冼卓瀅，陳國(guó)明，羅家梁，梁偉堂

（廣東第二師范學(xué)院計(jì)算機(jī)學(xué)院，廣州 510303）

0 引言

隨著深度學(xué)習(xí)理論的不斷發(fā)展，特別是深度神經(jīng)網(wǎng)絡(luò)（deep neural network，DNN）算法取得的巨大成功，人工智能在自動(dòng)駕駛以及人臉識(shí)別等圖像領(lǐng)域的應(yīng)用越來(lái)越廣泛。如自動(dòng)駕駛中對(duì)交通標(biāo)志、障礙物等圖像的識(shí)別，安保系統(tǒng)中對(duì)人臉圖像的檢測(cè)，以及場(chǎng)景識(shí)別中對(duì)各場(chǎng)景圖片的分類等。與此同時(shí)，數(shù)據(jù)投毒［1］、模型竊取、后門攻擊、對(duì)抗樣本［2］等攻擊也層出不窮。其中，對(duì)抗樣本攻擊最為流行，指的是在原始圖像數(shù)據(jù)中添加肉眼無(wú)法察覺(jué)的干擾噪聲。這些細(xì)微的干擾極易使深度分類模型受到干擾而得出錯(cuò)誤結(jié)果。分類器把構(gòu)造對(duì)抗樣本對(duì)深度神經(jīng)網(wǎng)絡(luò)的分類識(shí)別進(jìn)行干擾稱為對(duì)抗攻擊（adversarial attack）。相關(guān)研究表明對(duì)抗攻擊不僅可以在數(shù)字域產(chǎn)生攻擊效果，在物理域也被用來(lái)攻擊深度學(xué)習(xí)系統(tǒng)［3］。例如，攻擊者將路標(biāo)改造成相應(yīng)的對(duì)抗樣本，造成自動(dòng)駕駛系統(tǒng)對(duì)路標(biāo)產(chǎn)生錯(cuò)誤判斷。同時(shí)，對(duì)抗樣本具有遷移性，同一個(gè)對(duì)抗樣本可以對(duì)不同的分類器模型進(jìn)行“誘騙”，對(duì)抗樣本的存在嚴(yán)重影響到智能系統(tǒng)的分類與判斷。

為了提高識(shí)別準(zhǔn)確率，深度模型需要調(diào)整參數(shù)或繼續(xù)增加自身網(wǎng)絡(luò)層數(shù)，深度網(wǎng)絡(luò)通常層數(shù)多且結(jié)構(gòu)復(fù)雜，需要花費(fèi)大量的精力和時(shí)間進(jìn)行調(diào)參，同時(shí)要求較高的資源配置。靈活高效的寬度學(xué)習(xí)系統(tǒng)應(yīng)運(yùn)而生，其不但可以應(yīng)用到圖像分類領(lǐng)域，還可以通用到其它網(wǎng)絡(luò)結(jié)構(gòu)中。充分識(shí)別并挖掘輸入數(shù)據(jù)中的有效信息后，能夠在保證原始網(wǎng)絡(luò)性能的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)重構(gòu)。寬度學(xué)習(xí)的提出為人工智能的研究開(kāi)辟了新的思路，具有良好的發(fā)展前景。

針對(duì)深度網(wǎng)絡(luò)黑箱，前人在圖像分類可解釋性［4］方面得到了許多研究成果。比如，基于CAM 模型并通過(guò)熱力圖解釋網(wǎng)絡(luò)關(guān)注區(qū)域的優(yōu)化算法Grad-CAM［5］，首先對(duì)可解釋的代理模型進(jìn)行訓(xùn)練，在此基礎(chǔ)上再對(duì)預(yù)測(cè)結(jié)果行為進(jìn)行解釋的局部可解釋模型（local interpretable modelagnostic explanations,LIME）［6］；將深度模型的輸出對(duì)輸入圖像的梯度作為解釋結(jié)果，并對(duì)原始梯度進(jìn)行處理提升可視化效果的敏感性分析算法Saliency Map。本文提出基于位平面切割的可解釋性方法，能夠從不同的角度解釋分類器的工作過(guò)程，提高分類系統(tǒng)的可靠性。

1 寬度學(xué)習(xí)

Chen 等［7］率先研究并提出了寬度學(xué)習(xí)系統(tǒng)（broad learning system，BLS），這是一種新的基于隨機(jī)的學(xué)習(xí)算法［8］，由三層系統(tǒng)結(jié)構(gòu)——輸入層、隱藏層和輸出層組成，與傳統(tǒng)的深度學(xué)習(xí)方法有很大區(qū)別。BLS 傾向于以“廣度”為導(dǎo)向擴(kuò)展網(wǎng)絡(luò)，首先對(duì)輸入數(shù)據(jù)進(jìn)行隨機(jī)特征映射，分別提取特征節(jié)點(diǎn)和擴(kuò)展節(jié)點(diǎn)。然后在輸入層中合并這兩個(gè)節(jié)點(diǎn)來(lái)連接輸出層，最后用嶺回歸逆求出輸出層與輸入層之間的連接權(quán)重。BLS 的學(xué)習(xí)過(guò)程可以分為無(wú)增量學(xué)習(xí)和增量學(xué)習(xí)過(guò)程。無(wú)增量學(xué)習(xí)的BLS 無(wú)異于大多數(shù)常見(jiàn)的神經(jīng)網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)模型與數(shù)據(jù)集的訓(xùn)練過(guò)程擬合性很差，所以增量學(xué)習(xí)算法應(yīng)運(yùn)而生。圖1 表示無(wú)增量學(xué)習(xí)的具體運(yùn)算方法與過(guò)程，首先將輸入的原始數(shù)據(jù)X乘以隨機(jī)權(quán)重W，再映射到映射特征（Mapped Feature）。與此同時(shí)，一個(gè)Mapped Feature 包含多個(gè)映射節(jié)點(diǎn)，第i組Mapped Feature可以表示為

圖1 無(wú)增量學(xué)習(xí)的BLS的學(xué)習(xí)過(guò)程

圖2 增量學(xué)習(xí)的過(guò)程

其中，Zi∈Rn×G，βi表示偏置，d表示特征節(jié)點(diǎn)的組數(shù)，G表示每組特征節(jié)點(diǎn)的維度，φ(?)表示激活函數(shù)。映射特征Z乘以隨機(jī)權(quán)重W，再加上偏置β，經(jīng)過(guò)激活函數(shù)φ，得到增強(qiáng)節(jié)點(diǎn)特征（Enhancement Nodes），從而實(shí)現(xiàn)橫向拓寬網(wǎng)絡(luò)。公式表示為

其中，q表示增強(qiáng)節(jié)點(diǎn)數(shù)，H表示增強(qiáng)節(jié)點(diǎn)特征且H∈Rn×q，n代表特征映射數(shù)。最終得出無(wú)增量學(xué)習(xí)的網(wǎng)絡(luò)輸出結(jié)果為

設(shè)定無(wú)增量學(xué)習(xí)原始的網(wǎng)絡(luò)結(jié)構(gòu)由d組特征映射節(jié)點(diǎn)和q組增強(qiáng)節(jié)點(diǎn)組成，網(wǎng)絡(luò)結(jié)構(gòu)就可以表示成Aq=[Zd|Hq]。在該基礎(chǔ)上添加m個(gè)增強(qiáng)節(jié)點(diǎn)，那么特征映射節(jié)點(diǎn)和新添加的增強(qiáng)節(jié)點(diǎn)之間的關(guān)系可以表達(dá)為

并且隨機(jī)產(chǎn)生特征映射節(jié)點(diǎn)與新增m個(gè)增強(qiáng)節(jié)點(diǎn)間的權(quán)重Wq+1∈Rnk×m和偏置βq+1∈Rm，k為每個(gè)特征映射包含的特征節(jié)點(diǎn)數(shù)。最終添加增強(qiáng)節(jié)點(diǎn)后的網(wǎng)絡(luò)結(jié)構(gòu)可表示為

本節(jié)將公共對(duì)抗樣本DAmageNet［9］與寬度學(xué)習(xí)系統(tǒng)相結(jié)合，提出一種將深度神經(jīng)網(wǎng)絡(luò)GoogleNet 的Inception 部分進(jìn)行縮減，并將最后一個(gè)block 逐級(jí)進(jìn)行橫向拓寬，依次進(jìn)行訓(xùn)練從而找到最優(yōu)解的寬度學(xué)習(xí)方法。DAmageNet 是具有高度可轉(zhuǎn)移性的通用對(duì)抗性數(shù)據(jù)集，被深度學(xué)習(xí)模型分類的錯(cuò)誤率高達(dá)90%，可以作為研究和提高DNN 魯棒性的基準(zhǔn)。充分利用寬度學(xué)習(xí)系統(tǒng)無(wú)須迭代與執(zhí)行高效的特點(diǎn)，最終解決深度學(xué)習(xí)模型在訓(xùn)練對(duì)抗樣本時(shí)由于不斷加深網(wǎng)絡(luò)而導(dǎo)致模型過(guò)擬合、計(jì)算復(fù)雜度過(guò)高等問(wèn)題。

STM32有USART_CR1～3三個(gè)串口控制寄存器，USART_CR1是最常用的，其中RXNEIE為接受緩沖區(qū)非空中斷使能.系統(tǒng)采用串口中斷法進(jìn)行串口通信.首先在程序中啟用USART中斷功能，當(dāng)數(shù)據(jù)接收完之后，USART_CR1寄存器中的RXNEIE置為‘1’,然后產(chǎn)生中斷，可以在中斷函數(shù)中將數(shù)據(jù)讀出，然后清除中斷標(biāo)志.串口中斷法的優(yōu)點(diǎn)在于擺脫了對(duì)CPU的實(shí)時(shí)依賴，當(dāng)數(shù)據(jù)接收完畢之后，自動(dòng)進(jìn)入中斷函數(shù)，然后CPU去執(zhí)行數(shù)據(jù)處理，通過(guò)中斷法，大大提高了CPU的執(zhí)行速率.同時(shí)串口中斷法大大降低了CPU的占用率，各個(gè)串口按照中斷優(yōu)先級(jí)協(xié)調(diào)工作，數(shù)據(jù)有條不紊地進(jìn)行接收處理顯示.

首先減少GoogleNet 的Inception 部分作為初始網(wǎng)絡(luò)，然后對(duì)初始網(wǎng)絡(luò)的最后一個(gè)block 塊結(jié)構(gòu)進(jìn)行橫向擴(kuò)寬從而構(gòu)成新的寬度網(wǎng)絡(luò)，驗(yàn)證寬度學(xué)習(xí)對(duì)于對(duì)抗數(shù)據(jù)集的有效分類，初始網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

圖3 初始網(wǎng)絡(luò)結(jié)構(gòu)

實(shí)驗(yàn)采用公共對(duì)抗數(shù)據(jù)集DAmageNet，挑選的測(cè)試樣本數(shù)量有500個(gè)。首先初始網(wǎng)絡(luò)對(duì)該數(shù)據(jù)集進(jìn)行分類訓(xùn)練，把圖像分成兩部分，分別為訓(xùn)練集和測(cè)試集，比例為3∶7。將數(shù)據(jù)集輸入分類器中，經(jīng)過(guò)210次迭代，圖像的分類準(zhǔn)確率為57.33%，初始的網(wǎng)絡(luò)對(duì)抗數(shù)據(jù)集分類準(zhǔn)確率較低，準(zhǔn)確率曲線呈上升趨勢(shì)但未達(dá)到收斂狀態(tài)，不能有效抵御攻擊，網(wǎng)絡(luò)結(jié)構(gòu)仍有改進(jìn)余地。

接下來(lái)逐步對(duì)初始網(wǎng)絡(luò)的最后一個(gè)塊結(jié)構(gòu)block3 進(jìn)行多個(gè)節(jié)點(diǎn)橫向擴(kuò)寬，構(gòu)成新的網(wǎng)絡(luò)進(jìn)行多次訓(xùn)練，探究不同寬度的網(wǎng)絡(luò)對(duì)驗(yàn)證準(zhǔn)確率的影響，寬度網(wǎng)絡(luò)最優(yōu)解的網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示。實(shí)驗(yàn)結(jié)果見(jiàn)表1。

表1 加寬前后實(shí)驗(yàn)準(zhǔn)確率對(duì)比

圖4 橫向加寬后的網(wǎng)絡(luò)結(jié)構(gòu)

由實(shí)驗(yàn)結(jié)果可知，隨著寬度的不斷增加，圖像分類的驗(yàn)證準(zhǔn)確率總體呈現(xiàn)遞增的趨勢(shì)。對(duì)比于初始網(wǎng)絡(luò)結(jié)構(gòu)，在block3 結(jié)構(gòu)橫向分別增加一個(gè)、兩個(gè)、三個(gè)、四個(gè)、五個(gè)和六個(gè)block3 時(shí)，驗(yàn)證準(zhǔn)確率比初始網(wǎng)絡(luò)依次提高了13.34、15.3、16.00、20.00、18.67 和23.34 個(gè)百分點(diǎn)。實(shí)驗(yàn)結(jié)果見(jiàn)表1，訓(xùn)練結(jié)果表明，網(wǎng)絡(luò)加寬后圖像分類的驗(yàn)證準(zhǔn)確率有顯著提高，對(duì)于公共的對(duì)抗數(shù)據(jù)集DAmageNet 最高驗(yàn)證準(zhǔn)確率能夠達(dá)到80.67%，準(zhǔn)確率曲線呈上升趨勢(shì)并呈現(xiàn)收斂狀態(tài)，對(duì)比初始網(wǎng)絡(luò)的驗(yàn)證準(zhǔn)確率最高可提升23.34 個(gè)百分點(diǎn)。同時(shí)，隨著寬度的增加，其訓(xùn)練損失率也呈現(xiàn)下降的趨勢(shì)，加寬后損失率最多可下降1.20%。

本文對(duì)初始網(wǎng)絡(luò)結(jié)構(gòu)的block3 進(jìn)行橫向擴(kuò)寬操作，一共進(jìn)行了數(shù)十次實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果見(jiàn)表1。其中，橫向增加六個(gè)block3 的網(wǎng)絡(luò)結(jié)構(gòu)效果最顯著，相比原始網(wǎng)絡(luò)結(jié)構(gòu)的驗(yàn)證準(zhǔn)確率最多可提高23.34 個(gè)百分點(diǎn)。而且與深度網(wǎng)絡(luò)結(jié)構(gòu)相比，訓(xùn)練時(shí)間上也有一定的優(yōu)勢(shì)。

在此基礎(chǔ)上再往后擴(kuò)寬并進(jìn)行了多次實(shí)驗(yàn)，驗(yàn)證準(zhǔn)確率沒(méi)有明顯提高，訓(xùn)練時(shí)長(zhǎng)卻有所增加。對(duì)此可得出，橫向拓寬六個(gè)block3 的網(wǎng)絡(luò)結(jié)構(gòu)是本文進(jìn)行寬度學(xué)習(xí)得出的最優(yōu)解。根據(jù)該結(jié)果可分析出，寬度學(xué)習(xí)對(duì)于抵御對(duì)抗數(shù)據(jù)集的攻擊具有顯著效果，但并不是越寬越好。當(dāng)寬度達(dá)到一定數(shù)量時(shí)再進(jìn)行加寬，分類準(zhǔn)確率沒(méi)有提高且具有下降趨勢(shì)，同時(shí)訓(xùn)練時(shí)長(zhǎng)也有所增加。

2 融合攻擊

融合攻擊是指采用多種攻擊方法對(duì)一個(gè)類別的數(shù)據(jù)集進(jìn)行攻擊，并形成按照攻擊方法分類的對(duì)抗數(shù)據(jù)集。對(duì)該類型數(shù)據(jù)集進(jìn)行訓(xùn)練，有利于提升分類器對(duì)于攻擊方法的識(shí)別準(zhǔn)確率，從而更好地抵御現(xiàn)實(shí)場(chǎng)景中各種各樣的攻擊。本文提出的融合攻擊采用三分類的乳腺攝影圖（MIAS）數(shù)據(jù)集，分別為正常、異常良性、異常惡性。在該數(shù)據(jù)集中，選取異常良性（Bb）和異常惡性（Mb）這兩個(gè)類別，分別用FGSM、CW、JSMA、Deepfool 四種攻擊方法對(duì)這兩個(gè)類別的圖像進(jìn)行攻擊，從而形成兩個(gè)按照攻擊方法分類的四分類測(cè)試數(shù)據(jù)集，分別命名為融合攻擊Bb數(shù)據(jù)集、融合攻擊Mb數(shù)據(jù)集。

2.1 快速梯度符號(hào)法

快速梯度符號(hào)法（fast gradient sign method，F(xiàn)GSM）是一種基于梯度的對(duì)抗樣本產(chǎn)生方法，由Goodfellow 等［10］提出。在近幾年出現(xiàn)的各種對(duì)抗攻擊算法中，以梯度算法最為經(jīng)典，也最為流行。該方法既可以在白盒模型上生成對(duì)抗樣本，又可以在黑盒模型上有較強(qiáng)的攻擊性。

2.2 基于雅可比矩陣的顯著圖攻擊方法

基于雅可比矩陣的顯著圖攻擊方法（Jacobianbased saliency map attack，JSMA）是一種包含前向?qū)?shù)計(jì)算、對(duì)抗顯著圖計(jì)算、對(duì)抗干擾添加三個(gè)過(guò)程的對(duì)抗攻擊算法，可以將其應(yīng)用到圖像識(shí)別中，實(shí)現(xiàn)對(duì)分類模型的“誘騙”。Papernot等［11］認(rèn)為，神經(jīng)網(wǎng)絡(luò)模型的輸出受輸入特征的影響，為了提高產(chǎn)生的對(duì)抗樣本屬于預(yù)定目標(biāo)類的概率，可以在輸入樣本中添加相應(yīng)的輸入特征。

2.3 Deeppffooooll攻擊方法

Deepfool算法是由Moosavi-Dezfooli 等［12］提出的一種白盒攻擊方法，利用幾何的思想來(lái)增加干擾。使用二分類問(wèn)題舉例，若決策邊界是一條直線，那么直線兩側(cè)就代表兩個(gè)不同的分類標(biāo)簽，跨越界線代表著分類結(jié)果的改變。Deepfool算法通過(guò)向樣本添加擾動(dòng)向量使得模型將其誤分類為另一側(cè)，以達(dá)到跨越邊界的目的。擾動(dòng)向量增加的距離則經(jīng)過(guò)計(jì)算目標(biāo)樣本和邊界之間的距離求得。

2.4 CC&&WW攻擊方法

C&W（Carlini and Wagner attack methods）攻擊方法是由Carlini 等［13］提出的以優(yōu)化為目的的攻擊方法，該算法將對(duì)抗樣本看作一個(gè)變量，認(rèn)為攻擊成功不僅要使對(duì)抗樣本和原始樣本差距盡可能小，而且要使模型分類錯(cuò)的概率盡可能高。

2.5 融合攻擊與對(duì)抗

防御與攻擊應(yīng)該是相互促進(jìn)的，本節(jié)將使用加寬后的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行遷移學(xué)習(xí)，并在此基礎(chǔ)上進(jìn)行調(diào)整與不斷優(yōu)化。探究寬度學(xué)習(xí)對(duì)于混合多種攻擊的對(duì)抗數(shù)據(jù)集的有效分類。

我們?cè)趯挾葘W(xué)習(xí)優(yōu)化后的網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行遷移學(xué)習(xí)，分別用初始網(wǎng)絡(luò)以及加寬后的神經(jīng)網(wǎng)絡(luò)對(duì)融合攻擊Bb 數(shù)據(jù)集、融合攻擊Mb 數(shù)據(jù)集進(jìn)行訓(xùn)練，把圖像分為訓(xùn)練集和測(cè)試集，劃分比例為3∶7。將數(shù)據(jù)集輸入分類器中，分別經(jīng)過(guò)了84次、108次迭代，融合攻擊Bb數(shù)據(jù)集、融合攻擊Mb 數(shù)據(jù)集最終訓(xùn)練的驗(yàn)證準(zhǔn)確率結(jié)果分別如表2 和表3 所示。將表2、表3 中驗(yàn)證準(zhǔn)確率最高的寬度網(wǎng)絡(luò)進(jìn)行對(duì)比可得出，對(duì)于不同的數(shù)據(jù)集，寬度網(wǎng)絡(luò)結(jié)構(gòu)的最優(yōu)解有所不同，網(wǎng)絡(luò)結(jié)構(gòu)并不是越寬越好。對(duì)于融合攻擊Bb 數(shù)據(jù)集，加寬后的網(wǎng)絡(luò)相比于初始網(wǎng)絡(luò)驗(yàn)證準(zhǔn)確率最多可提高25.75 個(gè)百分點(diǎn)，融合攻擊Mb 數(shù)據(jù)集最多可提高25.33 個(gè)百分點(diǎn)，其中融合攻擊Bb數(shù)據(jù)集用GoogleNet 網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分類時(shí)驗(yàn)證準(zhǔn)確率僅有50%。實(shí)驗(yàn)結(jié)果均表明寬度學(xué)習(xí)對(duì)于攻擊方法分類的有效性。

表2 融合攻擊Bb數(shù)據(jù)集加寬前后驗(yàn)證準(zhǔn)確率對(duì)比圖

表3 融合攻擊Mb數(shù)據(jù)集加寬前后驗(yàn)證準(zhǔn)確率對(duì)比圖

實(shí)驗(yàn)結(jié)果表明，在混合了多種攻擊的乳腺癌數(shù)據(jù)集中，寬度學(xué)習(xí)對(duì)于抵御對(duì)抗樣本的攻擊均有較好的效果。在使用第一節(jié)優(yōu)化后的網(wǎng)絡(luò)進(jìn)行遷移學(xué)習(xí)訓(xùn)練時(shí)驗(yàn)證準(zhǔn)確率有顯著的提高。在此基礎(chǔ)上再次進(jìn)行加寬優(yōu)化，加寬的部分如圖5 所示，命名為add_block。按照?qǐng)D示部分為一組進(jìn)行加寬形成新的網(wǎng)絡(luò)并進(jìn)行訓(xùn)練，由實(shí)驗(yàn)結(jié)果可知，融合攻擊Bb 數(shù)據(jù)集和融合攻擊Mb 數(shù)據(jù)集在第一節(jié)的寬度網(wǎng)絡(luò)上再次增加add_block后驗(yàn)證準(zhǔn)確率都有所提高并趨于穩(wěn)定。對(duì)于不同的對(duì)抗數(shù)據(jù)集寬度的最優(yōu)解有所不同，不是越寬越好，當(dāng)寬度達(dá)到一定數(shù)量再進(jìn)行加寬時(shí)驗(yàn)證準(zhǔn)確率沒(méi)有提高并且訓(xùn)練時(shí)間有所增加。其中，對(duì)于融合攻擊Bb 數(shù)據(jù)集，寬度網(wǎng)絡(luò)block_5+2add_block 訓(xùn)練效果最好，該網(wǎng)絡(luò)表示在拓寬五個(gè)block 的基礎(chǔ)上再增加兩組add_block，與初始網(wǎng)絡(luò)相比準(zhǔn)確率最多可提高25.75個(gè)百分點(diǎn)。而對(duì)于融合攻擊Mb 數(shù)據(jù)集，寬度網(wǎng)絡(luò)block_5+1add_block 訓(xùn)練效果最好，該網(wǎng)絡(luò)表示在拓寬五個(gè)block 的基礎(chǔ)上再增加一組add_block，與初始網(wǎng)絡(luò)相比準(zhǔn)確率最多可提高25.33 個(gè)百分點(diǎn)。同時(shí)，該對(duì)抗數(shù)據(jù)集用深度網(wǎng)絡(luò)GoogleNet 進(jìn)行訓(xùn)練時(shí)，驗(yàn)證準(zhǔn)確率僅有50.00%，加寬后能夠達(dá)到82.00%并趨于穩(wěn)定，與深度網(wǎng)絡(luò)相比準(zhǔn)確率提高了32.00 個(gè)百分點(diǎn)。由此可見(jiàn)，寬度學(xué)習(xí)與融合攻擊的對(duì)抗樣本相結(jié)合，再次驗(yàn)證了寬度學(xué)習(xí)對(duì)于抵御對(duì)抗樣本的攻擊具有顯著的效果。在抵御對(duì)抗攻擊上有了新的突破，同時(shí)在訓(xùn)練時(shí)間上較深度網(wǎng)絡(luò)具有一定的優(yōu)越性。在節(jié)約時(shí)間和資源的同時(shí)，使智能系統(tǒng)更加可靠，具有極高的研究?jī)r(jià)值。

3 基于位平面分解的可解釋性方法

針對(duì)神經(jīng)網(wǎng)絡(luò)“黑盒子”的不透明性，其中隱藏的層數(shù)目、神經(jīng)元數(shù)目、激活函數(shù)等難以應(yīng)用［14］。對(duì)深度神經(jīng)網(wǎng)絡(luò)進(jìn)行解釋有利于理解該模型的學(xué)習(xí)分類過(guò)程、決策結(jié)果以及依據(jù)的合理，提高智能系統(tǒng)性能的效果。本文創(chuàng)新性地提出了基于位平面分割的可解釋性，是針對(duì)優(yōu)化后的寬度網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行訓(xùn)練，把訓(xùn)練結(jié)果導(dǎo)出并針對(duì)不同攻擊強(qiáng)度的對(duì)抗樣本進(jìn)行解釋，驗(yàn)證寬度網(wǎng)絡(luò)對(duì)攻擊方法分類的有效性。該方法從圖像的多個(gè)角度進(jìn)行解釋，使分類過(guò)程更加清晰，一定程度上提高了分類系統(tǒng)的可靠性。

對(duì)于混合攻擊的數(shù)據(jù)集，不同攻擊方法分類過(guò)程的解釋顯得尤為重要。對(duì)網(wǎng)絡(luò)分類操作的解釋有助于我們更好地了解目標(biāo)網(wǎng)絡(luò)對(duì)于不同的攻擊方法如何進(jìn)行對(duì)抗和識(shí)別。本文旨在通過(guò)遮擋輸入解釋方法去解釋加寬效果最優(yōu)網(wǎng)絡(luò)的分類操作，首先采用快速梯度符號(hào)方法對(duì)融合攻擊Bb 數(shù)據(jù)集進(jìn)行四種不同強(qiáng)度的攻擊，并隨機(jī)選取一張圖片，對(duì)該圖片及其經(jīng)過(guò)不同強(qiáng)度攻擊后的副本分別進(jìn)行位平面分解，最后通過(guò)遮擋輸入的解釋方法對(duì)分類行為進(jìn)行解釋。

通過(guò)運(yùn)用可視化的方式觀察圖像的重要特征，從而判斷寬度網(wǎng)絡(luò)對(duì)于攻擊方法的分類依據(jù)是否正確，使加寬后網(wǎng)絡(luò)的分類行為更加透明清晰，易于理解。這對(duì)寬度網(wǎng)絡(luò)識(shí)別對(duì)抗樣本的不同攻擊方法以及優(yōu)化寬度網(wǎng)絡(luò)具有重要意義。

3.1 位平面分解

位平面分解［15］是將每個(gè)灰度值都分解為二進(jìn)制，然后把具有同一權(quán)值的位進(jìn)行重新組合，最后構(gòu)成圖像的不同位平面。本文創(chuàng)新性地提出將位平面分解與FGSM 的四種攻擊強(qiáng)度相結(jié)合，構(gòu)成如圖6所示的表格，對(duì)于原始圖像，攻擊強(qiáng)度不斷增加，我們?nèi)庋鄄⒉荒懿煊X(jué)圖像發(fā)生的細(xì)微變化。而在選取不同的位平面時(shí)，就能夠觀察到不同攻擊強(qiáng)度圖像之間的區(qū)別，其中位平面5～8 最為明顯。因此，不同的位平面對(duì)于對(duì)抗樣本具有不同程度的重要性，要從多個(gè)角度來(lái)觀察圖像。

圖6 圖像的位平面分解

圖7 網(wǎng)絡(luò)解釋結(jié)果圖

如圖6所示，縱坐標(biāo)表示快速梯度符號(hào)方法（FGSM）對(duì)圖像的四種不同攻擊強(qiáng)度，圖中增加了我們?nèi)庋蹮o(wú)法識(shí)別的干擾，橫坐標(biāo)表示位平面復(fù)雜度的變化。沿著橫坐標(biāo)方向的b7～b0 代表位平面8～1，位平面圖像的特征隨著位平面復(fù)雜度的變化而不斷改變，同時(shí)干擾噪聲也逐漸增加。由圖6可以看出，原始圖像的輪廓漸漸變得模糊直至徹底消失，當(dāng)選取位平面4時(shí)，背景噪聲完全覆蓋圖像原有的輪廓。由此得出，不同的位平面對(duì)原始圖像的重要性不同，不能只從一個(gè)平面來(lái)觀察圖像。

3.2 使用遮擋敏感度圖解釋網(wǎng)絡(luò)預(yù)測(cè)

遮擋敏感度［16］用于分析圖像哪些部分對(duì)深度網(wǎng)絡(luò)分類的影響具有重要作用。采用深度學(xué)習(xí)系統(tǒng)中的occlusionSensitivity 函數(shù)對(duì)神經(jīng)網(wǎng)絡(luò)的閉塞敏感圖進(jìn)行計(jì)算。該函數(shù)通過(guò)閉塞掩碼對(duì)輸入的小區(qū)域進(jìn)行替換以達(dá)到干擾的目的。當(dāng)圖像的重要特征部分被遮擋時(shí)，預(yù)測(cè)類別的結(jié)果將急劇下降。遮擋敏感圖中紅色區(qū)域的數(shù)值最高，當(dāng)紅色部分被遮擋時(shí)，分類結(jié)果的準(zhǔn)確率顯著下降，表明該區(qū)域的圖像特征對(duì)分類具有積極作用。而當(dāng)圖中的藍(lán)色區(qū)域被遮擋時(shí)，分類結(jié)果準(zhǔn)確率有所提高，這些區(qū)域會(huì)混淆網(wǎng)絡(luò)，對(duì)圖像分類具有消極作用。

本文使用上述加寬效果最優(yōu)的網(wǎng)絡(luò)block_5+1add_block對(duì)不同攻擊強(qiáng)度下的不同位平面采用可視化的遮擋敏感度圖進(jìn)行解釋，并對(duì)結(jié)果進(jìn)行分析。由解析結(jié)果圖可知，對(duì)于不同攻擊強(qiáng)度的原始圖像，紅色區(qū)域的關(guān)鍵特征集中在干擾部分，而且隨著攻擊強(qiáng)度的增加，紅色區(qū)域關(guān)注的錯(cuò)誤特征也不斷增加，這表明寬度網(wǎng)絡(luò)能夠有效識(shí)別FGSM攻擊的強(qiáng)度。與此同時(shí)，對(duì)原始圖像進(jìn)行位平面分解并解釋，由解釋結(jié)果圖可知，當(dāng)位平面選取6～8 時(shí)，紅色區(qū)域集中在圖像的關(guān)鍵區(qū)域而不是噪聲干擾的區(qū)域，表明寬度網(wǎng)絡(luò)正在對(duì)圖像的錯(cuò)誤特征進(jìn)行學(xué)習(xí)。顯然，這與該寬度網(wǎng)絡(luò)的高度分類準(zhǔn)確性相矛盾。當(dāng)選取位平面5時(shí)，隨著攻擊強(qiáng)度不斷加強(qiáng)，紅色區(qū)域也朝著噪聲干擾區(qū)域靠近，表明FGSM攻擊強(qiáng)度越強(qiáng)，寬度網(wǎng)絡(luò)對(duì)于攻擊方法的分類就越準(zhǔn)確。當(dāng)選取位平面1～4時(shí)，原始圖像的輪廓已經(jīng)無(wú)法用肉眼識(shí)別，根據(jù)敏感度圖可以分析出，寬度網(wǎng)絡(luò)正在對(duì)噪聲干擾部分進(jìn)行正確的學(xué)習(xí)分類，能夠有效地對(duì)攻擊方法進(jìn)行區(qū)分，同時(shí)說(shuō)明訓(xùn)練結(jié)果的準(zhǔn)確性。采用位平面分解的可解釋性方法，當(dāng)分類結(jié)果有誤時(shí)，可以通過(guò)遮擋圖分析錯(cuò)誤原因。尤其是對(duì)于經(jīng)過(guò)處理的對(duì)抗樣本，可以根據(jù)遮擋圖找出該網(wǎng)絡(luò)強(qiáng)烈關(guān)注的干擾部分，從而分析出該網(wǎng)絡(luò)學(xué)習(xí)了哪些攻擊方法的錯(cuò)誤特征并進(jìn)行對(duì)應(yīng)的抵御［17］。

4 結(jié)語(yǔ)

由上述解釋結(jié)果可知，寬度學(xué)習(xí)能夠?qū)W習(xí)對(duì)抗樣本的重要特征并進(jìn)行有效分類。同時(shí)，本文提出在融合攻擊中，對(duì)攻擊方法進(jìn)行分類以及位平面切割解釋方法也為抵御混合攻擊提供了可靠的依據(jù)，能夠更有針對(duì)性地優(yōu)化網(wǎng)絡(luò)。將寬度學(xué)習(xí)系統(tǒng)應(yīng)用于對(duì)抗數(shù)據(jù)集來(lái)抵御圖像的干擾和攻擊［18］，能夠有效減少人工智能操作過(guò)程中對(duì)抗數(shù)據(jù)集帶來(lái)的威脅。借用寬度學(xué)習(xí)思想，擴(kuò)展神經(jīng)網(wǎng)絡(luò)的寬度能夠有效解決深度學(xué)習(xí)訓(xùn)練過(guò)程中耗時(shí)的不足，但提高分類器的準(zhǔn)確率要以消耗一定時(shí)間為代價(jià)。靈活高效的寬度學(xué)習(xí)系統(tǒng)十分具有研究?jī)r(jià)值［19］，運(yùn)用寬度網(wǎng)絡(luò)不僅能夠有效抵御對(duì)抗樣本的攻擊，還能有效識(shí)別不同的攻擊方法。在節(jié)約資源配置的同時(shí)優(yōu)化智能系統(tǒng)的性能，提高系統(tǒng)可靠性，具有十分重要的研究意義。