Page 300 - 《软件学报》2024年第4期
P. 300
1878 软件学报 2024 年第 35 卷第 4 期
200
1
2 3 4 5
150
Argument to Softmax −100 0 6 7 8 9 10
100
50
11
−50
12
13
14
16
−150
17
18
−200 15
19
0 5 10 15 20 25 30 35 40
ε
图 8 不同大小扰动下各数据类别的 DNN 最终逻辑输出
针对陷阱式平滑损失函数对 Trap-Net 的对抗防御效力是否有优化这一问题, 表 6 展示了 Trap-Net 分别使用
CE 和陷阱式标签平滑作为损失函数后, 面对不同的对抗攻击方法所表现出的对抗防御效力. 其中, M4 以 CE 为损
失函数, 以 CIFAR-10 为陷阱数据集的输出类别为 16, 18 和 20 的 Trap-Net. M5 以陷阱式平滑为损失函数, 其模型
M4 相同.
结构与
表 6 陷阱式平滑对抗防御效力的影响 (%)
M4 M5
攻击方法 参数 原始模型
探测前 探测后 探测前 探测后
无 - 98.97 99.24 99.24 99.32 99.32
FGSM ε = 0.3 25.56 48.26 80.77 0.84 98.75
FGSM ε = 0.6 8.47 3.22 92.45 0.00 100
PGD ε = 0.3 2.76 5.89 69.53 0.12 99.59
PGD ε = 0.6 0.51 2.59 94.27 0.00 100
C&W C = 1 0.00 0.00 3.33 92.34 96.68
从实验结果分析可知, M5 其探测前准确率明显低于 M4 , 如在 ε =0.3 的 FGSM 攻击场景下, M4 的探测前准
确率为 48.26%, 而 M5 为 0.84%. 这表明陷阱式平滑使得陷阱式网络更易被“攻击”. 然而二者的探测后准确率对比
M5 的对抗样本探测效力大大增强, 在各种扰动大小的攻击场景下, 都有优异的防御效力表现. 这体现出陷
可知,
M4 无法有效防御 攻击, 而
阱式平滑对对抗样本的诱导作用及双赢思想下防御效力的增强. 值得注意的是, C&W
添加了陷阱式平滑损失函数的 M5 可以对 C&W 攻击有效防御. 这表明陷阱式平滑可极大程度上影响基于优化的
对抗攻击方法针对对抗扰动的搜索.
针对陷阱式诱导因子大小对对抗防御效力的影响这一问题, 本文利用 FGSM 和 PGD 攻击算法, 通过选择不
同大小的陷阱诱导因子以探测陷阱式集成网络在有目标和无目标攻击之下的防御效力.
如图 9 所示, 在 PGD 有目标攻击场景下, 当陷阱式诱导因子 α < 0.2 时, 陷阱式集成防御效力低下. 这是因为
陷阱数据穿插于目标数据流形之间的邻近可攻击空间的难度大于定义背景可攻击空间. 同时从对干净数据的分类
α 的增大, 干净数据集的分类精度将会缓慢下降. 具体地, 在 MNIST 数据集的分类场景下, 当
精度可知, 随着
α < 0.6 时, 陷阱式平滑对原分类精度的下降影响不超过 0.2%. 当 α > 0.8 时, 陷阱式平滑对原分类精度的下降影响
为 1% 左右. 通过后续实验我们发现, 在以 CIFAR-10 为主体, CIFAR-100 为陷阱数据集的 Trap-Net 实验中, 当
α 的选取应在考虑陷阱数据对原目标数据流形的靶标可攻
α > 0.6 时, Trap-Net 将会变得不稳定. 综上, Trap-Net 对
α 的选取区间为 [0.35, 0.6]. 后续的实验
击空间定义效力的同时, 考虑 α 对原目标数据分类精度的影响. 我们建议
中将随机选取 α = 0.4 进行 Trap-Net 的相关实验. 同时 Trap-Net 的防御效力与 α 未成单调性关系反映出通过在同
一网络结构中使用不同大小 α 进行陷阱式网络的训练也是一种 Trap-Net 靶标可攻击空间的扩大方式.
小结: (1) 损失函数是评估 DNN 于具体事务环境下性能表现的关键指标, 完善优化损失函数对于提升 DNN
的分类性能及鲁棒性具有重要意义. (2) 陷阱式平滑损失函数能优化陷阱数据类别与目标数据类别之间的诱导关
