[人工智能]论文那些事—SmsNet: A New Deep Convolutional NeuralNetwork Model for Adversarial Example Detection

SmsNet: A New Deep Convolutional Neural Network Model for Adversarial Example Detection

1、摘要及背景

防御对抗样本攻击的现有方法分为被动防御和主动检测。被动防御方法，包括对抗性训练、梯度掩蔽和输入转换，已应用于训练DNN，在一定程度上保护DNN免受对抗样本的影响。这些方法只增强了网络的鲁棒性，对未知的对抗样本影响不大。主动检测方法，包括样本统计、训练检测器和预测不一致性，已被用于清理数据集，以避免DNN在训练或测试之前受到攻击。Li等人使用主成分分析（PCA）检测图像的统计特性。Xu等人通过测量原始示例和压缩示例的预测向量之间的不一致性来检测对抗样本。然而，Carlini和Wagner进行了实验，以证明大多数检测方法仅适用于小尺寸或多类图像数据集。本文提出了一种通用的对抗性示例检测模型，即随机多滤波器统计网络（SmsNet），以有效地检测对抗样本。该模型属于主动检测范畴，涉及两个主题：检测器的训练和样本统计。

2、Smsnet模型

?每个卷积层的输出不止传输到下一层，还直接传输到特征统计层，最后由特征统计层的输出作为最后的输入传输给全连接层+softmax，注意此处没有池化层，作者将池化层替换为了特征统计层。为了减少网络冗余，还进行了DPS（动态剪枝策略）。

卷积层：它的作用除了提取特征，还能进行图像滤波，即图像平滑处理，在尽量保留图像细节特征的条件下对目标图像的噪声进行抑制，使图像变得平滑、锐化、边界增强。

特征统计层：统计类特征是跨样本的，是图里头一些节点信息的汇聚，比单个样本，能提供更多协同的信息，这样的信息，模型很难学到，（例如，均值、方差和偏度）。本所提出的模型SmsNet旨在根据输入样本之间数据分布的差异来检测对抗性样本。然而，一般CNN学习到的特征没有特定的物理意义，不能用于表示样本的数据分布。因此，在这项工作中，提出了一个特征统计层来生成统计特征，反映样本的统计特性。在特征统计层中，通过m个数学特征对每个过滤后的图进行统计分析。

dynamic pruning strategy（动态剪枝策略）：事实上，并不是每个统计特征都能有效地用于样本检测。无效特征不仅降低了网络的效率，而且增加了网络的训练时间。与以往逐层修剪“最不重要”特征的策略不同，该策略实现了对整个网络中特征重要性的全局测量。并且提出的策略可以在网络训练过程中动态剪枝特征，而以往的剪枝只在网络训练后剪枝特征，缺乏灵活性。

Sms连接：在这项工作中，提出了一种新的网络结构，称为“SmsConnection”，以充分利用提取的统计特征。全连接层接收所有卷积层的输出，不同于传统的CNN，因为只有最顶层卷积层的输出被发送到全连接层。也就是说，n个并行子网都直接影响最终的分类结果。由n个并行子网提供的各种滤波映射可以大大提高检测精度。（和Resnet的捷径连接很像）

与传统的检测方法相比，该模型中的滤波器不需要仔细设计，但这会导致初始滤波器的性能较差。因此，SMS连接用于促进滤波器改进，因为由提取的统计特征决定的分类结果通过反向传播算法更新滤波器的参数。滤波器和统计特征相互影响，使所提出的模型达到最佳性能。（补充一下全连接层：全连接层（fully connected layers，FC）在整个卷积神经网络中起到“分类器”的作用。如果说卷积层、池化层和激活函数层等操作是将原始数据映射到隐层特征空间的话，全连接层则起到将学到的“分布式特征表示”映射到样本标记空间的作用。）

三大优势：

• 1、该模型是一个独立于被敌方攻击的目标网络的广义网络，个人理解是难以被攻击，因为输入本身是对抗样本。
• 2、提出了一种特征统计层来代替原有的全局池层。特征统计层不仅实现下采样功能，还执行统计特征提取操作。统计特征受益于网络训练，并且可以作为网络训练更有效地改进。全局池化（global pooling）来获取全局上下文关系。不以窗口的形式取均值，而是以feature map为单位进行均值化。即一个feature map输出一个值。
• 3、动态剪枝策略用于减少网络冗余以获得更高的性能。在该策略的执行下，网络可以根据训练情况自适应压缩一次或多次。

3、实验结果分析

本文比较了对抗样本检测方法级联分类器、特征压缩、SRM和ESRM。选择基于VGG-16的级联分类器作为比较对象。为了进行公平比较，所有涉及的检测方法都针对FGSM、Deepfool和C&W的攻击进行了测试。初始数据集包含从ImageNet（ILSVRC-2016）中随机选择的40000张图像，使用预训练VGG-16模型作为分类网络，评估精度为top-1。我们使用这40000张图像分别由FGSM、DeepFool和C&W生成40000张敌对图像。最后，数据集由80000张图像组成：40000张自然图像和40000张敌对图像。

实验结果如下：

?

?

?

?

?可以看出SmsNet对对抗样本的检测成功率是最高的，但在现实生活中，我们不知道应用了哪种攻击，而是使用相应的训练模型。因此，该模型的抗交叉攻击性能尤为重要。本文分别使用FGSM、Deepfool、C&W算法生成对抗样本，进行交叉验证，实验结果如下：

?

?从图中可以看出使用C&W训练集得到的SmsNet模型检测成功率最高，翁仲通过量化不同对抗样本生成算法产生的扰动来寻求答案。即不同对抗样本生成算法产生的对抗样本失真（值越大代表失真越严重），结果如下：

?从中可以看到C&W的失真最小，即C&W对样本数据分布的影响最小，因此C&W产生的对抗性示例最难检测。与C&W相比，FGSM是一种更易于检测的对抗性示例。

?

?

?

?

?

?