AdvFilter: Predictive Perturbation-aware Filtering against Adversarial Attack via Multi-domain Learning

• 來(lái)源：ACM MM 2021
• 作者：Yihao Huang1, Qing Guo2?, Felix Juefei-Xu3, Lei Ma4, Weikai Miao1, Yang Liu2,5, Geguang Pu1
• 單位：1East China Normal University, China 2Nanyang Technological University, Singapore
  3Alibaba Group, USA 4University of Alberta, Canada 5 Zhejiang Sci-Tech University, China
• 郵箱：Yihao Huang’s email: huangyihao22@gmail.com ;Corresponding authors. E-mail: ggpu@sei.ecnu.edu.cn.
• 論文原地址：AdvFilter: Predictive Perturbation-aware Filtering against Adversarial Attack via Multi-domain Learning

背景

深度學(xué)習(xí)技術(shù)除了會(huì)對(duì)圖像的空頻域進(jìn)行修改生成偽造圖像，有些時(shí)候也會(huì)改變圖像的語(yǔ)義信息?；谏疃葘W(xué)習(xí)的對(duì)抗攻擊，就是一種會(huì)對(duì)真實(shí)圖像的語(yǔ)義信息進(jìn)行修改的技術(shù)。該技術(shù)能生成讓神經(jīng)網(wǎng)絡(luò)判斷出錯(cuò)的偽造圖像（也稱對(duì)抗樣本），從而引發(fā)安全問(wèn)題。因此本章對(duì)如何防御該技術(shù)引發(fā)的偽造圖像語(yǔ)義問(wèn)題進(jìn)行了研究。

目前，對(duì)抗去噪和神經(jīng)網(wǎng)絡(luò)對(duì)抗性訓(xùn)練是兩個(gè)獨(dú)立的提高卷積神經(jīng)網(wǎng)絡(luò)魯棒性的解決方案。這兩種方案分別通過(guò)對(duì)輸入數(shù)據(jù)進(jìn)行預(yù)處理和再訓(xùn)練模型來(lái)防御對(duì)抗攻擊。

本章從數(shù)據(jù)精細(xì)化的角度，即采用對(duì)抗去噪防御來(lái)進(jìn)行圖像的語(yǔ)義修復(fù)。
研究了兩種增強(qiáng)對(duì)抗魯棒性的像素級(jí)去噪方法：基于加性的方法和未研究過(guò)的基于濾波的方法，分別在圖像級(jí)和語(yǔ)義級(jí)的損失函數(shù)下進(jìn)行實(shí)驗(yàn)，【結(jié)果表明：基于濾波的像素級(jí)去噪方法可以獲得更高的圖像質(zhì)量、魯棒性，有更好的偽圖語(yǔ)義修復(fù)能力】

但是，基于濾波的去噪方法依賴于用來(lái)進(jìn)行神經(jīng)網(wǎng)絡(luò)訓(xùn)練的對(duì)抗樣本的擾動(dòng)大小，對(duì)不同攻擊強(qiáng)度的偽造圖像沒(méi)有較好的通用性?！揪窒扌浴?br>因此，本文提出了基于擾動(dòng)感知濾波的像素級(jí)圖像去噪方法——AdvFilter

對(duì)抗去噪防御 對(duì)抗訓(xùn)練防御

貢獻(xiàn)

• 第一個(gè)研究比較不同損失函數(shù)（例如圖像級(jí)和語(yǔ)義級(jí)）下基于加法的像素去噪和基于過(guò)濾的像素去噪的對(duì)抗性去噪防御性能。
• 提出了一種基于預(yù)測(cè)擾動(dòng)感知濾波的方法，通過(guò)多域?qū)W習(xí)來(lái)處理不同攻擊強(qiáng)度的對(duì)抗性攻擊。該方法對(duì)cnn進(jìn)行魯棒化，同時(shí)不影響對(duì)干凈或微小噪聲擾動(dòng)圖像的精度。
• 提出并驗(yàn)證了一個(gè)假設(shè)，即對(duì)抗性去噪和對(duì)抗性訓(xùn)練可以在對(duì)抗性防御任務(wù)中相互受益。

相關(guān)工作

對(duì)抗性去噪防御

據(jù)我們所知，廖等人[23]是目前唯一的對(duì)抗性去噪防御方法。對(duì)于標(biāo)準(zhǔn)去噪器，圖像中的小殘余對(duì)抗噪聲被逐漸放大，導(dǎo)致錯(cuò)誤的分類。為了克服這一問(wèn)題，Liao等[23]提出了高級(jí)表示引導(dǎo)去噪(high-level representation guided denoiser, HGD)作為圖像分類的防御手段。他們采用目標(biāo)模型(如ResNet50 [15]， VGG19[29])的中間表示(即去噪圖像的高級(jí)表示)的差值來(lái)計(jì)算損失。

然而，HGD過(guò)于強(qiáng)調(diào)高級(jí)表示，在處理微噪聲擾動(dòng)圖像時(shí)表現(xiàn)不佳。HGD直接利用神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)噪聲逆映射，并將其加到噪聲圖像中，得到去噪圖像。這種基于加性的去噪方法不如基于濾波的去噪，后者將在3.2節(jié)中進(jìn)行評(píng)估。

對(duì)抗性訓(xùn)練防御

對(duì)抗性訓(xùn)練防御[12,20,24,32]是針對(duì)對(duì)抗性攻擊的最廣泛研究的防御之一。
Yan等人[36]將一個(gè)基于對(duì)抗攝動(dòng)的正則化器集成到分類目標(biāo)中，這樣得到的模型就能學(xué)會(huì)抵抗?jié)撛诘墓簟ie等人[34]開(kāi)發(fā)了一種新的網(wǎng)絡(luò)，其中包含執(zhí)行特征去噪的塊，通過(guò)執(zhí)行特征去噪來(lái)增加對(duì)抗魯棒性。Li等[22]提出的特征金字塔解碼器(FPD)框架在目標(biāo)CNN中植入去噪和圖像恢復(fù)模塊，對(duì)輸入圖像進(jìn)行多級(jí)過(guò)濾。
對(duì)抗性訓(xùn)練可以在防御白盒攻擊和黑盒攻擊方面取得較好的效果。然而，它需要涉及足夠數(shù)量和種類的對(duì)抗樣本，導(dǎo)致大量GPU計(jì)算資源的高時(shí)間復(fù)雜度

其他對(duì)抗性防御方法

還有一些其他的對(duì)抗性防御方法。Das等[5]使用JPEG壓縮對(duì)圖像進(jìn)行預(yù)處理，以減少對(duì)抗性噪聲的影響。Guo等[13]使用輸入變換對(duì)抗對(duì)抗性圖像。

Efros等[8]使用圖像絎縫進(jìn)行紋理合成和轉(zhuǎn)移以響應(yīng)對(duì)抗性攻擊。盡管這些方法看起來(lái)很有用，但Athalye等人[2]表明，這些防御方法嚴(yán)重依賴于梯度掩蔽，這導(dǎo)致了對(duì)對(duì)抗性攻擊的魯棒性的錯(cuò)誤感覺(jué)

一般圖像去噪

有許多通用的圖像去噪方法[6,9,25,28]在圖像處理和計(jì)算機(jī)視覺(jué)領(lǐng)域得到了深入的研究。他們通常使用過(guò)濾器去噪圖像。Rudin等[28]提出了一種約束優(yōu)化類型的數(shù)值算法來(lái)去除圖像中的噪聲。如今，Mildenhall等[25]利用核預(yù)測(cè)網(wǎng)絡(luò)構(gòu)建了一種濾波器變體方法，該方法為圖像中的每個(gè)像素點(diǎn)提供專門的去噪濾波器。

創(chuàng)新

AdvFilter：設(shè)計(jì)了雙重?cái)_動(dòng)濾波和基于不確定性的感知融合模塊，用于在訓(xùn)練和測(cè)試過(guò)程中自動(dòng)感知擾動(dòng)振幅，從而更好地恢復(fù)圖像語(yǔ)義。

基于加性的像素去噪(即(a))，基于濾波的像素去噪(即(b))以及提出的預(yù)測(cè)性擾動(dòng)感知濾波(即?)的架構(gòu)，用于對(duì)抗魯棒性增強(qiáng)。

公式

給定一個(gè)經(jīng)過(guò)標(biāo)準(zhǔn)訓(xùn)練的用于圖像分類的CNN(即(·))和一個(gè)干凈的圖像I，我們可以通過(guò)對(duì)抗性攻擊方法生成難以察覺(jué)的對(duì)抗示例I。一般來(lái)說(shuō)，我們使用以下流程進(jìn)行非目標(biāo)攻擊

其中??是對(duì)抗性擾動(dòng)，并通過(guò)

式中，J(·)為交叉熵?fù)p失函數(shù)，其中，值域?yàn)檩斎雸D像的標(biāo)注。
給定一個(gè)對(duì)抗示例(例如，I-hat)，我們的目標(biāo)是通過(guò)使用預(yù)測(cè)噪聲信息進(jìn)行去噪操作D(·)來(lái)消除對(duì)抗擾動(dòng)，從而增強(qiáng)cnn的魯棒性。
使用預(yù)訓(xùn)練的深度模型變量??(·)直接預(yù)測(cè)噪聲相關(guān)信息，并將上述過(guò)程表示為

式中~ I表示去噪后的圖像。為了訓(xùn)練變量的定義，我們考慮了兩種損失函數(shù)，即圖像級(jí)和語(yǔ)義級(jí)的凈圖像和去噪圖像之間的差異。[23]

其中，??(·)表示CNN (·)中??th層的輸出。
Eq.(4)促使去噪后的圖像與干凈后的圖像具有相同的圖像質(zhì)量，而Eq.(5)使I和~ I的深度特征保持一致，即CNN(·)預(yù)測(cè)I和~ I上的相同標(biāo)簽。
當(dāng)設(shè)置不同的D(·)時(shí)，可以得到基于加性和基于濾波的像素去噪器。
基于加性的像素去噪。通過(guò)將Eq.(3)指定為，我們得到基于加性的像素去噪

其中，深度模型(I)預(yù)測(cè)逆對(duì)抗擾動(dòng)，即Eq.(1)中的???，并使用加性運(yùn)算進(jìn)行去噪。
基于濾波的像素去噪。我們通過(guò)指定Eq.(3)為實(shí)現(xiàn)基于濾波的像素去噪

其中的’ * 圈星* '是逐像素的過(guò)濾，即，每個(gè)I的像素都是由一個(gè)排他核(其核大小為??)從變量變量的變量變量中估計(jì)出來(lái)的。專門為??th像素?我,我們通過(guò)獨(dú)家內(nèi)核過(guò)濾的大小??×??×3??th位置的存儲(chǔ)??(?我)。我們?cè)趫D1中展示了它們的架構(gòu)。

結(jié)論：在圖像級(jí)和語(yǔ)義級(jí)損失函數(shù)下，基于濾波的去噪方法在對(duì)抗魯棒性增強(qiáng)方面都比現(xiàn)有的基于加性去噪方法有絕對(duì)優(yōu)勢(shì)；
帶有圖像級(jí)損失函數(shù)的基于濾波的去噪器在小攻擊強(qiáng)度和大攻擊強(qiáng)度上都能達(dá)到較高的精度，但在中值攻擊強(qiáng)度上效果較差，提示我們需要開(kāi)發(fā)一種擾動(dòng)感知去噪器。

方法

我們構(gòu)建了一個(gè)包含一個(gè)編碼器和兩個(gè)解碼器的新穎網(wǎng)絡(luò)。一個(gè)解碼器設(shè)計(jì)用于處理大小對(duì)抗性噪聲，而另一個(gè)解碼器用于處理中位數(shù)強(qiáng)度。我們將這個(gè)網(wǎng)絡(luò)表示為Y-Net，兩個(gè)解碼器的輸出分別表示為??sl(·)和??m(·)。給定一個(gè)對(duì)抗示例I和去噪操作D(·)，Y-Net基于預(yù)測(cè)噪聲信息產(chǎn)生兩個(gè)輸出為

第一行圖像是在ResNet50和從NeurIPS2017DEV數(shù)據(jù)集中選擇的相同干凈圖像上具有不同PGD攻擊強(qiáng)度的噪聲圖像。攻擊強(qiáng)度的值(即，自由度)在圖像的上方。第二行圖像為上述圖像對(duì)應(yīng)的不確定度映射。我們可以發(fā)現(xiàn)，不同攻擊強(qiáng)度的噪聲圖像會(huì)產(chǎn)生不同的不確定性圖。

多域?qū)W習(xí)

• 結(jié)構(gòu)：Y-Net與第3.2節(jié)的結(jié)構(gòu)中的U-Net具有相同的編碼器和兩個(gè)相同的解碼器。我們用來(lái)從不確定性圖中生成權(quán)重圖的卷積網(wǎng)絡(luò)()包含6個(gè)卷積層，后面是一個(gè)Sigmoid函數(shù)。
• 訓(xùn)練細(xì)節(jié)：用??1損失函數(shù)訓(xùn)練Y-Net。??sl(·)的解碼器更新了12種不同的對(duì)抗強(qiáng)度，然后我們確定了Y-Net的參數(shù)并使用了12種不同的對(duì)抗強(qiáng)度，訓(xùn)練不確定性感知融合模塊。由于??sl(·)和??m(·)已經(jīng)被??1損失訓(xùn)練過(guò)，為了提高分類性能，我們使用語(yǔ)義級(jí)損失訓(xùn)練不確定性感知融合。我們將ResNet50的分類輸出與去噪圖像和干凈圖像作為輸入來(lái)計(jì)算交叉熵?fù)p失。
  
  
  通過(guò)觀察基于濾波和基于加性去噪的預(yù)處理對(duì)FPD的影響，我們可以初步得出結(jié)論，像素去噪方法可以在一定程度上增強(qiáng)最先進(jìn)的對(duì)抗訓(xùn)練模型的魯棒性。
  FD的改進(jìn)。特征去噪(Feature denoising, FD)[34]也是一種最先進(jìn)的對(duì)抗訓(xùn)練方法。獲得對(duì)抗性攻擊與防御競(jìng)賽(CAAD)冠軍。

實(shí)驗(yàn)

根據(jù)實(shí)證研究，可以發(fā)現(xiàn)：
（1）在圖像級(jí)和語(yǔ)義級(jí)損失函數(shù)下，基于濾波的去噪方法在增強(qiáng)對(duì)抗魯棒性方面都比現(xiàn)有的基于加性的去噪方法具有明顯的優(yōu)勢(shì)。
（2）基于圖像級(jí)損失函數(shù)的濾波去噪在較小攻擊擾動(dòng)和較大攻擊擾動(dòng)強(qiáng)度上都能獲得較高的準(zhǔn)確率，但在中等攻擊強(qiáng)度上防御效果較差?！具@說(shuō)明需要研究一種擾動(dòng)感知的去噪方式?！?mark hidden color="red">文章來(lái)源：http://www.zghlxwxcb.cn/news/detail-789198.html

注：本文僅供學(xué)習(xí)使用，方便和大家討論交流。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-789198.html

到了這里，關(guān)于論文閱讀筆記—— AdvFilter: Predictive Perturbation-aware Filtering against Adversarial Attack via Multi-d L的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！