彭心悅，陶心儀

（1.常熟高新園中等專業(yè)學校，江蘇 常熟 215500；2.常熟濱江職業(yè)技術學校，江蘇 常熟 215513）

0 引言

近年來，使用卷積神經網絡（Convolutional Neural Networks，CNN）進行圖像分類取得了顯著進展。先進的分類器在ImageNet 上的準確率普遍達到90%左右，其中ResNet50 等網絡更是達到92%的高準確率[1]。盡管基于深度學習的卷積層的網絡在無噪聲輸入下表現出色，但對輕微擾動的敏感性導致了網絡攻擊問題，因此需要提高網絡的魯棒性[2]。具體來說，即使對輸入圖像進行微小的修改，以至于人眼難以察覺這些變化，最先進的分類器也很難正確地對圖像進行分類[3]。本文介紹了一種防御機制，通過檢查對抗樣本和正常樣本的頻段，深入了解頻段對網絡結果的影響，提高神經網絡的魯棒性和可解釋性，從而揭示神經網絡對輸入擾動的響應。本文研究有望解決神經網絡在面對擾動時的異常行為問題。

1 對抗攻擊及防御

1.1 對抗攻擊概述

對抗攻擊的目標是通過向網絡輸入對抗性樣本來降低其性能。圖1 展示了MNIST 數據集中數字“7”的正常圖像及其對抗圖像。盡管兩者在人眼中看起來相同，但實際上右邊的圖像受到了卡林-瓦格納（Carlini Wagner，CW）對抗攻擊的輕微擾動。

圖1 原始樣本和對抗樣本

測試這兩幅圖像時，使用MNIST 數據集上訓練和測試的神經網絡分類器，其總體準確率為98.52%[4]。分類器將圖1 左邊的圖像正確分類為“7”，但將右邊的圖像分類為“2”。這表明，盡管神經網絡性能良好，但也容易受到有針對性的對抗攻擊。對性能良好的分類器進行微小修改，就可能導致分類錯誤。

1.2 抵御對抗攻擊的方法

對抗性攻擊可分為中毒攻擊和規(guī)避攻擊兩類。中毒攻擊是在訓練階段使用的攻擊，而規(guī)避攻擊是在測試階段使用的有針對性對抗攻擊[5-7]。由于許多應用使用預訓練網絡，因此需要在推理階段抵御對手的攻擊。本文主要關注規(guī)避攻擊的應用。一些主流應用如表1 所示。

表1 抵御對抗攻擊的方法分類

1.3 基于頻帶濾波的對抗性防御

為了提高深度網絡在增強網絡的分類準確性數據上的性能，需要提高在對抗性圖像中的分類精度。本文通過過濾最敏感頻段的噪聲實現這一目標。確定輸入圖像中對網絡性能最為敏感的頻段，即決定網絡分類準確性的頻段，并對這些易受影響的頻段進行過濾，以提高分類準確性。首先，采用離散小波變換（Discrete Wavelet Transformation，DWT）將圖像分解為不同的頻率成分。其次，通過反離散小波變換（Inverse Discrete Wavelet Transformation，IDWT）從頻率分量中重建圖像。使用這種方法進行敏感性分析，找到輸入圖像的所有頻段。整體技術流程如圖2 所示。由于DWT 和IDWT 是這一技術的關鍵組成部分，下面將簡要介紹這兩種技術。

圖2 技術路線圖

1.4 離散小波變換

離散小波變換（DWT）將圖像信號分解成一組獨立的空間頻率通道。當圖像通過兩個互補濾波器時，會返回1 組2 個信號以及近似值和細節(jié)，分解成4 個不同的頻率通道。這組分量無損重新組合成原始圖像。DWT 能夠將圖像分解成一系列不同空間分辨率的圖像，具體如下。

適用于LL 頻段的公式為

式中：W?表示LL 頻段的小波變換結果，jo,m,n是小波變換的參數，M和N是圖像的尺寸，f(x,y)是圖像在坐標(x,y)處的灰度值，?jo,m,n是小波函數。

W適用于LH、HL、HH 波段的公式為

式中：表示LH、HL、HH 頻段的小波變換結果，k表示LH、HL、HH 頻段的索引，是與LH、HL、HH 頻段相關的小波函數。

1.5 反離散小波變換

反離散小波變換（IDWT）根據圖像的頻率成分無損重建圖像。具體公式表示為

結合前文章節(jié)，在重新組合4 個部分時，將對抗圖像的一個部分替換為無噪聲圖像的一個部分。用數學公式表示為

式中：W?(jo,m,n)是對抗圖像LL波段相應的權重，是原始圖像波段原始圖像中其他波段的權重。同樣，其他3 個波段的數學計算公式為

式中：表示對抗圖像的波段，而表示正常圖像的波段，i=H,V,D 分別表示LH、HL、HH 波段。

2 實驗結果

2.1 仿真設置

在MNIST 數據集上進行CNN 訓練和測試。該數據集包含60 000 個訓練樣本和10 000 個測試樣本，每個樣本為28×28 的二維圖像。CNN 在訓練樣本上進行訓練，隨后在測試樣本上評估準確性。先前在CIFAR-10 數據上觀察深度網絡在對抗性攻擊下的性能，MNIST 數據集上訓練的CNN 在受到FGSM 攻擊后準確率從98.52%降至9.46%。接下來，進行MNIST 數據的頻帶替換模擬。

CIFAR-10 數據集包含50 000 張訓練圖像和10 000 張測試圖像，每張圖像為32×32 的三維圖像。首先，使用訓練樣本對網絡進行訓練，其次通過對預訓練網絡使用前文介紹的方法進行攻擊，從CIFAR-10 數據的測試集中為每張圖像生成對抗數據。通過這種模擬，檢驗波段替換是否能提高深度網絡的分類準確性。

2.2 性能分析

本節(jié)分析網絡在MNIST 數據集上的性能。如前所述，MNIST 數據是二維的，對CNN 進行頻帶替換，對手分別來自JSMA、FGSM、DF 攻擊[8]和CW[9]攻擊。實驗結果如表2 所示。

表2 頻段替換對MNIST 數據對抗樣本的影響 單位：%

表2 的實驗結果表明，對抗性攻擊顯著影響網絡的準確性，而頻帶替換能顯著提高分類性能。當用正常圖像的LL 分量替換對抗圖像的LL 分量時，分類準確率顯著提高，幾乎恢復到攻擊前的水平。類似地，用正常圖像的LL 和LH 分量替換對抗樣本的LL 和LH 分量時，準確率也接近攻擊前的水平。因此，低頻成分攜帶著重要信息，清理這些頻段，可以提高CNN 的性能。

表2 顯示了各種網絡在CIFAR-10 數據的波段1 替換上的性能。在CIFAR-10 數據上，通過波段1 替換模擬發(fā)現，低頻段是最敏感的頻段。替換LL 頻段后，準確率最高，表明深度網絡在低頻段沒有噪聲時性能更好。表3 顯示了用更干凈的頻率成分替換一個噪聲添加頻率成分后的結果。進一步進行頻段替換模擬實驗，結果顯示，用正常圖像的低頻段替換所有低頻段后，所有網絡的分類準確率都提高。這表明，用去噪的低頻成分替代擾動的低頻帶，分類器的性能得到提高，接近正常輸入樣本的準確率。

表3 頻段替換對對抗樣本的影響結果 單位：%

以ResNet50 網絡為例，對于JSMA 對手，準確率在實驗I 后提高到90.36%（LL 分量）和89.70%（LH 分量），表明網絡在受到對抗性攻擊后的性能有所提高。在實驗II 中，將頻率成分的組合替換為更純凈的版本，分類準確率顯著提高，對JSMA 對手的LL 和LH 分量的準確率為95.09%。這表明通過替換低頻段，網絡在對抗性攻擊下的分類準確率能夠接近對正常圖像的分類準確率。

3 結語

本研究通過基于動態(tài)頻帶過濾的圖像識別方法，針對深度學習中神經網絡受到對抗性攻擊的魯棒性問題進行了探討。通過在輸入樣本中過濾出敏感頻段并去除噪聲，實驗結果表明所提出的技術在ResNet50 上的分類準確率從85%顯著提升至95%。這說明頻段過濾對于提高神經網絡在對抗性攻擊下的性能具有積極的影響。研究結論表明低頻段對于深度神經網絡是最脆弱的。對低頻段進行去噪處理，可以提高分類準確率，從而增強網絡的魯棒性。通過對輸入的低頻成分進行去噪，網絡能夠更好地抵御對抗性攻擊。