1874                                                       软件学报  2024  年第  35  卷第  4  期


                  3.3   结果分析

                    ● RQ1: 陷阱式网络能否作为一种简单, 有效的集成网络中子网络的扩充方式以提高集成多样性?
                    为了评估陷阱式网络能否作为一种有效的对抗集成网络中子网络的扩充方式, 本文通过对比                                Strauss 等人  [35]
                 提出的集成防御网络构架方式, 验证陷阱式网络作为对抗集成网络中子网络扩增方式的有效性. 实验以                                MNIST  为
                 目标数据集, 以    ResNet-50  残差网络为基准原始模型. 使用传统集成网络构成方式构建                 M1  和  M2  集成网络. 其中,
                 M1  集成  3  个不同初始化参数的     ResNet-50  残差网络; 集成不同结构网络      ResNet-18, ResNet-34  和  ResNet-50  为集
                       M2  . 为了验证假设, 以   CIFAR-10  作为陷阱数据构成的输出类别数为           20            M3 并以输出类别
                 成网络                                                           的陷阱式网络
                 为  16, 18  和  20  的陷阱式集成网络  M4  . 实验使用基于梯度的对抗攻击方法          FGSM  和  PGD  进行对抗防御效力验
                 证, 同时为了验证陷阱式网络是否会影响相对于传统高斯噪声的鲁棒性, 实验设置不同扰动幅度的高斯噪声对模
                 型的传统鲁棒性进行验证. 最终通过对比             M1, M2, M3  和  M4  的实验结果以评估陷阱式网络的性能表现.
                    表  2  展示不同网络模型在面对不同攻击方法及不同大小的对抗扰动攻击时的分类准确率. 其中, 第                            1  列为对
                 抗攻击方法, 第    2  列显示扰动参数, 第    3  列为原始模型    ResNet-50  的分类准确率. 第   4–7  列为  M1–M4  模型的分类
                 准确率. 通过表    2  可知, 在不同幅度的高斯噪声攻击场景下, 集成类网络              M1 M2  和  M4  的传统鲁棒性皆有一定的
                                                                            ,
                                                                       M3 相较于基准原始模型, 其探测前后模型
                 提升, 这是集成网络在该方面天然的优势. 值得注意的是, 陷阱式网络
                 的准确率变化体现出被陷阱类标记的靶标可攻击空间有利于提升面对传统噪声的鲁棒性. 在不同扰动的白盒攻击
                        M3 在低扰动                       M1 M2  近似的对抗防御效力. 而在高扰动                         M3
                 场景下,              ε (    =0.3) 条件下表现出与    ,                             ε (    =0.6) 条件下,
                                                                         M4  的干净目标分类准确率        99.50%  优于
                 的防御效力明显优于后者. 且通过分析            M3 和   M4  的实验结果可以看出,
                 传统集成对抗防御网络        99.38%, 同时集成后的    M4  在探测逻辑判断后的准确率比          M3 整体提升了    15%  左右. 这表
                 明  Trap-Net 通过集成学习的方式能在保证原目标数据的分类精度的同时, 扩大靶标可攻击空间以提高探测效力.

                             表 2    Trap-Net 对集成对抗网络进行子网络扩充后与         M1  和  M2  防御效力对比 (%)

                                                                          M3                  M4
                   攻击方法        参数       原始模型        M1      M2
                                                                    探测前      探测后        探测前      探测后
                      无         －        98.86     99.38    99.25    98.04    98.04     99.50     99.50
                   高斯噪声         σ = 0.2  96.75     98.49    99.00    96.58    97.69     99.19     99.42
                   高斯噪声         σ = 0.8  53.81     75.39    86.66    52.62    74.86     77.15     90.67
                    FGSM        ε  = 0.3  25.56    69.27    62.50    32.16    64.08     47.33     79.26
                    FGSM        ε  = 0.6  8.47     33.64    12.56    2.12     73.56      3.64     92.65
                     PGD        ε  = 0.3  2.76      0.79    30.21    1.56     41.23      6.53     65.73
                     PGD        ε  = 0.6  0.51      0.00    1.51     0.00     80.50      3.12     93.64

                    小结: (1) 子网络的集成多样性对对抗集成网络防御方法的防御效力至关重要, 提升子网络的集成多样性可进
                 一步提升对抗集成网络的鲁棒性. (2) 陷阱式网络有利于提升针对高斯噪声等传统噪声的鲁棒性. (3) 不同陷阱数
                 据类别所构成的陷阱式网络与不同结构的               DNN  具有相似的集成多样性, 陷阱式网络可作为一种简单有效的对抗
                 集成网络中子网络的扩增方式.
                    ● RQ2: Trap-Net 能否对对抗样本的迁移性进行有效的防御?
                    为了评估    Trap-Net 能否对对抗样本的迁移性进行有效防御, 设计如下的对抗样本黑盒攻击实验. 我们使用
                 ResNet-50  作为黑盒攻击场景下对抗攻击的代理模型. 被测试的              Trap-Net 由以  CIFAR-10  为陷阱数据, 输出类别个
                 数为  16, 18, 20  的陷阱式网络所构成. 通过在代理模型        ResNet-50  上使用基于梯度的对抗攻击方法         FGSM, PGD  方
                 法和迁移攻击性更强的基于生成式对抗网络                AdvGAN  于不同大小的对抗扰动下进行有目标攻击和无目标攻击生
                 成对抗样本, 并将在代理模型上生成的对抗样本输入目标                  Trap-Net 网络模型进行对抗样本的迁移性防御测试.
                    Trap-Net 的黑盒防御效力如表      3  所示, 第  1  列为对抗攻击方法, 第   2  列为关键的超参数设置, 第       3  列为代理模
                 型  ResNet-50  的分类准确率, 第  4  列为  Trap-Net 的探测前后分类准确率. 其中在探测逻辑判断前准确率表明, 黑盒