2021, Vol. 47
图 1
表 1
(Table 1)
2. 武汉大学 电子信息学院, 武汉 430072
2. School of Electronic Information, Wuhan University, Wuhan 430072, China
开放科学(资源服务)标志码(OSID):
舰船目标识别系统是舰船装备智能化的一大热点应用领域,如在合成孔径雷达(Synthetic Aperture Radar,SAR)图像舰船识别[1]中应用人工智能技术来实现智能舰船目标识别[2-4],然而智能舰船识别的安全问题却没有受到重视。文献[5-7]中的红外图像舰船目标识别方法以及文献[8]中改进型的舰船目标识别系统都有可能进化成智能舰船识别系统,因此,应提前考虑安全识别问题。在实战中部署好的舰船图像智能识别的安全性主要集中在针对已经训练好的分类神经网络模型的攻击领域上,暂不考虑针对数据集的投毒[9]和模型在训练过程中的攻击[10],因为在投入实战之前必须经过一系列测试检验,这可以有效地过滤掉前面的攻击,所以图像分类领域的对抗攻击[11]是主要研究对象。目前抵御对抗样本攻击的主流方法都是通过优化神经网络的结构来重新训练分类模型或采取新的数据和方法来重新训练分类模型。文献[12]指出防御蒸馏的方法并不会显著提高神经网络的鲁棒性,文献[13-15]分别研究了压缩格式、降噪和随机离散化的方法来应对对抗攻击,文献[16]提出在神经网络旁加一个辅助块来防御攻击,文献[17]则提出了较为经典的对抗性训练的方法来防御对抗攻击。如果一个性能非常好的分类模型遭到对抗攻击,则应寻求更为简单的方法来抵御这种攻击,一是因为训练一个顶级分类性能的分类模型十分不易,二是因为人工智能神经网络模型的不可解释性导致不能保证在短时间内复现分类模型顶级性能。本文在不改变神经网络结构同时避免重新训练分类模型的前提下,提出一种防御舰船对抗样本攻击的方法。
1 舰船对抗样本生成对抗样本的方法(即对抗攻击方法)可以分为白盒攻击、黑盒攻击和灰盒攻击[18],目前主流的对抗攻击方法以白盒攻击为主,如快速梯度下降法(Fast Gradient Sign Method,FGSM)[19]、雅克比映射攻击(Jacobian Saliency Map Approach,JSMA)[20]、深度欺骗攻击(DeepFool)[21]等。白盒攻击是指攻击者知晓被攻击者的全部神经网络结构和各项参数以及数据集等,同理可理解灰盒攻击和黑盒攻击,其中FGSM和DeepFool最具代表性。
FGSM是GOODFELLOW在高维度线性假设的基础上提出的一种白盒攻击的方法,基本思想是:先寻找深度学习模型的梯度变化最大化的方向,再沿该方向施加一些图像扰动噪声,最终使模型产生错误的分类。FGSM产生的微小扰动噪声不容易被人眼观察到,其优势是攻击效率高。FGSM原理如式(1)所示[19]:
| $ {x}^{\text{'}}=x+\varepsilon · \mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}\left({\nabla }_{x}J\right(x, y\left)\right) $ | (1) |
其中:x'是对抗样本;x是模型输入即图像;y是结果标签;J(x,y)是损失函数;sign是符号函数;ε是步长。
DeepFool基本思想与FGSM保持一致但性能优于FGSM,因为DeepFool更好更合理地设定了FGSM原理公式中的步长ε,通过迭代的方式生成累加干扰噪声,这样产生的对抗样本中噪声扰动的幅度比FGSM更小。可以从Github上找到FGSM开源代码(https://github.com/soumyac1999/FGSM-Keras),该代码实际上使用DeepFool算法的思路即通过迭代的方式累加干扰噪声并最终生成对抗样本。如图 1所示,该方法产生的对抗样本可以使分类模型将航空母舰(原图,置信度为0.99)归类于灰鲸(对抗样本,置信度为0.60)。代码中所用的神经网络模型是基于ImageNet的VGG16预训练好的分类模型,可以识别1 000种生活中常见的类别,该模型曾在ILSVRC(ImageNet Large Scale Visual Recognition Challenge)国际竞赛中拿到第二名、项目类别第一的成绩。VGG16是经典卷积神经网络模型,16表示其深度,由13个卷积层和3个全连接层叠加而成[22]。
|
Download:
|
| 图 1 舰船对抗样本 Fig. 1 Ship adversarial example | |
FGSM和DeepFool这2种方法最明显的特征是沿着分类模型梯度的方向施加干扰,这样微小干扰的影响会在神经网络里滚雪球式地越来越大,从而导致分类模型出错,而且模型输入的维度越大越容易受到攻击[19]。图 1所示是有目标攻击,航空母舰被指定攻击为灰鲸。有目标攻击是指攻击者生成的对抗样本可以使被攻击的分类模型错误地分类成指定目标。与有目标攻击对应的是无目标攻击,即对抗样本使分类模型将其错误地归类而并不指定错误地归为哪一类。本文进行一次专项实验,用于验证在对于已经被干扰的图像(即对抗样本)再进行有目标攻击且目标指定为其原本真实类别的情况下,能否使分类模型重新认识该对抗样本。如图 2所示,对对抗样本再进行一次有目标攻击,将目标人为设置为航空母舰,攻击结果图像被正确识别为航空母舰(置信度为0.72)。实验结果表明,对抗样本在相较于原图没有明显形变的情况下,可以通过有目标再攻击,使被分类模型重新正确地归类。
|
Download:
|
| 图 2 对抗样本再次有目标攻击后的分类结果 Fig. 2 Classification result after targeted attack of adversarial example | |
如果事先知道对抗样本的类别,就可以通过有目标再攻击来防御对抗样本的攻击,这确实是一个悖论。本文针对如何让分类模型获得对抗样本原本真实的分类,进行一次对比实验。图 3所示是将火烈鸟错误识别为蚂蚁的对抗样本再次设定为火烈鸟有目标攻击时,置信度随迭代次数的变化图。可以看出,当迭代次数达到200时,该图像已经可以被正确地识别为火烈鸟,置信度大于0.7,随着迭代次数的增加还会上升。与之对比的是目标随便设定,图 4所示是以错误目标攻击时置信度随迭代次数的变化图,源代码中最大迭代次数默认值是400,图片来源是对橘子的图像进行目标设定为黄瓜的有目标攻击,产生的对抗样本被以0.4的置信度识别为黄瓜。之所以采用火烈鸟和橘子的对抗性数据,是因为这2个数据更经典更具代表性,图 1所示的有目标攻击过程只需100代以内,相对更容易。随着迭代次数的增加,置信度还会继续缓慢地上升,当以错误目标攻击时还会出现置信度随迭代次数增加反而下降的情况。
|
Download:
|
| 图 3 再次以正确目标攻击时置信度随迭代次数的变化图 Fig. 3 Change diagram of confidence when attacking with the right target again | |
|
Download:
|
| 图 4 以错误目标攻击时置信度随迭代次数的变化图 Fig. 4 Change diagram of confidence when attacking with the wrong target | |
图 3和图 4的实验结果表明,置信度曲线的斜率与再攻击的目标有关系,本文提出以下假设:可以根据置信度曲线的变化来判定再攻击的目标是否为其真实的类别,其中最重要的问题是:如果假设成立,那么需要找到置信度曲线的斜率应符合怎样的标准或规律才能判定当前再攻击的目标就是其真实的类别。
2.1 再攻击过程中置信度曲线的变化规律在寻找符合真实目标类别的再攻击过程中,置信度曲线斜率变化的标准是关键所在。为了量化问题,本文引入参数,设对抗样本的真实目标类别为K,在再攻击过程中,设指定攻击的目标为A,分类模型被攻击时把对抗样本归类为A的置信度设为m,同时设攻击目标为A的再攻击过程中的实时置信度为x,显然,x在再攻击过程中是一直变化的,而且在再攻击开始的瞬间x=m。此时,关键问题就转化为参数关系,即寻找当再攻击目标A为K类别时再攻击过程中x和迭代次数i的关系,这里设这层关系为F,即寻找关系F。显然,图 3所展示的关系是符合关系F的,可以根据图 3来进行逆推关系F,同时用图 4做反例来进行简单对比,然后再进行验证和校正。总体步骤分为3步:首先找出能解决一张对抗样本的关系F;然后优化推广到多张或一批对抗样本;最后使关系F适用于所有的或多数的对抗样本。
第2步和第3步的成功取决于第1步。将图 3中置信度变化分为3段:前段是平缓期,该段的最大特点是置信度上升较平缓,以迭代次数i=25为界;中段是上升期,最大特点是置信度曲线斜率在该段出现最大值,以i=100为界;后段也是平缓期。以此来合理推测关系F,考虑开始时x=m,那么m值决定了x的起点,例如可以预见当m > 0.1时前段将变得非常短,因此,关系F必定是x、i、m三者的动态关系。为了使逆推出的关系F避免出现过拟合的情况,需要适当放宽条件。
根据图 3逆推出关系F,如表 1所示,以此判断A是否为真实目标。其中:i是迭代次数;m是目标A的攻击前的置信度;x是攻击过程中的实时置信度(每迭代一次都会给予置信度)。由m的3个范围设计不同的判决条件系数,经过验证可知能够防御图 3中对抗样本,即实现了第1步,解决了1张对抗样本。这一设计是考虑到第2步的进行,经过不太复杂的优化(优化m值的范围区分精度和相对于i的x的判决精度)就可以实现第2步。关系F的最大优点是:如果A不为K类别则不会耗费很多的时间,只有真实目标才会耗费很多的迭代次数以及时间。
|
下载CSV 表 1 关系F的设置 Table 1 Setting of the F condition |
解决了关键问题,就可以设计出初始防御方法的流程。笔者在实验中发现,对抗样本被分类模型错误归类的同时,分类模型会给出预测此次分类结果的置信度,分类结果按置信度从大到小排行,排在第1位即置信度最高的即是分类结果,真实的类别通常排名比较靠前,例如,攻击代码中被预测为蚂蚁的对抗样本其真实类别火烈鸟的排名为63,对于能识别1 000种类别的分类模型而言,这一排名已经很靠前了。因此,推测1张对抗样本的真实类别的排名一定在前150名,用暴力搜索的方法找出符合的关系F的目标即是真实的目标。基于关系F的防御方法流程如图 5所示,针对对抗样本的攻击,利用条件F可以采用暴力搜索的方法来找出对抗样本的真实目标分类,图中a的默认值为150。
|
Download:
|
| 图 5 防御流程 Fig. 5 Procedure of defense | |
经过验证,此方法可以成功地找出图 3中对抗样本的真实类别,采用经过优化的关系F后可以实现多张对抗样本的防御,结果如图 6所示,图 7是每组对抗样本复原过程中置信度变化曲线图,可以看出它们具有的相似特征,这正是关系F的体现。暂不考虑遇到相似目标时的情况,例如双胞胎,因为这是分类模型自身带有的问题。
|
Download:
|
| 图 6 实验组图 Fig. 6 The experimental figures | |
|
Download:
|
| 图 7 复原过程中置信度变化图 Fig. 7 Change diagrams of confidence in recovery process | |
为了能使上述方法能应对更为普遍的对抗攻击而不只是特定的几张对抗样本,实现第3步防御多数对抗样本的目的,需要把方法推广到针对未知的对抗样本上去,以调整优化核心条件和策略,获得更好的防御效果。笔者在推广的过程中发现有2个明显的缺点;1)该方法的成功率依赖于核心判决条件是否符合相应数据集的数据特征;2)方法中采用的暴力搜索式的搜索方法在应用中存在障碍,如果真实目标恰巧排在第150名就会花费很长的时间,造成资源长时间被占用,而且对核心判决条件的精准度要求非常高。总地来说,在此过程中难以找到高精准度的判决条件F,且暴力搜索的范围太大。
针对这两个明显的缺点,本文对关系F进行了策略性调整,为控制时间花费,取消了采用小步长ε并通过循环累加噪声进行攻击的方式,改为直接控制步长ε的大小从而一次性完成攻击任务的方式;同时,为了适应更加广泛的未知样本,不再追求一次性找出真实目标,而是分步缩小真实目标所在的范围,然后再通过一定的手段以较大的概率筛选出真实的目标。由此,最终提出防御算法FGSM-Defense。图 8所示是FGSM-Defense的模型框图,模型中分两步缩小真实目标所在的范围,缩小后的范围为别为N和G。
|
Download:
|
| 图 8 FGSM-Defense模型框图 Fig. 8 Block diagram of FGSM-Defense model | |
先解释范围N是如何确定的。在FGSM原理公式中并没有明确地给出步长ε的设定,而DeepFool算法很好地分析了最短步长ε的设定,并通过循环累加干扰噪声,使产生的对抗样本的噪声扰动幅度更小。在此次所用的FGSM原攻击代码中,ε=0.01,循环次数为400,而在防御过程中无需考虑扰动噪声的大小,因此,在确定搜索范围模块中攻击代码的步长设定ε=5,并取消了循环,一步完成攻击,大幅缩短了时间花费。虽然这样产生的噪声扰动很大,但攻击成功后目标分类的置信度大小和设定小步长并循环400次的攻击结果相似,故简称粗略再攻击。在确定搜索范围模块中,扰动噪声的幅度不重要,重要的是能很快获得对抗样本T被M次目标分别为前M个类别的粗略再攻击过后被分类器归类于指定目标类别的置信度,此时共有M个类别的置信度,将其大小排序,取出前N个置信度所对应的目标类别,这样就确定了搜索的范围为这N个目标。
再解释搜索范围N是否有效地缩小。由于对抗样本的真实目标类别的初次排名一定在前150名,因此M=150。经过实验验证,分别指定目标为这150个目标类别对T进行粗略再攻击后,不考虑扰动噪声的大小,原对抗样本真实的目标类别的置信度比较大,通常排名在前5名,较大概率排在前10名,所以N=10,远远小于150,而且这150次粗略再攻击花费的时间较短,为3 min左右,因此搜索范围缩小到了N=10。
在这N个目标中选出置信度大于0.75的L个类别,此时L≤N,即L≤10。如图 9所示,其中0+代表原图,在施加噪声扰动x0后对于分类器来说变成了0-(0+和x0都是未知的),再对0-进行有目标攻击生成新的类别,即1,2,…,L,施加的噪声干扰分别为x1,x2,…,xL,再对生成的图像1,2,…,L进行目标为0-的有目标攻击,施加的噪声干扰分别为t1,t2,…,tL。在L小于10的前提下,由于未知的x0一直存在于对抗样本中,因此如果L是对抗样本0-真实目标分类,那么在第3次有目标攻击过程中x0对tL产生的影响是相对独特的,直观表现就是在攻击过程中分类器对目标L置信度评价下降速度相比于非真实目标类别较为缓慢,甚至会出现小幅度的上升。因此,第3次在攻击过程中检测所有类别的置信度变化情况,选出前G个下降幅度较小或出现上升的目标类别,最终,在实验中锁定G=2,即真实目标以较大的概率出现在前2个排名中。
|
Download:
|
| 图 9 有目标攻击示意图 Fig. 9 Schematic diagram of targeted attacks | |
从G=2个目标中筛选出一个目标,要求选中真实目标的概率应大于50%(至少应比随机猜强),筛选条件选定的是,相反从第2次有目标攻击过程中,通过控制步长ε的大小来观察2个目标类别的置信度大小,选出置信度较大者,根据L的大小设定3个范围,即:L≤3时ε=2;3 < L≤6时ε=22;L > 6时ε=25。
FGSM-Defense算法伪代码如下:
算法1 FGSM-Defense算法
输入 对抗样本T //程序中使用类别序列号(0~999) //代表类别
输出 对抗样本T的真实分类X
1.获得对抗样本的初次预测结果p类别与对应的分类序列号P1
2.预测结果按置信度排名,取前M名(不包括P),i←1 //M=150
3.if i≤ M
4.查询排名前M个目标中第i个目标对应的分类序列号Gi
5.FGSM对T进行有目标攻击,目标指定为Gi,步长ε=5,取消循环
6.保存T被分类器归类为第i个目标的置信度Hi和结果图Zi
7.i←i+1//同时记录ε=2时置信度小于0.7的目标类别Yi
8.end if
9.将M个置信度从大到小排序,取前N个对应的目标GN和对应的结果图(Z1,Z2,…,ZN)与置信度(H1,H2,…,HN) //N=10
10.根据结果舍弃置信度H小于0.75的目标,剩下L个目标GL,L≤N
11.j←1 //L个目标中不包括目标Yi
12.if j≤ L
13.L < 3时ε=3,3≤L≤6时ε=5,L > 6时ε=6
14.FGSM对Zj进行有目标攻击,目标指定为P1,步长ε,取消循环
15.j←j+1//监测的是分类器把Zj分类为Gj的置信度而//不是P1
16.end if,e←1
17.结果按GL的置信度排名,取前K个类别和对应的分类序列号GK
18.if e≤k//G=2
19.L≤3时ε=2,3 < L≤6时ε=22,L > 6时ε=25
20.FGSM对T进行有目标攻击,目标指定为Ge,步长ε,取消循环
21.e←e+1
22.end if,选出把T分类为对应GK置信度最大者,即真实类别X
如果对抗样本中的物体是该类别的典型代表,同时展现的是物体的经典角度面,并且图片的背景比较纯净的话,防御成功率较高,反之较低。图 10所示是2张不同角度的对抗样本,防御程序在防御图 10(a)对抗样本的成功率比在防御图 10(b)对抗样本时高出约23%。
|
Download:
|
| 图 10 不同目标角度的对比 Fig. 10 Comparison by different target angles | |
为了使舰船智能识别系统更安全,需要给安全防御方法设置一道防火墙。由于舰船特征识别里最为显著的特征是轮廓特征,因此采用轮廓特征识别作为最后的安全验证防火墙,如果验证不通过系统将会报警。对抗样本并不会影响舰船的轮廓特征的提取,图 11所示是利用RCF (Richer Convolutional Features)[23]物体边缘识别技术提取的舰船对抗样本的轮廓图,图中采用的正是图 1中被识别为灰鲸的对抗样本,并提供了原图轮廓提取图的对行对比。舰船图像识别的安全防御模型如图 12所示,图像传入分类模型,分类结果提交给验证模块,通过验证就输出结果,否则传输至安全模块进行安全防御识别,最终将正确分类传输至智能平台并输出结果。安全模块采用FGSM-Defense防御方法,安全验证模块采用的是舰船轮廓特征提取模块,并将数据发给智能学习平台,用来监测舰船图像分类结果是否符合其轮廓特征,即安全识别防火墙。智能平台负责数据分析,当分类模型遭到大量重复攻击时可以学习并标记重复数据并直接输出结果。
|
Download:
|
| 图 11 轮廓图对比 Fig. 11 Comparison of comtour diagrams | |
|
Download:
|
| 图 12 安全防御模型 Fig. 12 Security defense model | |
从ImageNet上选500张图片,剪切为1∶1的比例。如图 13所示,经过分类器初次预测后,筛掉置信度小于0.9的图片259张(其中212张小于0.8),然后仔细筛查掉识别错误或分类有争议的图片36张,再去除图片中物体占比不到1/4的图片或由剪切导致的物体形状不全的图片39张,最后经过FGSM攻击成功生成对抗样本的图片数为143张(剩余23张攻击失败,并没有使分类器产生错误分类),防御程序能找出76张对抗样本的真实分类。
|
Download:
|
| 图 13 防御测试数据 Fig. 13 Defense test data | |
经过测试,FGSM-Defense算法在ImageNet数据集上的防御成功率为53.1%(测试条件是图片比例1∶1、分辨率为224像素×224像素以上的彩色图片,对抗样本必须使分类器产生错误分类,并且与原图相比不能有明显的形变,原图必须能被分类器以0.9以上的置信度正确的识别与归类),程序运行一次的时间花费为5 min,无论防御成功与否,都不会长时间占用资源。
4 结束语舰船图像识别系统的鲁棒性和安全性是其应用过程中所面临的最大难题,为使舰船图像识别可靠且安全,本文构建一种应对恶意对抗攻击的新方法和相应的防御模型。利用攻击算法的特点,在对抗样本的基础上再对其进行多次不同目标的有目标攻击,寻找其中特定规律。在此基础上进行验证,根据验证结果对方法进行优化,直到从多次有目标攻击的结果或过程中筛选出该对抗样本的真实目标类别。在ImageNet数据集上的测试结果表明,该方法可以在较短时间内找出对抗样本的真实类别,有效降低防御成本。后续将加强数据测试并优化防御方法,以进一步提高防御成功率。
| [1] |
ZHENG Q B. The research of ship detection and recognition algorithm in SAR image and its hardware[D]. Xi'an: Xi'an University of Technology, 2018. (in Chinese) 郑强斌. SAR图像中舰船检测与识别算法的研究及其硬件实现[D]. 西安: 西安理工大学, 2018. |
| [2] |
CONG L J. The research of SAR ship target recognition based on deep learning[D]. Beijing: The First Academy of China Aerospace Science and Technology Corporation, 2018. (in Chinese) 丛龙剑. 基于深度学习的SAR舰船目标识别方法研究[D]. 北京: 中国航天科技集团公司第一研究院, 2018. |
| [3] |
ZHANG D. Study on recognition of ships in SAR imagery based on deep learning methods[D]. Changsha: National University of Defense Technology, 2017. (in Chinese) 张荻. 基于深度学习的SAR图像舰船目标识别方法研究[D]. 长沙: 国防科技大学, 2017. |
| [4] |
SHAO J Q, QU C W, LI J W, et al. Ship target recognition of imbalanced SAR image based on CNN[J]. Electronics Optics & Control, 2019, 26(9): 90-97. (in Chinese) 邵嘉琦, 曲长文, 李健伟, 等. 基于CNN的不平衡SAR图像舰船目标识别[J]. 电光与控制, 2019, 26(9): 90-97. DOI:10.3969/j.issn.1671-637X.2019.09.019 |
| [5] |
QIU R C, LOU S L, LI T J, et al. Research on detection of ship target at sea based on multi-spectral infrared images[J]. Spectroscopy and Spectral Analysis, 2019, 39(3): 698-704. (in Chinese) 仇荣超, 娄树理, 李廷军, 等. 多波段红外图像的海面舰船目标检测[J]. 光谱学与光谱分析, 2019, 39(3): 698-704. |
| [6] |
LI M. Research on ship target tracking and system realization based on infrared polarization imaging[D]. Yantai: Yantai University, 2017. (in Chinese) 李敏. 基于红外偏振成像的舰船目标识别及其系统实现[D]. 烟台: 烟台大学, 2017. |
| [7] |
JING T. Intelligent recognition method of ship infrared imaging target based on fuzzy mathematical model[J]. Ship Science and Technology, 2019, 41(4): 181-183. (in Chinese) 荆天. 基于模糊数学模型的舰船红外成像目标智能识别方法[J]. 舰船科学技术, 2019, 41(4): 181-183. |
| [8] |
LU Y. Design of accurate target recognition system for multi-band ship image based on curve evolution[J]. Ship Science and Technology, 2019, 41(10): 169-171. (in Chinese) 卢嫄. 曲线进化的多波段舰船图像目标精准识别系统[J]. 舰船科学技术, 2019, 41(10): 169-171. |
| [9] |
HUANG X, BIGGIO B, BROWN G, et al. Is feature selection secure against training data poisoning?[C]//Proceedings of the 32nd International Conference on Machine Learning. New York, USA: ACM Press, 2015: 1689-1698.
|
| [10] |
LI P, ZHAO W T, LIU Q, et al. Security issues and their countermeasuring techniques of machine learning: a survey[J]. Journal of Frontiers of Computer Science and Technology, 2018, 12(2): 171-184. (in Chinese) 李盼, 赵文涛, 刘强, 等. 机器学习安全性问题及其防御技术研究综述[J]. 计算机科学与探索, 2018, 12(2): 171-184. |
| [11] |
AKHTAR N, MIAN A. Threat of adversarial attacks on deep learning in computer vision: a survey[J]. IEEE Access, 2018, 6: 14410-14430. DOI:10.1109/ACCESS.2018.2807385 |
| [12] |
CARLINI N, WAGNER D. Towards evaluating the robustness of neural networks[C]//Proceedings of 2017 IEEE Symposium on Security and Privacy. Washington D.C., USA: IEEE Press, 2017: 39-57.
|
| [13] |
DZIUGAITE G K, GHAHRAMANI Z, ROY D M. A study of the effect of JPG compression on adversarial images[EB/OL]. (2016-08-02)[2020-05-10]. https://arxiv.org/pdf/1608.00853.pdf.
|
| [14] |
MOOSAVI-DEZFOOLI S M, SHRIVASTAVA A, TUZEL O. Divide, denoise, and defend against adversarial attacks[EB/OL]. (2019-04-25)[2020-05-10]. https://arxiv.org/pdf/1802.06806.pdf.
|
| [15] |
ZHANG Y, LIANG P. Defending against whitebox adversarial attacks via randomized discretization[EB/OL]. (2019-05-25)[2020-05-10]. https://arxiv.org/pdf/1903.10586.pdf.
|
| [16] |
YU Y, YU P, LI W. AuxBlocks: defense adversarial example via auxiliary blocks[EB/OL]. (2019-02-18)[2020-05-10]. https://arxiv.org/pdf/1902.06415.pdf.
|
| [17] |
ZHENG S, SONG Y, LEUNG T, et al. Improving the robustness of deep neural networks via stability training[C]//Proceedings of 2016 IEEE Conference on Computer Vision and Pattern Recognition. Washington D.C., USA: IEEE Press, 2016: 4480-4488.
|
| [18] |
YI P, WANG K D, YI P, et al. Adversarial attacks in artificial intelligence: a survey[J]. Journal of Shanghai Jiaotong University, 2018, 52(10): 1298-1306. (in Chinese) 易平, 王科迪, 黄程, 等. 人工智能对抗攻击研究综述[J]. 上海交通大学学报, 2018, 52(10): 1298-1306. |
| [19] |
GOODFELLOW I J, SHLENS J, SZEGEDY C. Explaining and harnessing adversial examples[EB/OL]. (2015-03-20)[2020-05-10]. https://arxiv.org/pdf/1412.6572.pdf.
|
| [20] |
PAPERNOT N, MCDANIEL P, JHA S, et al. The limitations of deep learning in adversarial settings[C]//Proceedings of 2016 IEEE European Symposium on Security and Privacy. Washington D.C., USA: IEEE Press, 2016: 1-5.
|
| [21] |
MOOSAVI-DEZFOOLI S, FAWZI A, FROSSARD P. DeepFool: a simple and accurate method to fool deep neural networks[C]//Proceedings of 2016 IEEE Conference on Computer Vision and Pattern Recognition. Washington D.C., USA: IEEE Press, 2016: 1-5.
|
| [22] |
SIMONYAN K, ZISSERMAN A.Very deep convolutional networks for large-scale image recognition[EB/OL]. (2015-04-10)[2020-05-10]. https://arxiv.org/pdf/1409.1556.pdf.
|
| [23] |
LIU Y, CHENG M M, HU X W, et al. Richer convolutional features for edge detection[J]. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2019, 41(8): 1939-1946. DOI:10.1109/TPAMI.2018.2878849 |