Page 476 - 《软件学报》2025年第10期
P. 476
刘会 等: 基于图像变换的双阈值对抗样本检测 4873
5.3 实验结果与分析
5.3.1 不同图像变换下检测方法性能
该实验中, 我们采用以上 5 种不同的攻击方法生成对抗样本. 每一类攻击方法在设定的控制参数下生成 50 张
对抗样本. 本文的实验设置共 16 中攻击方法和参数的组合, 因此共产生 800 张对抗样本. 对于每一种攻击, 我们随
机选择 100 张对抗样本, 及其相同数量的良性样本构建验证集, 以此评估本文所提检测器的性能.
ImageNet 数据集上实验结果如图 4 所示. 从 VGG19 模型的 ROC 曲线可以看到, 本文检测方法对于大部分图
像变换均表现出良好的检测效果. 其中, 位深度减少 AUC 值高达 0.86, 说明采用位深度减少能够有效保障 VGG19
抵御对抗样本攻击. 而对于 ConvNeXt 模型, 采用图像缩放能够获得最好的检测效果, AUC 值可达 0.89. 检测性能
最差的是平滑滤波和去高频两种变换, 其 AUC 值在 VGG 模型上只有 0.44, 在 ConvNeXt 模型上只有 0.31, 无法识
别出对抗样本. 对比两个模型在 ImageNet 数据集上的表现, 我们认为同一个模型对不同图像变换的敏感度不同,
不同的模型对于同一种图像变换的敏感度也不同. 因此会导致同一模型上不同图像变换下检测性能存在一定差
异, 同一种图像变换在不同模型上的检测性能也存在差异. 如旋转变换在 VGG19 中 AUC 值为 0.72, 具备较好的
对抗样本检测效果. 而其在 ConvNeXt 模型中 AUC 值只有 0.46, 几乎无法准确检测对抗样本.
1.0 1.0
0.8 0.8
0.6 0.6
TPR TPR
0.4 加性噪声 (AUC=0.70) 0.4 加性噪声 (AUC=0.81)
去噪 (AUC=0.44) 去噪 (AUC=0.31)
位深度减少 (AUC=0.86) 位深度减少 (AUC=0.76)
过滤高频信息 (AUC=0.44) 过滤高频信息 (AUC=0.31)
0.2 平移 (AUC=0.85) 0.2 平移 (AUC=0.77)
翻转 (AUC=0.84) 翻转 (AUC=0.83)
旋转 (AUC=0.72) 旋转 (AUC=0.46)
错切 (AUC=0.76) 错切 (AUC=0.66)
0 缩放 (AUC=0.85) 0 缩放 (AUC=0.89)
0 0.2 0.4 0.6 0.8 1.0 0 0.2 0.4 0.6 0.8 1.0
FPR FPR
(a) VGG19 (b) ConvNeXt
图 4 ImageNet 上不同图像变换下检测器的检测性能
在 CIFAR-10 数据集上实验结果如后文图 5(a) 所示. 可以看到, 检测性能最好的变换是平移变换, 其 AUC 值
最高为 0.88; 检测性能最差的变换是加噪, 其 AUC 值最低为 0.61. 对比两个数据集上实验结果, 我们发现位深度
减少、平移和缩放的 AUC 值都较高, 而平滑滤波和去高频的 AUC 值相对较低. 实验结果说明, 对抗样本经过位
深度减少、平移和缩放这 3 种变换后, 其弱扰动很轻易被过滤掉, 而强扰动基本无法被去除. 平滑滤波和去高频则
无法有效过滤弱扰动, 但可以在一定程度上过滤强扰动这种高频信息. 同时我们观察到, 本方案针对 CIFAR-10 的
检测能力要高于对 ImageNet 的检测, 表明本文检测方法对于小尺寸的图像检测效果更优.
5.3.2 不同变换强度下检测方法性能
本文选择 9 种变换中检测效果最好的图像变换, 测试不同变换强度对检测方法性能的影响. 其中, 对于
DenseNet 模型, 我们选择平移变换, 对比其平移 1–7 像素之间的效果, 其 ROC 曲线如图 5(b) 所示; 对于 VGG19 模
型, 选择了位深度减少, 对比其位深度减少到 1–7 bit 之间的效果, 其 ROC 曲线如图 6(a) 所示. 对于 ConvNeXt 模
型, 选择了缩放, 对比其缩放倍数从 1.1 到 2.3 的效果, 其 ROC 曲线如图 6(b) 所示.
在 ImageNet 数据集上, 本检测器采用位深度减少实现的能够有效检测针对 VGG19 模型的对抗攻击. 当位深
度减少至 7 bit 时效果最好, AUC 值高达 0.86; 当位深度减少到 1 bit 时效果最差, AUC 值为 0.51. 我们可以看到,
随着位深度减少的强度增大, 检测器性能也在逐渐下降. 当位深度减少为 1 bit 时, 图像为黑白的二值图像, 无论是
良性样本还是对抗样本, 经过变换都产生严重的特征缺失, 导致变换前后模型预测概率分布差异很大, 从而无法有
