黎世達(dá)，項(xiàng)劍文

（華南師范大學(xué)計(jì)算機(jī)學(xué)院，廣東 廣州 510631）

0 引 言

伴隨算力的快速提升，人工智能得到了空前的發(fā)展。在越來越多的行業(yè)中出現(xiàn)了人工智能的身影。深度學(xué)習(xí)算法［1-5］作為人工智能算法的重要成分，也得到了長足的發(fā)展。得益于深度學(xué)習(xí)的強(qiáng)大擬合能力以及高質(zhì)量的數(shù)據(jù)，深度學(xué)習(xí)在許多任務(wù)中［6-9］取得令人滿意的效果。然而對(duì)抗樣本的出現(xiàn)讓更多人關(guān)注深度學(xué)習(xí)的安全性。

對(duì)抗樣本［10-11］的定義是一種人為惡意產(chǎn)生的用于攻擊神經(jīng)網(wǎng)絡(luò)的產(chǎn)物。不懷好意的人可以通過對(duì)神經(jīng)網(wǎng)絡(luò)的輸入作細(xì)微的改動(dòng)，使神經(jīng)網(wǎng)絡(luò)的輸出產(chǎn)生劇烈變化。試想在一些需要嚴(yán)格保障安全的領(lǐng)域如自動(dòng)駕駛和安防等，如果所使用的算法被攻擊，后果不堪設(shè)想。對(duì)抗樣本的出現(xiàn)，引發(fā)了人們對(duì)深度神經(jīng)網(wǎng)絡(luò)運(yùn)作機(jī)制的思考，許多防御方法也先后被提出。

Vargas 等人［12］認(rèn)為對(duì)抗性樣本的對(duì)抗擾動(dòng)將網(wǎng)絡(luò)的感受野引導(dǎo)到錯(cuò)誤的位置，從而抑制了模型對(duì)正確特征的激活。如何破壞這些對(duì)抗擾動(dòng)是提高模型魯棒性的關(guān)鍵。Gao 等人［13］認(rèn)為神經(jīng)網(wǎng)絡(luò)易受攻擊的原因是神經(jīng)網(wǎng)絡(luò)中間層輸出的特征圖過于冗余，但其中存在魯棒的特征圖，它們不易受對(duì)抗樣本的影響。Liao等人［14］將對(duì)抗擾動(dòng)視為噪聲，通過Encoder-Decoder模型對(duì)輸入圖片降噪可以有效提高模型魯棒性。同時(shí)，Decoder 還原的圖片在空間語義上有明顯的強(qiáng)化。如圖1 所示，第1 列為清潔樣本，第2 列為對(duì)抗樣本，第3 列為經(jīng)過Decoder 降噪后的輸出，可以發(fā)現(xiàn)降噪后的圖片具備明顯的空間特征語義指向性，表現(xiàn)為鐘表指針和表盤數(shù)字部分更加高亮。高亮部分的內(nèi)容與圖片中的物體有較高的相關(guān)性。

圖1 Decoder重建圖像與對(duì)抗樣本對(duì)比圖

將上述研究結(jié)論歸納起來，可以得出：1）對(duì)抗擾動(dòng)會(huì)將網(wǎng)絡(luò)的感受野引導(dǎo)到錯(cuò)誤位置，這種擾動(dòng)需要被破壞同時(shí)使感受野恢復(fù)到正常位置；2）神經(jīng)網(wǎng)絡(luò)中間層的特征圖是冗余的，其中具備魯棒的特征圖，它們不容易受對(duì)抗擾動(dòng)的影響；3）圖片的空間語義強(qiáng)化有助于抵御對(duì)抗樣本。

基于上述結(jié)論的啟發(fā)，本文提出一種提高圖像識(shí)別模型魯棒性的弱化強(qiáng)化方法。該方法由弱化操作和強(qiáng)化操作組成。弱化操作用于減少圖片中的對(duì)抗擾動(dòng)，但這會(huì)丟失一些空間語義信息，這部分丟失的語義信息由強(qiáng)化操作補(bǔ)全。強(qiáng)化操作由特征提取器和特征選擇器構(gòu)成，特征提取器用于提取合適的圖像特征圖，特征選擇器從特征提取器中選擇魯棒的特征圖，這些特征圖不易受對(duì)抗樣本的攻擊，并且，它們含有豐富的空間語義信息。通過弱化再強(qiáng)化的輸出可以有效破壞對(duì)抗擾動(dòng)并實(shí)現(xiàn)空間語義的重建，以此提高模型的魯棒性。

1 相關(guān)工作

深度學(xué)習(xí)作為強(qiáng)有力的工具，在許多行業(yè)發(fā)揮著重要作用。神經(jīng)網(wǎng)絡(luò)作為深度學(xué)習(xí)中的重要成分，也得到了長足的發(fā)展。然而，學(xué)者們研究發(fā)現(xiàn)，深度神經(jīng)網(wǎng)絡(luò)是可以被攻擊的。攻擊者可以對(duì)神經(jīng)網(wǎng)絡(luò)的輸入進(jìn)行人為的惡意篡改，使深度神經(jīng)網(wǎng)絡(luò)的輸出產(chǎn)生劇烈變化。人為惡意篡改的輸入稱為對(duì)抗樣本。

對(duì)抗樣本在許多任務(wù)中都被證實(shí)是存在的。在圖像分割任務(wù)中，Long等人［6］成功攻擊了深度學(xué)習(xí)模型，使得模型對(duì)圖像分割錯(cuò)誤。在語音辨識(shí)任務(wù)中，Hannun 等人［15］對(duì)輸入的音頻篡改，成功使模型出現(xiàn)語音誤識(shí)別。同樣，Mnih 等人［16］在強(qiáng)化學(xué)習(xí)中也成功實(shí)現(xiàn)了對(duì)抗攻擊。

針對(duì)圖像識(shí)別任務(wù)，對(duì)抗樣本需要達(dá)到的目的是盡可能小地改動(dòng)圖片像素值，同時(shí)使模型輸出的分類出錯(cuò)。基于這個(gè)目的，許多對(duì)抗樣本的生成方法被提出。

Goodfellow 等人［11］提出了FGSM 方法。該方法通過求解模型的梯度，并將梯度作符號(hào)單位向量化，將該符號(hào)向量用于篡改輸入的圖片，取得了非常好的攻擊效果。Kurakin 等人［17］對(duì)FGSM 作了進(jìn)一步的改進(jìn)，并提出了BIM。BIM 在FGSM 的基礎(chǔ)上完成多步迭代實(shí)現(xiàn)攻擊。該方法產(chǎn)生的對(duì)抗樣本不但攻擊性更高，而且難以察覺。Madry 等人［18］提出了PGD 攻擊。他們通過將每一次迭代得到的對(duì)抗樣本投影到距離最近的清潔樣本后再迭代，獲得了更加具備迷惑性的對(duì)抗樣本。Moosavi-Dezfooli 等人［19］解決了FGSM 參數(shù)選擇的難題。他們通過將輸入的樣本映射到最近的超平面上來獲得盡可能小的輸入擾動(dòng)，通過將這個(gè)映射過程不斷迭代來獲得強(qiáng)有力的攻擊樣本。Carlini等人［20］將對(duì)抗樣本視為一個(gè)優(yōu)化問題，通過優(yōu)化一個(gè)精心設(shè)計(jì)的對(duì)象來獲得強(qiáng)大的攻擊樣本。胡衛(wèi)等人［21］提出了基于Logistic 向量的對(duì)抗樣本攻擊算法。他們挖掘了神經(jīng)網(wǎng)絡(luò)中的線性特征與非線性特征，認(rèn)為對(duì)抗樣本的攻擊效果與Logistic 的順序存在關(guān)聯(lián)。李哲銘等人［22］通過建立概率模型，對(duì)原始輸入進(jìn)行隨機(jī)平移變換，然后將隨機(jī)平移變換后的圖片用于生成對(duì)抗樣本。李帥［23］通過發(fā)掘圖像隱空間，在隱空間中獲得更加自然且有效的對(duì)抗擾動(dòng)。

Vargas 等人［12］認(rèn)為對(duì)抗性樣本的對(duì)抗擾動(dòng)將網(wǎng)絡(luò)的感受野引導(dǎo)到錯(cuò)誤的位置，從而抑制了模型對(duì)正確特征的激活。Gao 等人［13］認(rèn)為神經(jīng)網(wǎng)絡(luò)易受攻擊的原因是神經(jīng)網(wǎng)絡(luò)中間層輸出的特征圖過于冗余，但其中存在魯棒的特征圖，這些特征圖足以讓網(wǎng)絡(luò)取得良好性能。Liao等人［14］通過壓縮重建對(duì)抗樣本，發(fā)現(xiàn)重建的樣本被去除對(duì)抗擾動(dòng)的同時(shí)，部分圖像空間語義得到強(qiáng)化。受這些文獻(xiàn)的啟發(fā)，本文提出一種弱化強(qiáng)化方法。弱化操作用于減少圖片中的對(duì)抗擾動(dòng)，用于破壞對(duì)抗擾動(dòng)的結(jié)構(gòu)。強(qiáng)化操作由特征提取器和特征選擇器構(gòu)成，特征提取器用于提取合適的圖像特征圖，特征選擇器從特征提取器中選擇魯棒的特征圖，這些特征圖不易受對(duì)抗樣本的攻擊，并且，它們含有豐富的空間語義信息。通過弱化強(qiáng)化操作的輸出可以有效破壞對(duì)抗擾動(dòng)并實(shí)現(xiàn)空間語義的重建，以此提高模型的魯棒性。

2 方法設(shè)計(jì)

2.1 動(dòng)機(jī)

對(duì)抗樣本可以成功攻擊深度學(xué)習(xí)模型，Vargas 等人［12］認(rèn)為對(duì)抗性樣本的擾動(dòng)將網(wǎng)絡(luò)的感受野引導(dǎo)到錯(cuò)誤的位置，從而抑制了模型對(duì)正確特征的激活。這意味著可以通過減弱擾動(dòng)和加強(qiáng)一些特征來使網(wǎng)絡(luò)被正確激活。正如Gao等人［13］提到的結(jié)論，少量的特征圖足以讓網(wǎng)絡(luò)做出正確的分類，而過多的特征圖則會(huì)帶來潛在的攻擊風(fēng)險(xiǎn)。受此啟發(fā)，本文選擇部分魯棒的特征圖進(jìn)行強(qiáng)化。Liao等人［14］的結(jié)論也提示，被選擇的特征圖通常需要具備豐富的空間語義信息。

基于上述思考，本文提出一種弱化強(qiáng)化方法。如圖2 所示，對(duì)于一張輸入圖像，本文通過弱化操作減少并破壞其對(duì)抗擾動(dòng)，隨后使用強(qiáng)化操作來彌補(bǔ)弱化操作造成的空間語義信息損失。在強(qiáng)化操作階段，為了獲得具備豐富空間語義的特征圖，本文選擇常見的卷積神經(jīng)網(wǎng)絡(luò)作為特征提取器，為了在眾多的特征圖中選取魯棒的特征圖，本文設(shè)計(jì)一個(gè)特征選擇器，該選擇器可以融合來自特征提取器中的特征圖，并從中選取出魯棒且具備豐富語義信息的特征圖。

圖2 方法流程與模型結(jié)構(gòu)圖

強(qiáng)化操作可以由多個(gè)特征提取和特征選擇單元組成，分別對(duì)應(yīng)圖2中的F1，…，F(xiàn)n-1和Fn。每個(gè)單元輸出3張?zhí)卣鲌D分別對(duì)應(yīng)RGB 這3個(gè)通道，圖2中F1（x）表示F1強(qiáng)化單元輸出的3 個(gè)通道的特征圖。每個(gè)單元的輸出最終會(huì)與弱化操作的輸出疊加送入后續(xù)網(wǎng)絡(luò)進(jìn)行微調(diào)。

2.2 弱化操作與重建

弱化與重建操作是一個(gè)簡單的線性疊加過程。對(duì)于任意給定的輸入圖像x∈R3×h×w，弱化操作將輸入x的每一個(gè)像素值乘以一個(gè)調(diào)節(jié)比例（1-λ），λ∈［0，1］，通過減少輸入的像素值在輸出中的占比來實(shí)現(xiàn)弱化的效果。重建操作將弱化操作與強(qiáng)化操作的輸出線性疊加為I(x) ∈R3×h×w，強(qiáng)化操作將在下一節(jié)闡述。弱化與重建操作的數(shù)學(xué)描述為：

其中λ∈［0，1］為線性調(diào)節(jié)因子，它決定了弱化操作與強(qiáng)化操作的作用比例，（1-λ）為弱化操作的調(diào)節(jié)比例，F(xiàn)i（x）為第i個(gè)強(qiáng)化操作單元的輸出，F(xiàn)i(x) ∈R3×h×w，共計(jì)有n個(gè)強(qiáng)化操作單元。

2.3 強(qiáng)化操作

強(qiáng)化操作由特征提取器和特征選擇器構(gòu)成，特征提取器提取特征圖，并將得到的特征圖傳遞給特征選擇器。特征選擇器將融合所有來自特征提取器中的特征圖信息，并將其映射至魯棒的特征圖下標(biāo)，通過在特征圖中索引下標(biāo)得到3 張?zhí)卣鲌D，分別對(duì)應(yīng)圖片的RGB 通道。強(qiáng)化操作有多個(gè)單元，每個(gè)單元獨(dú)立運(yùn)作。

2.3.1 特征提取器

特征提取器可以使用常見的特征提取網(wǎng)絡(luò)，如ResNet［1］、VGGNet［2］和GoogLeNet［3］。這些網(wǎng)絡(luò)的共同特點(diǎn)在于它們都有多個(gè)卷積層。每層提取的特征都有不同的特點(diǎn)。低層特征具有較高的分辨率，包含更多的空間信息，如紋理和幾何形狀，而高層特征的分辨率較低，但包含更多抽象信息。圖2 所示的特征提取器中的開關(guān)選項(xiàng)指示使用特征提取器的哪一層特征圖作為輸出。對(duì)于一張輸入圖片x∈R3×h×w，第n層的特征圖FM可以表述為：

其中fn代表神經(jīng)網(wǎng)絡(luò)的第n層運(yùn)算。

2.3.2 特征選擇器

特征選擇器接收來自特征提取器的輸出FM，為了囊括所有的輸入特征圖信息，特征選擇器首先通過一個(gè)全局池化層完成信息的融合得到代表每個(gè)通道在此次輸入的重要性，隨后通過全連接層和一個(gè)ReLU［24］激活函數(shù)完成一次非線性操作得到這既是一個(gè)內(nèi)部的映射操作，也是一個(gè)降維的過程。繼續(xù)經(jīng)過一層全連接層將通道降維至3，對(duì)應(yīng)為RGB 這3 個(gè)通道，考慮到后續(xù)的Sigmoid 函數(shù)的特性，本文用一個(gè)歸一化［25］操作將數(shù)據(jù)轉(zhuǎn)換至合適的區(qū)間后輸出∈R3×1。最后經(jīng)過Sigmoid 操作得到∈R3×1，的每個(gè)值=1，2，3）被限定到（0，1）之間。上述過程可以表述為：

由于的輸出區(qū)間為（0，1），需要被放縮到通道大?。?，c-1）才可以完成特征圖的索引操作，但是輸出的結(jié)果可能并非是整數(shù)，因此在索引操作的時(shí)候存在取整的問題。本文通過將小數(shù)進(jìn)行向上取整操作得到，向下取整得到，分別索引2 組特征圖并將這2 組特征圖按照線性插值融合為一組圖像，表示為：

其中（x，y）為特征圖的像素位置，為向下取整后索引得到的特征圖，表示向上取整后索引得到的特征圖。最后的輸出需要Resize到224×224。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 數(shù)據(jù)集預(yù)處理與訓(xùn)練參數(shù)

CIFAR-10［26］是一個(gè)小型的圖像數(shù)據(jù)集，常用于圖像分類任務(wù)。其中有50000張訓(xùn)練圖片與10000張測試圖片。每張圖片都是32×32 的彩色圖片。本文也使用高分辨率的數(shù)據(jù)集ImageNet［27］來測試所提出方法的性能。ImageNet 包含120 萬張訓(xùn)練圖片，5 萬張驗(yàn)證圖片，共計(jì)1000 個(gè)分類。然而，由于設(shè)備的限制，本文將ImageNet 的規(guī)模調(diào)整至其1/10，即只將前100 個(gè)類別作為數(shù)據(jù)集。裁切后的數(shù)據(jù)集包含12 萬張訓(xùn)練圖片和5000 張驗(yàn)證圖片。所有送入網(wǎng)絡(luò)的圖片都被放大為224×224，并且每張圖片都做了標(biāo)準(zhǔn)化處理。如果實(shí)驗(yàn)未作特殊說明，則所用的攻擊方法為FGSM，分類網(wǎng)絡(luò)與特征提取網(wǎng)絡(luò)相同。

實(shí)驗(yàn)訓(xùn)練步長為30000，學(xué)習(xí)率使用Warm Up的調(diào)整策略，峰值學(xué)習(xí)率為0.01，峰值步長為5000。

3.2 超參數(shù)λ對(duì)防御效果的影響

在本節(jié)實(shí)驗(yàn)中，只用一個(gè)特征強(qiáng)化單元作為實(shí)驗(yàn)對(duì)象，以得到重建過程中的線性調(diào)節(jié)因子λ對(duì)防御效果的影響。實(shí)驗(yàn)分別選擇VGGNet11、ResNet34 和GoogLeNet的L1層作為特征提取器，分層細(xì)節(jié)見表1。實(shí)驗(yàn)結(jié)果如圖3所示，Epsilon代表對(duì)抗樣本的攻擊強(qiáng)度，分別選擇4/256、8/256、16/256 用于測試。圖例中，L1 表示特征提取器的網(wǎng)絡(luò)深度為1 層，細(xì)節(jié)見表1，F(xiàn)S 表示使用本文提出的特征提取器，與之對(duì)照的是RAN，表示使用隨機(jī)提取器，這部分將在3.4 節(jié)探討，λ及后面的數(shù)字表示公式（1）中的線性調(diào)節(jié)因子，圖例最后的部分表示分類網(wǎng)絡(luò)，VGG 為VGGNet11、RES為ResNet34、GN為GoogLeNet。

表1 特征提取器的網(wǎng)絡(luò)層級(jí)劃分

圖3 參數(shù)λ對(duì)比實(shí)驗(yàn)結(jié)果

從實(shí)驗(yàn)結(jié)果可以得到，伴隨λ的提升，方法的防御效果越好，具體表現(xiàn)為λ越大的折線，其斜率越平緩，并且模型輸出的識(shí)別準(zhǔn)確率越高。隨著攻擊強(qiáng)度Epsilon 提升至16/256，原生的模型準(zhǔn)確率皆下跌到0.2 以下，而使用了弱化強(qiáng)化方法的模型準(zhǔn)確率則保持在0.5 以上。無論以VGGNet11、ResNet34 還是GoogLeNet作為特征提取層，表現(xiàn)都是一致的。

λ越大帶來的問題是，在模型不受攻擊時(shí)，模型的準(zhǔn)確率有所下降。在Epsilon 等于0 的時(shí)候，λ越大的模型，準(zhǔn)確率也下降得比較多。這是因?yàn)樘卣魈崛∑鞯奶卣鲌D過多地覆蓋了原圖的特征導(dǎo)致圖像的特征變得更加單一，不利于分類。因此，在實(shí)際使用過程中，λ的大小選擇需要權(quán)衡利弊。從公式（1）中可以佐證這個(gè)實(shí)驗(yàn)現(xiàn)象，λ越大表明弱化操作越強(qiáng)，若輸入為對(duì)抗樣本，其對(duì)抗擾動(dòng)會(huì)被破壞得越充分，同時(shí)，強(qiáng)化操作得到的特征圖作用越強(qiáng)，這些特征圖是魯棒的，因此具有良好的防御效果。

3.3 不同深度下特征提取器防御效果與誤差累積

本實(shí)驗(yàn)設(shè)計(jì)意在驗(yàn)證不同深度的特征提取器產(chǎn)生的特征圖對(duì)于該方法的影響。為了便于實(shí)驗(yàn)開展，本文將VGGNet11、ResNet34 和GoogLeNet 的卷積提取層作了如表1 所示的層次劃分，共計(jì)4 層。其中Conv 表示卷積操作，緊隨其后的數(shù)字表示通道數(shù)，/2表示卷積步長為2，Inception 為GoogLeNet 內(nèi)部的感知單元，Pool表示池化層。根據(jù)3.2節(jié)的實(shí)驗(yàn)結(jié)論，本節(jié)實(shí)驗(yàn)的λ選擇為0.9。特征提取器不同層次的特征圖對(duì)防御效果的影響結(jié)果如圖4 所示，特征提取器越淺層的特征圖輸出對(duì)于防御的效果越好，通過將特征圖可視化可以發(fā)現(xiàn)該現(xiàn)象產(chǎn)生的原因。

圖4 不同層次的特征提取器防御效果

圖5 展示了每一層的輸出進(jìn)行可視化的結(jié)果。卷積神經(jīng)網(wǎng)絡(luò)的特征圖隨著深度呈現(xiàn)出不斷抽象的趨勢。淺層特征具有較高的分辨率，包含更多的空間語義信息，如紋理和幾何形狀，而深層卷積特征的分辨率較低，但包含更多抽象信息。淺層的信息效果更好的原因主要如下：1）正如Liao 等人［14］提到的結(jié)論，具備空間語義信息的特征圖有助于提高模型的魯棒性。淺層的特征圖符合上述結(jié)論要求，其具備豐富的空間語義信息，并且這些空間語義信息與圖中的內(nèi)容強(qiáng)相關(guān)，如圖中提取的多是物體的輪廓、紋理等。2）對(duì)抗擾動(dòng)產(chǎn)生的誤差會(huì)呈現(xiàn)積累的效果，即誤差隨著特征提取網(wǎng)絡(luò)的加深而不斷累積，越到深層的特征圖越不可靠。本文統(tǒng)計(jì)了攜帶高斯噪聲的樣本和對(duì)抗樣本在各個(gè)層產(chǎn)生的特征圖與對(duì)應(yīng)的清潔樣本在對(duì)應(yīng)層產(chǎn)生的特征圖之間的差異，計(jì)算方式如下：

圖5 不同深度下的特征提取器所得特征圖可視化結(jié)果

其中，xp為對(duì)抗樣本或者帶有高斯噪聲的樣本，是一張受干擾的圖片，而x為對(duì)應(yīng)的清潔樣本，Ml為輸入圖像在第l層的特征圖。得到的結(jié)果如圖6所示。圖例中帶GAU 后綴的為高斯噪聲樣本，ADV 后綴的為對(duì)抗樣本。實(shí)驗(yàn)結(jié)果顯示，GAU 后綴的曲線比較平整，斜率較低，這表明添加了高斯噪聲的樣本產(chǎn)生的特征圖與清潔樣本產(chǎn)生的特征圖之間的差異并不會(huì)隨特征提取層的加深而累積，而對(duì)抗樣本產(chǎn)生的特征圖與清潔樣本產(chǎn)生的特征圖之間的差異伴隨特征提取層的加深而變大，表現(xiàn)為ADV 后綴的曲線隨層數(shù)增加而變大。從這個(gè)角度而言，低層的特征圖更加具備實(shí)用性，它相對(duì)深層的特征圖更加穩(wěn)定可靠。

圖6 擾動(dòng)誤差累積對(duì)比圖

3.4 特征選擇器與隨機(jī)選擇器效果對(duì)比

本節(jié)實(shí)驗(yàn)設(shè)計(jì)主要用于驗(yàn)證特征選擇器相較于隨機(jī)選擇器的優(yōu)越性?；?.2和3.3節(jié)的實(shí)驗(yàn)結(jié)果，本節(jié)實(shí)驗(yàn)設(shè)置λ為0.9，特征提取層選擇第1層。實(shí)驗(yàn)結(jié)果如圖3所示，圖例中含有RAN標(biāo)識(shí)的為隨機(jī)選擇器，含有FS標(biāo)識(shí)的為特征選擇器。

從實(shí)驗(yàn)結(jié)果可得，隨機(jī)選擇器得到的曲線斜率也很低，表明攻擊強(qiáng)度的提升并不會(huì)對(duì)其產(chǎn)生很大影響。其弊端在于對(duì)清潔樣本的識(shí)別率大大降低，表現(xiàn)為在攻擊強(qiáng)度為0時(shí)，其準(zhǔn)確率相較于原生的模型有比較大的下滑。本文提出的特征選擇器則避免了上述問題，在防御效果和清潔樣本的識(shí)別上都保留了較好的效果。

3.5 多個(gè)特征提取器單元的防御效果對(duì)比

本節(jié)實(shí)驗(yàn)設(shè)計(jì)主要用于驗(yàn)證單個(gè)特征提取單元與多個(gè)特征提取單元在防御效果上的差異。實(shí)驗(yàn)分別使用CIFAR-10 和ImageNet 數(shù)據(jù)集完成，攻擊方法分別采用FGSM、BIM、DeepFool 和PGD，攻擊強(qiáng)度Epsilon 為8/256 和16/256。實(shí)驗(yàn)的分類網(wǎng)絡(luò)分別為ResNet34、GoogLeNet 和VGGNet11。特征提取網(wǎng)絡(luò)單元的數(shù)量有1～3 個(gè)，它們是上述提到的3 個(gè)網(wǎng)絡(luò)的特征提取層的組合。

實(shí)驗(yàn)結(jié)果如表2 所示。相較于特征提取器為None 的一欄，含有特征提取器作為防護(hù)的模型在識(shí)別準(zhǔn)確率上有較大的提升，尤其是在BIM、DeepFool和PGD 攻擊面前，原生模型在受攻擊的情況下，模型識(shí)別準(zhǔn)確率基本處在0，而使用了弱化強(qiáng)化方法的模型可以得到比較高的準(zhǔn)確率。在CIFAR-10 數(shù)據(jù)集的實(shí)驗(yàn)中，以ResNet34&VGGNet11 作為特征提取層的ResNet34 分類網(wǎng)絡(luò)在DeepFool 攻擊下可以得到95.62%的準(zhǔn)確率，以GoogLeNet 作為特征提取層的ResNet34 分類網(wǎng)絡(luò)在PGD 攻擊下可以得到85.62%/79.37%的準(zhǔn)確率，相較于特征提取層為None 的0 準(zhǔn)確率有較大提升。分類網(wǎng)絡(luò)為GoogLeNet 和VGGNet11上也具備相似的表現(xiàn)，表明該方法具備泛化性，不僅是針對(duì)某種模型存在效果。

表2 不同特征提取器與不同攻擊方法下的準(zhǔn)確率

在CIFAR-10 數(shù)據(jù)集上，一個(gè)單元的特征提取器已經(jīng)足夠得到了良好的防御效果，這是因?yàn)镃IFAR-10 數(shù)據(jù)集是一個(gè)低分辨率的圖像，因此簡單的特征提取器就足以應(yīng)對(duì)這種情況。然而對(duì)于高分辨率的數(shù)據(jù)集ImageNet，則多個(gè)特征提取器單元的組合防御效果更好，具體表現(xiàn)為在ImageNet 的實(shí)驗(yàn)中，組合的特征提取器得到的防御準(zhǔn)確率綜合來說比單個(gè)單元的特征提取器得到的識(shí)別準(zhǔn)確率要高。如ResNet3 4&VGGNet11 作為特征提取器的ResNet34 分類網(wǎng)絡(luò)得到的準(zhǔn)確率要比其他特征提取器高，因?yàn)楦叻直媛实膱D像更容易藏匿對(duì)抗擾動(dòng)，需要更多的強(qiáng)化信息來保證防御的效果。

4 結(jié)束語

本文提出了一種提高圖像識(shí)別模型的弱化強(qiáng)化防御方法。弱化操作將輸入的圖像進(jìn)行結(jié)構(gòu)破壞，尤其是其中的對(duì)抗擾動(dòng)，但這個(gè)過程同時(shí)也導(dǎo)致了圖像的空間語義信息缺失，為此，本文設(shè)計(jì)了一個(gè)強(qiáng)化操作，強(qiáng)化操作由特征提取器和特征選擇器構(gòu)成，特征提取器用于提取圖像特征，獲得特征圖，特征選擇器用于從中選擇魯棒的特征圖。進(jìn)一步地通過重建操作，將強(qiáng)化操作得到的特征圖彌補(bǔ)弱化操作帶來的圖像空間語義損失。最后，本文通過大量的實(shí)驗(yàn)，證實(shí)了方法的有效性。