2766                                 Journal of Software  软件学报 Vol.31, No.9,  September 2020

         因为本实验输入是原始样本,可以看出,图中的错误点仅是少数.图 3(a)是 B 模型输出的 T-SNE 视图,可以看出:
         每种分类并没有完全聚集在一起,会有部分零散分布在其他位置,总体分布得杂乱无章,甚至有几类出现了交
         融.从这里可以认为 B 模型对对抗样本很敏感,符合前一实验的结果.图 3(b)是 F 模型输出的视图,可以看出:在同
         时利用了语义特征和细节特征之后,各类自己的聚集相对基本模型已经有了改善,但是依旧存在不同类交叉的
         问题,分离程度不足.图 3(c)是 D 模型输出的视图,可以看出:各分类之间已经有了分离的趋势,但错误的点也明
         显增加.推测是由于在一个模型内,因为各分支存在共同层,多样性的加入可能影响了拟合,所以准确率有所下
         降.图 3(d)则是本文方法改进并训练的模型,同时引入了特征金字塔和改进的整体多样性,相比于前几种的结果,
         同类之间的聚集程度得到了极大的提高;且不同类之间有明显的分离,错误的点基本没有增加,符合表 2 中的实
         验结果.这部分同样证明了本文方法成功地提高了模型的鲁棒性,并且基本没有影响模型对原始样本精度.
















                                (a) B 模型                                        (b) F 模型















                             (c) D 模型                                        (d) F+D 模型
                           Fig.3    T-sne views of the final output from each model on CIFAR-10
                              图 3   CIFAR-10 测试集上各模型最终输出的 T-SNE 视图
         3.3.3    与对抗训练方法组合使用的效果
             为回答问题 4,测试了 F+D 模型以及额外加入了对抗训练后的 AdvT+F+D 模型在受到相同攻击下的分类
         正确率,结果记录在表 3 中.CIFAR-10 和 MNIST 上的对抗模型训练都使用 PGD 方法,对抗训练过程中,CIFAR-10
         数据集下设置 PGD 的扰动值为 0.01~0.05 随机采样,MNIST 数据集下设置 0.05~0.2 随机采样.随后测试了与前
         部分相同参数的 FGSM,BIM,MIM 和 PGD 这 4 种攻击.实验结果表明:在使用对抗训练之后,模型的防御表现进
         一步提高.其中,使用 PGD 作为训练中的扩容方式时提高最为明显:CIFAR-10 下,准确率都提升了近 1 倍;而
         MNIST 下,对于 0.15 扰动攻击,更是近 3 倍的提高.BIM 和 MIM 除基本原理相似外,与 PGD 同样使用迭代方法,
         测试中,防御表现都有一定程度的提高.
             •   MNIST 下,基本达到了对干净样本的辨识水平;FGSM 攻击下,对于前两种较小的扰动情况都有提高;
             •   但是同时,在 CIFAR-10 和 MNIST 下,对第 3 种较大扰动出现准确率下降的情况.我们认为:相比于迭代