韦璠 等:利用特征融合和整体多样性提升单模型鲁棒性                                                        2765


                动的防御表现略差于 D 模型,但是实验中的最高扰动下出现了反超,表明 F+D 模型在扰动提高时防御
                表现的下降趋势比较平缓.
             表 1 中,第 2 部分为 MNIST 数据集上实验结果.在进行此部分实验时,由于 MNIST 数据集的样本结构比较
         简单,所以各种攻击方式的扰动范围较于 CIFAR-10 数据集上有大幅提高,而迭代次数和 C&W 的学习率和前部
         分实验相同.在如此高的扰动范围下.
             •   B 模型对对抗样本的分类准确率都大幅下降,特别在实验中设定的第 1 种、第 2 种扰动值间,出现了 3~4
                倍的极速下滑;甚至在 C&W 和 EAD 这两种有目标的攻击方式下,受较高扰动攻击后的分类准确率下
                降到了 1 以下;
             •   F 模型的防御表现在前 5 种攻击方式下都有较大提升,特别是面对扰动幅度变大情况,下降趋势相对平
                缓;而对 C&W 和 EAD 两种相似攻击的防御表现只有略微提高;
             •   D 模型对 FGSM 等前 5 种对抗样本的防御表现虽然略高于 B 模型,却比 F 模型又有下降;而在 C&W 和
                EAD 两种攻击下表现良好,抑制住了不同幅度间快速下降的趋势;
             •   而本文方法得到的 F+D 模型在所有攻击方式下的防御表现都得到了非常大的提升,多种攻击下的表
                现提高了超过 60 个点;甚至在 C&W 和 EAD 这两种 B 模型表现极差的情况下,几乎保持了对原始样本
                的分类准确率,不同扰动幅度间的下降趋势也更加平缓.
             观察整张表发现:面对 C&W 和 EAD 攻击,整体多样性可以提供更好的防御效果;而 FGSM 等前 5 种攻击方
         法则会受到样本复杂程度的影响.在相对复杂的 CIFAR-10 数据集上,整体多样性带来的提升高于特征融合;而
         在相对简单的 MNIST 数据集上,特征融合会提供更好的帮助.本文方法结合特征融合和整体多样性,最终达到
         了 1+1 大于 2 的优秀表现.在整个实验中,一直保持较优的防御表现,完美解答了问题 3.在两种测试集下进行对
         4 种模型的白盒攻击防御实验中,回答了问题 1,证明本文提出的方法可以大幅提升模型的鲁棒性,对常见对抗
         样本攻击方法均可做出有效防御.
         3.3.2    对于干净样本的处理能力
             为回答问题 2,实验评估了 B 模型、F 模型、D 模型以及 F+D 模型在干净测试集上面的表现,实验结果记
         录在表 2 中.其中,
             •   B 模型在 MNIST 和 CIFAR-10 的识别率分别为 99.59%和 91.17%,达到了现有的深度神经网络分类器
                的基本水平;
             •   F 模型在两个数据集上的分类准确率则是 99.65%和 91.41%,可以看出:特征融合使得最终分类可以同
                时考虑语义特征和细节特征,模型能达到更好的精度;
             •   D 模型没有加入特征融合,考虑了整体多样性,但由于是在一个模型内,各分支路线有共享层,可以预见,
                分类准确率会受到一定的影响,最终结果 99.53%和 89.14%,也符合预期;
             •   F+D 模型作为本文方法改进并训练的模型,在 CIFAR-10 数据集上的分类准确率达到了 91.05%,比 D
                模型表现优秀,较于 B 模型也基本没有准确率的下降,甚至在 MNIST 数据集上的表现超过了 F 模型,
                达到了 99.7%.上述结果表明,本文方法改进并训练的模型仍能保证对原始样本的分类精度.
                 Table  2    Comparison of classification accuracy on clean examples from MNIST and CIFAR-10   (%)
                               表  2   MNIST 和 CIFAR-10 上干净样本分类准确率比较                        (%)
                   数据集             B 模型            F 模型            D 模型           F+D 模型
                  CIFAR-10          91.17          91.41           89.14           91.05
                   MNIST            99.59          99.65           99.53            99.7

             为更好地展现整体多样性的效果,实验打印了各模型最终输出的 T-SNE 视图.T-SNE 利用条件概率表示相
         似性,使用相对熵训练,可将高维分布的点映射到低维空间中,明确地显示出输入的聚类状况.图 3 绘制了对比的
         4 种模型最终输出在低维的分布情况.图中每一种颜色代表一种分类,此实验在 CIFAR-10 验证集(10 000 张)上
         进行,所以颜色数目为 10.从图中可以看出:在同类的点中间参杂其他颜色的点,表示这些点是分类出错的部分.