基于冗余信息壓縮的深度學習對抗樣本防御方案

許笑，陳奕君，馮詩羽，謝理哲，曹玖新,5,6，胡軼寧,5,6

〔1.東南大學網絡空間安全學院，江蘇南京 211189；2.東南大學計算機科學與工程學院，江蘇南京 211189；3.南京醫科大學口腔醫學院，江蘇南京 210029；4.江蘇省口腔疾病研究重點實驗室，江蘇南京 210029；5.江蘇省計算機網絡技術重點實驗室，江蘇南京 211189；6.網絡空間國際治理研究基地（東南大學），江蘇南京211189〕

1 引言

最近在計算機視覺方面的突破帶來了一些新的安全挑戰[1]。卷積神經網絡（Convolutional Neural Network，CNN）被廣泛應用于自動駕駛汽車、人臉識別等安全應用領域。然而，Akhtar等[2]人發現基于CNN的深度學習系統存在安全隱患，添加了細微附加擾動的輸入樣本，可能會使未進行防御的模型失效，這類樣本被稱為對抗樣本。因此，增強基于CNN的深度學習系統的魯棒性，使其能夠抵御對抗樣本攻擊，這對于人工智能安全非常重要。

現有的對抗樣本的防御方案，主要集中在三個方面：訓練過程、模型結構和數據預處理。其中，改進模型結構的方案一般相對復雜，而且針對不同的攻擊和數據集具有遷移性差的特點。數據預處理是最具遷移性的方法，在實際應用中具有重要地位。Guo等人[3]指出預處理防御方案的關鍵在于幾點：從輸入圖像中去除對抗性擾動；在輸入圖像中保留足夠的信息以正確分類；同時Xie等人[4]指出引入隨機性對于構建強大的防御系統尤為重要，尤其是在敵方掌握防御策略信息的情況下。

受到圖像預處理思想的啟發，本文首先將圖像縮放為多個尺寸，進行了訓練和測試，探究圖像信息對于深度學習模型的影響。如表1所示，圖片信息減少會輕微降低模型在干凈樣本上的分類準確率，但是會大幅度提升模型在對抗樣本上的分類準確率。由此可知圖像中存在部分對模型分類精度影響較小且容易隱藏附加擾動的信息，本文將其定義為冗余信息。因此，如何有效減少圖像的冗余信息，同時不影響模型性能，對于模型防御能力至關重要。

綜上所述，本文提出冗余信息壓縮（Image Redundancy Compression，IRC）方案，作為高效的預處理步驟，幫助模型抵御對抗樣本攻擊。IRC將隨機壓縮方法與圖像多尺寸縮放相結合，對圖像信息進行選擇性壓縮處理，在保留圖像類別信息的同時，減少圖像的冗余信息及附加擾動，有效抵御對抗樣本攻擊。

本文的貢獻為三點。

（1）對比多種預處理方案的防御性能，給出深度學習模型采用預處理措施時的建議。

（2）研究圖像信息對于模型的影響，單模型結構中實現了隨機化和多尺寸集成訓練。

（3）將圖像縮放與隨機壓縮方法相結合，針對性地減少高頻信號等冗余信息，提升防御性能，并保留了足夠的圖像類別信息。

2 相關工作

近年來，研究人員在對抗樣本防御技術做了大量的研究，主要在訓練過程、模型結構和數據預處理三個方向對CNN進行改進，實現模型魯棒性的提升和對抗樣本附加干擾的消除。數據預處理是與本文最相關的領域。

通過數據預處理進行數據增強是提高模型的魯棒性的手段，比如GridMask[5]計算生成多個遮擋塊，進行數據擴充。這類數據增強方案有助于提升模型的泛化能力，但是未達到消附加干擾的目的。研究人員也提出了利用神經網絡作為數據預處理的手段，比如超分辨率重建等，但是步驟繁瑣、方案的遷移性較差。

Guo等人[3]進一步測試了易于實施和遷移的預處理手段，驗證JPEG壓縮、總變分最小化等去噪和隨機性方法在對抗樣本防御上有著更出色的表現，但是隨機性并沒有充分利用。

因此Xie等人[4]又提出隨機變化圖像尺寸并填充，驗證了隨機性的重要性，但是方案并沒有很好的去噪性能。所以，本文從隨機性和特定干擾消除的角度出發，提高模型的防御能力。

3 冗余信息壓縮的防御模型

本文提出IRC作為對抗樣本攻擊的防御機制。IRC將隨機壓縮與圖像多尺寸縮放方法相結合，對圖像進行選擇性壓縮處理，在保留分類信息的同時，減少圖像的冗余信息，消除附加擾動，從而抵御對抗樣本攻擊。

表1 干凈樣本和對抗樣本在不同縮放尺寸和IRC訓練策略下的分類精度

防御模型的整體架構如圖1所示。IRC包括兩個階段：首先利用隨機壓縮消除在圖像高頻信號區域的冗余信息；然后采用雙線性插值法降采樣，結合空間金字塔池化（Spatial Pyramid Pooling，SPP）[6]，使模型集成多尺寸的圖像信息，從而既保持在干凈樣本上的準確率，又提高魯棒性，增強防御效果。

3.1 隨機壓縮圖像

壓縮是一種常用的去噪方法，其中JPEG壓縮方案被證明是減少圖像高頻信號的有效方法[3]，因此本文將JPEG壓縮作為基本的壓縮方式。本文基于Guo等人[3]的JPEG壓縮方案，提出三點隨機壓縮防御策略。

（1）采用隨機壓縮和合并的方法重建圖像，增強防御模型的泛化能力。本文選擇四種不同的圖像壓縮級別，分別保留40%、60%、80%和90%的圖像信息。然后，把這幅畫分成四部分，每個部分隨機選擇一個壓縮程度來進行JPEG壓縮，策略如圖2所示。

（2）模型只需要在隨機壓縮后的圖像上訓練幾個輪次即可完成防御步驟，測試環節將輸入的圖像隨機壓縮即可。

與傳統的JPEG壓縮方案相比，隨機壓縮的策略從不同層次上減少了高頻分量，從而為模型提供了更強的抵御對抗樣本攻擊的能力。

圖1 整體架構

圖2 隨機壓縮策略

3.2 多尺寸縮放集成策略

IRC通過縮放來實現圖像信息在高頻上的壓縮，考慮到方案的實用性和隨機性，本文以雙線性插值法為基礎，采用基于金字塔池化層的集成方案，實現圖像的多尺寸縮放集成。

3.2.1 雙線性插值法縮放

雙線性插值法[7]是常用的一種圖像縮放的方法。它利用周圍4個鄰點的像素值在兩個方向上進行線性插值得到待采樣點像素值，實現圖像的縮放與模糊，公式表達為：

該方法考慮了鄰點的像素值影響，而未考慮鄰點間的像素值變化率的影響，所以具有低通濾波器的性質，高頻信號有所損失。

3.2.2 基于金字塔池化層的多尺寸方案

不同尺寸的圖像縮放，是對圖像信息直觀的改變。表1中圖像尺寸的變化對應準確率的變化，表明圖像預處理后保留的信息越多，越有利于模型進行分類，但不利于模型的防御性能。因此，IRC基于金字塔池化層實現多尺寸集成，平衡模型的分類和防御性能。

首先，IRC將網絡最后的池化層替換為空間金字塔池化層。模型進而可以接受任意輸入尺寸的圖像，并進行不同程度的特征提取，有助于模型對圖像信息的整合預測。

IRC基于金字塔池化層的多尺寸策略。

（1）模型分別在多個單一尺寸上進行訓練和測試，選取防御和分類性能相對較好的128×128、64×64、32×32等多個尺寸，作為多尺寸集成策略的候選尺寸。

（2）輸入圖像被縮放為多個候選尺寸，按照從大到小次序（防御性能最好的小尺寸最后輸入）輸入網絡進行訓練，完成模型在訓練階段的多尺寸信息的獲取。

（3）在測試步驟中，將待預測圖像縮放為多個候選尺寸，模型分別進行預測，并采取加權疊加的方式將各尺寸下的預測置信度相加，確定待預測圖像的類別，公式表達為：

IRC在單模型結構實現了多尺寸的集成，同時具有良好的遷移性，網絡不需要從頭訓練，更換池化層后即可繼續訓練。

綜上所述，IRC通過將隨機壓縮與圖像多尺寸縮放集成相結合，保留了圖像類別信息的同時，實現了冗余信息的去除，有利于模型在保持性能的同時，抵御對抗樣本攻擊。

4 實驗評估

4.1 實驗設置

本文選取IJCAI-2019阿里巴巴人工智能對抗挑戰賽（AAAC 2019）數據集作為實驗數據。AAAC 2019包含來自110個類別，總計110,000張在線電子商務圖像。本文取80%的數據集用作訓練集，將20%用作測試集。

本文選用經典的DenseNet和WideResNet神經網絡作為基本模型，其中DenseNet選用DenseNet-121結構[8]，Wide-ResNet分類網絡的寬度為28，深度為10。神經網絡的初始學習率設為0.01，且隨著訓練次數的增加，下降到0.0001，優化方法是隨機梯度下降，Bach Size選擇32，圖像訓練尺寸為原始尺寸299×299。

用于對比的防御方案與IRC的基本模型和訓練方式等一致，包括JPEG壓縮[3]、總變分最小化[3]、隨機縮放填充[4]、GridMask[5]等提高防御性能的預處理方案。實驗中采用灰盒攻擊的方式生成對抗樣本[9]。本文采用FGSM（快速梯度符號法，Fast Gradient Sign Method）[10]、DeepFool[11]、PGD（投影梯度下降法，Project Gradient Descent）[12]等多種先進的攻擊技術生成對抗樣本，評測模型防御性能，其中對抗樣本最大的擾動值=128/256=0.5（L2范數）。

4.2 不同尺寸訓練策略的實驗效果對比

IRC的核心思想在于圖像冗余信息的壓縮有助于消除對抗樣本中的附加擾動。所以，本文首先對比不同圖像縮放方案的實驗效果，驗證圖像信息對防御能力的影響。本文評估了在DenseNet模型上，不同縮放尺寸訓練策略在DeepFool對抗樣本攻擊下的防御性能。

如表1所示，圖像縮放的訓練策略可以有效地提升模型的防御性能，比如圖像從原尺寸299×299縮放至32×32進行訓練，對抗樣本下的準確率，由33.5%提升至83.1%，同時干凈樣本的準確率僅有輕微的下降，從94.5%下降至90.5%。IRC中的多尺寸縮放集成策略，取得到了最好的效果，在對抗樣本的準確率上高達86.3%，遠高于其余尺寸的準確率，同時在干凈樣本上的準確率也保持著較高的水平94.4%，相比于原尺寸只下降了0.1%。說明圖像的縮放起到了信息壓縮的效果，在一定程度上消除了圖像中的冗余信息和附加擾動。

4.3 總體方案的實驗效果評估

預處理方案是遷移性高的防御策略，本文選用DenseNet和WideResNet神經網絡作為基本模型，驗證多種預處理方案的防御效果。

如表2和表3所示,IRC防御方案在DenseNet和WideResNet神經網絡模型上都取得了最佳的防御效果。面對FGSM攻擊，IRC相比于基本模型，在DenseNet和WideResNet上分別提高了44.8%和46.3%。在面對DeepFool和PGD攻擊時，也具有出色的防御性能。同時IRC方案在干凈樣本上的準確率僅有輕微下降，在DenseNet和WideResNet上準確率分別下降了0.9%和3.4%。

表2和表3中對比了多個單一預處理方案的防御性能，可以得出四點結論。

（1）IRC中的多尺寸縮放集成策略取得了最為突出的防御效果提升，結合表2可知，合理控制圖像尺寸信息是有效的防御措施。

（2）在模型中引入隨機性，可以顯著提升模型的防御性能。比如，IRC的隨機壓縮防御性能遠強于Guo等人[3]實驗的JPEG壓縮方案，面對FGSM攻擊，在DenseNet和WideResNet上分別高2.1%和11.3%。

（3）針對數據增強的預處理方案，比如GridMask，可以增強模型的魯棒性，但是防御性能上與專注防御的預處理方案相差較大。

（4）多種預處理方案需要合理組合。比如，Xie等人[4]的隨機縮放填充和IRC中的多尺寸縮放策略組合防御時，在面對FGSM攻擊時，在DenseNet上準確率由單一的多尺寸縮放策略的79.5%下降至76.3%。而IRC方案中多尺寸縮放策略與隨機壓縮方案組合，可以取得更高的準確率，從79.5%升至80.0%。

表2 不同預處理防御方案在DenseNet神經網絡模型上的防御性能比較

表3 不同預處理防御方案在WideResNet神經網絡模型上的防御性能比較

5 結束語

本文提出了IRC預處理防御方案，將隨機壓縮方法與圖像多尺寸縮放方案相結合，壓縮圖像中的冗余信息，從而消除對抗樣本攻擊帶來的附加擾動。同時IRC單個網絡結構中實現了隨機化和集成策略，加強模型的防御性能。

IRC防御方案具有很強的可遷移性。面對先進的對抗樣本攻擊時，IRC在多個神經網絡模型上都取得了穩定的出色防御效果，說明合理控制圖像尺寸、壓縮冗余信息是有效的防御措施。預處理防御環節，在保留圖像有效分類信息的同時，消除圖像中的附加擾動，是本文重點解決的問題，這也是構建魯棒深度學習系統的重要環節，值得進一步研究。