楊曼婷

(安徽理工大學(xué)計算機科學(xué)與工程學(xué)院，安徽 淮南 232001)

0 引 言

近年來深度學(xué)習(xí)(Deep Learning)[1]技術(shù)飛速發(fā)展，越來越多的生產(chǎn)生活領(lǐng)域運用深度學(xué)習(xí)思想來處理問題。深度神經(jīng)網(wǎng)絡(luò)也在圖像處理，語音識別，機器翻譯等人工智能領(lǐng)域取得了顯著的發(fā)展，其能力已經(jīng)遠遠的超過了人類。深度神經(jīng)網(wǎng)絡(luò)具有層次結(jié)構(gòu)，通過多層處理，將在低層的特征逐步轉(zhuǎn)化為高層特征表達出來，對輸入進行分類。運用簡單的模型解決復(fù)雜的分類問題。但遺憾的是，深度神經(jīng)網(wǎng)絡(luò)也存在一些缺陷[2]，它很容易受到一些惡意設(shè)計的輸入，以觸發(fā)目標深度學(xué)習(xí)模型產(chǎn)生錯誤的分類的攻擊，即對抗樣本的攻擊。為了解決上述問題，各國學(xué)者從模型與樣本的各個角度提出解決方法。其中，防御蒸餾(DD)[3]是現(xiàn)有的較為有效的防御方法之一，防御蒸餾是在蒸餾模型的基礎(chǔ)在對抗防御上的運用。蒸餾其實就是一個訓(xùn)練程序，使用從不同的DNN傳來的知識來訓(xùn)練一個目標DNN。J.Ba和R.Caruana[4]解釋了為何神經(jīng)網(wǎng)絡(luò)需要多個中間層，介紹了神經(jīng)網(wǎng)絡(luò)處理信息的過程，G.Hinton[5]在其思想下正式引入了蒸餾概念。通過減少或平滑網(wǎng)絡(luò)梯度的幅度，使防御模型在對抗樣本中的擾動不那么敏感。A.Madry[6]等人提出基于PGD的對抗訓(xùn)練(PAT)，通過用PGD迭代生成的對抗樣本重新訓(xùn)練模型，已達到對對抗樣本的識別能力。A.S.Ross和F.Doshi-Velez[7]直接優(yōu)化了模型，以便在訓(xùn)練期間預(yù)測更加平滑的梯度，提出了梯度正則化(IGR)，修改模型自身的性能提高模型的魯棒性。

本文提出了一種壓縮樣本訓(xùn)練防御蒸餾模型的方法，將防御蒸餾思想與數(shù)據(jù)預(yù)處理方法相結(jié)合，在樣本輸入模型之前，先對對抗樣本進行特征壓縮處理，減少圖像中每個像素的顏色深度，再將壓縮后的樣本聯(lián)合原模型產(chǎn)生的概率向量訓(xùn)練蒸餾模型。

1 相關(guān)工作

1.1 對抗樣本

圖1 干凈樣本(識別為5)

圖2 加入擾動的對抗樣本(將1識別為8)

x′=x+ε·sign(xL(g(x;θ),t))

(1)

其中，L是損失函數(shù)。攻擊之后是剪切操作，以確保x∈[0,1]。攻擊強度由擾動約束決定。

以及FGSM的多步變體，投影梯度下降算法(Project Gradient Descent，PGD)[6]，它是最強的L∞對抗性示例生成算法之一。當(dāng)x1=x作為初始化時，擾動數(shù)據(jù)x的迭代更新可表示為：

xt+1=∏p∈(x)(xt+α·sign(xL(g(xt;θ),t)))

(2)

其中P(x)是由x±ε界定的投影空間是直到Nstep的階躍指數(shù)，a是步長。

1.2 防御蒸餾

防御蒸餾就是使用蒸餾[5]思想來訓(xùn)練一個模型，其神經(jīng)網(wǎng)絡(luò)中softmax層僅僅是一個層，它考慮由DNN的最后一個隱藏層(稱為logits)產(chǎn)生的輸出的向量Z(x)，并將它們歸一化成概率向量F(x)，該概率向量F(x)是DNN的輸出，為數(shù)據(jù)集的每個類分配一個輸入x的概率。在softmax層中，一個給定的神經(jīng)元，對應(yīng)于一個由i∈0,…,N-1(其中N是類的數(shù)目)索引的類。計算下列輸出向量F(x)的i分量:

(3)

其中Z(x)=Z0(x),…,ZN-1(x)是對應(yīng)于數(shù)據(jù)集中N個類中每個類的隱藏層輸出的N個logit，T是一個名為溫度的參數(shù)，并且在softmax層中共享。溫度在蒸餾的潛在現(xiàn)象中起著中心作用。在蒸餾過程中，把這個溫度稱為蒸餾溫度。對第一個神經(jīng)網(wǎng)絡(luò)進行訓(xùn)練的唯一約束條件是，在softmax層中應(yīng)使用一個大于1的高溫。

通過蒸餾[5]提取的知識，以概率向量的形式，在較小的網(wǎng)絡(luò)中傳輸，以保持與較大的網(wǎng)絡(luò)相當(dāng)?shù)木龋灿兄谔岣逥NN在訓(xùn)練數(shù)據(jù)集之外的泛化能力，從而提高其對擾動的恢復(fù)能力。防御蒸餾[8]與Hinton等提出的原蒸餾的主要區(qū)別。是保持了相同的網(wǎng)絡(luò)結(jié)構(gòu)來訓(xùn)練原始網(wǎng)絡(luò)和蒸餾網(wǎng)絡(luò)。由此產(chǎn)生的防御性蒸餾訓(xùn)練程序如圖3所示。

圖3 防御蒸餾流程示意

2 本文方法

本文提出了一種簡單有效的模型訓(xùn)練方法來防御對抗樣本，將該方法稱之為Pre-DD(Pretreatment Distillation as a defense)。Pre-DD方法首次將圖像特征壓縮與防御蒸餾[8]操作相結(jié)合，通過對訓(xùn)練時期的輸入樣本進行特征壓縮處理來減少對抗樣本中的對抗噪聲，使得對抗樣本攻擊失敗。由于對抗樣本即是在樣本中加入擾動，改變各像素的顏色深度。所以將樣本的顏色深度降低，減少擾動對圖像的干擾。而對于經(jīng)過特征壓縮處理后的正常樣本，圖片基本特性保持不變，標簽不發(fā)生變化。所以我們通過此方法來提高模型對于樣本的識別精度。

2.1 Pre-DD方法

防御性蒸餾訓(xùn)練的輸入是一組具有類標簽的樣本X，所以，設(shè)x∈X是一個樣本，用Y(x)表示它的離散標簽，也稱為硬標簽。Y(x)是一個指示向量，使得唯一的非零元素對應(yīng)于正確的類索引(例如，(0,0,1,0,…,0)表示樣本位于索引為2的類中)。給定訓(xùn)練集{(x,Y(x)):x∈X}，在溫度T下訓(xùn)練了一個具有softmax層的基礎(chǔ)深度神經(jīng)網(wǎng)絡(luò)F。F(x)是所有可能標號類上的一個概率向量。更準確地說，如果模型F有參數(shù)θF，則它在X上的輸出是概率分布F(x)=p(·|X,θF)，其中對于標簽類中的任何一個標簽Y，p(Y|X,θF)給出了標簽Y的概率。為了簡化以后的記法，使用Fi(x)來表示輸入x在i∈0,…,N-1類在模型F和參數(shù)θF中的概率。通過考慮x∈X的形式(x,F(x))的樣本，構(gòu)造了一個新的訓(xùn)練集，來訓(xùn)練的目標DNN模型Fd，其softmax層的溫度仍為T。不使用x的硬標簽Y(x)，而是在標號類上使用編碼F的置信概率的軟標簽F(x)。利用新的訓(xùn)練集{(x,F(x)):x∈X}，又訓(xùn)練了一個與F具有相同神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。

Pre-DD方法的處理過程，即在圖像輸入到DNN分類器之前，采用降低顏色深度方法對數(shù)據(jù)進行降噪。輸入是一組具有類標簽的樣本X。根據(jù)給定訓(xùn)練集{(x,Y(x)):x∈X}，在溫度T下訓(xùn)練了一個具有softmax層的深度神經(jīng)網(wǎng)絡(luò)F。通過神經(jīng)網(wǎng)絡(luò)識別的樣本，構(gòu)造了一個新的訓(xùn)練集，即不使用X的硬標簽Y(x)，而是在標號類上使用基礎(chǔ)神經(jīng)網(wǎng)絡(luò)產(chǎn)生的F的概率向量F(x)，即樣本的軟標簽。將新的訓(xùn)練集中的樣本進行特征壓縮，降低其顏色深度，但其軟標簽不變。利用新的訓(xùn)練集{(x,F(x)):x∈X}，又訓(xùn)練了一個與F具有相同神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)的目標模型Fd，其softmax層的溫度仍為T，利用訓(xùn)練好的Fd模型去識別對抗樣本。

常用的圖像壓縮方法是利用顏色位的深度，因此降低顏色位的深度可以在不影響分類器精度的情況下減少對抗性的干擾。在常用的測試數(shù)據(jù)集中，關(guān)注的兩種常見表示形式是8位灰度和24位顏色。我們實驗采用的是8位的灰度圖像，它為每個像素提供28=256個可能的值。8位值表示像素的強度，其中0為黑色，255為白色，中間數(shù)字表示不同的灰度。8位縮放可以擴展以顯示具有單獨紅、綠、藍三種顏色通道的彩色圖像。手寫數(shù)學(xué)數(shù)據(jù)都是灰度圖像，灰度值為8，將圖片的灰度值降低為4，降低顏色的深度。

圖4 Pre-DD方法處理流程

2.2 實驗建立

本文實驗部分選用MNIST驗證集，MNIST驗證集包含7萬個手寫數(shù)字圖像(0到9)。其中，6萬張圖像用作訓(xùn)練數(shù)據(jù)，其余10,000張圖像用于測試。每幅圖像為具有28*28個像素編碼為8位灰度圖。本實驗利用自行編寫的簡單的三層神經(jīng)網(wǎng)絡(luò)其中第一層神經(jīng)元個數(shù)為300，第二層神經(jīng)元個數(shù)為100，輸出層神經(jīng)元個數(shù)為10。利用降低顏色深度有損壓縮來對輸入圖片進行壓縮，降低顏色深度有損壓縮可以有效的減少人類難以察覺的圖像細節(jié)。使用Numpy庫在Python中實現(xiàn)了位顏色深度縮減操作。輸入和輸出在相同的數(shù)值尺度上[0,1]，這樣就不需要改變?nèi)魏文繕四Ｐ?。為了減小到i位深度(1i7)，首先將輸入值與2i-1(由于零值而減去1)相乘，然后取整為整數(shù)。再將整數(shù)縮放回[0,1]，除以2i-1。通過整數(shù)舍入運算，表示的信息容量從8位減少到i位。主要選用FGSM,PGD攻擊方法去分別生成對抗樣本。

3 實驗結(jié)果

3.1 訓(xùn)練神經(jīng)網(wǎng)絡(luò)模型

首先在PyTorch里面建立了一個三層全連接的基礎(chǔ)神經(jīng)網(wǎng)絡(luò)。這個三層網(wǎng)絡(luò)的各個參數(shù)如下：輸入的維度為28*28，(和我們的數(shù)據(jù)集MNIST的圖片大小也為28*28。輸出層)神經(jīng)元的個數(shù)為10，因為這是一個分類問題，一共有0～9這10個數(shù)字，所以是10分類。損失函數(shù)定義為分類問題中最常見的損失函數(shù)交叉熵，使用隨機梯度下降來優(yōu)化損失函數(shù)。

對隨機選擇的60000張的圖片訓(xùn)練基礎(chǔ)模型，再采用特征壓縮方法處理這些隨機樣本，將處理后的圖片輸入到模型。對訓(xùn)練好的樣本進行識別精度的測試，測試從MNIST數(shù)據(jù)集中隨機選取10000個測試樣本，記錄各個模型在不同學(xué)習(xí)率下的識別精度。

普通蒸餾方法和進行特征壓縮處理后的神經(jīng)網(wǎng)絡(luò)模型對普通未加噪的樣本的識別精度隨學(xué)習(xí)率的變化結(jié)果如圖5。圖5展示了輸入圖片經(jīng)過特征壓縮后的模型的樣本精度的變化，以及防御蒸餾模型在識別干凈樣本時的精度隨著學(xué)習(xí)率的增加的突減的變化。而的特征壓縮蒸餾模型，對學(xué)習(xí)率的變化反應(yīng)并沒有那么劇烈，而且在學(xué)習(xí)率較大時對樣本的識別精度均大于防御蒸餾模型。在學(xué)習(xí)率為0.0125時特征壓縮蒸餾模型的識別精度為45.22%，而防御蒸餾模型的識別精度僅為11.35%。并且在學(xué)習(xí)率不斷增加的情況下，我們的模型識別精度始終比防御蒸餾模型的識別精度高。

圖5 不同學(xué)習(xí)率下模型的識別精度

將訓(xùn)練完的目標模型的性能進行了實驗，觀察其對于Epsilon參數(shù)的敏感程度。如圖6所示，模型在擾動較低的情況下，對于對抗樣本的識別還較高。在擾動過大時，模型對樣本的識別準確度就不斷降低。但隨著擾動的不斷增加，對抗樣本的失真也就更加的明顯，所以不考慮擾動過大的樣本對于模型識別精度的影響。

圖6 Pre-DD模型對Epsilon參數(shù)的敏感度

3.2 測試模型的對抗樣本的誤識別率

為了定量的評估Pre-DD方法的性能，將本文方法訓(xùn)練的模型與防御蒸餾方法訓(xùn)練的模型進行對比，針對于不同的攻擊方法，考察模型對對抗樣本的識別率。在學(xué)習(xí)率為0.0125的條件下測試Pre-DD與DD對于對抗樣本的識別能力。具體細節(jié)參見表1，可以看出，本文方法能夠有效地抵御FGSM和PGD兩種攻擊。

表1 實驗結(jié)果對比

4 結(jié) 論

本文融合防御蒸餾與特征壓縮的思想，提出一種Pre-DD方法對模型輸入數(shù)據(jù)進行預(yù)處理來降低對抗樣本中的噪聲量，以便模型能正確的對樣本進行分類。該方法在訓(xùn)練神經(jīng)網(wǎng)絡(luò)模型時需先將樣本進行壓縮。在進行樣本時，將所有傳入模型的樣本都進行相同的壓縮操作。特征壓縮能夠有效減少對抗樣本圖片中的細小噪聲，降低對抗樣本中的噪聲量，使得模型能更好的識別樣本進行正確的分類。實驗結(jié)果表明，Pre-DD方法能夠在保證模型對原始樣本識別精確度的同時對對抗樣本的正確分類也有明顯的提高。