Page 146 - 《软件学报》2020年第9期
P. 146
韦璠 等:利用特征融合和整体多样性提升单模型鲁棒性 2767
的攻击方式,FGSM 在大扰动下对图片的破坏情况相对严重;而使用 PGD 攻击方式做对抗训练,模型达
到的局部恒定比较适合图片未被严重破坏的情况.
总体上,本文方法改进并训练的模型在对抗训练前后防御表现有提高,可证明本文方法不与对抗训练冲突.
Table 3 Comparison of classification accuracy against corresponding adversarial examples
before and after using adversarial training with PGD (%)
表 3 PGD 对抗训练前后对相似对抗样本的分类正确率的比较 (%)
数据集 攻击类型 攻击参数 F+D 模型 AdvT+F+D 模型
ε=0.01 64.32 75.82
FGSM ε=0.02 60.28 62.79
ε=0.04 49.44 46.17
ε=0.01 42.26 75.17
BIM ε=0.02 32.42 58.81
ε=0.03 27.58 45.62
CIFAR-10
ε=0.01 47.82 75.53
MIM ε=0.02 38.07 60.23
ε=0.03 32.33 48.33
ε=0.01 43.96 78.4
PGD ε=0.02 31.57 66.33
ε=0.03 24.14 54.61
ε=0.1 94.84 98.89
FGSM ε=0.2 65.46 97.59
ε=0.3 20.68 12.36
ε=0.05 95.76 99.05
BIM ε=0.1 87.8 98.85
ε=0.15 72.84 98.16
MNIST
ε=0.05 96.38 99.05
MIM ε=0.1 90.89 98.85
ε=0.15 79.84 98.2
ε=0.05 95.98 99.09
PGD ε=0.1 75.89 98.96
ε=0.15 38.61 98.69
4 结论与展望
针对深度神经网络对于对抗样本的脆弱性问题,本文提出了一种基于特征融合和整体多样性的单模型鲁
棒性提升方法.该方法受组合模型防御效果优于单模型的启发,依据分支网络中浅层出口也可以达到较好的预
测准确率理论,在现有模型基础上添加额外的分支模拟组合模型效果,同时在分支之间加入特征融合实现特征
金字塔,并引入改进后的多分支单模型整体多样性计算辅助训练,以提高模型鲁棒性,使其具有更好的防御能
力.通过在 MNIST 和 CIFAR-10 两种数据集上的实验结果表明:本文方法改进并训练的模型防御效果显著,对对
抗样本的防御能力比改进前的原模型在 FGSM 等 4 种基于梯度的攻击下有 5 倍以上的提高,JSMA,C&W 以及
EAD 攻击下可达到 10 倍的提升;同时不干扰对干净样本的分类精度,也与对抗训练方法不抵触,可以联合使用,
获得更好的防御效果.证明了本文提出的提升鲁棒性方法是可行且有效的.此外,实验中还发现:在不同复杂度
的样本上,特征融合和整体多样性带来的鲁棒性影响不同.在今后的工作中,我们会对此方面做深入的研究,以
改进本文提出的方法,获得更好的效果.
References:
[1] Lueth KL. State of the IoT 2018: Number of IoT devices now at 7B—Market accelerating. IOT ANALYTICS. https://iot-analytics.
com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/
[2] Dourado Jr CM, da Silva SP, da Nóbrega RV, Barros AC, Rebouças Filho PP, de Albuquerqu VH. Deep learning IoT system for
online stroke detection in skull computed tomography images. Computer Networks, 2019,152:25−39.
[3] Mookherji S, Sankaranarayanan S. Traffic data classification for security in IoT-based road signaling system. In: Proc. of the Soft
Computing in Data Analytics. 2019. 589−599.
