基于冗余信息压缩的深度学习对抗样本防御方案

2020-09-10 06:50许笑陈奕君冯诗羽谢理哲曹玖新胡轶宁
网络空间安全 2020年8期
关键词:预处理准确率尺寸

许笑,陈奕君,冯诗羽,谢理哲,曹玖新,5,6,胡轶宁,5,6

〔1.东南大学网络空间安全学院,江苏南京 211189;2.东南大学计算机科学与工程学院,江苏南京 211189;3.南京医科大学口腔医学院,江苏南京 210029;4.江苏省口腔疾病研究重点实验室,江苏南京 210029;5.江苏省计算机网络技术重点实验室,江苏南京 211189;6.网络空间国际治理研究基地(东南大学),江苏南京211189〕

1 引言

最近在计算机视觉方面的突破带来了一些新的安全挑战[1]。卷积神经网络(Convolutional Neural Network,CNN)被广泛应用于自动驾驶汽车、人脸识别等安全应用领域。然而,Akhtar等[2]人发现基于CNN的深度学习系统存在安全隐患,添加了细微附加扰动的输入样本,可能会使未进行防御的模型失效,这类样本被称为对抗样本。因此,增强基于CNN的深度学习系统的鲁棒性,使其能够抵御对抗样本攻击,这对于人工智能安全非常重要。

现有的对抗样本的防御方案,主要集中在三个方面:训练过程、模型结构和数据预处理。其中,改进模型结构的方案一般相对复杂,而且针对不同的攻击和数据集具有迁移性差的特点。数据预处理是最具迁移性的方法,在实际应用中具有重要地位。Guo等人[3]指出预处理防御方案的关键在于几点:从输入图像中去除对抗性扰动;在输入图像中保留足够的信息以正确分类;同时Xie等人[4]指出引入随机性对于构建强大的防御系统尤为重要,尤其是在敌方掌握防御策略信息的情况下。

受到图像预处理思想的启发,本文首先将图像缩放为多个尺寸,进行了训练和测试,探究图像信息对于深度学习模型的影响。如表1所示,图片信息减少会轻微降低模型在干净样本上的分类准确率,但是会大幅度提升模型在对抗样本上的分类准确率。由此可知图像中存在部分对模型分类精度影响较小且容易隐藏附加扰动的信息,本文将其定义为冗余信息。因此,如何有效减少图像的冗余信息,同时不影响模型性能,对于模型防御能力至关重要。

综上所述,本文提出冗余信息压缩(Image Redundancy Compression,IRC)方案,作为高效的预处理步骤,帮助模型抵御对抗样本攻击。IRC将随机压缩方法与图像多尺寸缩放相结合,对图像信息进行选择性压缩处理,在保留图像类别信息的同时,减少图像的冗余信息及附加扰动,有效抵御对抗样本攻击。

本文的贡献为三点。

(1)对比多种预处理方案的防御性能,给出深度学习模型采用预处理措施时的建议。

(2)研究图像信息对于模型的影响,单模型结构中实现了随机化和多尺寸集成训练。

(3)将图像缩放与随机压缩方法相结合,针对性地减少高频信号等冗余信息,提升防御性能,并保留了足够的图像类别信息。

2 相关工作

近年来,研究人员在对抗样本防御技术做了大量的研究,主要在训练过程、模型结构和数据预处理三个方向对CNN进行改进,实现模型鲁棒性的提升和对抗样本附加干扰的消除。数据预处理是与本文最相关的领域。

通过数据预处理进行数据增强是提高模型的鲁棒性的手段,比如GridMask[5]计算生成多个遮挡块,进行数据扩充。这类数据增强方案有助于提升模型的泛化能力,但是未达到消附加干扰的目的。研究人员也提出了利用神经网络作为数据预处理的手段,比如超分辨率重建等,但是步骤繁琐、方案的迁移性较差。

Guo等人[3]进一步测试了易于实施和迁移的预处理手段,验证JPEG压缩、总变分最小化等去噪和随机性方法在对抗样本防御上有着更出色的表现,但是随机性并没有充分利用。

因此Xie等人[4]又提出随机变化图像尺寸并填充,验证了随机性的重要性,但是方案并没有很好的去噪性能。所以,本文从随机性和特定干扰消除的角度出发,提高模型的防御能力。

3 冗余信息压缩的防御模型

本文提出IRC作为对抗样本攻击的防御机制。IRC将随机压缩与图像多尺寸缩放方法相结合,对图像进行选择性压缩处理,在保留分类信息的同时,减少图像的冗余信息,消除附加扰动,从而抵御对抗样本攻击。

表1 干净样本和对抗样本在不同缩放尺寸和IRC训练策略下的分类精度

防御模型的整体架构如图1所示。IRC包括两个阶段:首先利用随机压缩消除在图像高频信号区域的冗余信息;然后采用双线性插值法降采样,结合空间金字塔池化(Spatial Pyramid Pooling,SPP)[6],使模型集成多尺寸的图像信息,从而既保持在干净样本上的准确率,又提高鲁棒性,增强防御效果。

3.1 随机压缩图像

压缩是一种常用的去噪方法,其中JPEG压缩方案被证明是减少图像高频信号的有效方法[3],因此本文将JPEG压缩作为基本的压缩方式。本文基于Guo等人[3]的JPEG压缩方案,提出三点随机压缩防御策略。

(1)采用随机压缩和合并的方法重建图像,增强防御模型的泛化能力。本文选择四种不同的图像压缩级别,分别保留40%、60%、80%和90%的图像信息。然后,把这幅画分成四部分,每个部分随机选择一个压缩程度来进行JPEG压缩,策略如图2所示。

(2)模型只需要在随机压缩后的图像上训练几个轮次即可完成防御步骤,测试环节将输入的图像随机压缩即可。

与传统的JPEG压缩方案相比,随机压缩的策略从不同层次上减少了高频分量,从而为模型提供了更强的抵御对抗样本攻击的能力。

图1 整体架构

图2 随机压缩策略

3.2 多尺寸缩放集成策略

IRC通过缩放来实现图像信息在高频上的压缩,考虑到方案的实用性和随机性,本文以双线性插值法为基础,采用基于金字塔池化层的集成方案,实现图像的多尺寸缩放集成。

3.2.1 双线性插值法缩放

双线性插值法[7]是常用的一种图像缩放的方法。它利用周围4个邻点的像素值在两个方向上进行线性插值得到待采样点像素值,实现图像的缩放与模糊,公式表达为:

该方法考虑了邻点的像素值影响,而未考虑邻点间的像素值变化率的影响,所以具有低通滤波器的性质,高频信号有所损失。

3.2.2 基于金字塔池化层的多尺寸方案

不同尺寸的图像缩放,是对图像信息直观的改变。表1中图像尺寸的变化对应准确率的变化,表明图像预处理后保留的信息越多,越有利于模型进行分类,但不利于模型的防御性能。因此,IRC基于金字塔池化层实现多尺寸集成,平衡模型的分类和防御性能。

首先,IRC将网络最后的池化层替换为空间金字塔池化层。模型进而可以接受任意输入尺寸的图像,并进行不同程度的特征提取,有助于模型对图像信息的整合预测。

IRC基于金字塔池化层的多尺寸策略。

(1)模型分别在多个单一尺寸上进行训练和测试,选取防御和分类性能相对较好的128×128、64×64、32×32等多个尺寸,作为多尺寸集成策略的候选尺寸。

(2)输入图像被缩放为多个候选尺寸,按照从大到小次序(防御性能最好的小尺寸最后输入)输入网络进行训练,完成模型在训练阶段的多尺寸信息的获取。

(3)在测试步骤中,将待预测图像缩放为多个候选尺寸,模型分别进行预测,并采取加权叠加的方式将各尺寸下的预测置信度相加,确定待预测图像的类别,公式表达为:

IRC在单模型结构实现了多尺寸的集成,同时具有良好的迁移性,网络不需要从头训练,更换池化层后即可继续训练。

综上所述,IRC通过将随机压缩与图像多尺寸缩放集成相结合,保留了图像类别信息的同时,实现了冗余信息的去除,有利于模型在保持性能的同时,抵御对抗样本攻击。

4 实验评估

4.1 实验设置

本文选取IJCAI-2019阿里巴巴人工智能对抗挑战赛(AAAC 2019)数据集作为实验数据。AAAC 2019包含来自110个类别,总计110,000张在线电子商务图像。本文取80%的数据集用作训练集,将20%用作测试集。

本文选用经典的DenseNet和WideResNet神经网络作为基本模型,其中DenseNet选用DenseNet-121结构[8],Wide-ResNet分类网络的宽度为28,深度为10。神经网络的初始学习率设为0.01,且随着训练次数的增加,下降到0.0001,优化方法是随机梯度下降,Bach Size选择32,图像训练尺寸为原始尺寸299×299。

用于对比的防御方案与IRC的基本模型和训练方式等一致,包括JPEG压缩[3]、总变分最小化[3]、随机缩放填充[4]、GridMask[5]等提高防御性能的预处理方案。实验中采用灰盒攻击的方式生成对抗样本[9]。本文采用FGSM(快速梯度符号法,Fast Gradient Sign Method)[10]、DeepFool[11]、PGD(投影梯度下降法,Project Gradient Descent)[12]等多种先进的攻击技术生成对抗样本,评测模型防御性能,其中对抗样本最大的扰动值=128/256=0.5(L2范数)。

4.2 不同尺寸训练策略的实验效果对比

IRC的核心思想在于图像冗余信息的压缩有助于消除对抗样本中的附加扰动。所以,本文首先对比不同图像缩放方案的实验效果,验证图像信息对防御能力的影响。本文评估了在DenseNet模型上,不同缩放尺寸训练策略在DeepFool对抗样本攻击下的防御性能。

如表1所示,图像缩放的训练策略可以有效地提升模型的防御性能,比如图像从原尺寸299×299缩放至32×32进行训练,对抗样本下的准确率,由33.5%提升至83.1%,同时干净样本的准确率仅有轻微的下降,从94.5%下降至90.5%。IRC中的多尺寸缩放集成策略,取得到了最好的效果,在对抗样本的准确率上高达86.3%,远高于其余尺寸的准确率,同时在干净样本上的准确率也保持着较高的水平94.4%,相比于原尺寸只下降了0.1%。说明图像的缩放起到了信息压缩的效果,在一定程度上消除了图像中的冗余信息和附加扰动。

4.3 总体方案的实验效果评估

预处理方案是迁移性高的防御策略,本文选用DenseNet和WideResNet神经网络作为基本模型,验证多种预处理方案的防御效果。

如表2和表3所示,IRC防御方案在DenseNet和WideResNet神经网络模型上都取得了最佳的防御效果。面对FGSM攻击,IRC相比于基本模型,在DenseNet和WideResNet上分别提高了44.8%和46.3%。在面对DeepFool和PGD攻击时,也具有出色的防御性能。同时IRC方案在干净样本上的准确率仅有轻微下降,在DenseNet和WideResNet上准确率分别下降了0.9%和3.4%。

表2和表3中对比了多个单一预处理方案的防御性能,可以得出四点结论。

(1)IRC中的多尺寸缩放集成策略取得了最为突出的防御效果提升,结合表2可知,合理控制图像尺寸信息是有效的防御措施。

(2)在模型中引入随机性,可以显著提升模型的防御性能。比如,IRC的随机压缩防御性能远强于Guo等人[3]实验的JPEG压缩方案,面对FGSM攻击,在DenseNet和WideResNet上分别高2.1%和11.3%。

(3)针对数据增强的预处理方案,比如GridMask,可以增强模型的鲁棒性,但是防御性能上与专注防御的预处理方案相差较大。

(4)多种预处理方案需要合理组合。比如,Xie等人[4]的随机缩放填充和IRC中的多尺寸缩放策略组合防御时,在面对FGSM攻击时,在DenseNet上准确率由单一的多尺寸缩放策略的79.5%下降至76.3%。而IRC方案中多尺寸缩放策略与随机压缩方案组合,可以取得更高的准确率,从79.5%升至80.0%。

表2 不同预处理防御方案在DenseNet神经网络模型上的防御性能比较

表3 不同预处理防御方案在WideResNet神经网络模型上的防御性能比较

5 结束语

本文提出了IRC预处理防御方案,将随机压缩方法与图像多尺寸缩放方案相结合,压缩图像中的冗余信息,从而消除对抗样本攻击带来的附加扰动。同时IRC单个网络结构中实现了随机化和集成策略,加强模型的防御性能。

IRC防御方案具有很强的可迁移性。面对先进的对抗样本攻击时,IRC在多个神经网络模型上都取得了稳定的出色防御效果,说明合理控制图像尺寸、压缩冗余信息是有效的防御措施。预处理防御环节,在保留图像有效分类信息的同时,消除图像中的附加扰动,是本文重点解决的问题,这也是构建鲁棒深度学习系统的重要环节,值得进一步研究。

猜你喜欢
预处理准确率尺寸
KR预处理工艺参数对脱硫剂分散行为的影响
预处理对医用外科口罩用熔喷布颗粒过滤性能的影响
手术器械预处理在手术室的应用
CIIE Shows Positive Energy of Chinese Economy
乳腺超声检查诊断乳腺肿瘤的特异度及准确率分析
多层螺旋CT技术诊断急性阑尾炎的效果及准确率分析
不同序列磁共振成像诊断脊柱损伤的临床准确率比较探讨
污泥预处理及其在硅酸盐制品中的运用
颈椎病患者使用X线平片和CT影像诊断的临床准确率比照观察
佳石选赏