可视化与检测音频对抗样本

# 可视化与检测音频对抗样本 ## 1. 相关工作 ### 1.1 对抗样本分类 对抗样本（AEs）可分为有目标和无目标两类。有目标的对抗样本会诱使模型产生预定结果，而无目标的对抗样本仅使模型产生错误结果。此外，对抗样本可在白盒或黑盒威胁模型下生成。白盒威胁模型假设攻击者了解目标模型的一切信息，包括训练数据集、超参数、模型权重等；而在黑盒威胁模型下，攻击者只能获取由对抗样本及其对应结果组成的输入输出对。因此，黑盒对抗样本是白盒对抗样本的子集。 ### 1.2 白盒音频对抗样本生成 早期的白盒音频对抗样本生成工作由Yuan等人开展，他们将恶意语音命令隐藏在歌曲中，以攻击Kaldi语音识别工具包，并且生成的对抗样本可迁移至iFLYREC语音识别软件进行攻击。Carlini和Wagner提出了一种针对DeepSpeech的白盒音频对抗样本生成方法，通过优化连接主义时间分类（CTC）损失来实现。不过，他们的方法存在局限性，即使用扰动的最大范数来减少生成音频对抗样本中的噪声，而近期研究表明，在生成过程中结合心理声学可以更好地抑制噪声。 ### 1.3 黑盒音频对抗样本生成 与白盒音频对抗样本相比，黑盒音频对抗样本更难生成，因为自动语音识别（ASR）模型的内部工作机制不可访问。Alzantot等人首次使用遗传算法生成黑盒音频对抗样本，其目标模型是轻量级关键词检测模型。后来，Taori等人针对最先进的ASR模型DeepSpeech提出了黑盒音频对抗样本，除使用遗传算法外，还在转录文本与目标短语的编辑距离较小时使用梯度估计技术微调扰动，但他们研究中的目标短语仅限于两个单词。 ### 1.4 音频对抗样本检测 研究人员对音频对抗样本的检测也很感兴趣。早期有人提出使用逻辑回归分类器检测音频对抗样本，但该方法只能检测特定的隐藏语音命令。Zeng等人提出使用多个ASR模型转录输入音频信号，若这些模型的转录结果差异显著，则将音频分类为对抗样本，其检测方法基于音频对抗样本无法在多个ASR模型间迁移的假设。Yang等人基于时间依赖性检测音频对抗样本，他们发现音频对抗样本无法保留时间依赖性。近期，Samizade等人提出在良性音频和对抗样本的频谱图上训练卷积网络，可高精度检测音频对抗样本，但音频对抗样本与良性音频的内在差异尚未得到充分研究和理解。 ### 1.5 可视化技术 可视化技术有助于理解深度学习技术，已有不少工作聚焦于帮助研究人员直观理解对抗样本的特性。在图像领域，Norton等人构建了基于网络的界面，交互式展示图像对抗样本的生成过程；Liu等人通过可视化多个图像识别模型的决策边界，解释了图像对抗样本的可迁移性；Stutz等人表明，若将对抗样本约束在数据集的流形上，图像对抗样本的扰动是可解释的；Zhang等人可视化了模型与图像对抗样本相关的对数向量，实验结果显示图像对抗样本的对数向量与其对应扰动相关。然而，在ASR领域，对音频对抗样本的可视化分析研究有限。 ## 2. 音频对抗样本 ### 2.1 有目标音频对抗样本 本文分析了Carlini和Wagner提出的有目标音频对抗样本生成过程的改进版本。在他们的研究中，通过比较扰动水平δ（以分贝为单位）与原始波形x来衡量扰动引起的失真，计算公式为$dB_x(\delta) = dB(\delta) - dB(x)$，其中$dB(x) = \max_i 20 \cdot \log_{10}(x_i)$。目标是最小化以下公式： \[ \begin{align*} &\text{minimize} \quad ||\delta||_2^2 + c \cdot \ell_{net}(f(x + \delta), y)\\ &\text{such that} \quad dB_x(\delta) \leq \tau \end{align*} \] 其中，$\tau$限制了$\delta$的最大范数，$||\delta||_2^2$是$\delta$的平方欧几里得范数，$f()$表示ASR模型，$y$是目标短语，$\ell_{net}()$表示ASR模型的损失函数，$c$用于平衡对抗扰动的量和使$\delta$变小。 该攻击的一个主要缺点是使用最大范数限制扰动，这可能不适用于最小化音频对抗样本中的噪声，因为最大范数约束的扰动是非选择性应用的，会导致在相对安静的音频部分噪声明显。相比之下，Qin等人表明结合心理声学抑制音频对抗样本中的噪声更合适，他们将生成过程分为两个阶段。第一阶段，以与上述方法相同的方式生成有目标音频对抗样本；第二阶段，尝试将扰动限制在掩蔽阈值以下，求解公式为： \[ \text{minimize} \quad \ell_{net}(f(x + \delta), y) + \alpha \cdot l_{\theta}(x, \delta) \] 基于Qin等人的方法，本文通过掩蔽阈值而非最大范数约束扰动，改进了有目标音频对抗样本的生成过程，具体求解公式为： \[ \begin{align*} &\text{minimize} \quad ||\delta||_2^2 + \beta \cdot \ell_{net}(f(x + \delta), y) + \alpha \cdot l_{\theta}(x, \delta)\\ &\text{such that} \quad x + \delta \in X \end{align*} \] 其中，$X$表示有效音频数据集，$\beta$和$\alpha$是平衡不同损失的因子。第一阶段将$\alpha$设为0，第二阶段将$\alpha$设为小值（如0.05）以抑制噪声。此外，不限制最大范数可能会减少对抗样本的生成时间。 ### 2.2 无目标音频对抗样本 目前关于无目标音频对抗样本的研究较少，因为它们只会导致错误或无意义的转录