1872                                                       软件学报  2024  年第  35  卷第  4  期


                 基于生成式对抗网络的对抗攻击方法对              Trap-Net 进行黑盒攻击, 以验证     Trap-Net 能否对对抗样本的迁移性进行
                 有效的防御.
                    ● RQ3: Trap-Net 的相关参数对防御方法的防御效力影响如何?
                    DNN  是一种数据驱动的数学经验模型, 各种             DNN  的超参数直接影响      DNN  最终的性能表现. Trap-Net 最大
                 特色即引入陷阱数据集对特征空间中的未定义可攻击空间进行陷阱类别标记. 因此, 在本问题的研究中, 我们围绕
                 陷阱数据类别个数和陷阱数据与目标数据间的相似性对                   Trap-Net 对抗防御效力的影响进行实验探究与分析.
                    ① RQ3.1: 陷阱数据类别个数对防御效力的影响如何?
                    Trap-Net 通过向  DNN  中增添不同特征类型的陷阱数据进行靶标可攻击空间的定义. 陷阱数据类别个数的多
                 少直接影响着防御成本与防御效力的好坏. 在本问题研究中, 我们围绕陷阱类数据类别个数的多少对                                Trap-Net 的
                 防御效力的影响进行实验分析.
                    ② RQ3.2: 陷阱数据集与目标数据间相似性大小对防御效力的影响如何?
                    在本问题研究中, 我们承接陷阱数据类别个数对                Trap-Net 对抗防御效力的影响, 从陷阱数据与目标数据之间
                 的数据相似性角度对陷阱数据对           Trap-Net 的对抗防御效力影响进行实验分析.
                    ● RQ4: 陷阱式平滑损失函数能否优化目标数据与陷阱数据之间的数据分布, 从而进一步提高                            Trap-Net 的对
                 抗防御效力?
                    不同于传统集成对抗防御依靠模型之间的特征差异性, 以集成多个子网络鲁棒性的方式形成一个更加鲁棒的
                 对抗集成网络. Trap-Net 的集成性质在于利用不同陷阱式网络的多样性扩充靶标可攻击空间, 从探测的角度抵御
                 对抗样本的攻击. 为了凸显        Trap-Net 的这种特点, 我们提出并使用了陷阱式平滑损失函数. 直观上, 陷阱式平滑损
                 失函数能建立目标数据流形和陷阱数据流形之间的诱导关系. 使得靶标可攻击空间更易被对抗攻击算法所攻击.
                 从而达到双赢的效果, 即攻击者制作的对抗样本可成功将原数据类别进行变换, 然而实际上对抗样本被诱导指向
                 靶标可攻击空间, 从而被       Trap-Net 所识别判定为对抗样本. 在本研究问题中, 我们对陷阱类别数据在陷阱式平滑
                 损失函数的影响下对外部背景可攻击空间的标记进行实验探究. 与在                       CE  损失函数下的    Trap-Net 的防御效力进行
                 对比, 以验证陷阱式平滑损失函数的有效性, 并对陷阱式诱导因子的大小对防御效力的影响进行实验探究.
                    ● RQ5: Trap-Net 相较于其他类似的对抗防御方法的防御效力如何?
                    为了验证    Trap-Net 的有效性. 在本问题研究中, 我们使用核密度和贝叶斯不确定性估计法, 特征压缩对抗防
                 御方法以及频谱对抗防御方法与           Trap-Net 进行比较. Feinman  等人  [26] 所提出的核密度和贝叶斯不确定性估计法是
                 一种仅探测式对抗样本防御方法, 这种方法通过计算正常样本和对抗样本的核密度以及贝叶斯不确定性分数, 训
                 练生成对抗样本的逻辑回归预测模型以进行对抗样本的检测. 然而核密度和贝叶斯不确定性估计法十分依赖于生
                 成的对抗样本所提供的信息. 所以我们同时选用了                Xu  等人  [30] 提出的特征压缩对抗防御方法进一步进行对比实验.
                 特征压缩对抗防御方法无需依赖生成的对抗样本所提供的信息, 其通过对输入样本进行色位压缩和中值平滑后破
                 坏对抗样本的攻击性, 通过比对变化前后的              Softmax 向量差是否超过阈值以判断输入样本是否为对抗样本. 最后,
                 我们选用   Harder 等人  [31] 提出的频谱对抗防御方法与      Trap-Net 进行比较. 频谱对抗防御方法通过傅里叶变换发掘
                 图片中的频谱信息, 并以此分辨干净样本与对抗样本. 我们对以上                     3  种防御方法与   Trap-Net 进行了对比实验, 并
                 对这几种方法之间的特点和差异进行了分析.
                    ● RQ6: Trap-Net 与其他对抗防御方法的兼容性如何?
                    邻近可攻击空间中的未定义可攻击空间标记难度大, 造成                    Trap-Net 在有目标攻击场景下面对不同大小的对
                 抗扰动攻击时, 对抗防御效力呈的“V”型结构. 因此在本问题研究中, 我们希望通过与其他对抗防御方法合作的方
                 式解决这一问题. 我们选择主流公认最有效的对抗训练防御方法对                      Trap-Net 进行与其他对抗防御方法的兼容性
                 测试.
                  3.1.3    评测指标
                    受试者工作特征曲线        (receiver operating characteristic curve, ROC  曲线). ROC  曲线在不同的阈值大小下以同
                 一刺激信号构建以假阳性率          (FPR) 为横坐标, 召回率    (TPR) 为纵坐标的评价曲线. 其中, ROC       曲线的下面积     AUC