Page 298 - 《软件学报》2024年第4期
P. 298
1876 软件学报 2024 年第 35 卷第 4 期
阱数据类别增多时, DNN 内部特征空间会形成特定的陷阱数据集流形, 同时因为陷阱式平滑损失函数的效用,
此时的陷阱数据更偏向于定义目标数据流形之外的背景可攻击空间, 从而导致防御效力的相对下降. 综上, 低
陷阱数据类型个数的陷阱式网络和高陷阱数据类型个数的陷阱式网络偏向于定义不同的可攻击空间, 所以在
进行网络构建时, 应同时考虑低陷阱数据类型的陷阱式网络和高陷阱数据类型的陷阱式网络, 以提高 Trap-Net
的防御效力和泛化能力.
100 100
Clean
80 FGSM-before detecting 80 Clean
Accuracy (%) 60 FGSM-after detecting Accuracy (%) 60 FGSM-after detecting
FGSM-before detecting
PGD-before detecting
PGD-before detecting
PGD-after detecting
PGD-after detecting
40
40
20
0 20 0
11 12 13 14 15 16 17 18 19 20 11 12 13 14 15 16 17 18 19 20
Output categories Output categories
(a) 无目标攻击 (b) 有目标攻击
图 7 陷阱数据类别个数对 Trap-Net 防御效力影响
RQ3.2: 陷阱数据集与目标数据间相似性大小对防御效力的影响如何?
表 4 展示陷阱数据集与目标数据集的相似度, 其中 K-MNIST 与 MNIST 的相似度最高, 为 92.74%. 而 CIFAR-100
与 MNIST 相似度最低, 为 0.
表 4 陷阱数据集与目标数据集相似度 (%)
相似度 MNIST K-MNIST F-MNIST CIFAR-10 CIFAR-100
S (true,trap) 100 92.74 59.35 4.29 0
本节展示单一数据集作为陷阱数据进行 Trap-Net 的构建时, 使用不同扰动大小的 FGSM, PGD, C&W 和
AdvGAN 对抗攻击方法在有目标和无目标白盒攻击场景下对各种陷阱数据集于 Trap-Net 的防御效力的关系进行
测试. 表 5 展示了实验结果, 其中第 3 列表示对抗攻击是否设置目标攻击类别, 且有目标攻击场景下, 固定设置目
标攻击类别设置为 2. 第 4 列 M initial 代表 ResNet-50 残差网络的分类准确率, 第 5–8 列为不同陷阱数据所训练的
Trap-Net 在面对不同对抗攻击时的准确率. {M mk ,..., M mc } 代表以 D2, D3, D5 和 D4 为陷阱数据集构建的 Trap-Net.
M initial , 4 种
相较于 Trap-Net 皆不影响原始分类精度. 通过对比实验结果, 陷阱数据与目标数据相似度较高的 M mf
M mc 陷阱式集成防御网络的防御效力最好. 这表明不同相似度的陷阱数据带来的防御效力是不同
和相似度较低的
的. 据此我们又将不同的陷阱数据集进行组合实验, 实验结果表明, 多种不同陷阱数据集组合的陷阱式集成网络的
防御效力并没有明显的提升. 虽然 M mf 的防御效力 (MNIST 为目标数据集, F-MNIST 和 CIFAR-10 为陷阱式数据
c
集) 在多个攻击算法下略微优于 M m 和 f M mc . 但在陷阱数据类别数目固定的情况下, 随着陷阱数据集类别的增多,
增添不同的陷阱数据集类别反而会因为不同陷阱数据集类别较少, 无法形成其各自的陷阱数据集流形, 从而造成
防御效力的降低.
值得注意的是, Trap-Net 根据对抗扰动的大小, 其防御效力呈“V”型结构. 特别是当陷阱式集成网络遭遇有目
标攻击时, 这种“V”型尤为明显. 这在一定程度上验证了本文所提出的可攻击空间对抗成因假设. 直观上, 造成这种
现象的原因是邻近可攻击空间需在考虑不影响原始目标分类精度的前提下进行陷阱类靶标定义, 因此无法以在背
景可攻击空间内的同等标记效率进行标记. 当对抗扰动较小时, Trap-Net 依靠集成各子网络的平滑特性以保持模
型整体的鲁棒性. 而当对抗扰动较大时, 对抗样本被诱导到靶标可攻击空间从而被 Trap-Net 成功探测. 而当对抗
扰动位于“V”型拐点时, DNN 本身的平滑鲁棒性以及陷阱类别标记的邻近可攻击空间因防御机制不同, 造成各自
防御效力一定程度上的降低. 所以如何兼容两种防御特性以及进一步优化邻近可攻击空间的标记是我们未来重要
的研究点.
