許笑，陳奕君，馮詩羽，謝理哲，曹玖新,5,6，胡軼寧,5,6

〔1.東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇南京 211189；2.東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇南京 211189；3.南京醫(yī)科大學(xué)口腔醫(yī)學(xué)院，江蘇南京 210029；4.江蘇省口腔疾病研究重點(diǎn)實(shí)驗(yàn)室，江蘇南京 210029；5.江蘇省計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)重點(diǎn)實(shí)驗(yàn)室，江蘇南京 211189；6.網(wǎng)絡(luò)空間國際治理研究基地（東南大學(xué)），江蘇南京211189〕

1 引言

最近在計(jì)算機(jī)視覺方面的突破帶來了一些新的安全挑戰(zhàn)[1]。卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network，CNN）被廣泛應(yīng)用于自動駕駛汽車、人臉識別等安全應(yīng)用領(lǐng)域。然而，Akhtar等[2]人發(fā)現(xiàn)基于CNN的深度學(xué)習(xí)系統(tǒng)存在安全隱患，添加了細(xì)微附加擾動的輸入樣本，可能會使未進(jìn)行防御的模型失效，這類樣本被稱為對抗樣本。因此，增強(qiáng)基于CNN的深度學(xué)習(xí)系統(tǒng)的魯棒性，使其能夠抵御對抗樣本攻擊，這對于人工智能安全非常重要。

現(xiàn)有的對抗樣本的防御方案，主要集中在三個(gè)方面：訓(xùn)練過程、模型結(jié)構(gòu)和數(shù)據(jù)預(yù)處理。其中，改進(jìn)模型結(jié)構(gòu)的方案一般相對復(fù)雜，而且針對不同的攻擊和數(shù)據(jù)集具有遷移性差的特點(diǎn)。數(shù)據(jù)預(yù)處理是最具遷移性的方法，在實(shí)際應(yīng)用中具有重要地位。Guo等人[3]指出預(yù)處理防御方案的關(guān)鍵在于幾點(diǎn)：從輸入圖像中去除對抗性擾動；在輸入圖像中保留足夠的信息以正確分類；同時(shí)Xie等人[4]指出引入隨機(jī)性對于構(gòu)建強(qiáng)大的防御系統(tǒng)尤為重要，尤其是在敵方掌握防御策略信息的情況下。

受到圖像預(yù)處理思想的啟發(fā)，本文首先將圖像縮放為多個(gè)尺寸，進(jìn)行了訓(xùn)練和測試，探究圖像信息對于深度學(xué)習(xí)模型的影響。如表1所示，圖片信息減少會輕微降低模型在干凈樣本上的分類準(zhǔn)確率，但是會大幅度提升模型在對抗樣本上的分類準(zhǔn)確率。由此可知圖像中存在部分對模型分類精度影響較小且容易隱藏附加擾動的信息，本文將其定義為冗余信息。因此，如何有效減少圖像的冗余信息，同時(shí)不影響模型性能，對于模型防御能力至關(guān)重要。

綜上所述，本文提出冗余信息壓縮（Image Redundancy Compression，IRC）方案，作為高效的預(yù)處理步驟，幫助模型抵御對抗樣本攻擊。IRC將隨機(jī)壓縮方法與圖像多尺寸縮放相結(jié)合，對圖像信息進(jìn)行選擇性壓縮處理，在保留圖像類別信息的同時(shí)，減少圖像的冗余信息及附加擾動，有效抵御對抗樣本攻擊。

本文的貢獻(xiàn)為三點(diǎn)。

（1）對比多種預(yù)處理方案的防御性能，給出深度學(xué)習(xí)模型采用預(yù)處理措施時(shí)的建議。

（2）研究圖像信息對于模型的影響，單模型結(jié)構(gòu)中實(shí)現(xiàn)了隨機(jī)化和多尺寸集成訓(xùn)練。

（3）將圖像縮放與隨機(jī)壓縮方法相結(jié)合，針對性地減少高頻信號等冗余信息，提升防御性能，并保留了足夠的圖像類別信息。

2 相關(guān)工作

近年來，研究人員在對抗樣本防御技術(shù)做了大量的研究，主要在訓(xùn)練過程、模型結(jié)構(gòu)和數(shù)據(jù)預(yù)處理三個(gè)方向?qū)NN進(jìn)行改進(jìn)，實(shí)現(xiàn)模型魯棒性的提升和對抗樣本附加干擾的消除。數(shù)據(jù)預(yù)處理是與本文最相關(guān)的領(lǐng)域。

通過數(shù)據(jù)預(yù)處理進(jìn)行數(shù)據(jù)增強(qiáng)是提高模型的魯棒性的手段，比如GridMask[5]計(jì)算生成多個(gè)遮擋塊，進(jìn)行數(shù)據(jù)擴(kuò)充。這類數(shù)據(jù)增強(qiáng)方案有助于提升模型的泛化能力，但是未達(dá)到消附加干擾的目的。研究人員也提出了利用神經(jīng)網(wǎng)絡(luò)作為數(shù)據(jù)預(yù)處理的手段，比如超分辨率重建等，但是步驟繁瑣、方案的遷移性較差。

Guo等人[3]進(jìn)一步測試了易于實(shí)施和遷移的預(yù)處理手段，驗(yàn)證JPEG壓縮、總變分最小化等去噪和隨機(jī)性方法在對抗樣本防御上有著更出色的表現(xiàn)，但是隨機(jī)性并沒有充分利用。

因此Xie等人[4]又提出隨機(jī)變化圖像尺寸并填充，驗(yàn)證了隨機(jī)性的重要性，但是方案并沒有很好的去噪性能。所以，本文從隨機(jī)性和特定干擾消除的角度出發(fā)，提高模型的防御能力。

3 冗余信息壓縮的防御模型

本文提出IRC作為對抗樣本攻擊的防御機(jī)制。IRC將隨機(jī)壓縮與圖像多尺寸縮放方法相結(jié)合，對圖像進(jìn)行選擇性壓縮處理，在保留分類信息的同時(shí)，減少圖像的冗余信息，消除附加擾動，從而抵御對抗樣本攻擊。

表1 干凈樣本和對抗樣本在不同縮放尺寸和IRC訓(xùn)練策略下的分類精度

防御模型的整體架構(gòu)如圖1所示。IRC包括兩個(gè)階段：首先利用隨機(jī)壓縮消除在圖像高頻信號區(qū)域的冗余信息；然后采用雙線性插值法降采樣，結(jié)合空間金字塔池化（Spatial Pyramid Pooling，SPP）[6]，使模型集成多尺寸的圖像信息，從而既保持在干凈樣本上的準(zhǔn)確率，又提高魯棒性，增強(qiáng)防御效果。

3.1 隨機(jī)壓縮圖像

壓縮是一種常用的去噪方法，其中JPEG壓縮方案被證明是減少圖像高頻信號的有效方法[3]，因此本文將JPEG壓縮作為基本的壓縮方式。本文基于Guo等人[3]的JPEG壓縮方案，提出三點(diǎn)隨機(jī)壓縮防御策略。

（1）采用隨機(jī)壓縮和合并的方法重建圖像，增強(qiáng)防御模型的泛化能力。本文選擇四種不同的圖像壓縮級別，分別保留40%、60%、80%和90%的圖像信息。然后，把這幅畫分成四部分，每個(gè)部分隨機(jī)選擇一個(gè)壓縮程度來進(jìn)行JPEG壓縮，策略如圖2所示。

（2）模型只需要在隨機(jī)壓縮后的圖像上訓(xùn)練幾個(gè)輪次即可完成防御步驟，測試環(huán)節(jié)將輸入的圖像隨機(jī)壓縮即可。

與傳統(tǒng)的JPEG壓縮方案相比，隨機(jī)壓縮的策略從不同層次上減少了高頻分量，從而為模型提供了更強(qiáng)的抵御對抗樣本攻擊的能力。

圖1 整體架構(gòu)

圖2 隨機(jī)壓縮策略

3.2 多尺寸縮放集成策略

IRC通過縮放來實(shí)現(xiàn)圖像信息在高頻上的壓縮，考慮到方案的實(shí)用性和隨機(jī)性，本文以雙線性插值法為基礎(chǔ)，采用基于金字塔池化層的集成方案，實(shí)現(xiàn)圖像的多尺寸縮放集成。

3.2.1 雙線性插值法縮放

雙線性插值法[7]是常用的一種圖像縮放的方法。它利用周圍4個(gè)鄰點(diǎn)的像素值在兩個(gè)方向上進(jìn)行線性插值得到待采樣點(diǎn)像素值，實(shí)現(xiàn)圖像的縮放與模糊，公式表達(dá)為：

該方法考慮了鄰點(diǎn)的像素值影響，而未考慮鄰點(diǎn)間的像素值變化率的影響，所以具有低通濾波器的性質(zhì)，高頻信號有所損失。

3.2.2 基于金字塔池化層的多尺寸方案

不同尺寸的圖像縮放，是對圖像信息直觀的改變。表1中圖像尺寸的變化對應(yīng)準(zhǔn)確率的變化，表明圖像預(yù)處理后保留的信息越多，越有利于模型進(jìn)行分類，但不利于模型的防御性能。因此，IRC基于金字塔池化層實(shí)現(xiàn)多尺寸集成，平衡模型的分類和防御性能。

首先，IRC將網(wǎng)絡(luò)最后的池化層替換為空間金字塔池化層。模型進(jìn)而可以接受任意輸入尺寸的圖像，并進(jìn)行不同程度的特征提取，有助于模型對圖像信息的整合預(yù)測。

IRC基于金字塔池化層的多尺寸策略。

（1）模型分別在多個(gè)單一尺寸上進(jìn)行訓(xùn)練和測試，選取防御和分類性能相對較好的128×128、64×64、32×32等多個(gè)尺寸，作為多尺寸集成策略的候選尺寸。

（2）輸入圖像被縮放為多個(gè)候選尺寸，按照從大到小次序（防御性能最好的小尺寸最后輸入）輸入網(wǎng)絡(luò)進(jìn)行訓(xùn)練，完成模型在訓(xùn)練階段的多尺寸信息的獲取。

（3）在測試步驟中，將待預(yù)測圖像縮放為多個(gè)候選尺寸，模型分別進(jìn)行預(yù)測，并采取加權(quán)疊加的方式將各尺寸下的預(yù)測置信度相加，確定待預(yù)測圖像的類別，公式表達(dá)為：

IRC在單模型結(jié)構(gòu)實(shí)現(xiàn)了多尺寸的集成，同時(shí)具有良好的遷移性，網(wǎng)絡(luò)不需要從頭訓(xùn)練，更換池化層后即可繼續(xù)訓(xùn)練。

綜上所述，IRC通過將隨機(jī)壓縮與圖像多尺寸縮放集成相結(jié)合，保留了圖像類別信息的同時(shí)，實(shí)現(xiàn)了冗余信息的去除，有利于模型在保持性能的同時(shí)，抵御對抗樣本攻擊。

4 實(shí)驗(yàn)評估

4.1 實(shí)驗(yàn)設(shè)置

本文選取IJCAI-2019阿里巴巴人工智能對抗挑戰(zhàn)賽（AAAC 2019）數(shù)據(jù)集作為實(shí)驗(yàn)數(shù)據(jù)。AAAC 2019包含來自110個(gè)類別，總計(jì)110,000張?jiān)诰€電子商務(wù)圖像。本文取80%的數(shù)據(jù)集用作訓(xùn)練集，將20%用作測試集。

本文選用經(jīng)典的DenseNet和WideResNet神經(jīng)網(wǎng)絡(luò)作為基本模型，其中DenseNet選用DenseNet-121結(jié)構(gòu)[8]，Wide-ResNet分類網(wǎng)絡(luò)的寬度為28，深度為10。神經(jīng)網(wǎng)絡(luò)的初始學(xué)習(xí)率設(shè)為0.01，且隨著訓(xùn)練次數(shù)的增加，下降到0.0001，優(yōu)化方法是隨機(jī)梯度下降，Bach Size選擇32，圖像訓(xùn)練尺寸為原始尺寸299×299。

用于對比的防御方案與IRC的基本模型和訓(xùn)練方式等一致，包括JPEG壓縮[3]、總變分最小化[3]、隨機(jī)縮放填充[4]、GridMask[5]等提高防御性能的預(yù)處理方案。實(shí)驗(yàn)中采用灰盒攻擊的方式生成對抗樣本[9]。本文采用FGSM（快速梯度符號法，F(xiàn)ast Gradient Sign Method）[10]、DeepFool[11]、PGD（投影梯度下降法，Project Gradient Descent）[12]等多種先進(jìn)的攻擊技術(shù)生成對抗樣本，評測模型防御性能，其中對抗樣本最大的擾動值=128/256=0.5（L2范數(shù)）。

4.2 不同尺寸訓(xùn)練策略的實(shí)驗(yàn)效果對比

IRC的核心思想在于圖像冗余信息的壓縮有助于消除對抗樣本中的附加擾動。所以，本文首先對比不同圖像縮放方案的實(shí)驗(yàn)效果，驗(yàn)證圖像信息對防御能力的影響。本文評估了在DenseNet模型上，不同縮放尺寸訓(xùn)練策略在DeepFool對抗樣本攻擊下的防御性能。

如表1所示，圖像縮放的訓(xùn)練策略可以有效地提升模型的防御性能，比如圖像從原尺寸299×299縮放至32×32進(jìn)行訓(xùn)練，對抗樣本下的準(zhǔn)確率，由33.5%提升至83.1%，同時(shí)干凈樣本的準(zhǔn)確率僅有輕微的下降，從94.5%下降至90.5%。IRC中的多尺寸縮放集成策略，取得到了最好的效果，在對抗樣本的準(zhǔn)確率上高達(dá)86.3%，遠(yuǎn)高于其余尺寸的準(zhǔn)確率，同時(shí)在干凈樣本上的準(zhǔn)確率也保持著較高的水平94.4%，相比于原尺寸只下降了0.1%。說明圖像的縮放起到了信息壓縮的效果，在一定程度上消除了圖像中的冗余信息和附加擾動。

4.3 總體方案的實(shí)驗(yàn)效果評估

預(yù)處理方案是遷移性高的防御策略，本文選用DenseNet和WideResNet神經(jīng)網(wǎng)絡(luò)作為基本模型，驗(yàn)證多種預(yù)處理方案的防御效果。

如表2和表3所示,IRC防御方案在DenseNet和WideResNet神經(jīng)網(wǎng)絡(luò)模型上都取得了最佳的防御效果。面對FGSM攻擊，IRC相比于基本模型，在DenseNet和WideResNet上分別提高了44.8%和46.3%。在面對DeepFool和PGD攻擊時(shí)，也具有出色的防御性能。同時(shí)IRC方案在干凈樣本上的準(zhǔn)確率僅有輕微下降，在DenseNet和WideResNet上準(zhǔn)確率分別下降了0.9%和3.4%。

表2和表3中對比了多個(gè)單一預(yù)處理方案的防御性能，可以得出四點(diǎn)結(jié)論。

（1）IRC中的多尺寸縮放集成策略取得了最為突出的防御效果提升，結(jié)合表2可知，合理控制圖像尺寸信息是有效的防御措施。

（2）在模型中引入隨機(jī)性，可以顯著提升模型的防御性能。比如，IRC的隨機(jī)壓縮防御性能遠(yuǎn)強(qiáng)于Guo等人[3]實(shí)驗(yàn)的JPEG壓縮方案，面對FGSM攻擊，在DenseNet和WideResNet上分別高2.1%和11.3%。

（3）針對數(shù)據(jù)增強(qiáng)的預(yù)處理方案，比如GridMask，可以增強(qiáng)模型的魯棒性，但是防御性能上與專注防御的預(yù)處理方案相差較大。

（4）多種預(yù)處理方案需要合理組合。比如，Xie等人[4]的隨機(jī)縮放填充和IRC中的多尺寸縮放策略組合防御時(shí)，在面對FGSM攻擊時(shí)，在DenseNet上準(zhǔn)確率由單一的多尺寸縮放策略的79.5%下降至76.3%。而IRC方案中多尺寸縮放策略與隨機(jī)壓縮方案組合，可以取得更高的準(zhǔn)確率，從79.5%升至80.0%。

表2 不同預(yù)處理防御方案在DenseNet神經(jīng)網(wǎng)絡(luò)模型上的防御性能比較

表3 不同預(yù)處理防御方案在WideResNet神經(jīng)網(wǎng)絡(luò)模型上的防御性能比較

5 結(jié)束語

本文提出了IRC預(yù)處理防御方案，將隨機(jī)壓縮方法與圖像多尺寸縮放方案相結(jié)合，壓縮圖像中的冗余信息，從而消除對抗樣本攻擊帶來的附加擾動。同時(shí)IRC單個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中實(shí)現(xiàn)了隨機(jī)化和集成策略，加強(qiáng)模型的防御性能。

IRC防御方案具有很強(qiáng)的可遷移性。面對先進(jìn)的對抗樣本攻擊時(shí)，IRC在多個(gè)神經(jīng)網(wǎng)絡(luò)模型上都取得了穩(wěn)定的出色防御效果，說明合理控制圖像尺寸、壓縮冗余信息是有效的防御措施。預(yù)處理防御環(huán)節(jié)，在保留圖像有效分類信息的同時(shí)，消除圖像中的附加擾動，是本文重點(diǎn)解決的問題，這也是構(gòu)建魯棒深度學(xué)習(xí)系統(tǒng)的重要環(huán)節(jié)，值得進(jìn)一步研究。