摘要:
深度神经网络很容易受到精心设计且难以察觉的对抗扰动的影响。随着对抗攻击方法的不断发展,现有的防御算法已无法对其有效防御。同时,大量研究表明视觉变换器(ViT)在各个领域都比卷积神经网络(CNN)具有更强的鲁棒性和泛化性。而且,由于标准降噪器受到误差放大效应的影响,预测网络无法对所有重建样本进行正确分类。首先,本文提出了一种附加在预测网络之前的,结合了CNN和ViT的防御网络(CVTNet)。CVTNet可以有效消除对抗性扰动并具有良好的鲁棒性。 此外,本文提出了一个正则化损失,通过分别权衡重建样本的正确预测和错误预测来优化CVTNet。在多个标准基准数据集上的评估结果表明,CVTNet 比其他先进方法具有更好的鲁棒性。在CIFAR-10数据集上,与最先进算法的实验结果相比,所提出的 CVTNet 防御基于像素约束对抗样本的平均精度提高了24.25%,防御基于空间约束对抗样本的平均精度提高了14.06%。此外,CVTNet在跨模型保护方面表现出了出色的泛化性。
研究背景 为了有效地去除对抗性扰动,在基于预处理的方法中直接延用标准的降噪模型是不可行的。纯去噪中的轻微残余扰动会在目标模型的顶层被放大到很大的量级(误差放大效应),而且标准降噪模型关注的噪声与包含大量类别信息的对抗扰动有本质区别。相比之下,标准降噪中的类激活区域与自然中的类激活区域存在巨大的偏差。此外,大量研究表明,与CNN相比,ViT利用自我注意促进全局信息交互,表现出更少的偏差。此外,大量研究表明,ViT在抵御腐蚀和对抗扰动方面的鲁棒性优于CNN。
目的 本文方法的目标之一是提出一个能够将对抗样本重构出高质量自然样本的网络结构(CVTNet),它利用CNN和ViT的结合来有效消除对抗扰动。CVTNet通过融合来自浅层和深层表征的互补信息,实现了更好的重构性能,同时保持了对抗防御的鲁棒性。本文方法的另一目标是提出了一种正则化损失来强化鲁棒防御精度。具体来说,本文将视野转向目标分类器的预测局限性,将重构样本分为两部分,正确分类的重构样本为CPS,错误分类的样本为WPS,分别考虑CPS和WPS的损失。
方法 本文所提出的网络结构CVTNet的流程图如图1所示。CVTNet包括三个基本部分: 浅层特征提取部分、深层特征提取部分和图像重构部分。浅层特征提取和图像重构部分都是由卷积块组成,浅层特征提取从输入图像中提取低级特征。通过跳转连接,图像重构部分融合了浅层和深层特征,从而恢复出具有鲁棒性的自然样本。CVTNet的核心是深层特征提取部分,利用ViT块提取深度特征。ViT擅长捕捉图像的全局相关性和语义信息,从而更好地理解图像内容。同时,CVTNet引入了高效通道自注意(ECA)机制,以聚合更多分类特征,而不是像传统架构那样仅使用 MLP 进行特征混合。ECA 主要包括两个操作:对通道维度上的聚合信息进行平均,以及通过 Sigmoid 函数对注意力权重进行归一化。利用通道间的相互依赖性自适应地提高了对语义信息的敏感性,并抑制了对抗扰动信息,使网络聚焦于分类特征。由于误差放大效应,基于像素级约束的重构损失并不能保证完全消除对抗扰动。因此,在分别考虑CPS和WPS情况下,本文提出了一种正则化损失来提高目标分类器的鲁棒分类精度。如图2所示,在CPS情况下,重构样本已被正确分类,便使重构样本输入到分类模型的最大Logit值与第二大Logit值保持一个阈值距离,使其具有更强的鲁棒性。另一方面,在WPS的情况下,使用交叉熵损失函数来修正分类。
结果 本文在4个公开的基准数据集上评估所提出的方法,并与多种先进的方法进行比较。表1给出了本文方法与现有的一些较为先进的方法在CIFAR-10数据集上的量化对比结果。显然,本文提出的方法在取得了良好的防御性能。此外,图3展示了不同的对抗样本在MNIST、CIFAR-10和SVHN数据集上的可视化结果,可以观察到本文方法的重构效果更好,重构出更准确的分类特征,重构样本使得目标模型不再分类错误,达到了良好的防御能力。
结论 本文首先提出了一种基于预处理的鲁棒防御模型CVTNet,该模型结合了CNN和ViT的特点,在防御对抗攻击方面获得了较好的性能,并且在跨模型防御方面也有突出表现。同时,为了提高CVTNet的性能,我们引入了自通道注意机制ECA。通过在通道处理阶段加入 ECA 模块,使得CVTNet全面提高了防御能力和跨模型鲁棒性。由于误差放大效应,纯去噪方法生成的重构样本无法重构分类属性。本文提出了一种正则化损失来权衡自然实例和重建实例的logits差异。不仅使得重构样本重构样本的真实标签的logit与第二大logit达到一定阈值,从而确保重构样本的防御鲁棒性。未来,我们将强化防御基于空间的不可见攻击的能力和利用所提出的方法对ViT分类器进行迁移性验证。
下载: