熊 夙，凌 捷

廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣州 510006

神經(jīng)網(wǎng)絡(luò)已被廣泛地應(yīng)用于人們生活中的各個(gè)領(lǐng)域，如在圖像識(shí)別[1-2]、語音識(shí)別、自動(dòng)駕駛[3-4]和金融交易[5]等方面，都能取得較高的預(yù)測準(zhǔn)確率。但是神經(jīng)網(wǎng)絡(luò)模型也存在漏洞，模型本身容易受到對(duì)抗攻擊（adversarial attack），導(dǎo)致模型輸出錯(cuò)誤的預(yù)測結(jié)果。對(duì)抗樣本攻擊是指故意對(duì)神經(jīng)網(wǎng)絡(luò)的輸入樣本中添加人們難以察覺的微小擾動(dòng)，使得分類器給出錯(cuò)誤的分類。Szegedy 等人[6]第一次在圖像分類領(lǐng)域中發(fā)現(xiàn)深度神經(jīng)網(wǎng)絡(luò)具有容易受到對(duì)抗攻擊的弱點(diǎn)，如在圖片分類任務(wù)中，通過在原始圖片中添加精心設(shè)計(jì)的微小擾動(dòng)，這些擾動(dòng)通常很小以至無法被人所察覺[7]，能夠欺騙人眼使人誤認(rèn)為只是一張普通的圖片。但它能欺騙分類模型，并讓模型以較高的置信度將圖片分類成一個(gè)錯(cuò)誤的分類。這些人為添加微小擾動(dòng)后的圖片稱為對(duì)抗樣本（adversarial example）[8]。雖然大多數(shù)對(duì)抗樣本都是針對(duì)計(jì)算機(jī)視覺提出的，但是除了圖片分類模型之外，在文本識(shí)別和其他方面也容易受到對(duì)抗樣本的攻擊[9]。

隨著神經(jīng)網(wǎng)絡(luò)模型的日益普及，針對(duì)其結(jié)構(gòu)的對(duì)抗樣本攻擊，已經(jīng)給神經(jīng)網(wǎng)絡(luò)各應(yīng)用領(lǐng)域的安全性都帶來了巨大的危害。尤其是在自動(dòng)駕駛和人臉識(shí)別等安全性敏感的應(yīng)用方面，造成了很大的威脅[10]。因此，如何提高神經(jīng)網(wǎng)絡(luò)對(duì)于對(duì)抗樣本的抵御能力成為了深度學(xué)習(xí)安全領(lǐng)域的研究熱點(diǎn)，目前不斷有許多學(xué)者提出了針對(duì)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)的新的對(duì)抗攻擊方法，和新的防御方法，這些對(duì)抗攻擊和防御方法種類較多[11]。其中針對(duì)對(duì)抗攻擊的防御策略主要分為兩種，分別是防御方法和檢測方法。第一類防御方法是提高深度學(xué)習(xí)分類模型的魯棒性，即在模型遇到對(duì)抗樣本攻擊的時(shí)候仍然能夠輸出正確的分類結(jié)果，如對(duì)抗訓(xùn)練[12]。第二類防御方法是針對(duì)對(duì)抗樣本的檢測和攔截，即通過檢測輸入樣本是否為對(duì)抗樣本，并在將對(duì)抗樣本輸入分類模型之前，提前對(duì)其進(jìn)行攔截，從而防御對(duì)抗樣本的攻擊，如使用額外的神經(jīng)網(wǎng)絡(luò)檢測對(duì)抗樣本。但這些方法都有自身的局限性，如對(duì)抗訓(xùn)練需要重新訓(xùn)練現(xiàn)有模型，因此需要很大的額外工作量。此外，這類方法需要獲取大量的對(duì)抗樣本去訓(xùn)練模型，且總會(huì)有新生成的對(duì)抗樣本可以成功欺騙模型，因此這種防御方法對(duì)不同種類的對(duì)抗樣本攻擊不具有通用的防御能力。使用額外的分類器去檢測對(duì)抗樣本，則容易因?yàn)楸ＷC安全性而降低分類準(zhǔn)確率，且這個(gè)額外的防御模型本身也容易受到對(duì)抗樣本的二次攻擊。

因此，本文提出一種增強(qiáng)神經(jīng)網(wǎng)絡(luò)對(duì)于對(duì)抗樣本防御能力的方法，通過對(duì)目標(biāo)神經(jīng)網(wǎng)絡(luò)構(gòu)建一個(gè)權(quán)值共享的鏡像模型，將二者組合成孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，并在輸入和輸出處分別構(gòu)建了動(dòng)態(tài)濾波器和防御選擇模塊，增強(qiáng)了對(duì)于對(duì)抗樣本的防御能力。相比于其他對(duì)抗樣本防御方法和檢測方法，本文方法對(duì)防御不同類型的對(duì)抗樣本攻擊更有通用性，且防御能力更強(qiáng)。此外，動(dòng)態(tài)濾波器還能防止針對(duì)防御模塊的二次攻擊。另外，本文方法還同時(shí)具有防御和檢測能力，無需修改重訓(xùn)練目標(biāo)模型，部署更簡單，只需要在原有神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)上增加一個(gè)鏡像，就能大幅提高對(duì)惡意對(duì)抗樣本的防御能力。實(shí)驗(yàn)結(jié)果說明，與其他方法相比，本文方法具有如下優(yōu)點(diǎn)：

（1）本文方法可以在無需特定對(duì)抗樣本訓(xùn)練的條件下，防御多種對(duì)抗樣本攻擊，對(duì)不同種類對(duì)抗樣本具有通用的防御能力?，F(xiàn)有的防御方法需要大量且特定種類的對(duì)抗樣本去訓(xùn)練模型，如對(duì)抗訓(xùn)練。這不僅需要收集大量的對(duì)抗樣本，而且只能防御已知的特定種類攻擊。本文只從孿生神經(jīng)網(wǎng)絡(luò)兩端輸出的差異著手篩選對(duì)抗樣本，檢測濾波器處理前后的對(duì)抗攻擊效果變化，可以解決這個(gè)問題。

（2）本文方法對(duì)于對(duì)抗樣本有更好的防御效果，在動(dòng)態(tài)濾波器和孿生神經(jīng)網(wǎng)絡(luò)選擇模塊的共同作用下，能夠更好地防御各種對(duì)抗樣本的攻擊。且由于鏡像防御網(wǎng)絡(luò)中的動(dòng)態(tài)濾波器參數(shù)是動(dòng)態(tài)變化的，能夠增加針對(duì)網(wǎng)絡(luò)的二次攻擊的難度，提高防御方法的安全性。

（3）本文方法同時(shí)具有防御和檢測能力，可在提高分類器對(duì)對(duì)抗樣本魯棒性的同時(shí)，檢測輸入是否為對(duì)抗樣本?，F(xiàn)有的防御方法往往只注重提高模型魯棒性，或者只注重檢測對(duì)抗樣本，而不能同時(shí)取得兩種防御效果，本文方法可在提高模型對(duì)對(duì)抗樣本分類能力的同時(shí)，判斷樣本是否為可疑的對(duì)抗樣本。

（4）本文方法無需額外的訓(xùn)練，方便部署。且防御模塊不會(huì)影響原分類器的準(zhǔn)確率?，F(xiàn)有的對(duì)抗樣本檢測方法，往往需要在原分類器上添加并訓(xùn)練一個(gè)額外的檢測模型去分辨對(duì)抗樣本。額外訓(xùn)練模型需要很大工作量，不利于部署，且這些防御模塊的干預(yù)會(huì)降低神經(jīng)網(wǎng)絡(luò)分類模型的準(zhǔn)確率。本文方法只需要對(duì)分類器構(gòu)建一個(gè)權(quán)值共享的鏡像網(wǎng)絡(luò)并組合成孿生結(jié)構(gòu)，無需額外的訓(xùn)練，方便部署。且只會(huì)在檢測出可疑對(duì)抗樣本的情況下輔助神經(jīng)網(wǎng)絡(luò)分類，不會(huì)影響分類模型本身。

1 相關(guān)工作

本章簡單介紹了對(duì)抗攻擊及其原理，以及常見的對(duì)抗樣本防御方法、檢測方法。

1.1 對(duì)抗樣本攻擊

對(duì)抗攻擊是指在樣本中添加人為設(shè)置的微小擾動(dòng)，如在圖片中添加微小的擾動(dòng)像素。這些微小擾動(dòng)通常很難被人眼所察覺，但是卻能有效干擾神經(jīng)網(wǎng)絡(luò)，使其輸出錯(cuò)誤的分類，甚至能夠誘導(dǎo)神經(jīng)網(wǎng)絡(luò)以很高的置信度輸出為某個(gè)指定分類結(jié)果。這些人為添加擾動(dòng)像素的圖片樣本即是對(duì)抗樣本圖片。

對(duì)抗樣本普遍存在于深度學(xué)習(xí)算法之中，生成對(duì)抗樣本的方法有多種，根據(jù)攻擊環(huán)境的不同可以將其分為白盒攻擊和黑盒攻擊兩類。其中黑盒攻擊是指攻擊者對(duì)所攻擊模型的內(nèi)部結(jié)構(gòu)和參數(shù)一無所知。而白盒攻擊是指攻擊者已經(jīng)了解所攻擊模型的內(nèi)部結(jié)構(gòu)和參數(shù)，目前大多數(shù)攻擊算法都屬于白盒攻擊，如利用損失函數(shù)梯度進(jìn)行攻擊的FGSM（fast gradient sign method）算法，以及DeepFool算法、JSMA算法等[13]。以通過梯度來生成擾動(dòng)像素的FGSM攻擊算法為例，其算法表達(dá)如下：

其中，x′和x分別是生成的對(duì)抗樣本圖像和原始樣本圖像，ε表示擾動(dòng)程度的大小，其他部分表示梯度。ε一般設(shè)置成一個(gè)較小值，使得生成的擾動(dòng)難以被人眼所察覺。該方法可通過計(jì)算損失函數(shù)的梯度來生成擾動(dòng)，改變圖片像素，并最終生成能夠欺騙分類模型的對(duì)抗樣本圖片。

1.2 對(duì)抗樣本的防御方法

對(duì)抗攻擊的防御，主要指提高深度學(xué)習(xí)分類模型對(duì)于對(duì)抗樣本的魯棒性，其目標(biāo)是讓深度學(xué)習(xí)分類模型在遇到對(duì)抗樣本攻擊時(shí)，仍然能夠得出正確的分類結(jié)果。這類防御方法主要包括網(wǎng)絡(luò)蒸餾，以及對(duì)抗性訓(xùn)練等。

1.2.1 對(duì)抗訓(xùn)練

對(duì)抗訓(xùn)練是一種提高神經(jīng)網(wǎng)絡(luò)魯棒性的常用方法。它的主要思想是在模型訓(xùn)練過程中，除了用原始的樣本訓(xùn)練模型以外，還另外將對(duì)抗樣本加入訓(xùn)練集去訓(xùn)練模型。這樣模型訓(xùn)練時(shí)除了正確率會(huì)不斷提高以外，模型對(duì)于對(duì)抗樣本的魯棒性也會(huì)隨著訓(xùn)練過程而不斷的提高。Goodfellow等人的研究表明，對(duì)抗訓(xùn)練能夠提高深度學(xué)習(xí)分類模型對(duì)對(duì)抗樣本的魯棒性，提高模型對(duì)對(duì)抗性實(shí)例的分類精度。雖然對(duì)抗訓(xùn)練是一種防御對(duì)抗樣本的有效方法，但是它也有局限性。首先，對(duì)抗訓(xùn)練需要大量有效的對(duì)抗樣本去訓(xùn)練模型，才能提高模型的魯棒性。其次，對(duì)抗訓(xùn)練需要不斷輸入新類型的對(duì)抗樣本進(jìn)行訓(xùn)練，對(duì)于未經(jīng)訓(xùn)練的新類型對(duì)抗樣本的防御能力仍然較差。因此，無論如何訓(xùn)練，總會(huì)有新的對(duì)抗樣本可以成功欺騙模型。

1.2.2 對(duì)抗樣本去噪

除了利用對(duì)抗樣本進(jìn)行對(duì)抗訓(xùn)練以外，對(duì)輸入圖像去噪也是一種簡單的對(duì)抗樣本防御方法。由于對(duì)抗樣本是在原始圖像上加上特定的微小擾動(dòng)，因此降噪的方法也可以消除部分的擾動(dòng)，使得對(duì)抗樣本失去欺騙深度學(xué)習(xí)分類模型的能力。在文獻(xiàn)[14]中，作者構(gòu)建了一個(gè)圖像壓縮模型去除對(duì)抗擾動(dòng)，用于抵抗對(duì)抗樣本的攻擊?；趫D片變換去噪的方法比較簡單有效，常用的去噪方法還包括減少像素顏色深度、中值平滑、jpeg壓縮等[15]。

和對(duì)抗訓(xùn)練相比，去噪的方法無需大量的對(duì)抗樣本重新訓(xùn)練模型，應(yīng)用于不同種類的對(duì)抗樣本和不同結(jié)構(gòu)的模型時(shí)也更具通用性。但是降噪的方法也有自身的缺陷，降噪方法難以去除全部噪點(diǎn)，且降噪后殘留的對(duì)抗擾動(dòng)仍會(huì)通過誤差放大效應(yīng)，被網(wǎng)絡(luò)不斷放大，最后導(dǎo)致模型得出錯(cuò)誤的分類[16]，因此僅采用圖像去噪的處理方法對(duì)于對(duì)抗樣本的抵抗能力仍然較弱。

1.3 對(duì)抗樣本的檢測方法

除了提高深度學(xué)習(xí)分類模型對(duì)于對(duì)抗樣本的魯棒性之外，也有許多研究嘗試直接檢測對(duì)抗樣本，并在其輸入分類模型之前進(jìn)行攔截。目前提出的檢測方法很多，包括如下幾類檢測方法等。

首先是使用額外的分類器去檢測對(duì)抗樣本，在文獻(xiàn)[17]中，作者通過構(gòu)建一個(gè)額外的神經(jīng)網(wǎng)絡(luò)，去辨別輸入的樣本是否是一個(gè)對(duì)抗樣本。雖然這種方法可以將對(duì)抗樣本檢測問題轉(zhuǎn)換為一個(gè)簡單的二分類問題，但是這種方法本身也存在很多缺陷，額外的檢測模型需要大量的對(duì)抗樣本供其進(jìn)行訓(xùn)練，且由于檢測模型本身也是神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，所以也容易被對(duì)抗樣本所攻擊。

其次是基于分布統(tǒng)計(jì)的對(duì)抗樣本檢測方法，如Hendrycks 等人發(fā)現(xiàn)[18]，對(duì)抗樣本和正常的圖像樣本在統(tǒng)計(jì)特征上是有差異的，對(duì)抗樣本在最大主成分上的權(quán)重往往比正常樣本的要更高。在文獻(xiàn)[19]中，作者用高斯混合模型對(duì)神經(jīng)網(wǎng)絡(luò)隱藏層的最后一層輸出進(jìn)行建模，并根據(jù)正常樣本和對(duì)抗樣本的不同分布去區(qū)分對(duì)抗樣本。雖然統(tǒng)計(jì)特征可用于識(shí)別對(duì)抗樣本，但是基于統(tǒng)計(jì)特征的檢測方法也有很多自身的缺陷，如這類方法都需要收集足夠數(shù)量的對(duì)抗樣本，才能進(jìn)行統(tǒng)計(jì)檢測。

2 本文方法

現(xiàn)有的對(duì)抗樣本圖像防御方法往往只側(cè)重于提高對(duì)對(duì)抗樣本的魯棒性，或者側(cè)重于構(gòu)建額外的模型檢測對(duì)抗樣本，而無法兼顧兩者。本文提出一種基于孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)的對(duì)抗樣本防御方法，解決了上述方法無法兼顧兩者的問題。且在所構(gòu)建的動(dòng)態(tài)濾波器和孿生結(jié)構(gòu)防御選擇模塊的共同作用下，可在無需特定種類的對(duì)抗樣本訓(xùn)練的條件下，獲得對(duì)不同種類對(duì)抗樣本攻擊的通用防御效果。且能夠有效防御二次攻擊，對(duì)對(duì)抗樣本的攻擊具有更好的防御效果。

2.1 孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

孿生神經(jīng)網(wǎng)絡(luò)是一種由兩個(gè)相似的神經(jīng)網(wǎng)絡(luò)構(gòu)成的復(fù)合網(wǎng)絡(luò)，這一網(wǎng)絡(luò)結(jié)構(gòu)由Chopra等人提出[20]。在狹義的孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中，孿生神經(jīng)網(wǎng)絡(luò)的兩個(gè)子網(wǎng)絡(luò)的結(jié)構(gòu)是完全相同且權(quán)值共享的。而在后來廣義的偽孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中，兩個(gè)子網(wǎng)絡(luò)可以由具有不同結(jié)構(gòu)的神經(jīng)網(wǎng)絡(luò)組成。孿生神經(jīng)網(wǎng)絡(luò)的模型結(jié)構(gòu)如圖1 所示。由于該網(wǎng)絡(luò)的特殊結(jié)構(gòu)，使其可以同時(shí)接受兩個(gè)輸入，因此該網(wǎng)絡(luò)的主要用途是可用于小樣本學(xué)習(xí)，以及用于衡量兩個(gè)輸入樣本之間的相似程度等。

圖1 孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.1 Structure of siamese network

2.2 基于孿生結(jié)構(gòu)的動(dòng)態(tài)防御方法

由于孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)具有能夠接受兩個(gè)不同輸入的特點(diǎn)，且可用于衡量兩個(gè)輸入樣本的相似程度。本文利用這特點(diǎn)對(duì)孿生神經(jīng)網(wǎng)絡(luò)模型進(jìn)行改進(jìn)，并提出了一種基于孿生結(jié)構(gòu)的對(duì)抗樣本攻擊動(dòng)態(tài)防御方法，該方法可以增強(qiáng)神經(jīng)網(wǎng)絡(luò)分類模型對(duì)于對(duì)抗樣本攻擊的防御能力。這一基于孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)的對(duì)抗樣本攻擊動(dòng)態(tài)防御方法，整體流程如圖2所示。以一個(gè)易受攻擊的普通深度學(xué)習(xí)分類模型Network1 為例，為了提高模型對(duì)于對(duì)抗樣本的防御性能，本文首先對(duì)其構(gòu)建一個(gè)內(nèi)部結(jié)構(gòu)形似、且權(quán)值共享的鏡像網(wǎng)絡(luò)Network2，用于防御對(duì)抗樣本的攻擊，并將二者共同構(gòu)建成孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。得益于孿生神經(jīng)網(wǎng)絡(luò)之間可以權(quán)值共享的特點(diǎn)，這一補(bǔ)充構(gòu)建的防御模塊并不需要額外的工作量去訓(xùn)練，大大減少了構(gòu)建防御模塊的工作量。此外，在鏡像網(wǎng)絡(luò)中的輸入層構(gòu)建了動(dòng)態(tài)防御機(jī)制，其中其隱藏層內(nèi)第一個(gè)卷積層的濾波器參數(shù)是動(dòng)態(tài)變化的，可以更好地抵消對(duì)抗攻擊的擾動(dòng)像素，并防止發(fā)生針對(duì)防御網(wǎng)絡(luò)的二次攻擊。另外，在孿生神經(jīng)網(wǎng)絡(luò)的輸出部分也構(gòu)建了本文設(shè)計(jì)的對(duì)抗樣本選擇檢測模塊，通過檢測圖片在動(dòng)態(tài)濾波前后的攻擊效果是否有明顯變化，從孿生神經(jīng)網(wǎng)絡(luò)兩側(cè)的差異著手，篩選出帶有動(dòng)態(tài)擾動(dòng)的對(duì)抗樣本，進(jìn)一步提高模型對(duì)于對(duì)抗樣本的防御效果。

圖2 基于孿生結(jié)構(gòu)的對(duì)抗樣本攻擊動(dòng)態(tài)防御方法Fig.2 Dynamic defense method against adversarial example attacks based on siamese network structure

2.2.1 輸入層的動(dòng)態(tài)防御機(jī)制

鏡像網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和初始的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)相似，但是也有差異，其中在隱藏層添加了一層基于高斯濾波器設(shè)計(jì)的圖像平滑層。這一卷積層的圖像平滑原理是依次將每一個(gè)像素值取為周圍像素的平均值，由于圖片的像素間具有連續(xù)性，這一數(shù)值上的平滑處理，能夠讓中間像素失去細(xì)節(jié)，從而使得圖片產(chǎn)生一種模糊的效果。

由于一個(gè)圖像的不同像素之間的連續(xù)性是不同的，越是相互接近的像素間的連續(xù)性會(huì)越強(qiáng)，因此當(dāng)濾波器在圖片中移動(dòng)并平滑圖片時(shí)，不能夠簡單地取濾波器內(nèi)矩陣的平均值，這種均值濾波會(huì)大大破壞模糊后的圖像的細(xì)節(jié)。為了在平滑過程中，根據(jù)距離中心點(diǎn)的遠(yuǎn)近不同，給不同像素賦予不同的權(quán)重，使用加權(quán)平均的方法去平滑圖像。本文在賦予濾波器矩陣內(nèi)的像素不同權(quán)重時(shí)，采用了高斯函數(shù)去計(jì)算合適的權(quán)重。高斯分布也稱正態(tài)分布，是自然界和工程技術(shù)中最常見的分布之一，可以作為大多數(shù)分布的近似分布。高斯分布可以表示為：

這一分布圖像如圖3 所示，呈現(xiàn)為中間高，兩邊逐漸降低的對(duì)稱鐘形曲線。決定分布形狀的參數(shù)是期望值μ和標(biāo)準(zhǔn)差σ，其中期望值μ決定了分布的位置，而標(biāo)準(zhǔn)差σ則決定了分布的寬度，隨著標(biāo)準(zhǔn)差的增大分布曲線會(huì)趨于平緩。特別的，當(dāng)期望值和標(biāo)準(zhǔn)差分別取0和1時(shí)，分布符合標(biāo)準(zhǔn)正態(tài)分布。

圖3 一維高斯分布圖像Fig.3 One-dimensional Gaussian distribution

當(dāng)將高斯函數(shù)應(yīng)用于二維的圖片濾波器時(shí)，由于令中心點(diǎn)為原點(diǎn)，則可以令μ的值取為0，此時(shí)可推導(dǎo)出二維高斯函數(shù)為：

二維高斯分布的圖像如圖4所示，二維高斯分布的每一個(gè)維度上都是符合高斯分布的鐘形曲線。具體表現(xiàn)為位于中心原點(diǎn)的取值最大，四周的取值隨著與中心距離的增大而遞減。這一分布特點(diǎn)跟圖像像素間，像素連續(xù)性隨著距離增加而遞減的規(guī)律相吻合，因此很適合用來分配圖像濾波器內(nèi)的權(quán)重參數(shù)。當(dāng)濾波器對(duì)一個(gè)圖片的像素進(jìn)行平滑處理時(shí)，濾波器窗口范圍越大，圖片丟失的細(xì)節(jié)就會(huì)越多，對(duì)圖像平滑效果也越強(qiáng)，會(huì)使得圖像變得更模糊，這里以選取濾波器的窗口大小為3×3 為例。當(dāng)濾波器窗口對(duì)圖片中的某個(gè)像素進(jìn)行平滑處理時(shí)，會(huì)將該像素點(diǎn)定位為中心，此時(shí)這點(diǎn)的坐標(biāo)為（0，0），這個(gè)像素點(diǎn)周圍最近的8 個(gè)像素坐標(biāo)分別從（-1，1）依次遞增至（1，-1），如圖5（a）所示，根據(jù)二維高斯函數(shù)的分布規(guī)律，此時(shí)中心點(diǎn)的值為最大值，假設(shè)濾波器中的σ取值為1.5，則此時(shí)中心像素坐標(biāo)（0，0）根據(jù)高斯分布計(jì)算的權(quán)重值為0.070 7。同理，此時(shí)這8個(gè)周圍的最近像素點(diǎn)也可根據(jù)各自的坐標(biāo)計(jì)算出對(duì)應(yīng)的高斯權(quán)重值，如坐標(biāo)為（-1，1）的像素點(diǎn)可根據(jù)二維高斯函數(shù)計(jì)算出權(quán)重為0.045 4。這樣就可以計(jì)算出在σ設(shè)置為1.5，且窗口半徑為1的整個(gè)濾波器內(nèi)的權(quán)重矩陣為圖5（b）所示。由于該權(quán)重矩陣計(jì)算的是濾波器窗口內(nèi)各個(gè)像素的加權(quán)平均值，因此還必須讓整個(gè)權(quán)重矩陣的總和為1，此時(shí)讓權(quán)重矩陣的每個(gè)值除以總和0.478 7，得到最終用于平滑圖像的濾波器內(nèi)的權(quán)重矩陣為圖5（c）所示。

圖4 二維高斯分布圖像Fig.4 Two-dimensional Gaussian distribution

圖5 計(jì)算濾波器內(nèi)的權(quán)重矩陣Fig.5 Calculating weight matrix within filter

由于對(duì)抗樣本對(duì)原始圖片添加的擾動(dòng)總是盡可能得少，使得不容易被人眼察覺。因此這些少量的對(duì)抗擾動(dòng)像素在周圍像素點(diǎn)中往往不具有連續(xù)性，使用高斯濾波的方法對(duì)圖像進(jìn)行模糊處理，能夠用周圍連續(xù)的像素點(diǎn)對(duì)這些小部分不連續(xù)的對(duì)抗擾動(dòng)像素進(jìn)行平滑。這種改變圖片輸入的圖像模糊算法能夠在很大程度上改變這些對(duì)抗攻擊的擾動(dòng)，使其失效，或者對(duì)其攻擊效果造成一定的干擾。以一個(gè)MNIST 手寫數(shù)字圖像為例，用高斯函數(shù)設(shè)計(jì)的濾波器對(duì)FGSM 生成的對(duì)抗樣本圖像進(jìn)行平滑的過程如圖6 所示。其中圖6（a）是對(duì)抗樣本圖像，圖6（b）是將對(duì)抗擾動(dòng)像素平滑后的圖像。

圖6 濾波器對(duì)對(duì)抗樣本圖像的平滑效果Fig.6 Smoothing effect of filter on adversarial sample

首先，由于二維高斯分布函數(shù)符合上述像素間連續(xù)性遞減的特性，因此可以用其構(gòu)建出合理的圖像平滑濾波器，將需要平滑的像素放置于濾波器中心位置，并讓濾波器內(nèi)的周圍像素根據(jù)其坐標(biāo)計(jì)算出在二維高斯分布曲線上的取值，即可根據(jù)距離的大小計(jì)算濾波器內(nèi)的權(quán)重矩陣，根據(jù)像素間的關(guān)聯(lián)性強(qiáng)弱獲得一系列合理的加權(quán)平均值，這一取值方法符合了像素間的關(guān)聯(lián)性隨著距離遞減的特點(diǎn)。其次，由于高斯分布函數(shù)中的參數(shù)σ可以改變高斯分布的形狀，分布曲線的形狀會(huì)隨著標(biāo)準(zhǔn)差σ的增大而趨于平坦。因此只要改變這一參數(shù)，就可以對(duì)濾波器內(nèi)像素的權(quán)重進(jìn)行合理的調(diào)整，讓濾波器對(duì)圖像產(chǎn)生不同的平滑處理效果。本文根據(jù)這兩點(diǎn)設(shè)計(jì)了一個(gè)動(dòng)態(tài)的圖片平滑濾波器，將其放置在鏡像網(wǎng)絡(luò)隱藏層的第一個(gè)卷積層中，讓濾波器內(nèi)高斯函數(shù)的標(biāo)準(zhǔn)差σ不取固定值，而是讓其在一個(gè)合適的取值區(qū)間內(nèi)隨機(jī)變化。這樣的設(shè)計(jì)會(huì)使高斯濾波器的窗口在每次處理一張圖片前，都會(huì)先在這一取值區(qū)間內(nèi)隨機(jī)固定一個(gè)σ的數(shù)值，并用這個(gè)高斯分布函數(shù)去對(duì)圖像進(jìn)行平滑處理。通過這種方法，即使是將同一張圖片輸入鏡像網(wǎng)絡(luò)Network2的卷積層多次，也會(huì)輸出多個(gè)不完全一致的平滑圖像。這種濾波器的微小變動(dòng)，只會(huì)改變圖片部分像素，在總體上只會(huì)對(duì)圖形的模糊效果有微小變化，對(duì)圖形的分類結(jié)果并不會(huì)產(chǎn)生根本的影響[21]，但是這個(gè)變動(dòng)卻能有效干擾擾動(dòng)像素，防御對(duì)抗樣本的攻擊。本文在鏡像網(wǎng)絡(luò)中構(gòu)造的這種動(dòng)態(tài)去噪方法，使得構(gòu)建對(duì)抗樣本的攻擊者很難通過在圖片中添加固定的微小擾動(dòng)像素，去對(duì)網(wǎng)絡(luò)實(shí)施對(duì)抗樣本攻擊。另外，每次都會(huì)改變的圖片像素也能干擾針對(duì)鏡像神經(jīng)網(wǎng)絡(luò)發(fā)起的二次攻擊，使得針對(duì)防御模塊的對(duì)抗攻擊更難發(fā)生，增加了模型的安全性。

2.2.2 輸出層的選擇防御機(jī)制

對(duì)于傳統(tǒng)的構(gòu)建額外的神經(jīng)網(wǎng)絡(luò)檢測模型去檢測對(duì)抗樣本的方法，由于對(duì)抗樣本和正常樣本往往過于相似，容易有漏判的風(fēng)險(xiǎn)。且檢測模型本身也可能被對(duì)抗樣本攻擊。所以本文在構(gòu)建鏡像神經(jīng)網(wǎng)絡(luò)用于檢測對(duì)抗樣本時(shí)，使用了和普通檢測模型不一樣的檢測策略。由于同一個(gè)對(duì)抗樣本雖然可能欺騙多個(gè)分類模型，但往往很難在多個(gè)不同的分類模型上取得完全一致的欺騙效果，根據(jù)這一攻擊效果的差異，可以從根源上篩選出帶有動(dòng)態(tài)擾動(dòng)的對(duì)抗樣本。本文方法將一個(gè)圖像樣本同時(shí)輸入上述構(gòu)造的孿生神經(jīng)網(wǎng)絡(luò)的兩側(cè)，并比較兩個(gè)網(wǎng)絡(luò)輸出的向量的相似程度。由于這兩個(gè)鏡像網(wǎng)絡(luò)是結(jié)構(gòu)相似且權(quán)值共享的，因此如果輸入的圖像是一個(gè)正常樣本，理論上兩個(gè)神經(jīng)網(wǎng)絡(luò)Network1 和Network2 會(huì)輸出相似的結(jié)果。反之，如果輸入的圖像是一個(gè)帶有攻擊者特意添加的微小擾動(dòng)的對(duì)抗樣本，則即使圖片能欺騙第一個(gè)分類網(wǎng)絡(luò)Network1 得出錯(cuò)誤結(jié)果，但在Network2 的第一個(gè)卷積層中這些擾動(dòng)像素會(huì)被動(dòng)態(tài)濾波器完全抵消或削弱，導(dǎo)致在模型兩側(cè)的網(wǎng)絡(luò)得出區(qū)別較大的分類結(jié)果。根據(jù)這點(diǎn)，本文方法在孿生神經(jīng)網(wǎng)絡(luò)的輸出層設(shè)置了一個(gè)防御選擇模塊，根據(jù)判斷兩側(cè)分類網(wǎng)絡(luò)內(nèi)的向量的距離大小Distance（F（Input1），F(xiàn)（Input2））是否超過設(shè)置的閾值Maximun Distance，去判斷輸入圖片是否相似，進(jìn)而判斷圖片是否為對(duì)抗樣本。根據(jù)這一方法，只要比較孿生神經(jīng)網(wǎng)絡(luò)模型兩側(cè)的Network1 和Network2分類效果是否足夠相似，就可以進(jìn)一步地有效過濾出帶有人為設(shè)計(jì)擾動(dòng)的對(duì)抗樣本。即使有部分偽裝得很好的對(duì)抗樣本成功欺騙了兩個(gè)分類模型，根據(jù)這種同一個(gè)對(duì)抗樣本很難在不同網(wǎng)絡(luò)上產(chǎn)生完全一致的影響的判斷原理，也能根據(jù)孿生神經(jīng)網(wǎng)絡(luò)兩側(cè)的向量距離太大，而攔截出潛在的對(duì)抗樣本，這一輸出層的選擇防御機(jī)制能大大提高分類網(wǎng)絡(luò)對(duì)對(duì)抗樣本的防御能力。

在孿生神經(jīng)網(wǎng)絡(luò)的兩個(gè)子網(wǎng)絡(luò)中，Network1處理的是原始圖像，鏡像網(wǎng)絡(luò)Network2 處理的是動(dòng)態(tài)高斯濾波器平滑后的圖像。這一濾波器以丟失圖片的部分細(xì)節(jié)為代價(jià)，平滑對(duì)抗樣本中添加的惡意擾動(dòng)像素。利用高斯函數(shù)對(duì)圖片中不連續(xù)的對(duì)抗像素進(jìn)行平滑處理，以周圍連續(xù)的正常像素去抵消對(duì)抗擾動(dòng)。雖然高斯濾波器在用連續(xù)像素平滑擾動(dòng)像素時(shí)，損失了圖形的部分細(xì)節(jié)，但是在同一個(gè)權(quán)值共享的網(wǎng)絡(luò)中，對(duì)于高清圖像和平滑后的模糊圖像的輸出結(jié)果是相似的，輸出的向量會(huì)控制在一個(gè)誤差范圍之內(nèi)[22]。相反的，對(duì)于一個(gè)惡意攻擊者設(shè)計(jì)的對(duì)抗樣本，則會(huì)在被高斯濾波器模糊之后，由于不連續(xù)的對(duì)抗擾動(dòng)像素被完全抵消或削弱后，影響了對(duì)抗樣本圖片的攻擊能力，導(dǎo)致鏡像網(wǎng)絡(luò)輸出一個(gè)和原始網(wǎng)絡(luò)輸出差別很大的結(jié)果。這里用L2范數(shù)去衡量兩個(gè)模型分類時(shí)輸出的向量相似度，則兩個(gè)分類網(wǎng)絡(luò)的向量距離大小可以表示為如下形式：

其中，F(xiàn)(x)表示一個(gè)分類網(wǎng)絡(luò)接受圖像輸入x后，將輸入映射到新特征空間后對(duì)應(yīng)的向量。這一距離可用于衡量同一張圖片在被動(dòng)態(tài)濾波器平滑處理前后的分類相似程度。并針對(duì)這一距離設(shè)置一個(gè)最大值Maximum Distance，將超過這一最大距離閾值的兩個(gè)輸入圖像，歸類為相似度不足的圖像。最后根據(jù)平滑前后的兩張圖像相似性是否不足，在孿生神經(jīng)網(wǎng)絡(luò)的輸出部分設(shè)計(jì)了一個(gè)選擇模塊。根據(jù)同一個(gè)對(duì)抗樣本很難同時(shí)對(duì)兩個(gè)不同網(wǎng)絡(luò)產(chǎn)生相同攻擊效果的原理，進(jìn)一步篩選出潛在的對(duì)抗樣本。在這一選擇模塊中，如果平滑前后的兩張輸入圖片被孿生神經(jīng)網(wǎng)絡(luò)歸類為足夠相似的圖片，則說明圖片是正常樣本，此時(shí)選擇模塊輸出原始網(wǎng)絡(luò)的分類結(jié)果Output1，分類準(zhǔn)確率不會(huì)因?yàn)榉烙K的影響而降低。只有當(dāng)遇到一個(gè)對(duì)抗樣本時(shí)，孿生神經(jīng)網(wǎng)絡(luò)才會(huì)因?yàn)槠交蟮膬蓮垐D片相似度嚴(yán)重不足，而將其歸類為惡意的對(duì)抗樣本圖片，此時(shí)會(huì)輸出鏡像防御網(wǎng)絡(luò)的分類結(jié)果Output2，并對(duì)這一張輸入圖像打上對(duì)抗樣本標(biāo)簽。

這一防御模塊的設(shè)計(jì)具有許多優(yōu)點(diǎn)，首先，這種根據(jù)孿生神經(jīng)網(wǎng)絡(luò)兩端輸出距離去識(shí)別對(duì)抗樣本的防御方式，可以從對(duì)抗攻擊效果的根源處著手，在無需特定種類對(duì)抗樣本訓(xùn)練的情況下，對(duì)多種對(duì)抗樣本的攻擊具有通用防御能力。其次，防御模塊不會(huì)降低分類模型的準(zhǔn)確率，只有檢測到相似度不足的對(duì)抗樣本才會(huì)使用防御模塊的分類結(jié)果，解決了傳統(tǒng)防御方法無法兼顧防御能力和準(zhǔn)確率這兩者的缺點(diǎn)。最后，這一模型同時(shí)具備了對(duì)抗樣本防御和對(duì)抗樣本檢測的功能，不僅能夠增強(qiáng)模型對(duì)對(duì)抗樣本的魯棒性，還能有效檢測出對(duì)抗樣本，目前所有防御方法都無法完全抵御各種對(duì)抗樣本攻擊，同時(shí)防御和檢測可使得在無法做出正確分類時(shí)，也能對(duì)對(duì)抗樣本打上可疑的惡意標(biāo)簽，增強(qiáng)了模型的安全性。

3 實(shí)驗(yàn)及分析

3.1 構(gòu)造數(shù)據(jù)集及預(yù)訓(xùn)練

為了驗(yàn)證本文方法的有效性。本文分別用MNIST圖片和CIFAR-10 圖片構(gòu)造了兩組測試數(shù)據(jù)集，并將本文方法應(yīng)用于對(duì)應(yīng)的兩個(gè)MNIST和CIFAR神經(jīng)網(wǎng)絡(luò)分類模型，測試本文的防御方法對(duì)于對(duì)抗樣本的防御效果。這兩組測試數(shù)據(jù)集都包含了由FGSM、DeepFool、JSMA 這三種攻擊產(chǎn)生的對(duì)抗樣本。每個(gè)單獨(dú)的測試集中都包含有5 000張測試圖片，其中MNIST是灰色手寫數(shù)字?jǐn)?shù)據(jù)集，而CIFAR-10 是彩色圖像數(shù)據(jù)集。在每次實(shí)驗(yàn)中主要以預(yù)測準(zhǔn)確率為評(píng)估指標(biāo)，并使用FGSM、DeepFool、JSMA這三種攻擊方法來檢驗(yàn)本文防御方法的有效性。

此外，雖然對(duì)神經(jīng)網(wǎng)絡(luò)添加一個(gè)權(quán)值共享的鏡像防御模塊不需要額外的訓(xùn)練，但是本文中的孿生神經(jīng)網(wǎng)絡(luò)模型中的部分參數(shù)仍然需要訓(xùn)練集去訓(xùn)練，以確定合適的參數(shù)，如動(dòng)態(tài)濾波器需要確定高斯函數(shù)參數(shù)σ的合適波動(dòng)范圍，孿生神經(jīng)網(wǎng)絡(luò)的選擇模塊也需要預(yù)先選擇一個(gè)合適的閾值。且需要驗(yàn)證集去驗(yàn)證這些模型參數(shù)是否設(shè)置正確，因此，在測試實(shí)驗(yàn)開始前，還需要構(gòu)造訓(xùn)練數(shù)據(jù)集和驗(yàn)證數(shù)據(jù)集，對(duì)構(gòu)造的孿生神經(jīng)網(wǎng)絡(luò)進(jìn)行簡單的預(yù)訓(xùn)練，以設(shè)置這幾個(gè)參數(shù)的數(shù)值。本文在構(gòu)建訓(xùn)練集訓(xùn)練孿生神經(jīng)網(wǎng)絡(luò)時(shí)，為了驗(yàn)證本文方法在未使用特定種類對(duì)抗樣本訓(xùn)練的條件下，仍對(duì)多種對(duì)抗樣本攻擊具有通用的防御效果，在預(yù)訓(xùn)練時(shí)只采用FGSM攻擊方法去攻擊MNIST 分類模型和CIFAR 分類模型，以生成訓(xùn)練數(shù)據(jù)集所需的對(duì)抗樣本圖片。首先分別給普通的MNIST 和CIFAR 神經(jīng)網(wǎng)絡(luò)分類模型添加鏡像防御模塊，并構(gòu)建成本文設(shè)計(jì)的孿生神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。然后針對(duì)MNIST 數(shù)據(jù)和CIFAR 數(shù)據(jù)，構(gòu)建了兩個(gè)數(shù)量為50 000的數(shù)據(jù)集，這里的兩個(gè)數(shù)據(jù)集中，50%是正常的圖片，另外的50%則是用FGSM 攻擊方法生成的對(duì)抗樣本。并將其以8∶2 的比例劃分為訓(xùn)練集和驗(yàn)證集。對(duì)所構(gòu)建的孿生神經(jīng)網(wǎng)絡(luò)進(jìn)行預(yù)訓(xùn)練。在確定好合適的參數(shù)值后，即可通過實(shí)驗(yàn)，用上述的三種攻擊方法分別檢驗(yàn)本文方法的防御性能。

3.2 對(duì)抗樣本攻擊防御實(shí)驗(yàn)

首先，以準(zhǔn)確率為評(píng)估指標(biāo)，測試本文方法在未使用特定種類對(duì)抗樣本訓(xùn)練的條件下，對(duì)多種對(duì)抗樣本攻擊的通用防御能力。在測試防御準(zhǔn)確率的過程中，由于本文方法同時(shí)具有對(duì)抗防御和對(duì)抗檢測功能。因此，對(duì)于測試集中的正常圖片，只有模型正確輸出其分類、且未輸出對(duì)抗樣本警告時(shí)，才視為正確預(yù)測。對(duì)于測試集中的對(duì)抗樣本圖片，只要模型正確輸出了對(duì)抗樣本的分類、或者在無法正確分類時(shí)輸出了對(duì)抗樣本警告，就視為防御成功。

將上述使用不同種對(duì)抗樣本攻擊構(gòu)造的測試數(shù)據(jù)集，分別輸入對(duì)應(yīng)的孿生結(jié)構(gòu)分類模型。其中以MNIST分類模型構(gòu)建的孿生結(jié)構(gòu)防御模型為例，其輸入包括3個(gè)測試集，這3 個(gè)測試集分別是用FGSM、DeepFool 和JSMA 三種攻擊方法添加對(duì)抗擾動(dòng)生成的對(duì)抗樣本圖片，和普通的手寫數(shù)字圖片，各以50%的比例組成的5 000張測試圖片數(shù)據(jù)集。實(shí)驗(yàn)得到相應(yīng)的檢測準(zhǔn)確率如表1所示。

表1 本文方法在不同測試集上的檢測準(zhǔn)確率Table 1 Detection accuracy of proposed method on test datasets %

從實(shí)驗(yàn)結(jié)果可以看出，在未收集特定種類對(duì)抗樣本進(jìn)行訓(xùn)練的條件下，在MNIST和CIFAR測試數(shù)據(jù)集上，本文的防御方法對(duì)FGSM攻擊的防御準(zhǔn)確率較高，分別為95.35%和92.13%。對(duì)于DeepFool方法的防御準(zhǔn)確率則較低，由于DeepFool 能夠以更小的擾動(dòng)生成對(duì)抗樣本圖片，使得孿生神經(jīng)網(wǎng)絡(luò)的防御選擇模塊中兩端的輸出區(qū)別較小，在兩個(gè)測試數(shù)據(jù)集上對(duì)于DeepFool 的防御準(zhǔn)確率分別為93.52%和91.47%。對(duì)于JSMA 方法的防御準(zhǔn)確率則分別為93.73%和90.80%。

由于本文方法只在預(yù)訓(xùn)練階段使用了少量FGSM攻擊方法生成的對(duì)抗樣本確定參數(shù)，并未針對(duì)FGSM、Deepfool 和JSMA 攻擊方法進(jìn)行訓(xùn)練。由此可見，本文方法能夠從兩個(gè)分類網(wǎng)絡(luò)的攻擊效果差異上著手，在沒有特定種類對(duì)抗樣本訓(xùn)練的條件下，仍然以較高準(zhǔn)確率防御了各種對(duì)抗樣本的攻擊。和其他常規(guī)的防御方法相比較，本文的防御方法更具通用性，可以在不需要收集特定種類的對(duì)抗樣本圖片進(jìn)行訓(xùn)練的情況下，獲得對(duì)不同種類對(duì)抗樣本攻擊的通用防御能力。因此，實(shí)驗(yàn)中在多種對(duì)抗樣本測試集上取得的防御效果，證明了本文方法對(duì)多種攻擊都具有通用的防御能力。

然后，為了進(jìn)一步測試本文方法對(duì)于不同強(qiáng)度的對(duì)抗攻擊的防御能力，以精確率、召回率和F1-score 作為評(píng)估指標(biāo)，在MNIST 數(shù)據(jù)集上，分別用不同擾動(dòng)強(qiáng)度ε的FGSM攻擊生成對(duì)抗樣本進(jìn)行實(shí)驗(yàn)。在實(shí)驗(yàn)中，擾動(dòng)強(qiáng)度ε由0.1遞增至0.5。最后得到的實(shí)驗(yàn)結(jié)果如表2所示。從實(shí)驗(yàn)結(jié)果可以看出，本文方法對(duì)不同擾動(dòng)大小的FGSM 攻擊都具有一定的防御效果。當(dāng)對(duì)抗擾動(dòng)取最小值0.1 時(shí)，本文方法的精確率為94.71%，召回率為91.15%，F(xiàn)1-score 為92.89%。而當(dāng)對(duì)抗擾動(dòng)增大至0.5時(shí)，本文方法的精確率為99.27%，召回率為93.61%，F(xiàn)1-score為96.35%。

表2 對(duì)抗擾動(dòng)大小對(duì)防御效果的影響Table 2 Influence of disturbance strength on defense effect

圖7 展示了防御效果隨著動(dòng)態(tài)擾動(dòng)的增大而變化的過程。從圖中可以看出，當(dāng)對(duì)抗擾動(dòng)增大時(shí)，本文方法對(duì)FGSM 對(duì)抗樣本的檢測效果也隨之增強(qiáng)。這是由于隨著對(duì)抗擾動(dòng)的增大，對(duì)抗樣本中改變的像素點(diǎn)也越多。因此，經(jīng)過動(dòng)態(tài)濾波器濾波后，對(duì)抗樣本圖片和原始圖片的差異也變得越大，使得孿生神經(jīng)網(wǎng)絡(luò)的防御選擇模塊能夠更有效地分辨出正常圖片和對(duì)抗樣本圖片。

圖7 對(duì)抗擾動(dòng)增大時(shí)，對(duì)于FGSM攻擊的防御效果Fig.7 Defense effect against FGSM attack as disturbance increases

3.3 二次攻擊防御實(shí)驗(yàn)

由于濾波器內(nèi)的參數(shù)在動(dòng)態(tài)波動(dòng)，因此本文的防御方法除了具有通用的防御能力之外，還比常規(guī)方法具有更強(qiáng)的二次攻擊防御能力。在動(dòng)態(tài)濾波器不斷變化的參數(shù)和孿生神經(jīng)網(wǎng)絡(luò)的防御選擇模塊的共同作用下，更難被對(duì)抗樣本攻擊二次攻破，能夠獲得更好的二次攻擊防御效果。目前的對(duì)抗樣本防御方法都有很大的局限性，用于防御對(duì)抗樣本攻擊的模型本身也存在被二次攻擊的風(fēng)險(xiǎn)，文獻(xiàn)[23]對(duì)各種對(duì)抗樣本檢測方法做了總結(jié)。

為了測試本文的防御方法對(duì)二次攻擊的防御能力。將本文方法和文獻(xiàn)中的對(duì)抗訓(xùn)練方法和使用平均濾波器對(duì)圖像進(jìn)行模糊處理的方法進(jìn)行對(duì)比，比較三種防御方法在白盒攻擊情況下對(duì)二次攻擊的防御效果。

分別使用MNIST 和CIFAR-10 分類模型進(jìn)行兩組實(shí)驗(yàn)。其中，以MNIST分類模型為例，對(duì)于對(duì)抗訓(xùn)練的防御方法，在數(shù)據(jù)集中生成FGSM、DeepFool 和JSMA三種攻擊方法的對(duì)抗樣本，對(duì)分類模型進(jìn)行對(duì)抗訓(xùn)練。然后對(duì)MNIST 分類模型進(jìn)行二次攻擊，并分別用三種防御方法防御。分別構(gòu)建總數(shù)為5 000 張，且包含了三種對(duì)抗樣本的MNIST 圖片測試集，比較對(duì)于三種防御方法的二次攻擊成功率，實(shí)驗(yàn)結(jié)果如表3所示。

從表3 實(shí)驗(yàn)結(jié)果可以看出，在MNIST 和CIFAR-10數(shù)據(jù)集上，相比其他常規(guī)的防御方法，如對(duì)抗訓(xùn)練和用均值濾波器平滑對(duì)抗樣本的方法，本文的防御方法可以降低二次攻擊的成功率，具有更好的防御能力。在鏡像網(wǎng)絡(luò)中，參數(shù)不斷變化的動(dòng)態(tài)濾波器能提高針對(duì)防御模塊的攻擊難度，使得二次攻擊更難成功。動(dòng)態(tài)濾波器能夠平滑或干擾大多數(shù)的擾動(dòng)像素，并結(jié)合孿生神經(jīng)網(wǎng)絡(luò)的選擇模塊有效地防御對(duì)抗樣本攻擊。使得對(duì)抗樣本的對(duì)抗擾動(dòng)更難成功欺騙分類模型，提高惡意攻擊者的攻擊門檻。

表3 對(duì)本文方法和其他防御方法的攻擊效果比較Table 2 Different attack performance of this method and other methods %

4 結(jié)論及未來工作

為增強(qiáng)神經(jīng)網(wǎng)絡(luò)對(duì)于對(duì)抗樣本攻擊的防御能力，本文設(shè)計(jì)了一種基于孿生結(jié)構(gòu)的對(duì)抗樣本攻擊動(dòng)態(tài)防御方法。在輸入層中，通過鏡像網(wǎng)絡(luò)中設(shè)計(jì)的動(dòng)態(tài)濾波器，平滑對(duì)抗樣本圖像中的擾動(dòng)像素。并在輸出層中，通過孿生神經(jīng)網(wǎng)絡(luò)中的防御選擇模塊，從孿生神經(jīng)網(wǎng)絡(luò)兩端的差異著手，通過檢測動(dòng)態(tài)濾波前后樣本是否有不同的攻擊效果，從根源處檢測出各種對(duì)抗樣本，進(jìn)一步提高對(duì)對(duì)抗樣本攻擊的防御能力。

實(shí)驗(yàn)結(jié)果表明，通過這種方法，可以在無需特定對(duì)抗樣本訓(xùn)練的條件下，防御多種對(duì)抗樣本的攻擊，相比于其他防御方法，本文方法對(duì)各種對(duì)抗樣本具有更通用的防御能力。在上述MNIST 測試集的實(shí)驗(yàn)中，本文防御方法在FGSM 算法生成的對(duì)抗樣本測試集上取得了95.35%的防御準(zhǔn)確率，在DeepFool和JSMA對(duì)抗樣本上則分別取得了93.52%和93.73%的防御準(zhǔn)確率。證明了在沒有使用特定對(duì)抗樣本進(jìn)行訓(xùn)練的情況下，本文方法仍然能取得較高的防御準(zhǔn)確率。此外，在動(dòng)態(tài)濾波器和選擇模塊這兩個(gè)防御模塊的共同作用下，該方法比其他防御方法更難被成功攻擊，提高了攻擊者的二次攻擊難度。在MNIST 和CIFAR-10 數(shù)據(jù)集上使用三種攻擊進(jìn)行二次攻擊實(shí)驗(yàn)時(shí)，對(duì)抗訓(xùn)練和使用均值濾波器平滑對(duì)抗樣本的方法均被成功攻破，但在本文方法上只取得了68.24%和63.15%的攻擊成功率。本文方法難以被二次攻擊，也在整體上提高了本文防御方法的安全性。

雖然本文方法在對(duì)抗樣本攻擊檢測問題中取得了一定的效果，但是在設(shè)計(jì)卷積層的動(dòng)態(tài)濾波器和設(shè)計(jì)孿生神經(jīng)網(wǎng)絡(luò)的防御選擇模塊時(shí)，只使用了較為通用的高斯函數(shù)和L2范數(shù)。這兩個(gè)防御模塊的具體方法和參數(shù)在選擇上還有很大的研究空間，在未來的研究工作中，針對(duì)不同分類任務(wù)的特點(diǎn)，還可以嘗試更有針對(duì)性的動(dòng)態(tài)防御方法和特征距離衡量方法，進(jìn)一步提高防御能力。