软件学报 ISSN 1000-9825, CODEN RUXUEW                                        E-mail: jos@iscas.ac.cn
                 Journal of Software,2024,35(4):1861−1884 [doi: 10.13328/j.cnki.jos.006829]  http://www.jos.org.cn
                 ©中国科学院软件研究所版权所有.                                                          Tel: +86-10-62562563



                                                                            *
                 基于可攻击空间假设的陷阱式集成对抗防御网络

                 孙家泽  1,2,3 ,    温苏雷  1 ,    郑    炜  4 ,    陈    翔  5


                 1
                  (西安邮电大学 计算机学院, 陕西 西安 710121)
                 2
                  (陕西省网络数据分析与智能处理重点实验室 (西安邮电大学), 陕西 西安 710121)
                 3
                  (西安市大数据与智能计算重点实验室 (西安邮电大学), 陕西 西安 710121)
                 4
                  (西北工业大学 软件学院, 陕西 西安 710072)
                 5
                  (南通大学 信息科学技术学院, 江苏 南通 226019)
                 通信作者: 温苏雷, E-mail: ccsk1wsl@stu.xupt.edu.cn
                 摘 要: 如今, 深度神经网络在各个领域取得了广泛的应用. 然而研究表明, 深度神经网络容易受到对抗样本的攻
                 击, 严重威胁着深度神经网络的应用和发展. 现有的对抗防御方法大多需要以牺牲部分原始分类精度为代价, 且强
                 依赖于已有生成的对抗样本所提供的信息, 无法兼顾防御的效力与效率. 因此基于流形学习, 从特征空间的角度提
                 出可攻击空间对抗样本成因假设, 并据此提出一种陷阱式集成对抗防御网络                         Trap-Net. Trap-Net 在原始模型的基础
                 上向训练数据添加陷阱类数据, 使用陷阱式平滑损失函数建立目标数据类别与陷阱数据类别间的诱导关系以生成
                 陷阱式网络. 针对原始分类精度损失问题, 利用集成学习的方式集成多个陷阱式网络以在不损失原始分类精度的
                 同时, 扩大陷阱类标签于特征空间所定义的靶标可攻击空间. 最终, Trap-Net 通过探测输入数据是否命中靶标可攻
                 击空间以判断数据是否为对抗样本. 基于             MNIST、K-MNIST、F-MNIST、CIFAR-10    和  CIFAR-100  数据集的实验
                 表明, Trap-Net 可在不损失干净样本分类精确度的同时具有很强的对抗样本防御泛化性, 且实验结果验证可攻击
                 空间对抗成因假设. 在低扰动的白盒攻击场景中, Trap-Net 对对抗样本的探测率高达                     85%  以上. 在高扰动的白盒攻
                 击和黑盒攻击场景中, Trap-Net 对对抗样本的探测率几乎高达                100%. 与其他探测式对抗防御方法相比, Trap-Net
                 对白盒和黑盒对抗攻击皆有很强的防御效力. 为对抗环境下深度神经网络提供一种高效的鲁棒性优化方法.
                 关键词: 深度神经网络; 对抗样本; 集成学习; 对抗防御; 鲁棒性优化
                 中图法分类号: TP18

                 中文引用格式: 孙家泽, 温苏雷, 郑炜, 陈翔. 基于可攻击空间假设的陷阱式集成对抗防御网络. 软件学报, 2024, 35(4): 1861–1884.
                 http://www.jos.org.cn/1000-9825/6829.htm
                 英文引用格式: Sun JZ, Wen SL, Zheng W, Chen X. Trap-type Ensemble Adversarial Defense Network Based on Attackable Space
                 Hypothesis. Ruan Jian Xue Bao/Journal of Software, 2024, 35(4): 1861–1884 (in Chinese). http://www.jos.org.cn/1000-9825/6829.htm

                 Trap-type Ensemble Adversarial Defense Network Based on Attackable Space Hypothesis
                                                 4
                                      1
                 SUN Jia-Ze 1,2,3 , WEN Su-Lei , ZHENG Wei , CHEN Xiang 5
                 1
                 (School of Computer Science and Technology, Xi’an University of Posts and Telecommunications, Xi’an 710121, China)
                 2
                 (Shaanxi Key Laboratory of Network Data Analysis and Intelligent Processing (Xi’an University of Posts and Telecommunications), Xi’an
                  710121, China)
                 3
                 (Xi’an Key Laboratory of Big Data and Intelligent Computing (Xi’an University of Posts and Telecommunications), Xi’an 710121, China)
                 4
                 (School of Software, Northwestern Polytechnical University, Xi’an 710072, China)
                 5
                 (School of Information Science and Technology, Nantong University, Nantong 226019, China)


                 *    基金项目: 国家自然科学基金  (61876138, 62272387, 62141208); 国家重点研发计划  (2020YFC0833105Z1); 西安市重点产业链人工智能
                  核心技术攻关项目     (2022JH-RGZN-0028); 陕西省重点研发计划  (2023-YBGY-030); 西安邮电大学创新基金  (CXJJZL2021007)
                  收稿时间: 2022-02-17; 修改时间: 2022-05-26; 采用时间: 2022-11-05; jos 在线出版时间: 2023-06-28
                  CNKI 网络首发时间: 2023-06-29