日前，頂級深度學習攻防對抗大賽：IJCAI-19阿里巴巴人工智能對抗算法競賽復賽成績揭曉，中國科大網絡空間安全學院學生戰隊（RNG隊與紅小豆隊）在全球2500多支戰隊中脫穎而出，獲得佳績。其中RNG隊獲得模型防御項目第一名！無目標攻擊項目和有目標攻擊項目中分列第二和第四，是所有參賽隊伍中綜合成績最好的隊伍。紅小豆隊在則模型防御與無目標攻擊中分別取得了第四和第十二名的優秀成績。

近年，中國科大網絡空間安全學院鼓勵學生在學習之余積極參加國內外頂級網安類權威比賽，先后參加了“信息安全鐵人三項賽”、“全國大學生信息安全競賽”、"谷歌大腦全球算法大賽"等比賽。雖然缺乏經驗積累，但是憑借極強的學習能力，輔一亮相即取得不俗成績。

近年來深度學習技術的不斷突破，極大促進了人工智能行業的發展，而人工智能模型本身的安全問題，也日益受到AI從業人員的關注，2014年行業首次提出針對圖像的對抗樣本的概念，并用實驗結果展示了深度學習模型在安全方面的局限性。通過對原始樣本有針對性的加入微小擾動來構造對抗樣本，該擾動不易被人眼所察覺，但會導致AI模型識別錯誤，這種攻擊被稱為“對抗攻擊“，也是目前深度學習領域最熱的研究課題之一。在這一背景下，由阿里巴巴集團旗下阿里安全集團、阿里天池大數據平臺和人工智能領域國際頂會IJCAI等單位共同舉辦了首屆阿里巴巴人工智能對抗算法競賽。

活動憑借強大的影響力、權威性和鍛煉機會得到國內外關注人工智能安全的大學及企業組織的關注，吸引了來自世界各地超過2500個戰隊報名參賽。

中國科學技術大學網絡空間安全學院也積極鼓勵關注相關領域研究的團隊參加。其中信息隱藏課題組長期從事多媒體安全與深度學習攻防對抗方面的研究，其中人工智能安全是課題組所重點關注的研究方向之一。在學院領導與課題組指導老師的支持與鼓勵下，來自網絡空間安全學院信息隱藏課題組的多位學生自由組隊，參加了本次比賽。

本次賽事主題為深度學習對抗樣本技術攻防，圍繞對抗樣本技術這一近年來受到廣泛關注的深度學習熱點問題展開。“對抗樣本”的概念由Szegedy等人在2014年首次提出，通過對原始樣本（如圖片）有針對性的加入微小擾動來構造對抗樣本，導致深度學習模型識別錯誤。本次比賽共分為無目標攻擊（使目標圖片被錯判為正確類別之外的其他類）、有目標攻擊（使目標圖片被錯判為正確類別之外的指定類）和模型防御（將對抗樣本圖片進行正確分類）三項內容，來自世界各地的2500支隊伍分項參賽。

比賽分為初賽與復賽兩個階段，歷時三個月，最終由俞能海教授、張衛明教授共同指導的RNG隊與紅小豆隊通過激烈角逐，分別取得了優異成績。其中，RNG隊在模型防御項目中摘得桂冠！無目標和有目標攻擊項目中分列第二和第四，也是所有參賽隊伍中綜合成績最好的隊伍。紅小豆隊在則模型防御與無目標攻擊中分別取得了第四和第十二名的優秀成績。

無目標攻擊成績

當前的對抗樣本技術仍處于學術研究階段，為了讓該項技術能夠有效應用于實際場景，本次比賽采用了阿里巴巴電商平臺的商品圖片作為數據集。主辦方提供了11萬張商品圖片作為訓練集，共包含110個類別，并使用數百張圖片作為評測數據。其中無目標攻擊不指定具體類別，只要讓模型識別錯誤即可，同時擾動越小越好。有目標攻擊比無目標攻擊更加困難，不僅需要使模型識別錯誤，還需要使模型將圖片識別到指定的類別，同時擾動越小越好。模型防御則需要選手提供更加魯棒的防御模型，能夠正確識別對抗樣本，同時處理的擾動越大越好。這樣的規則決定了參賽選手必須采用注重實際的策略，需要針對電商圖片的特點進行對抗樣本的攻防，并考慮到其他對手可能采用的防御手段而進行針對性攻擊，這儼然是一場模擬的網絡攻防戰！

下圖所示圖片為RNG小隊無目標攻擊方法的實際效果圖，左圖為原始商品圖片，右圖為經過修改后的對抗樣本圖片。可以看到二者在視覺效果上幾乎無差異，這反映出我們所采用的方法在實現攻擊的同時所進行的修改量是很小的。比賽采用的攻防算法將在賽事答辯完成后公布。

圖: 無目標攻擊示例圖

經過不斷的模擬攻防與方法改進，本次參賽的兩支隊伍在取得優秀的成績的同時積累了寶貴的經驗，并獲得了前往IJCAI2019的舉辦地—澳門參加現場答辯的機會。