Page 477 - 《软件学报》2025年第10期
P. 477
4874 软件学报 2025 年第 36 卷第 10 期
效进行对抗性检测. 而对于 ConvNeXt 模型, 基于缩放实现的检测器性能最优. 缩放倍数由 1.1 增加到 2.3 时, 检测
器的 AUC 值稳定在 0.9 左右. 缩放倍数对检测器在 ConvNeXt 模型的检测性能影响相对较小. 对于 CIFAR-10 数
据集, 随着平移像素的增加, 检测器在对 DenseNet 模型的防护中, AUC 值先增加后减少, 在平移 4 像素时达到最
大值 0.91, 表现出最强的综合检测能力.
1.0 1.0
0.8 0.8
0.6 0.6
TPR 加性噪声 (AUC=0.61) TPR
0.4 去噪 (AUC=0.68) 0.4
位深度减少 (AUC=0.83) 平移 l px (AUC=0.88)
过滤高频信息 (AUC=0.68) 平移 2 px (AUC=0.89)
平移 (AUC=0.88) 平移 3 px (AUC=0.90)
0.2 翻转 (AUC=0.81) 0.2 平移 4 px (AUC=0.91)
旋转 (AUC=0.78) 平移 5 px (AUC=0.85)
错切 (AUC=0.79) 平移 6 px (AUC=0.83)
缩放 (AUC=0.87) 平移 7 px (AUC=0.80)
0 0
0 0.2 0.4 0.6 0.8 1.0 0 0.2 0.4 0.6 0.8 1.0
FPR FPR
(a) 不同图像变换 (b) 不同变换强度
图 5 CIFAR-10 上不同变换和不同强度下检测器的检测性能
1.0 1.0
0.8 0.8
0.6 0.6
TPR TPR
0.4 0.4
位深度减少至 l bit (AUC=0.51) 缩放 1.1 倍 (AUC=0.89)
位深度减少至 2 bit (AUC=0.66) 缩放 1.3 倍 (AUC=0.90)
位深度减少至 3 bit (AUC=0.78) 缩放 1.5 倍 (AUC=0.91)
0.2 位深度减少至 4 bit (AUC=0.82) 0.2 缩放 1.7 倍 (AUC=0.92)
位深度减少至 5 bit (AUC=0.80) 缩放 1.9 倍 (AUC=0.91)
位深度减少至 6 bit (AUC=0.82) 缩放 2.1 倍 (AUC=0.91)
位深度减少至 7 bit (AUC=0.86) 缩放 2.3 倍 (AUC=0.91)
0 0
0 0.2 0.4 0.6 0.8 1.0 0 0.2 0.4 0.6 0.8 1.0
FPR FPR
(a) VGG19 (b) ConvNeXt
图 6 ImageNet 上不同变换强度下检测器的检测性能
5.3.3 不同攻击下检测方法性能
我们选择在最优的条件设置下对不同攻击进行检测. 对于 ImageNet 数据集, 采用位深度减少至 7 来实现本检
测器, 保护 VGG19 模型抵御对抗样本攻击; 采用缩放至 1.7 倍来实现本检测器, 保护 ConvNeXt 模型. 对于 CIFAR-10
数据集, 采用位深度减少至 4 位来实现本文所设计的检测器, 来保护 DenseNet 图像分类模型. 检测器在 ImageNet
数据集上的 ROC 曲线如图 7 所示, 在 CIFAR-10 数据集上的 ROC 曲线如图 8(a) 所示.
从图 7 可以看出, 在 ImageNet 数据集上, 本文检测方法对 BIM、DeepFool、CW 和 PGD 攻击表现出良好的
检测效果. 其中, 对 PGD 和 CW 攻击, 检测器获得的平均 AUC 值在 0.95 左右. 结果表明, 本文方法可以准确地检
测出大部分 PGD 和 CW 对抗样本. 然而, 对于 VGG19 模型中 FGSM 攻击, 检测器获得的 AUC 值只有 0.62, 仍然
有部分 FGSM 对抗样本能够规避检测. 在 CIFAR-10 数据集上, 从图 8(a) 可以看到, 面对 PGD 攻击时检测器的
AUC 值达到 0.98, 表明本文方法针对小型图像样本, 能够以非常高效地检测出 PGD 对抗样本. 面对 FGSM 攻击
时, 本检测器在 CIFAR-10 数据集上表现最差, 但其 AUC 值仍然高达 0.8. 整体而言, 面对不同类型的对抗攻击, 本
文的检测器在 ImageNet 和 CIFAR-10 上均表现出了较强的检测能力.
