韦璠 等:利用特征融合和整体多样性提升单模型鲁棒性                                                        2757


         can be up to 10 times while against JSMA, C&W, and EAD. This method does not disturb the classification of clean examples, and could
         obtain better performance while combining adversarial training.
         Key words:    Internet of things; feature fusion; ensemble diversity; model defense; robustness; adversarial example

             近年来,物联网设备的数量在不断飙升.据 IoT Analysis 网站发表的 2018 第一、第二季度的物联网发展状
               [1]
         态统计 ,全球联网设备数量已达 170 亿,其中,物联网设备占 70 亿;并且该统计不包含固定电话、智能手机、平
         板以及笔记本电脑,也不包含过去加入到连接中但目前已不再使用的设备.尽管如此,这一数据也呈现出不断攀
         升的趋势,预计会在 2020 年达到 100 亿以及 2025 年达到 220 亿.大量的物联网设备会产生海量的数据,图像是
         其中一种重要的数据形式,使用深度神经网络处理海量图像数据                        [2−5] 已是大势所趋.不可否认,深度神经网络经
         过近几十年的发展,在很多任务上都有了长足的进步,在图像分类领域的表现尤为突出.但这些高性能分类器在
                                         [6]
         面对对抗样本攻击时却暴露了其脆弱性 :这些对抗样本只在原始图片上加了微小量的扰动,通常情况下,这些
         扰动是人眼无法发觉的,并不会对人的判断造成影响,但却能成功愚弄深度神经网络分类器,使其做出错误的分
         类判断.所以说,如何提高模型对对抗样本攻击的防御能力,就成为了一个非常重要的课题.
             提高模型的鲁棒性,是目前应对对抗样本攻击的一个重要方法.模型鲁棒性是一个用于分析模型对于微小
         扰动的抵抗能力的评判标准,在相同扰动下,模型的判断准确率越高,鲁棒性越好.根据使用模型数量的不同,可
         以将现有工作分为两类:基于单模型的鲁棒性提升方法和基于组合模型的鲁棒性提升方法.根据对抗样本处理
         方式的不同,又可以将基于单模型的鲁棒性提升方法分为对抗样本检测和对抗样本防御.
             •   对抗样本检测方法是在原模型之外构造一个单独的样本探测器,样本输入到目标模型之前必须先经
                过探测器判断,只有被判断为干净的样本才能输入到目标模型中                       [7,8] .这不仅需要额外的资源消耗,而且
                                                           [9]
                样本探测器本身也存在受到攻击的风险.Carlini 等人 甚至通过研究指出:目前大多数的对抗样本探
                测器都是无效的,并且它们也能被轻易攻击;
             •   对抗样本防御方法一般着眼于提升网络本身的鲁棒性,以使其能够正确分类对抗样本,相较于对抗样
                本检测方法而言更有效且资源消耗更低,更适用于物联网应用场景.
             基于组合模型的鲁棒性提升方法则是综合评估多个模型的预测结果得到最终输出,通常情况下,相比于基
         于单模型的防御方式而言会有更好的防御表现                  [10] .特别是清华团队最近提出的基于组合模型的提升模型整体
         多样性方法     [11] ,通过分离组合成员的非极大预测的分布,能够在不影响模型准确率的情况下提升组合内各个成
         员之间的多样性,降低成员间的相似程度,从而使得对抗样本难以在各个成员之间迁移,更进一步地提高了组合
         模型的整体鲁棒性.尽管如此,考虑到物联网设备有限的资源配置、计算能力以及实时性要求等,基于组合模型
         的防御方式很难落实到物联网应用中.
             基于以上情况并受到组合模型整体多样性的启发,本文提出了一种在单模型上使用组合模型防御方式的
         模型鲁棒性提升方法:依据分支网络(branchynet)          [12] 中浅层出口也可以达到较好的预测准确率理论,给原始模型
         添加额外的分支模拟组合模型效果;在分支之间加入特征金字塔                       [13] 实现特征融合,消除了各分支输出的尺度差
         异;针对多分支单模型改进了整体多样性计算方式,提高了单模型内各个分支间的整体多样性,有效避免了对抗
         样本在各分支之间的迁移.本文对图像分类模型 Resnet-32               [14] 做了以上改造及训练,通过在 MNIST 和 CIFAR-10
         数据集上使用目前流行的攻击方式进行防御实验,以证明本方法的可行性与有效性.
             本文第 1 节主要介绍目前已有的在单模型上应对对抗样本攻击、提高模型防御能力的相关研究工作.第 2
         节从模型改造、多分支单模型的整体多样性计算以及训练过程这 3 个方面详细阐述本文提出的模型鲁棒性提
         升方法.第 3 节通过在 MNIST 和 CIFAR-10 这两个图像分类领域最常用的数据集上对比目前流行的 7 种白盒
         攻击方式下的分类正确率,证明本方法能够在不影响原模型分类效果的前提下,显著提高模型的鲁棒性.第 4 节
         对本文工作做出总结并给出未来的工作展望.