基于量子局部內(nèi)在維度的對(duì)抗樣本檢測算法

張 瑜，昌 燕*，張仕斌

（1.成都信息工程大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，成都 610225；2.先進(jìn)密碼技術(shù)與系統(tǒng)安全四川省重點(diǎn)實(shí)驗(yàn)室（成都信息工程大學(xué)），成都 610225）

0 引言

近年來，機(jī)器學(xué)習(xí)發(fā)展迅速，尤其是基于人工神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)逐漸滲透到人們生活中的各個(gè)領(lǐng)域，如圖像識(shí)別［1］、信號(hào)處理［2］和優(yōu)化組合［3］。金融背景下，股價(jià)預(yù)測［4］一直是人們持續(xù)關(guān)注的問題。由于受到市場因素以及其他不可控因素的影響，很難精準(zhǔn)預(yù)測市場股價(jià)。研究人員提出使用深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Network，DNN）預(yù)測每日股價(jià)的漲跌［5］。盡管在預(yù)測正常樣本時(shí)有表現(xiàn)優(yōu)異，但在實(shí)際應(yīng)用中可能存在大量的攻擊者惡意篡改股票數(shù)據(jù)，向原始數(shù)據(jù)中故意添加人眼無法觀測的對(duì)抗擾動(dòng)形成對(duì)抗樣本，致使DNN 模型分類或預(yù)測出錯(cuò)，為用戶提供錯(cuò)誤的參考值。已有很多研究者在此基礎(chǔ)上提出不同種類的對(duì)抗樣本攻擊方法生成對(duì)抗樣本，如FGSM（Fast Gradient Sign Method）［6］、基于分類器的迭代線性化的DeepFool 算法［7］、基于雅可比矩陣的顯著性圖攻擊（Jacobian-based Saliency Map Attack，JSMA）方法［8］、CW（Carlini &Wagner）攻擊［9］等，對(duì)抗樣本的輸入使深度學(xué)習(xí)模型在置信水平極高的情況下作出錯(cuò)誤判斷，給深度學(xué)習(xí)的實(shí)際應(yīng)用帶來了巨大挑戰(zhàn)。因此，研究深度學(xué)習(xí)模型的對(duì)抗樣本防御方法尤為重要。

目前，對(duì)抗樣本防御方法主要分為對(duì)抗攻擊防御和對(duì)抗攻擊檢測兩個(gè)方面：

1）對(duì)抗攻擊防御是針對(duì)對(duì)抗樣本攻擊的防御方法，使深度學(xué)習(xí)模型在輸入對(duì)抗樣本時(shí)仍然保持良好的性能，提高了深度學(xué)習(xí)模型的魯棒性。Goodfellow 等［10］為了使模型適應(yīng)不同屬性的樣本集，提出對(duì)抗訓(xùn)練方法，將對(duì)抗樣本與正常樣本一同輸入模型訓(xùn)練，提高模型的分類準(zhǔn)確率；Athalye 等［11］分析了對(duì)抗樣本生成方法的通用思想，提出了梯度掩碼方法以隱藏模型原始的梯度信息，可有效規(guī)避基于梯度的攻擊方法；Liao 等［12］將人眼無法察覺的對(duì)抗擾動(dòng)視為噪聲，設(shè)計(jì)高階表征引導(dǎo)去噪器消除這些噪聲，達(dá)到防御的效果；Papernot等［13］提出防御蒸餾方法，平滑訓(xùn)練得到蒸餾模型，提高模型的泛化能力，使模型在面對(duì)攻擊時(shí)具備高彈性。

2）對(duì)抗攻擊檢測是指通過分析樣本的對(duì)抗性，設(shè)計(jì)檢測算法區(qū)分對(duì)抗樣本。Xu 等［14］提出特征壓縮方法，壓縮不必要的輸入特征，通過減小每個(gè)像素的顏色位深度和像素值的空間平滑，降低攻擊的自由度，以DNN 預(yù)測的結(jié)果與原始樣本預(yù)測結(jié)果的差值是否超過閾值的標(biāo)準(zhǔn)檢測樣本屬性；Feinman 等［15］根據(jù)對(duì)抗樣本與正常樣本分布流形區(qū)域的不同，使用核密度估計(jì)（Kernel Density Estimate，KDE）和貝葉斯不確定性估計(jì)（Bayesian Uncertainty Estimate，BUE）檢測低置信區(qū)域的數(shù)據(jù)點(diǎn)；Pang 等［16］使用逆交叉熵方法作為目標(biāo)函數(shù)訓(xùn)練神經(jīng)網(wǎng)絡(luò)模型，通過設(shè)置的閾值策略識(shí)別檢測對(duì)抗樣本；Ma 等［17］分析了對(duì)抗性區(qū)域的特點(diǎn)，證明了基于不同密度的檢測方法對(duì)于對(duì)抗性區(qū)域的定性具有局限性，提出使用局部內(nèi)在維度（Local Intrinsic Dimensionality，LID）表征對(duì)抗性區(qū)域的內(nèi)在維度，并將樣本的LID 估計(jì)值作為分類檢測器的評(píng)判依據(jù)，根據(jù)檢測器輸出的標(biāo)簽區(qū)分對(duì)抗樣本，實(shí)驗(yàn)結(jié)果表明，基于LID 的檢測方法在多種攻擊策略下比KDE、BUE 等檢測方法更具優(yōu)勢。

許多對(duì)抗攻擊防御方法在面對(duì)多樣化的攻擊時(shí)仍存在一定的局限性。因?yàn)樵诿鎸?duì)更優(yōu)化的對(duì)抗樣本攻擊時(shí)，已有的對(duì)抗攻擊防御方法可能不再適用，因此，為解決深度學(xué)習(xí)模型預(yù)測股價(jià)時(shí)存在對(duì)抗樣本攻擊的問題，研究有效的防御方法十分必要。

在當(dāng)今大數(shù)據(jù)時(shí)代，金融領(lǐng)域涌現(xiàn)海量數(shù)據(jù)。在面對(duì)股價(jià)預(yù)測、風(fēng)險(xiǎn)評(píng)估和投資組合等問題時(shí)，傳統(tǒng)機(jī)器學(xué)習(xí)算法無法高效解決用戶需求的問題。隨著量子計(jì)算的發(fā)展，研究人員利用量子態(tài)的疊加性和糾纏性，將經(jīng)典機(jī)器學(xué)習(xí)與量子計(jì)算結(jié)合，相繼提出了量子傅里葉變換、Shor 分解大整數(shù)算法、Grover 搜索算法、量子相位估計(jì)（Quantum Phase Estimation，QPE）、量子主成分分析［18］和量子卷積神經(jīng)網(wǎng)絡(luò)［19］等學(xué)習(xí)模型，可實(shí)現(xiàn)經(jīng)典算法的二次甚至指數(shù)級(jí)加速。

為解決深度學(xué)習(xí)模型預(yù)測股價(jià)時(shí)存在對(duì)抗樣本攻擊的問題，本文的工作重心集中于對(duì)抗樣本的檢測，將基于LID的對(duì)抗樣本檢測算法與量子計(jì)算結(jié)合，提出了基于量子LID的對(duì)抗樣本檢測算法。該算法充分利用量子計(jì)算的并行優(yōu)勢，使用量子算法計(jì)算待測樣本的LID 估計(jì)值，避免了經(jīng)典算法中的冗余計(jì)算，保證算法可用性的同時(shí)，降低了算法復(fù)雜度。使用鳶尾花數(shù)據(jù)集IRIS 和手寫數(shù)據(jù)集MNIST 對(duì)本文算法進(jìn)行實(shí)驗(yàn)驗(yàn)證，確保算法的可行性與有效性，并將它應(yīng)用于金融領(lǐng)域，可有效檢測深度學(xué)習(xí)模型在股價(jià)預(yù)測時(shí)存在的對(duì)抗樣本；從理論上分析了本文算法的優(yōu)勢，同時(shí)給出了該算法的優(yōu)化方向，結(jié)合對(duì)抗訓(xùn)練等對(duì)抗攻擊防御方法，進(jìn)一步提高預(yù)測模型的魯棒性與準(zhǔn)確性。

1 理論基礎(chǔ)

1.1 量子態(tài)與量子比特門

在量子物理中，通常使用態(tài)向量描述一個(gè)系統(tǒng)的狀態(tài)，與經(jīng)典比特表示方法相比，單量子比特可以包含這兩種標(biāo)準(zhǔn)正交基的信息，具體形式為：

其中：θ為變量，復(fù)矢量由正交基的線性組合描述，即兩種可能性的疊加狀態(tài)。復(fù)矢量系數(shù)滿足歸一化條件，能精準(zhǔn)描述自然界中廣泛存在的多重態(tài)粒子，也能使用不同的基態(tài)測量量子態(tài)攜帶的多種信息。在量子計(jì)算中，將量子門作用于量子比特上可改變量子比特的狀態(tài)，如本文用到的Hadamard 門的矩陣形式可表示為：

1.2 振幅編碼

將一個(gè)N維的經(jīng)典向量x={x1，x2，…，xN}編碼到n量子比特的振幅中，具體形式如下：

1.3 SWAP-Test

SWAP-Test 量子算法可求解兩向量內(nèi)積模的平方，用于衡量兩個(gè)量子態(tài)之間的相似程度。量子線路如圖1 所示。

圖1 SWAP-Test量子線路Fig.1 SWAP-Test quantum circuit

其中SWAP 門內(nèi)部電路可細(xì)化為受控非門的組合，如圖2 所示，左圖為SWAP 門線路，等價(jià)于右圖中受控非門的組合，本質(zhì)上都是實(shí)現(xiàn)對(duì)兩個(gè)量子比特的交換。

步驟4 輔助比特再次經(jīng)過Hadamard 門，量子態(tài)的最終結(jié)果為：

2 基于LID的對(duì)抗樣本檢測算法

一個(gè)多分類DNN 模型通常包含輸入層、隱藏層和輸出層。在每層神經(jīng)元的傳遞中都需經(jīng)過含加權(quán)和偏置變量的轉(zhuǎn)換函數(shù)f(w，b)以及激活函數(shù)σ的非線性映射，使DNN 模型能擬合更復(fù)雜的非線性函數(shù)。從圖3 可以看出，輸入向量為[x1，x2，…，xN]T，每層需經(jīng)過含有權(quán)重矩陣Wk和偏置向量bk的線性函數(shù)（k為網(wǎng)絡(luò)層層數(shù)（k∈[1，L]）），并將結(jié)果傳遞至激活函數(shù)σk非線性映射，提取輸入數(shù)據(jù)中更復(fù)雜的特征，最后輸出所有類別的概率分布。由于每層網(wǎng)絡(luò)中的神經(jīng)元個(gè)數(shù)可能不一致，圖中定義了第一層神經(jīng)元個(gè)數(shù)為i，第二層神經(jīng)元個(gè)數(shù)為i'，第L-1 層神經(jīng)元個(gè)數(shù)為j'，最后一層進(jìn)行j個(gè)類別分類。具體實(shí)現(xiàn)過程可簡化為一個(gè)有向傳遞：

圖3 多分類DNN模型Fig.3 Multi-classification DNN model

通過交叉熵?fù)p失函數(shù)作誤差反向傳播，進(jìn)而訓(xùn)練模型、更新變量Wk和bk。多次迭代運(yùn)行這一訓(xùn)練過程，直到損失值收斂，實(shí)現(xiàn)輸入樣本的多分類。

在深度學(xué)習(xí)模型的測試階段，由于模型的脆弱性，敵手精心制作的對(duì)抗擾動(dòng)很容易繞過隱藏層中冗余信息的過濾，將會(huì)遭受對(duì)抗樣本攻擊，導(dǎo)致模型輸出異常。對(duì)抗性區(qū)域指對(duì)抗樣本所在的區(qū)域，總是跨越一個(gè)連續(xù)的多維空間，接近對(duì)抗方向上的合法數(shù)據(jù)點(diǎn)，在保證一定攻擊性的同時(shí)，又能逼近真實(shí)的樣本數(shù)據(jù)。在此基礎(chǔ)上，Ma 等［17］以輸入層以及隱藏層的輸出單元都有可能存在對(duì)抗擾動(dòng)為出發(fā)點(diǎn)，并結(jié)合對(duì)抗性區(qū)域的特點(diǎn)，針對(duì)性地提出了基于LID 的對(duì)抗樣本檢測算法。本文將從該檢測算法的原理、思路以及實(shí)驗(yàn)結(jié)論這3 個(gè)方面詳細(xì)展開。

1）LID 是根據(jù)待測樣本到鄰近樣本集的距離分布評(píng)估待測樣本所在局部區(qū)域的空間填充能力。Amsaleg 等［20］提出使用LID 衡量樣本局部區(qū)域的內(nèi)在維度，設(shè)給定樣本集X～P，表示樣本集X={x1，x2，…，xn}服從P 分布（廣義帕累托分布），n為樣本數(shù)。則樣本x處的LID最大似然估計(jì)量公式：

其中：k為適度的鄰近樣本數(shù)，ri(x)表示當(dāng)前樣本與分布中第i個(gè)最近的樣本之間的距離。

2）由于對(duì)抗樣本總是跨越一個(gè)連續(xù)的多維空間，在高維數(shù)據(jù)的應(yīng)用中，對(duì)抗樣本的維度通常遠(yuǎn)大于任何給定的正常樣本的維度，這意味著對(duì)抗樣本的LID 估計(jì)值遠(yuǎn)大于正常樣本的LID 估計(jì)值。在使用LID 衡量樣本局部區(qū)域的內(nèi)在維度特征基礎(chǔ)之上，Ma 等［17］提出基于LID 的對(duì)抗樣本檢測算法，計(jì)算DNN 模型中每一網(wǎng)絡(luò)層輸出單元（激活值）的LID 估計(jì)值，構(gòu)建一個(gè)以LID 為評(píng)判依據(jù)的檢測器。

3）實(shí)驗(yàn)結(jié)果表明，對(duì)抗樣本的LID 估計(jì)值顯著高于正常樣本的LID 估計(jì)值，即對(duì)抗性區(qū)域的內(nèi)在維度更高，并且檢測器成功分類的準(zhǔn)確度高達(dá)99.5%。因此以樣本局部區(qū)域的內(nèi)在維度作為評(píng)判依據(jù)，可有效檢測出對(duì)抗樣本。

3 基于量子LID的對(duì)抗樣本檢測算法

本文為了實(shí)現(xiàn)高效的對(duì)抗樣本檢測算法，在基于LID 的對(duì)抗樣本檢測算法基礎(chǔ)上，結(jié)合量子計(jì)算，提出基于量子LID 的對(duì)抗樣本檢測算法。本文算法充分利用量子態(tài)的并行優(yōu)勢，使用高效的量子算法代替反復(fù)迭代的經(jīng)典算法。主要使用SWAP-Test 算法一次并行計(jì)算待測樣本與所有樣本之間的相似度；然后通過QPE 將相似度轉(zhuǎn)換到量子比特上，利用量子Grover 算法搜索鄰近k個(gè)樣本以及保存對(duì)應(yīng)的相似度，提高計(jì)算待測樣本LID 估計(jì)值的效率。

本文將從量子態(tài)制備、計(jì)算待測樣本LID 值以及訓(xùn)練二分類檢測器等幾個(gè)方面列出基于量子LID 的對(duì)抗樣本檢測算法的步驟。

1）量子態(tài)制備。

根據(jù)振幅編碼規(guī)則，將待測樣本與訓(xùn)練集樣本的屬性值歸一化，得到待測樣本x1=[x11，x12，…，x1N]T和所有但不包括x1的訓(xùn)練樣本集Y=[Y1，Y2，…，YM]T，其中Yj=[Yj1，Yj2，…，YjN]T(j∈[1，M])，N代表每個(gè)樣本的特征維數(shù)，M代表Y樣本集中樣本的數(shù)量，Yj表示樣本集中第j個(gè)樣本，向量元素YjN為樣本歸一化后的屬性值。將編碼的結(jié)果x1和Y作為量子算法的輸入，分別制備為量子疊加態(tài)

2）計(jì)算待測樣本LID 估計(jì)值。

使用Z基測量得到量子態(tài)第1個(gè)量子比特為1的概率因此經(jīng)過測量后，式（12）的量子態(tài)坍縮為：

②通過QPE 算法，將測量出的相似度轉(zhuǎn)換到量子比特上，可得到量子態(tài)

③使用量子Grover 算法搜索出最相似的k個(gè)樣本集，并保存其對(duì)應(yīng)的相似度。相似度從大到小排列，可表示為：max{d1(x1，Yind1)，d2(x1，Yind2)，…，dk(x1，Yindk) }，其中indk為樣本索引值。

④將相似度轉(zhuǎn)換為余弦距離。本文基于余弦相似度與余弦距離關(guān)系的思想，相似度與余弦距離成反比關(guān)系，得出式（15）：

其中：rt(x1)代表待測樣本x1與第t個(gè)鄰近樣本Yindt的余弦距離。由于量子模擬器與運(yùn)行次數(shù)shots等設(shè)置的不同，測量因子測出的概率幅值與傳統(tǒng)計(jì)算存在一定誤差，因此設(shè)置參數(shù)c調(diào)控距離。本文實(shí)驗(yàn)中取c=5。將相似度轉(zhuǎn)換為余弦距離后，待測樣本與鄰近k個(gè)樣本之間的距離從小到大可排列為min{r1(x1)，r2(x1)，…，rK(x1) }。

⑤代入式（9），求出待測樣本x1的LID 值并保存。

3）計(jì)算所有待測樣本LID 估計(jì)值。循環(huán)步驟1）、2），計(jì)算所有待測樣本X={x1，x2，…，xs}，s代表待測樣本數(shù)，為有限正整數(shù)。直到計(jì)算并保存所有待測樣本的LID 估計(jì)值后退出循環(huán)，保存結(jié)果為數(shù)組[LID1，LID2，…，LIDs]。

4）訓(xùn)練二分類檢測器。為不同屬性樣本的LID 估計(jì)值添加不同的標(biāo)簽，比如對(duì)抗樣本的LID 估計(jì)值設(shè)置標(biāo)簽為1，正常樣本的LID 估計(jì)值設(shè)置標(biāo)簽為0。將數(shù)值和標(biāo)簽一同輸入二分類檢測器中監(jiān)督學(xué)習(xí)，實(shí)現(xiàn)一個(gè)能準(zhǔn)確分類對(duì)抗樣本的檢測器。

4 實(shí)驗(yàn)及理論分析

本章通過仿真實(shí)驗(yàn)詳細(xì)展開以上算法步驟，具體步驟如圖4 所示。首先制備量子態(tài)，使用振幅編碼規(guī)則對(duì)待測樣本xi和訓(xùn)練樣本集Y編碼；加載訓(xùn)練好的目標(biāo)模型，并定義用于存儲(chǔ)LID 估計(jì)值的列表、鄰近樣本數(shù)K以及參數(shù)c；然后在每層激活層中調(diào)用量子線路計(jì)算出xi與Y之間的相似度，選取出鄰近K個(gè)樣本點(diǎn)的相似度并轉(zhuǎn)換為距離；再根據(jù)LID 公式就可以算出在當(dāng)前層數(shù)中xi與Y之間的LID 估計(jì)值；最后將計(jì)算出的LID 估計(jì)值輸入訓(xùn)練好的檢測器中就可以檢測出待測樣本是否為對(duì)抗樣本。仿真實(shí)驗(yàn)均在Google colab 平臺(tái)實(shí)現(xiàn)，采用開源的跨平臺(tái)python 庫pennylane 開發(fā)程序，并調(diào)用cleverhans 庫實(shí)施對(duì)抗樣本攻擊。

圖4 基于量子LID的對(duì)抗樣本檢測算法程序?qū)崿F(xiàn)Fig.4 Implementation of adversarial example detection algorithm based on quantum LID

為驗(yàn)證基于量子LID 的對(duì)抗樣本檢測算法的可行性與有效性，實(shí)驗(yàn)1 分別使用IRIS（4 維屬性值）和MNIST（784 維屬性值）兩個(gè)數(shù)據(jù)集驗(yàn)證算法，均選擇反向傳播神經(jīng)網(wǎng)絡(luò)（Back Propagation Neural Network，BPNN）作為目標(biāo)模型、對(duì)抗擾動(dòng)系數(shù)δ=0.1 的FGSM 作為對(duì)抗樣本攻擊算法；為解決目標(biāo)模型對(duì)股價(jià)預(yù)測時(shí)存在對(duì)抗樣本攻擊的問題，實(shí)驗(yàn)2將本文算法應(yīng)用到股票時(shí)序數(shù)據(jù)（浦發(fā)銀行股票的歷史數(shù)據(jù)），并使用長短期記憶（Long Short-Term Memory，LSTM）網(wǎng)絡(luò)作為目標(biāo)模型、對(duì)抗擾動(dòng)系數(shù)δ=0.1 的FGSM 作為對(duì)抗樣本攻擊算法。結(jié)合仿真實(shí)驗(yàn)的結(jié)果，理論分析本文算法的優(yōu)勢。與基于LID 的對(duì)抗樣本檢測算法相比，本文算法降低了時(shí)間復(fù)雜度，能高效檢測金融背景下股票數(shù)據(jù)存在的對(duì)抗樣本，進(jìn)而達(dá)到對(duì)抗防御的目的。

4.1 仿真實(shí)驗(yàn)

1）有效性驗(yàn)證。

①首先使用120 條IRIS 鳶尾花數(shù)據(jù)訓(xùn)練目標(biāo)模型BPNN（含5 層全連接層），其中每個(gè)樣本包含4 維特征：花萼長度、花萼寬度、花瓣長度和花瓣寬度。然后輸入30 條鳶尾花測試集測驗(yàn)，最終目標(biāo)模型的分類準(zhǔn)確率高達(dá)99.9%。為模擬對(duì)抗樣本攻擊，使用FGSM 對(duì)抗樣本攻擊算法（對(duì)抗擾動(dòng)系數(shù)δ=0.1）生成30 個(gè)測試樣本的對(duì)抗樣本集，輸入目標(biāo)模型BPNN 分類時(shí)，準(zhǔn)確度降至56.6%。為驗(yàn)證本文算法的可行性與有效性，使用經(jīng)典檢測計(jì)算方法和本文算法比對(duì)分析。圖5 是分別使用經(jīng)典LID 和量子LID 計(jì)算方法求出待測樣本xnorm和對(duì)應(yīng)對(duì)抗樣本xadv在經(jīng)過目標(biāo)模型隱藏層（3 層）后該樣本激活值的LID 估計(jì)值，其中，縱坐標(biāo)LID 表示使用經(jīng)典LID 計(jì)算方法計(jì)算出的數(shù)值，LIDq代表使用量子LID 算法計(jì)算的數(shù)值。可以看出，量子LID 計(jì)算方法同樣能有效計(jì)算出正常樣本與對(duì)抗樣本的內(nèi)在維度，與經(jīng)典計(jì)算方法效用相當(dāng)，均驗(yàn)證了對(duì)抗樣本與正常樣本的LID 估計(jì)值有明顯差異，對(duì)抗樣本的LID 估計(jì)值顯著高于正常樣本的LID 估計(jì)值。因此，以量子LID 算法計(jì)算出的LID 估計(jì)值作為二分類檢測器的評(píng)判依據(jù)，可有效區(qū)分對(duì)抗樣本，達(dá)到對(duì)抗防御的目的。

圖5 使用經(jīng)典LID和量子LID算法計(jì)算IRIS數(shù)據(jù)樣本LID值的實(shí)驗(yàn)結(jié)果對(duì)比Fig.5 Experimental result comparison of calculating LID values of IRIS data examples by classical LID and quantum LID algorithms

②使用高維手寫數(shù)據(jù)集MNIST 對(duì)本文算法進(jìn)行實(shí)驗(yàn)，其中數(shù)據(jù)集包括60 000 條訓(xùn)練數(shù)據(jù)和10 000 條測試數(shù)據(jù)，迭代訓(xùn)練100 次，得到準(zhǔn)確度為98.0%的目標(biāo)模型BPNN。同樣采取FGSM 攻擊算法，在原始樣本中故意添加擾動(dòng)系數(shù)δ為0.1 的噪聲，從而實(shí)施對(duì)抗樣本攻擊。攻擊效果如圖6（b）所示，目標(biāo)模型對(duì)于對(duì)抗樣本均分類出錯(cuò)，如第一個(gè)對(duì)抗樣本的信息7→3 表示真實(shí)標(biāo)簽為7，卻被目標(biāo)模型分類為3。因此，為檢測出對(duì)抗樣本，引入本文算法作樣本檢測。在向目標(biāo)模型輸入待分類樣本后，使用量子LID 計(jì)算方法對(duì)樣本每一網(wǎng)絡(luò)層激活值求出LID 估計(jì)值。圖6 中的LID 值指使用量子LID 算法求出待測樣本在經(jīng)過目標(biāo)模型最后一網(wǎng)絡(luò)層后該樣本激活值的LID 估計(jì)值。從實(shí)驗(yàn)結(jié)果可知，大部分對(duì)抗樣本的LID 估計(jì)值均顯著高于正常樣本的LID 估計(jì)值，表明對(duì)抗樣本的內(nèi)在維度普遍高于正常樣本，結(jié)果與預(yù)期設(shè)想一致。計(jì)算的LID 估計(jì)值可以體現(xiàn)對(duì)抗樣本和正常樣本之間的差異性，LID 估計(jì)值大的樣本為對(duì)抗樣本，反之為正常樣本。因此，使用量子LID 算法計(jì)算出的LID 估計(jì)值作為檢測對(duì)抗樣本的評(píng)判依據(jù)，并為它加上對(duì)應(yīng)的標(biāo)簽，將數(shù)據(jù)與標(biāo)簽一同輸入二分類檢測器，可實(shí)現(xiàn)對(duì)抗樣本的有效檢測。

圖6 使用量子LID算法計(jì)算MNIST數(shù)據(jù)樣本LID值的實(shí)驗(yàn)結(jié)果Fig.6 Experimental results of calculating LID values of MNIST data examples by quantum LID algorithm

2）實(shí)用性驗(yàn)證。

將提出的基于量子LID 的對(duì)抗樣本檢測算法應(yīng)用于金融領(lǐng)域，期望能有效檢測出股票數(shù)據(jù)集中存在的對(duì)抗樣本，解決深度學(xué)習(xí)模型預(yù)測股價(jià)時(shí)存在對(duì)抗樣本攻擊的問題。

實(shí)驗(yàn)中選取浦發(fā)銀行股票的歷史數(shù)據(jù)作為數(shù)據(jù)集，其中每天的股價(jià)由多種特征決定，本文提取出4 種特征（開盤價(jià)open、最高價(jià)high、最低價(jià)low 和閉盤價(jià)close）。每一個(gè)樣本數(shù)據(jù)包含前20 d 的特征，且以第21 d 的閉盤價(jià)作為標(biāo)簽。首先使用1 500 條樣本數(shù)據(jù)迭代訓(xùn)練目標(biāo)模型LSTM 200 次，最終的損失值逐漸收斂到0 左右；然后同樣使用對(duì)抗擾動(dòng)系數(shù)δ=0.1 的FGSM 攻擊算法，為200 條測試數(shù)據(jù)添加對(duì)抗擾動(dòng)生成對(duì)應(yīng)的對(duì)抗樣本集，再根據(jù)量子LID 算法計(jì)算各樣本的LID 估計(jì)值。本文選取了其中3 個(gè)正常樣本以及對(duì)應(yīng)對(duì)抗樣本的LID 估計(jì)值，如表1 所示。可以看到將本文算法應(yīng)用于時(shí)序數(shù)據(jù)時(shí)，仍然可得出結(jié)論：對(duì)抗樣本的LID 估計(jì)值顯著高于對(duì)應(yīng)正常樣本的LID 估計(jì)值，即LID 估計(jì)值大的樣本為對(duì)抗樣本，反之為正常樣本。因此，依據(jù)量子LID 算法計(jì)算的LID 估計(jì)值作為檢測對(duì)抗樣本的評(píng)判依據(jù)，輸入訓(xùn)練好的二分類檢測器中能有效檢測出對(duì)抗樣本。實(shí)驗(yàn)結(jié)果表明，在量子金融背景下，敵手向金融時(shí)序數(shù)據(jù)添加對(duì)抗擾動(dòng)生成對(duì)抗樣本時(shí)，仍能通過本文算法檢測。

表1 使用量子LID算法計(jì)算股票數(shù)據(jù)樣本LID值的實(shí)驗(yàn)結(jié)果Tab.1 Experimental results of calculating LID values of stock data examples by quantum LID algorithm

4.2 理論分析

以上仿真實(shí)驗(yàn)結(jié)果驗(yàn)證了算法的可用性與有效性。接下來將從理論層面分析基于量子LID 的對(duì)抗樣本檢測算法的優(yōu)勢。

本文算法利用了量子優(yōu)勢，充分發(fā)揮量子并行性，能一次性處理大批量數(shù)據(jù)集，避免了經(jīng)典算法中的冗余計(jì)算，提高了計(jì)算效率。本文算法在制備量子態(tài)并計(jì)算一次SWAPTest 交換門后，利用相位估計(jì)算法思想，迭代R次Grover 算子將相似度信息轉(zhuǎn)存到量子態(tài)上，其中R與相位估計(jì)的準(zhǔn)確率有關(guān)；向M個(gè)訓(xùn)練樣本中搜索K個(gè)相似度最大的樣本點(diǎn)需要執(zhí)行次迭代操作，可得出本文算法的時(shí)間復(fù)雜度為然而，基于經(jīng)典LID 的對(duì)抗樣本檢測算法需要反復(fù)迭代部分算法，如計(jì)算待測樣本與M個(gè)訓(xùn)練樣本的距離需要的時(shí)間復(fù)雜度為O(M)、并向其中搜索鄰近的K個(gè)樣本點(diǎn)需迭代運(yùn)行O(KM)次，即基于LID 的對(duì)抗樣本檢測算法的時(shí)間復(fù)雜度為O(KM2)。因此，基于量子LID 的對(duì)抗樣本檢測算法相較于經(jīng)典算法更高效，降低了時(shí)間復(fù)雜度，實(shí)現(xiàn)了指數(shù)級(jí)加速。

5 結(jié)語

本文將量子計(jì)算與基于LID 的對(duì)抗樣本檢測算法結(jié)合，提出基于量子LID 的對(duì)抗樣本檢測算法。所提算法充分利用量子并行的優(yōu)勢，使用量子算法計(jì)算待測樣本的LID 估計(jì)值，避免了經(jīng)典算法中的冗余計(jì)算。在仿真實(shí)驗(yàn)中，使用IRIS 和MNIST 數(shù)據(jù)集驗(yàn)證了所提算法的可行性與有效性，并將算法應(yīng)用到股價(jià)預(yù)測中，同樣可以根據(jù)計(jì)算的LID 估計(jì)值檢測對(duì)抗樣本。理論分析表明，基于量子LID 的對(duì)抗樣本檢測算法比基于LID 的對(duì)抗樣本檢測算法更高效，降低了算法的時(shí)間復(fù)雜度，實(shí)現(xiàn)了指數(shù)級(jí)加速。

由于對(duì)抗樣本檢測獨(dú)立于對(duì)抗樣本防御方法，可結(jié)合對(duì)抗訓(xùn)練等方法進(jìn)一步提高目標(biāo)模型的魯棒性與準(zhǔn)確性。此外，當(dāng)用戶數(shù)據(jù)量較大且需求更高時(shí)，對(duì)該算法優(yōu)化十分有意義，并且在中等規(guī)模含噪量子時(shí)代下，量子優(yōu)勢可能會(huì)更容易實(shí)現(xiàn)，使得本文算法應(yīng)用于對(duì)抗樣本檢測任務(wù)成為可能。