播和后向传播过程：在前向流中设计可学习评分动量令牌嵌入(LS-MTE)，在后向流中引入特征距离正则化(FDR)，两者协同工作产生更具迁移性的对抗扰动。

研究方法上，作者主要采用了几项关键技术：首先构建了基于ILSVRC2012数据集的1000张图像测试集，确保所有样本在各代理模型上都能被正确分类；其次在ViT-B、PiT-B、CaiT-S和DeiT-B等代理模型上实施DFAA攻击，通过LS-MTE模块的评分网络(ScoreBlock)动态学习历史令牌嵌入的融合权重，替代传统固定衰减机制；同时采用FDR模块计算干净样本与扰动样本在中间特征空间的Sigmoid缩放均方误差，为梯度更新提供特征级校正；最后在8个ViT模型和7个CNN模型(含防御模型)上进行全面评估，攻击参数设置为扰动界限ε=16/255，迭代次数T=10，步长α=1.6/255。

IV. EXPERIMENTS

实验结果表明DFAA在各类模型上都显著优于现有方法。在ViT到ViT的迁移场景中，DFAA平均攻击成功率达到92.3%，较最强基线FPR提升5.1%。特别是在CaiT-S和DeiT-B作为代理模型时，对未见ViT模型的攻击成功率高达97.6%和98.5%。在更具挑战性的ViT到CNN的跨架构迁移中，DFAA在未防御CNN模型上达到82.3%的平均成功率，在对抗训练的防御模型上仍保持70.1%的成功率，分别比FPR高出14.4%和19.1%。消融实验进一步验证了LS-MTE和FDR的互补性：单独使用LS-MTE主要提升优化稳定性，而FDR则显著改善跨架构迁移能力，两者结合实现最佳效果。

A. EXPERIMENT SETUP

作者建立了严格的实验环境，所有实验在RTX 4060 GPU上完成。在与输入增强方法BSR和SIA的结合测试中，DFAA均带来显著提升，证明其良好兼容性。敏感度分析显示当FDR的衰减因子λ=0.3时性能最优，过大权重会导致特征距离梯度主导更新方向而降低效果。

B. EVALUATING TRANSFERABILITY AND INTEGRABILITY

可视化结果（图4）直观展示了DFAA的攻击效果，在保持扰动不可感知性的同时，成功使目标模型（Inc-v3）产生高置信度的错误分类。值得注意的是，DFAA对CNN模型的攻击效果优于ViT模型，作者认为这源于CNN更依赖局部特征决策，而FDR机制恰好能有效扰动这些特征区域。

C. ABLATION STUDIES

消融研究深入分析了各组件的贡献。LS-MTE通过可学习的时序权重分配，显著改善了传统MTE的固定衰减限制；FDR则通过特征空间确定性信号补充了单纯依赖交叉熵梯度的不足。两者结合形成闭环优化，使扰动既保持结构稳定性又具备语义迁移性。

V. CONCLUSION

该研究通过双流优化框架有效解决了ViT对抗样本迁移性的核心难题。DFAA的创新性在于将前向传播的令牌嵌入平滑与后向传播的特征正则化有机结合，产生的对抗扰动不仅在不同ViT架构间具有强迁移性，更在ViT到CNN的跨架构迁移上取得突破。这项工作为提升对抗攻击的实际应用价值提供了新思路，对促进模型安全性评估和鲁棒性研究具有重要意义。未来研究方向可探索DFAA在其他模态（如语音、文本）上的扩展应用，以及针对DFAA的防御机制设计。