刘会 等: 基于图像变换的双阈值对抗样本检测                                                          4877


                  5.3.6    检测效率评估
                    本文所提的基于图像变换的双阈值对抗样本检测方法提供了一种相对简单的架构, 该架构主要由图像变换组
                 件和特征分布差异计算模块构成. 本检测器对输入样本进行图像变换处理, 通过计算处理前后特征差异来检测对
                 抗样本. 在此过程中, 这种检测框架只要求临时存储变换后的样本结果, 而并不需要为部署检测器保留大量的额外
                 空间.
                    实验使用    300  张测试样本, 测试了基于图像变换的双阈值检测方法在不同数据集上的推理时间开销, 结果
                 如表  2  所示. 在  ImageNet 数据集上, 图像变换耗时仅为       0.4 s 左右. KL  距离的计算需要执行两次目标模型的推
                 理, 在  VGG19  模型上耗时   26.15 s, 在  ConvNeXt 模型上耗时  17.5 s. 在  CIFAR-10  数据集上, 图像变换部分仅需
                 0.012 s, KL  距离的计算耗时  4.34 s. 由此观察出, 在该检测方法运行时间中, 主要的时间开销发生在                 KL  距离计算
                 上. 这是因为在执行距离计算之前, 需要利用目标图像分类模型对变换前后的图像进行推理. 我们还注意到,
                 CIFAR-10  数据集推理效率高于      ImageNet 数据集. 这主要得益于      CIFAR-10  图像尺寸较小, 模型执行推理速度更
                 快, 使得检测器的运行更为高效. 从整体的检测效率来看, 检测器在                   ImageNet 上对每张样本的平均检测时间低于
                 0.09 s, 在  CIFAR-10  上仅为  0.015 s, 结果表明该检测器具有较高的效率. 总体而言, 基于图像变换的双阈值检测方
                 法拥有计算效率高和资源占用少的优势, 适用于对延迟敏感和资源紧张的应用场景.

                                                   表 2 检测架构推理效率

                   数据集       分类模型     样本数量      图像变换时间 (s)     KL计算时间 (s)   整体推理时间 (s)     平均推理时间 (s)
                             VGG19      300         0.43          26.15         26.58          0.089
                   ImageNet
                            ConvNeXt    300         0.38          17.50         17.93           0.06
                  CIFAR-10   DenseNet   300         0.012         4.34           4.36          0.015

                  6   总 结

                    针对现有对抗样本检测方法在输入数据变换处理的特征差异性辨识上存在的局限性, 本文提出了一种创新的
                 基于图像变换的双阈值对抗样本检测方法. 该方法首先执行图像变换处理, 继而量化变换前后输入样本的预测概
                 率分布距离. 通过设定两个阈值定义的区间, 此方法可判别上述距离是否落在该区间内, 以此来检测对抗样本. 在
                 ImageNet 和  CIFAR-10  数据集上, 我们对不同的模型采取不同的图像变换及强度对                5  种对抗样本进行了测试. 实
                 验结果表明, 相比于当前的单阈值检测方案, 本文所提的检测方法基于不同图像变换的检测效果均得到了明显提
                 升. 具体而言, 在   ImageNet 数据集上使用缩放变换, 对于不同模型均表现出良好的检测能力, 而针对                     CIFAR-10  这
                 种小尺寸图像的数据集, 使用平移变换的检测效果最优. 在针对                   PGD  产生的对抗样本检测上, 我们能够在保持低
                 误报率的同时, 实现      90%  以上的高检测率. 与其他检测方案相比较, 本文方法保持了较高的检测精度, 同时具备较
                 强的泛化能力. 下阈值的设定能够显著提升检测器的泛化能力, 提升了对高鲁棒性对抗样本的检测性能. 然而, 下
                 阈值潜在地限制了良性样本的识别边界, 导致少量对图像变换稳定的良性样本被错误地判定为对抗样本, 造成一
                 定的误报率. 在未来的研究中, 我们将充分发挥双阈值检测兼容性强的优势, 考虑同时使用多种变换方法或者与其
                 他检测方法联合, 降低对抗样本检测的误报率同时提升其准确度.

                 References:
                  [1]  Papa L, Russo P, Amerini I, Zhou LP. A survey on efficient vision transformers: Algorithms, techniques, and performance benchmarking.
                     IEEE Trans. on Pattern Analysis and Machine Intelligence, 2024, 46(12): 7682–7700. [doi: 10.1109/TPAMI.2024.3392941]
                  [2]  Cheng  XZ,  Jin  T,  Li  LJ,  Lin  W,  Duan  XY,  Zhao  Z.  OpenSR:  Open-modality  speech  recognition  via  maintaining  multi-modality
                     alignment.  In:  Proc.  of  the  61st  Annual  Meeting  of  the  Association  for  Computational  Linguistics  (Vol.  1:  Long  Papers).  Toronto:
                     Association for Computational Linguistics, 2023. 6592–6607. [doi: 10.18653/v1/2023.acl-long.363]
                  [3]  Min B, Ross H, Sulem E, Pouran Ben Veysel A, Nguyen TH, Sainz O, Agirre E, Heintz I, Roth D. Recent advances in natural language
                     processing via large pre-trained language models: A survey. ACM Computing Surveys, 2023, 56(2): 30. [doi: 10.1145/3605943]
                  [4]  Yu  JL,  Yin  HZ,  Xia  X,  Chen  T,  Li  JD,  Huang  Z.  Self-supervised  learning  for  recommender  systems:  A  survey.  IEEE  Trans.  on