王曉鵬，羅 威，秦 克，楊錦濤，王 敏

（1.中國艦船研究設(shè)計(jì)中心，武漢 430064；2.武漢大學(xué) 電子信息學(xué)院，武漢 430072）

0 概述

艦船目標(biāo)識(shí)別系統(tǒng)是艦船裝備智能化的一大熱點(diǎn)應(yīng)用領(lǐng)域，如在合成孔徑雷達(dá)（Synthetic Aperture Radar，SAR）圖像艦船識(shí)別［1］中應(yīng)用人工智能技術(shù)來實(shí)現(xiàn)智能艦船目標(biāo)識(shí)別［2-4］，然而智能艦船識(shí)別的安全問題卻沒有受到重視。文獻(xiàn)［5-7］中的紅外圖像艦船目標(biāo)識(shí)別方法以及文獻(xiàn)［8］中改進(jìn)型的艦船目標(biāo)識(shí)別系統(tǒng)都有可能進(jìn)化成智能艦船識(shí)別系統(tǒng)，因此，應(yīng)提前考慮安全識(shí)別問題。在實(shí)戰(zhàn)中部署好的艦船圖像智能識(shí)別的安全性主要集中在針對(duì)已經(jīng)訓(xùn)練好的分類神經(jīng)網(wǎng)絡(luò)模型的攻擊領(lǐng)域上，暫不考慮針對(duì)數(shù)據(jù)集的投毒［9］和模型在訓(xùn)練過程中的攻擊［10］，因?yàn)樵谕度雽?shí)戰(zhàn)之前必須經(jīng)過一系列測(cè)試檢驗(yàn)，這可以有效地過濾掉前面的攻擊，所以圖像分類領(lǐng)域的對(duì)抗攻擊［11］是主要研究對(duì)象。目前抵御對(duì)抗樣本攻擊的主流方法都是通過優(yōu)化神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)來重新訓(xùn)練分類模型或采取新的數(shù)據(jù)和方法來重新訓(xùn)練分類模型。文獻(xiàn)［12］指出防御蒸餾的方法并不會(huì)顯著提高神經(jīng)網(wǎng)絡(luò)的魯棒性，文獻(xiàn)［13-15］分別研究了壓縮格式、降噪和隨機(jī)離散化的方法來應(yīng)對(duì)對(duì)抗攻擊，文獻(xiàn)［16］提出在神經(jīng)網(wǎng)絡(luò)旁加一個(gè)輔助塊來防御攻擊，文獻(xiàn)［17］則提出了較為經(jīng)典的對(duì)抗性訓(xùn)練的方法來防御對(duì)抗攻擊。如果一個(gè)性能非常好的分類模型遭到對(duì)抗攻擊，則應(yīng)尋求更為簡單的方法來抵御這種攻擊，一是因?yàn)橛?xùn)練一個(gè)頂級(jí)分類性能的分類模型十分不易，二是因?yàn)槿斯ぶ悄苌窠?jīng)網(wǎng)絡(luò)模型的不可解釋性導(dǎo)致不能保證在短時(shí)間內(nèi)復(fù)現(xiàn)分類模型頂級(jí)性能。本文在不改變神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)同時(shí)避免重新訓(xùn)練分類模型的前提下，提出一種防御艦船對(duì)抗樣本攻擊的方法。

1 艦船對(duì)抗樣本

生成對(duì)抗樣本的方法（即對(duì)抗攻擊方法）可以分為白盒攻擊、黑盒攻擊和灰盒攻擊［18］，目前主流的對(duì)抗攻擊方法以白盒攻擊為主，如快速梯度下降法（Fast Gradient Sign Method，F(xiàn)GSM）［19］、雅克比映射攻擊（Jacobian Saliency Map Approach，JSMA）［20］、深度欺騙攻擊（DeepFool）［21］等。白盒攻擊是指攻擊者知曉被攻擊者的全部神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和各項(xiàng)參數(shù)以及數(shù)據(jù)集等，同理可理解灰盒攻擊和黑盒攻擊，其中FGSM 和DeepFool 最具代表性。

FGSM 是GOODFELLOW 在高維度線性假設(shè)的基礎(chǔ)上提出的一種白盒攻擊的方法，基本思想是：先尋找深度學(xué)習(xí)模型的梯度變化最大化的方向，再沿該方向施加一些圖像擾動(dòng)噪聲，最終使模型產(chǎn)生錯(cuò)誤的分類。FGSM 產(chǎn)生的微小擾動(dòng)噪聲不容易被人眼觀察到，其優(yōu)勢(shì)是攻擊效率高。FGSM 原理如式（1）所示［19］：

其中：x'是對(duì)抗樣本；x是模型輸入即圖像；y是結(jié)果標(biāo)簽；J（x，y）是損失函數(shù)；sign 是符號(hào)函數(shù)；ε是步長。

DeepFool 基本思想與FGSM 保持一致但性能優(yōu)于FGSM，因?yàn)镈eepFool 更好更合理地設(shè)定了FGSM 原理公式中的步長ε，通過迭代的方式生成累加干擾噪聲，這樣產(chǎn)生的對(duì)抗樣本中噪聲擾動(dòng)的幅度比FGSM 更小。可以從Github 上找到FGSM 開源代 碼（https：//github.com/soumyac1999/FGSM-Keras），該代碼實(shí)際上使用DeepFool 算法的思路即通過迭代的方式累加干擾噪聲并最終生成對(duì)抗樣本。如圖1所示，該方法產(chǎn)生的對(duì)抗樣本可以使分類模型將航空母艦（原圖，置信度為0.99）歸類于灰鯨（對(duì)抗樣本，置信度為0.60）。代碼中所用的神經(jīng)網(wǎng)絡(luò)模型是基于ImageNet 的VGG16 預(yù)訓(xùn)練好的分類模型，可以識(shí)別1 000 種生活中常見的類別，該模型曾在ILSVRC（ImageNet Large Scale Visual Recognition Challenge）國際競賽中拿到第二名、項(xiàng)目類別第一的成績。VGG16 是經(jīng)典卷積神經(jīng)網(wǎng)絡(luò)模型，16 表示其深度，由13 個(gè)卷積層和3 個(gè)全連接層疊加而成［22］。

圖1 艦船對(duì)抗樣本Fig.1 Ship adversarial example

2 對(duì)抗攻擊防御方法

FGSM 和DeepFool 這2 種方法最明顯的特征是沿著分類模型梯度的方向施加干擾，這樣微小干擾的影響會(huì)在神經(jīng)網(wǎng)絡(luò)里滾雪球式地越來越大，從而導(dǎo)致分類模型出錯(cuò)，而且模型輸入的維度越大越容易受到攻擊［19］。圖1 所示是有目標(biāo)攻擊，航空母艦被指定攻擊為灰鯨。有目標(biāo)攻擊是指攻擊者生成的對(duì)抗樣本可以使被攻擊的分類模型錯(cuò)誤地分類成指定目標(biāo)。與有目標(biāo)攻擊對(duì)應(yīng)的是無目標(biāo)攻擊，即對(duì)抗樣本使分類模型將其錯(cuò)誤地歸類而并不指定錯(cuò)誤地歸為哪一類。本文進(jìn)行一次專項(xiàng)實(shí)驗(yàn)，用于驗(yàn)證在對(duì)于已經(jīng)被干擾的圖像（即對(duì)抗樣本）再進(jìn)行有目標(biāo)攻擊且目標(biāo)指定為其原本真實(shí)類別的情況下，能否使分類模型重新認(rèn)識(shí)該對(duì)抗樣本。如圖2 所示，對(duì)對(duì)抗樣本再進(jìn)行一次有目標(biāo)攻擊，將目標(biāo)人為設(shè)置為航空母艦，攻擊結(jié)果圖像被正確識(shí)別為航空母艦（置信度為0.72）。實(shí)驗(yàn)結(jié)果表明，對(duì)抗樣本在相較于原圖沒有明顯形變的情況下，可以通過有目標(biāo)再攻擊，使被分類模型重新正確地歸類。

圖2 對(duì)抗樣本再次有目標(biāo)攻擊后的分類結(jié)果Fig.2 Classification result after targeted attack of adversarial example

如果事先知道對(duì)抗樣本的類別，就可以通過有目標(biāo)再攻擊來防御對(duì)抗樣本的攻擊，這確實(shí)是一個(gè)悖論。本文針對(duì)如何讓分類模型獲得對(duì)抗樣本原本真實(shí)的分類，進(jìn)行一次對(duì)比實(shí)驗(yàn)。圖3所示是將火烈鳥錯(cuò)誤識(shí)別為螞蟻的對(duì)抗樣本再次設(shè)定為火烈鳥有目標(biāo)攻擊時(shí)，置信度隨迭代次數(shù)的變化圖?？梢钥闯觯?dāng)?shù)螖?shù)達(dá)到200 時(shí)，該圖像已經(jīng)可以被正確地識(shí)別為火烈鳥，置信度大于0.7，隨著迭代次數(shù)的增加還會(huì)上升。與之對(duì)比的是目標(biāo)隨便設(shè)定，圖4 所示是以錯(cuò)誤目標(biāo)攻擊時(shí)置信度隨迭代次數(shù)的變化圖，源代碼中最大迭代次數(shù)默認(rèn)值是400，圖片來源是對(duì)橘子的圖像進(jìn)行目標(biāo)設(shè)定為黃瓜的有目標(biāo)攻擊，產(chǎn)生的對(duì)抗樣本被以0.4 的置信度識(shí)別為黃瓜。之所以采用火烈鳥和橘子的對(duì)抗性數(shù)據(jù)，是因?yàn)檫@2 個(gè)數(shù)據(jù)更經(jīng)典更具代表性，圖1 所示的有目標(biāo)攻擊過程只需100 代以內(nèi)，相對(duì)更容易。隨著迭代次數(shù)的增加，置信度還會(huì)繼續(xù)緩慢地上升，當(dāng)以錯(cuò)誤目標(biāo)攻擊時(shí)還會(huì)出現(xiàn)置信度隨迭代次數(shù)增加反而下降的情況。

圖3 和圖4 的實(shí)驗(yàn)結(jié)果表明，置信度曲線的斜率與再攻擊的目標(biāo)有關(guān)系，本文提出以下假設(shè)：可以根據(jù)置信度曲線的變化來判定再攻擊的目標(biāo)是否為其真實(shí)的類別，其中最重要的問題是：如果假設(shè)成立，那么需要找到置信度曲線的斜率應(yīng)符合怎樣的標(biāo)準(zhǔn)或規(guī)律才能判定當(dāng)前再攻擊的目標(biāo)就是其真實(shí)的類別。

圖3 再次以正確目標(biāo)攻擊時(shí)置信度隨迭代次數(shù)的變化圖Fig.3 Change diagram of confidence when attacking with the right target again

圖4 以錯(cuò)誤目標(biāo)攻擊時(shí)置信度隨迭代次數(shù)的變化圖Fig.4 Change diagram of confidence when attacking with the wrong target

2.1 再攻擊過程中置信度曲線的變化規(guī)律

在尋找符合真實(shí)目標(biāo)類別的再攻擊過程中，置信度曲線斜率變化的標(biāo)準(zhǔn)是關(guān)鍵所在。為了量化問題，本文引入?yún)?shù)，設(shè)對(duì)抗樣本的真實(shí)目標(biāo)類別為K，在再攻擊過程中，設(shè)指定攻擊的目標(biāo)為A，分類模型被攻擊時(shí)把對(duì)抗樣本歸類為A 的置信度設(shè)為m，同時(shí)設(shè)攻擊目標(biāo)為A 的再攻擊過程中的實(shí)時(shí)置信度為x，顯然，x在再攻擊過程中是一直變化的，而且在再攻擊開始的瞬間x=m。此時(shí)，關(guān)鍵問題就轉(zhuǎn)化為參數(shù)關(guān)系，即尋找當(dāng)再攻擊目標(biāo)A 為K 類別時(shí)再攻擊過程中x和迭代次數(shù)i的關(guān)系，這里設(shè)這層關(guān)系為F，即尋找關(guān)系F。顯然，圖3 所展示的關(guān)系是符合關(guān)系F 的，可以根據(jù)圖3 來進(jìn)行逆推關(guān)系F，同時(shí)用圖4做反例來進(jìn)行簡單對(duì)比，然后再進(jìn)行驗(yàn)證和校正?？傮w步驟分為3 步：首先找出能解決一張對(duì)抗樣本的關(guān)系F；然后優(yōu)化推廣到多張或一批對(duì)抗樣本；最后使關(guān)系F 適用于所有的或多數(shù)的對(duì)抗樣本。

第2 步和第3 步的成功取決于第1 步。將圖3 中置信度變化分為3 段：前段是平緩期，該段的最大特點(diǎn)是置信度上升較平緩，以迭代次數(shù)i=25 為界；中段是上升期，最大特點(diǎn)是置信度曲線斜率在該段出現(xiàn)最大值，以i=100 為界；后段也是平緩期。以此來合理推測(cè)關(guān)系F，考慮開始時(shí)x=m，那么m值決定了x的起點(diǎn)，例如可以預(yù)見當(dāng)m>0.1 時(shí)前段將變得非常短，因此，關(guān)系F 必定是x、i、m三者的動(dòng)態(tài)關(guān)系。為了使逆推出的關(guān)系F 避免出現(xiàn)過擬合的情況，需要適當(dāng)放寬條件。

根據(jù)圖3 逆推出關(guān)系F，如表1 所示，以此判斷A是否為真實(shí)目標(biāo)。其中：i是迭代次數(shù)；m是目標(biāo)A的攻擊前的置信度；x是攻擊過程中的實(shí)時(shí)置信度（每迭代一次都會(huì)給予置信度）。由m的3 個(gè)范圍設(shè)計(jì)不同的判決條件系數(shù)，經(jīng)過驗(yàn)證可知能夠防御圖3中對(duì)抗樣本，即實(shí)現(xiàn)了第1 步，解決了1 張對(duì)抗樣本。這一設(shè)計(jì)是考慮到第2 步的進(jìn)行，經(jīng)過不太復(fù)雜的優(yōu)化（優(yōu)化m值的范圍區(qū)分精度和相對(duì)于i的x的判決精度）就可以實(shí)現(xiàn)第2 步。關(guān)系F 的最大優(yōu)點(diǎn)是：如果A 不為K 類別則不會(huì)耗費(fèi)很多的時(shí)間，只有真實(shí)目標(biāo)才會(huì)耗費(fèi)很多的迭代次數(shù)以及時(shí)間。

表1 關(guān)系F 的設(shè)置Table 1 Setting of the F condition

解決了關(guān)鍵問題，就可以設(shè)計(jì)出初始防御方法的流程。筆者在實(shí)驗(yàn)中發(fā)現(xiàn)，對(duì)抗樣本被分類模型錯(cuò)誤歸類的同時(shí)，分類模型會(huì)給出預(yù)測(cè)此次分類結(jié)果的置信度，分類結(jié)果按置信度從大到小排行，排在第1 位即置信度最高的即是分類結(jié)果，真實(shí)的類別通常排名比較靠前，例如，攻擊代碼中被預(yù)測(cè)為螞蟻的對(duì)抗樣本其真實(shí)類別火烈鳥的排名為63，對(duì)于能識(shí)別1 000 種類別的分類模型而言，這一排名已經(jīng)很靠前了。因此，推測(cè)1 張對(duì)抗樣本的真實(shí)類別的排名一定在前150 名，用暴力搜索的方法找出符合的關(guān)系F 的目標(biāo)即是真實(shí)的目標(biāo)?；陉P(guān)系F 的防御方法流程如圖5 所示，針對(duì)對(duì)抗樣本的攻擊，利用條件F 可以采用暴力搜索的方法來找出對(duì)抗樣本的真實(shí)目標(biāo)分類，圖中a的默認(rèn)值為150。

圖5 防御流程Fig.5 Procedure of defense

經(jīng)過驗(yàn)證，此方法可以成功地找出圖3 中對(duì)抗樣本的真實(shí)類別，采用經(jīng)過優(yōu)化的關(guān)系F 后可以實(shí)現(xiàn)多張對(duì)抗樣本的防御，結(jié)果如圖6 所示，圖7 是每組對(duì)抗樣本復(fù)原過程中置信度變化曲線圖，可以看出它們具有的相似特征，這正是關(guān)系F 的體現(xiàn)。暫不考慮遇到相似目標(biāo)時(shí)的情況，例如雙胞胎，因?yàn)檫@是分類模型自身帶有的問題。

圖6 實(shí)驗(yàn)組圖Fig.6 The experimental figures

圖7 復(fù)原過程中置信度變化圖Fig.7 Change diagrams of confidence in recovery process

2.2 FGSM-Defense 算法

為了能使上述方法能應(yīng)對(duì)更為普遍的對(duì)抗攻擊而不只是特定的幾張對(duì)抗樣本，實(shí)現(xiàn)第3 步防御多數(shù)對(duì)抗樣本的目的，需要把方法推廣到針對(duì)未知的對(duì)抗樣本上去，以調(diào)整優(yōu)化核心條件和策略，獲得更好的防御效果。筆者在推廣的過程中發(fā)現(xiàn)有2 個(gè)明顯的缺點(diǎn)；1）該方法的成功率依賴于核心判決條件是否符合相應(yīng)數(shù)據(jù)集的數(shù)據(jù)特征；2）方法中采用的暴力搜索式的搜索方法在應(yīng)用中存在障礙，如果真實(shí)目標(biāo)恰巧排在第150 名就會(huì)花費(fèi)很長的時(shí)間，造成資源長時(shí)間被占用，而且對(duì)核心判決條件的精準(zhǔn)度要求非常高?？偟貋碚f，在此過程中難以找到高精準(zhǔn)度的判決條件F，且暴力搜索的范圍太大。

針對(duì)這兩個(gè)明顯的缺點(diǎn)，本文對(duì)關(guān)系F 進(jìn)行了策略性調(diào)整，為控制時(shí)間花費(fèi)，取消了采用小步長ε并通過循環(huán)累加噪聲進(jìn)行攻擊的方式，改為直接控制步長ε的大小從而一次性完成攻擊任務(wù)的方式；同時(shí)，為了適應(yīng)更加廣泛的未知樣本，不再追求一次性找出真實(shí)目標(biāo)，而是分步縮小真實(shí)目標(biāo)所在的范圍，然后再通過一定的手段以較大的概率篩選出真實(shí)的目標(biāo)。由此，最終提出防御算法FGSM-Defense。圖8 所示是FGSM-Defense 的模型框圖，模型中分兩步縮小真實(shí)目標(biāo)所在的范圍，縮小后的范圍為別為N和G。

圖8 FGSM-Defense 模型框圖Fig.8 Block diagram of FGSM-Defense model

先解釋范圍N是如何確定的。在FGSM 原理公式中并沒有明確地給出步長ε的設(shè)定，而DeepFool算法很好地分析了最短步長ε的設(shè)定，并通過循環(huán)累加干擾噪聲，使產(chǎn)生的對(duì)抗樣本的噪聲擾動(dòng)幅度更小。在此次所用的FGSM 原攻擊代碼中，ε=0.01，循環(huán)次數(shù)為400，而在防御過程中無需考慮擾動(dòng)噪聲的大小，因此，在確定搜索范圍模塊中攻擊代碼的步長設(shè)定ε=5，并取消了循環(huán)，一步完成攻擊，大幅縮短了時(shí)間花費(fèi)。雖然這樣產(chǎn)生的噪聲擾動(dòng)很大，但攻擊成功后目標(biāo)分類的置信度大小和設(shè)定小步長并循環(huán)400 次的攻擊結(jié)果相似，故簡稱粗略再攻擊。在確定搜索范圍模塊中，擾動(dòng)噪聲的幅度不重要，重要的是能很快獲得對(duì)抗樣本T 被M次目標(biāo)分別為前M個(gè)類別的粗略再攻擊過后被分類器歸類于指定目標(biāo)類別的置信度，此時(shí)共有M個(gè)類別的置信度，將其大小排序，取出前N個(gè)置信度所對(duì)應(yīng)的目標(biāo)類別，這樣就確定了搜索的范圍為這N個(gè)目標(biāo)。

再解釋搜索范圍N是否有效地縮小。由于對(duì)抗樣本的真實(shí)目標(biāo)類別的初次排名一定在前150 名，因此M=150。經(jīng)過實(shí)驗(yàn)驗(yàn)證，分別指定目標(biāo)為這150 個(gè)目標(biāo)類別對(duì)T 進(jìn)行粗略再攻擊后，不考慮擾動(dòng)噪聲的大小，原對(duì)抗樣本真實(shí)的目標(biāo)類別的置信度比較大，通常排名在前5 名，較大概率排在前10 名，所以N=10，遠(yuǎn)遠(yuǎn)小于150，而且這150 次粗略再攻擊花費(fèi)的時(shí)間較短，為3 min 左右，因此搜索范圍縮小到了N=10。

在這N個(gè)目標(biāo)中選出置信度大于0.75 的L個(gè)類別，此時(shí)L≤N，即L≤10。如圖9 所示，其中0+代表原圖，在施加噪聲擾動(dòng)x0后對(duì)于分類器來說變成了0-（0+和x0都是未知的），再對(duì)0-進(jìn)行有目標(biāo)攻擊生成新的類別，即1，2，…，L，施加的噪聲干擾分別為x1，x2，…，xL，再對(duì)生成的圖像1，2，…，L進(jìn)行目標(biāo)為0-的有目標(biāo)攻擊，施加的噪聲干擾分別為t1，t2，…，tL。在L小于10 的前提下，由于未知的x0一直存在于對(duì)抗樣本中，因此如果L是對(duì)抗樣本0-真實(shí)目標(biāo)分類，那么在第3 次有目標(biāo)攻擊過程中x0對(duì)tL產(chǎn)生的影響是相對(duì)獨(dú)特的，直觀表現(xiàn)就是在攻擊過程中分類器對(duì)目標(biāo)L置信度評(píng)價(jià)下降速度相比于非真實(shí)目標(biāo)類別較為緩慢，甚至?xí)霈F(xiàn)小幅度的上升。因此，第3 次在攻擊過程中檢測(cè)所有類別的置信度變化情況，選出前G個(gè)下降幅度較小或出現(xiàn)上升的目標(biāo)類別，最終，在實(shí)驗(yàn)中鎖定G=2，即真實(shí)目標(biāo)以較大的概率出現(xiàn)在前2 個(gè)排名中。

圖9 有目標(biāo)攻擊示意圖Fig.9 Schematic diagram of targeted attacks

從G=2 個(gè)目標(biāo)中篩選出一個(gè)目標(biāo)，要求選中真實(shí)目標(biāo)的概率應(yīng)大于50%（至少應(yīng)比隨機(jī)猜強(qiáng)），篩選條件選定的是，相反從第2 次有目標(biāo)攻擊過程中，通過控制步長ε 的大小來觀察2 個(gè)目標(biāo)類別的置信度大小，選出置信度較大者，根據(jù)L的大小設(shè)定3 個(gè)范圍，即：L≤3 時(shí)ε=2；36 時(shí)ε=25。

FGSM-Defense 算法偽代碼如下：

算法1FGSM-Defense 算法

如果對(duì)抗樣本中的物體是該類別的典型代表，同時(shí)展現(xiàn)的是物體的經(jīng)典角度面，并且圖片的背景比較純凈的話，防御成功率較高，反之較低。圖10所示是2 張不同角度的對(duì)抗樣本，防御程序在防御圖10（a）對(duì)抗樣本的成功率比在防御圖10（b）對(duì)抗樣本時(shí)高出約23%。

圖10 不同目標(biāo)角度的對(duì)比Fig.10 Comparison by different target angles

2.3 艦船識(shí)別安全防御模型

為了使艦船智能識(shí)別系統(tǒng)更安全，需要給安全防御方法設(shè)置一道防火墻。由于艦船特征識(shí)別里最為顯著的特征是輪廓特征，因此采用輪廓特征識(shí)別作為最后的安全驗(yàn)證防火墻，如果驗(yàn)證不通過系統(tǒng)將會(huì)報(bào)警。對(duì)抗樣本并不會(huì)影響艦船的輪廓特征的提取，圖11 所示是利用RCF（Richer Convolutional Features）［23］物體邊緣識(shí)別技術(shù)提取的艦船對(duì)抗樣本的輪廓圖，圖中采用的正是圖1 中被識(shí)別為灰鯨的對(duì)抗樣本，并提供了原圖輪廓提取圖的對(duì)行對(duì)比。艦船圖像識(shí)別的安全防御模型如圖12 所示，圖像傳入分類模型，分類結(jié)果提交給驗(yàn)證模塊，通過驗(yàn)證就輸出結(jié)果，否則傳輸至安全模塊進(jìn)行安全防御識(shí)別，最終將正確分類傳輸至智能平臺(tái)并輸出結(jié)果。安全模塊采用FGSM-Defense 防御方法，安全驗(yàn)證模塊采用的是艦船輪廓特征提取模塊，并將數(shù)據(jù)發(fā)給智能學(xué)習(xí)平臺(tái)，用來監(jiān)測(cè)艦船圖像分類結(jié)果是否符合其輪廓特征，即安全識(shí)別防火墻。智能平臺(tái)負(fù)責(zé)數(shù)據(jù)分析，當(dāng)分類模型遭到大量重復(fù)攻擊時(shí)可以學(xué)習(xí)并標(biāo)記重復(fù)數(shù)據(jù)并直接輸出結(jié)果。

圖11 輪廓圖對(duì)比Fig.11 Comparison of comtour diagrams

圖12 安全防御模型Fig.12 Security defense model

3 防御測(cè)試與結(jié)果分析

從ImageNet上選500 張圖片，剪切為1∶1 的比例。如圖13 所示，經(jīng)過分類器初次預(yù)測(cè)后，篩掉置信度小于0.9 的圖片259 張（其中212 張小于0.8），然后仔細(xì)篩查掉識(shí)別錯(cuò)誤或分類有爭議的圖片36 張，再去除圖片中物體占比不到1/4 的圖片或由剪切導(dǎo)致的物體形狀不全的圖片39 張，最后經(jīng)過FGSM 攻擊成功生成對(duì)抗樣本的圖片數(shù)為143 張（剩余23 張攻擊失敗，并沒有使分類器產(chǎn)生錯(cuò)誤分類），防御程序能找出76 張對(duì)抗樣本的真實(shí)分類。

圖13 防御測(cè)試數(shù)據(jù)Fig.13 Defense test data

經(jīng)過測(cè)試，F(xiàn)GSM-Defense 算法在ImageNet 數(shù)據(jù)集上的防御成功率為53.1%（測(cè)試條件是圖片比例1∶1、分辨率為224 像素×224 像素以上的彩色圖片，對(duì)抗樣本必須使分類器產(chǎn)生錯(cuò)誤分類，并且與原圖相比不能有明顯的形變，原圖必須能被分類器以0.9以上的置信度正確的識(shí)別與歸類），程序運(yùn)行一次的時(shí)間花費(fèi)為5 min，無論防御成功與否，都不會(huì)長時(shí)間占用資源。

4 結(jié)束語

艦船圖像識(shí)別系統(tǒng)的魯棒性和安全性是其應(yīng)用過程中所面臨的最大難題，為使艦船圖像識(shí)別可靠且安全，本文構(gòu)建一種應(yīng)對(duì)惡意對(duì)抗攻擊的新方法和相應(yīng)的防御模型。利用攻擊算法的特點(diǎn)，在對(duì)抗樣本的基礎(chǔ)上再對(duì)其進(jìn)行多次不同目標(biāo)的有目標(biāo)攻擊，尋找其中特定規(guī)律。在此基礎(chǔ)上進(jìn)行驗(yàn)證，根據(jù)驗(yàn)證結(jié)果對(duì)方法進(jìn)行優(yōu)化，直到從多次有目標(biāo)攻擊的結(jié)果或過程中篩選出該對(duì)抗樣本的真實(shí)目標(biāo)類別。在ImageNet 數(shù)據(jù)集上的測(cè)試結(jié)果表明，該方法可以在較短時(shí)間內(nèi)找出對(duì)抗樣本的真實(shí)類別，有效降低防御成本。后續(xù)將加強(qiáng)數(shù)據(jù)測(cè)試并優(yōu)化防御方法，以進(jìn)一步提高防御成功率。