4868                                                      软件学报  2025  年第  36  卷第  10  期


                 中. 所有的卷积层中使用相同尺度的           3×3  的卷积核以及固定的步幅, 并在每个卷积层之后采用                2×2  的池化核进行
                 下采样. 前  2  个模块中各含    2  个卷积层, 接下来的    3  个模块中各含    4  个卷积层, 而最后   1  个模块则由   3  个全连接层
                 组成. 其中, 前  2  个全连接层包含     4 096  个神经元, 最终的全连接层由       1 000  个神经元组成. VGG19  通过使用多个
                 小卷积核而非大卷积核来增加网络的深度, 以便捕捉更为复杂和高级的特征表示. 然而, 这种设计也带来了模型参
                 数数量的显著增加以及更高的计算代价. 因此, 在模型的训练和推理过程中, VGG19                      计算资源需求较大.
                    DenseNet 模型的核心组件是密集块        (dense block). 每个密集块由多个卷积层组成. 在密集块中, 每层均与之前
                 所有层相连, 形成密集连接. 密集块内部所有的特征图都保持统一的维度, 不做尺寸裁剪. 另一个重要的组件是过
                 渡层  (transition layer), 由  1×1  的卷积层和  2×2  的平均池化层构成, 用于减少特征图的尺寸和通道数, 从而限制模型
                 的参数降低计算复杂度. DenseNet 的网络结构由多个密集块和过渡层组成, 最终通过一个                       7×7  的平均池化层和全
                 连接层进行分类决策. DenseNet 通过增强特征传播和改进梯度反向传播过程来减少参数数量. 与常规                            CNN  不同,
                 DenseNet 中每一层的输出不仅作为下一层的输入, 还直接与后续所有层的特征图相连. 这种密集连接结构有效提
                 升了信息和梯度的传递, 增强了训练稳定性与特征利用率. 然而, 由于每层需保存所有前层的特征图, DenseNet 的
                 内存消耗相对较大.
                    ConvNeXt 模型由   Liu  等人  [30] 于  2022  年提出, 是现代卷积神经网络的进化版本, 在图像分类任务中表现优异.
                 该模型结合了传统卷积操作与现代设计理念, 具有简洁的网络结构和高效的特征提取能力. ConvNeXt 由多个卷积
                 块和归一化层组成, 采用标准的          3×3  卷积核和固定步幅, 并引入残差连接增强训练稳定性. 其前几个模块通过残差
                 连接实现高效特征传递, 最后通过全局池化层和全连接层进行决策. 通过现代卷积操作和归一化机制, ConvNeXt
                 增加了网络深度和特征表示能力, 改善了梯度反向传播过程, 提高了模型训练效率. 尽管其设计导致了模型在内存
                 和计算资源方面需求较大, 但其在图像分类、目标检测等任务上表现尤为突出.

                  3   研究动机

                    当前基于图像变换的对抗样本检测基于一个重要的观察: 面向图像变换, 神经网络分类模型对良性样本的推
                 断结果较为稳定, 而对对抗样本的推断结果变化较大. 因此, 通过计算图像变换前后神经网络分类器输出结果的预
                 测距离, 并设立一个合适的阈值, 可以有效检测对抗样本. 例如, 特征压缩技术                     [31] 通过减少输入数据的位深度或应
                 用空间平滑滤波, 旨在减轻对抗性干扰. 随后, 通过比较分类模型对原始输入与处理后输入预测结果的差异与预设
                 阈值, 识别出超出阈值的样本作为对抗样本. 基于图像重构的检测策略                      [16] 通过训练自编码器对输入图像数据进行
                 编解码处理, 然后计算重构前后输入至分类模型的预测响应差异, 并与设定阈值比较, 以此判断样本是否为对抗
                 样本.
                    大多数对抗样本在经过上述图像变换后, 神经网络分类器的预测结果会出现明显的变化, 产生较大的预测距
                 离, 从而被当前检测方法有效识别. 为绕过这些检测手段, 攻击者可能专门针对上述防御技术, 构造对图像变换表
                 现稳定的强鲁棒性对抗样本. 即使在经历多种图像变换后, 这些对抗样本仍能以高置信度误导分类模型. 这些强鲁
                 棒性对抗样本在图像变换前后的预测距离通常明显低于检测阈值, 因而能轻易绕过检测机制.
                    然而, 这类强鲁棒性对抗样本并非无懈可击, 它们对图像变化表现得过分稳定成为检测的突破点. 我们观察发
                 现, 良性样本在经过图像处理后其特征会发生相对轻微的改变, 而经精心设计的强鲁棒性对抗样本, 由于对图像变
                 换过于稳定, 造成其预测距离过小. 为了验证此假设, 我们以                 KL  散度作为预测概率分布差异的指标, 量化良性样
                 本与对抗样本之间预测概率分布差异. 选取              100  张良性样本及通过     PGD、BIM、CW    和  DeepFool 攻击生成的对
                 抗样本进行研究. 样本经位深度减小处理即每个通道位深度由                     8  位降至  7  位后, 我们计算了样本变换前后预测概

                 率分布的差异值.
                    为了直观地观察对抗样本与良性样本之间的分布差异, 我们绘制了                       KL  散度分布图. 由图    1  可以观察到良性
                 样本与弱鲁棒性对抗样本的差异, 图            1(a) 展示的是  KL  散度在  0–1.4  之间的分布, 图  1(b) 特别显示了   KL  散度在
                 0–0.01  之间的样本分布情况. 对比图       1(a) 和图  1(b) 可以看到, 良性样本的    KL  散度分布主要集中在底部, 而        CW