CN112115469B - 基于Bayes-Stackelberg博弈的边缘智能移动目标防御方法 - Google Patents

Abstract

本发明公开一种基于Bayes‑Stackelberg博弈的边缘智能移动目标防御方法，提出了一种动态防御机制，称为边缘智能的移动目标防御(EI‑MTD)。首先从云数据中心的复杂教师模型中通过差异性知识蒸馏，获得规模较小，适宜于部署在边缘节点的成员模型。然后利用Bayes‑Stackelberg博弈策略，动态调度成员模型，使攻击者无法判断执行分类任务的目标模型。该防御机制可以有效阻止攻击者选择最佳代理模型制作对抗样本，从而阻断黑盒攻击。在ILSVRC2012图像数据集上的实验表明，本发明提出的EI‑MTD可以有效地保护边缘智能免受恶意黑盒攻击。

Description

基于Bayes-Stackelberg博弈的边缘智能移动目标防御方法

技术领域

本发明涉及边缘智能计算的一种安全技术，提出了基于Bayes-Stackelberg博弈的边缘智能移动目标防御方法。

背景技术

基于深度学习的人工智能已经成功地应用于各个领域，从面部识别，自然语言处理，到计算机视觉。随着智能技术的蓬勃发展，人们的生活发生了巨大的变化，人们越来越依赖智能生活提供的便捷服务，希望随时随地享受智能服务。在过去的几年中，边缘计算的理论已经走向应用，并且已经开发了各种应用来改善我们的生活。深度学习技术和边缘计算***的成熟以及对智能生活日益增长的需求促进了边缘智能(EI)的发展和实现。当前的EI实现基于深度学习模型，即深度神经网络(DNNs)，将其被部署到网络边缘的设备(例如监控***的智能摄像机)，以实现诸如目标识别和异常检测的应用的实时性能。

目前，边缘智能的安全性成为一个广泛关注的问题。以往的工作多集中在边缘智能的数据隐私方面，但对于对抗样本攻击关注不够。已有的工作表明，DNN极易受到对抗样本的攻击。对抗样本是添加了精心设计的微小扰动的输入图像，目的是欺骗深度神经网络。对抗样本具有一个特殊的性质，即对于特定模型生成的对抗样本，也可成功欺骗另外的模型，称为可转移性。在具有相似体系结构、低模型容量和高测试精度的模型中，对抗样本具有较高的可转移性。理论上，利用该特性，攻击者可以在不知道任何关于目标模型的信息的情况下，在本地代理模型上制造对抗样本攻击目标模型，称为黑盒攻击。实际上，攻击者可以通过重复查询目标模型找到比较接近目标模型的代理模型，从而获得更高的攻击成功率，达到白盒攻击的效果。

由于包括边缘设备和边缘服务器在内的边缘节点上的计算、存储等资源的限制，模型压缩被认为是减小模型规模的有效方法。然而模型的鲁棒性与模型大小正相关。因此，边缘节点上的压缩模型更容易受到对抗样本的攻击。此外，目前提出的多数防御对抗样本的方法都需要在GPU计算资源丰富的情况下工作，不适用于边缘节点。因此，资源的有限性限制了边缘智能在敏感领域上的应用。

我们将边缘智能计算面临的安全挑战总结如下：(1)如何防止攻击者找到最优代理模型， (2)如何在不损害正常样本准确率的情况下降低对抗样本的可转移性(3)如何防御边缘节点上资源有限的对抗样本。

发明内容

本发明内容是提出边缘智能移动目标防御方法解决上述问题。对于第一个挑战，我们将静态目标模型改为动态目标模型，随机调度分类服务。由于攻击者不知道真正为他们服务的模型，他们无法估计哪个候选代理模型接近目标模型。对于第二个挑战，我们尝试增加部署在边缘节点上的模型之间的差异。我们使用损失函数的梯度作为差异度量的基础，因为当前的攻击主要使用梯度来制造对抗的例子。对于第三个挑战，我们使用迁移学习来提取知识，从云数据中心大容量的强大教师模型到小容量的学生模型。这种方法的好处是，分类知识和鲁棒性被转移，以及模型的大小得到压缩。

本发明将这些解决方案集成到一中防御框架中，称为具有移动目标防御的边缘智能 (EI-MTD)。为此，我们通过以下步骤构建EI-MTD：(1)利用云数据中心强大的GPUs，通过对抗训练获得一个健壮的教师模型；(2)通过差异性知识蒸馏将教师模型的健壮知识转移到学生模型中，获得多样性；以及(3)使用Bayes-Stackelberg博弈策略，在准确性和安全性之间进行权衡，切换学生模型。

本发明通过以下技术方案来实现上述目的：

本发明提出了包含三个关键技术的EI-MTD***:对抗训练、差异知识蒸馏和服务模型动态调度。我们使用对抗训练来获得云数据中心的强大教师模型。然后使用迁移学习从教师模型中提取鲁棒性知识，并将资源有限的小规模学生模型中。同时增加了微分正则化项，以获得提取模型的多样性，有效地抑制了对抗样本可转移性。这些学生模型，也称为移动目标环境下的成员模型，在服务动态调度方案中进一步用于调度服务用户。得益于差异性知识蒸馏得到的多样性，动态调度可以完美地迷惑攻击者找到最佳的代理模型，如图1右侧所示。

本发明包括以下步骤：

S1：针对教师模型的对抗训练。假设云数据中心已有训练数据集和教师模型 F_t(θ_t)。采用ResNet-101具有101层的神经网络作为教师模型，利用FGSM对抗样本在云数据中心进行对抗训练，并结合的“FAST”对抗训练方法来加速这一过程。已有工作表明，对抗训练可使容量更大的网络获得更好的鲁棒性。

S2：学生模型的差异性知识蒸馏。首先从教师模型F_t(θ_t)中获得适当蒸馏温度T下样本x_i的软标签创建新的训练数据集/>为了获得学生模型的多样性，我们定义了一个新的带有正则化项CS_coherence的损失函数L＝∑T²J/K+λ·CS_coherence，同时训练所有学生模型/>以最小化公共损失函数L。请注意，在本发明中，学生模型、成员模型和目标模型是指同一个对象，在知识蒸馏中称学生模型，在动态调度中称成员模型。

S3：成员模型的动态服务调度。在差异性知识蒸馏后，上述学生模型被部署到边缘节点，每个节点部署一个模型。这里边缘节点包括边缘设备和边缘服务器。指定某个边缘服务器为服务调度控制器，所有成员模型及其所在的节点都注册在调度控制器中。当用户(包括攻击者) 通过边缘设备(例如，智能电话)输入图像请求分类服务时，边缘设备首先将服务请求上传到调度控制器，而不是直接在本地模型上处理。接着调度控制器通过Bayes-Stackelberg博弈选择一个边缘节点来执行分类任务。整个过程对攻击者透明，无法知道最终由哪个边缘节点提供服务。

进一步，根据步骤S3中所述，模型的多样性对动态调度的有效性起着关键作用。受对抗攻击利用相对于输入的梯度作为扰动方向这一事实的启发，采用梯度对齐作为多样性度量。

假设有两个成员模型和/>∈Ω以及攻击者选定的代理模型F_a∈U，用/>分别表示/>和/>的损失函数对样本x的梯度。如果/>和/>之间的夹角足够小，这意味着能使/>误分类的x_adv也能使/>误分类，因此/>与/>之间的差异性与/>和/>之间的夹角有关。我们使用余弦相似度(CS)表示▽_xJ₁和▽_xJ₂的对齐程度：

其中＜▽_xJ₁,▽_xJ₂＞是和/>的内积。若CS(▽_xJ₁,▽_xJ₂)＝-1，则▽_xJ₁和▽_xJ₂的梯度方向相反，意味着能使/>误分类的x_adv不能使/>错误分类。

进一步，所述步骤S2中进一步将余弦相似性应用于学生模型的训练过程，以获得具有较大差异性的成员模型集合。由于余弦相似度是用两个梯度计算的，为进一步推广到K个模型，将成对余弦相似性上的最大值定义为EI-MTD多样性度量：

其中，J_a和J_b分别表示学生模型和/>的损失函数，θ^(a)和θ^(b)分别表示学生模型和/>的参数，/>是x从教师模型获得软标签。由于CS_coherence是非光滑函数，无法使用梯度下降优化方法，进一步使用LogSumExp函数近似CS_coherence：

学生模型从云数据中心的教师模型中蒸馏而来，在蒸馏同时需要保证学生模型之间的多样性，因此在知识蒸馏过程中加入正则化项CS_coherence，重新定义新的蒸馏损失函数：

其中，λ是正则化系数，控制训练过程中CS_coherence的重要性。为了让学生模型充分学到教师模型的对抗知识，设置β＝1，即只使用软标签示例来训练学生模型。差异性知识蒸馏算法1如下中所示。

进一步，所述步骤S3中差异性知识蒸馏得到学生模型后，即成员模型，被部署到边缘节点。当边缘设备收到图像时，它不会在自己的模型上执行分类，而是将图像转发给调度控制器。调度控制器将通过调度策略选择注册的服务模型，具体而言：

在对抗环境中，防守方和攻击者都希望通过一些策略最大化自身的“收益”，这正是典型的博弈问题。在本发明中，使用Bayes-Stackelberg博弈来建模调度策略。防御者的策略是选择一个合适的服务分类模型，而对手的策略是选择一个最优的代理模型来生成对抗样本。本发明将Bayes-Stackelberg博弈表示为七元组其中L是防御者，S_L是差异性蒸馏后得到的一组学生模型/>追随者F类型包含两种，合法用户 F⁽¹⁾和攻击者F⁽²⁾；合法用户F⁽¹⁾的行动空间/>只有一种行动，即使用合法样本请求服务；攻击者F⁽²⁾的行动空间/>是选择不同的代理模型/>防御者L的收益和合法用户F⁽¹⁾的收益/>定义为成员模型对自然图像的分类准确率；防御者L的收益是成员模型对对抗样本的分类准确率；非法用户F⁽²⁾的收益/>定义为对抗样本攻击成功率；P⁽¹⁾表示合法用户F⁽¹⁾出现的概率，P⁽²⁾表示攻击者F⁽²⁾出现的概率；将基于Bayes-Stackelberg博弈的模型调度策略问题，转化如下的混合整数二次规划问题(MIQP)：

0≤s_n≤1

v^(c)∈R

其中P⁽¹⁾＝1-α，P⁽²⁾＝α，s＝(p₁,p₂,...,p_K)求解得到成员模型的调度策略，p_i成员模型 F_s(θ⁽ⁱ⁾)被选择的概率。q^(c)是用户F^(c)回应的最优策略，用户的收益是v^(c)。上述问题可利用 DOBSS算法求解。

本发明是首次针对边缘智能***，研究抗样本攻击的防御方法。Sailik等人第一个提出用移动目标防御对抗样本(MTDeep)，而我们的方法在两个方面与他们不同，第一他们没有考虑边缘智能的应用场景，只针对云平台上的应用，第二是他们没有对成员模型的差异性进行考虑，使得最终的防御效果不明显。Wang等人提出的HRS(Hierarchical RandomSwitching)网络，是在网络中设置几个并行的网络模块，在前向传播过程中可以随机切换，而我们的方法是随机切换整个网络，且切换的策略也不同。Abhishek等人分析了攻击者的有限理性有理性对于，基于Stackelberg博弈实现的MTD性能的影响，结果表明，基于针对有理性攻击者设计的MTD博弈框架，就足够防御有限理性的攻击者，因此本发明的方法也假设攻击者是理性的。Song等人基于不同模型的对抗样本分布不同的现象，提出的fMTD检测和防御对抗样本，fMTD主要是在基础模型上用不同的对抗样本进行再训练，得到一组分叉(fork)模型，然后利用样本在该组fork模型上的输出一致性来检测对抗样本，同时利用投票原则正确分类对抗样本，该方法中的MTD主要体现在，模型在部署后，仍然可以动态的生成对抗样本进行对抗训练，因此，某个阶段的***的fork模型是动态变化的。与本发明不同的方法不同得是，该方法仍然需要在多个模型进行前向推理，不能部署在资源受限的边缘设备上。

本发明的有益效果在于：

本发明是一种基于Bayes-Stackelberg博弈的边缘智能移动目标防御方法，与现有技术相比，本发明具有以下优点：

(1)本发明是第一个提出对边缘智能***的对抗性攻击防御。对于本发明提出的EI-MTD，很好地结合了边缘设备和边缘服务器的推理体系架构，即一个深度学习模型在一个边缘节点上独立进行推理，从而实现动态执行。这种动态调度机制对用户来说是完全透明的，不会降低分类准确性。

(2)为了防止可转移性，本发明提出了差异性知识蒸馏增加边缘节点上成员模型的多样性。不同于单一模型的知识蒸馏，本发明采用共同的损失函数同时蒸馏出的多个学生模型。此外，这种方法同时压缩了模型的规模，可以克服边缘节点资源的限制。

(3)利用GPU服务器、PC和Raspberry pi搭建了一个EI仿真平台来测试我们的EI-mtd。实验使用的是真实图像数据集ILSVRC2012。实验结果表明，EI-MTD可以防御80％的由M-DI2-FGSM所产生的对抗样本。

附图说明

图1是静态目标模型与动态目标模型。

图中：左边是典型的基于设备的静态服务攻击架构。攻击者用“猫”的对抗样本攻击节点 K，攻击者知道是节点K上的模型执行分类。右边是动态调度目标模型方案。尽管攻击者试图攻击节点K，但其不知道实际具体执行的模型。

图2是EI-MTD的框架；

图中：黑线表示成员模型部署到边缘节点的过程，红线表示EI-MTD分类对抗样本的过程。

图3是对抗训练中教师模型的top-1名和top-5的准确性。在每个训练epoch之后，教师模型用两个数据集进行测试，一个包括干净的样本，另一个包括PGD样本

图4正常训练和差异性知识蒸馏后成员模型的准确性

图5是在不同的攻击者出现概率下，EI-MTD与单个成员模型相比具有更高的准确性。请注意，这些成员模型具有一定程度的鲁棒性，因为它们教师模型中蒸馏出来的。

图6是不同蒸馏温度T下EI-MTD的准确率。

图7是不同蒸馏温度T差分免疫γ的值。

图8是差分免疫γ对于EI-MTD的影响。

图9是不同正则化系数λ下EI-MTD的准确率。

图10是不同正则化系数λ差分免疫γ的值。

图11是温度T＝10时，差分免疫γ对于EI-MTD的影响。

图12是不同的温度T与和正则化系数λ组合，EI-TMD差分免疫γ和准确率的热力图。左栏代表差分免疫γ，右栏代表分类准确率。(a)、(b)、(c)和(d)分别对应不同的生成对抗样本方法，包括FGSM,PGD,MI-FGSM和M-DI2-FGSM。

具体实施方式

下面结合具体实施实列对本发明作进一步说明：

1、预备知识：

1.1深度神经网络与对抗样本

深度学习模型(DNNs)往往可以用映射函数F(X,θ):R^d→R^L表示,其中X∈R^d是输入样本变量；θ表示DNNs的参数；L表示DNN预测类别数量。本文使用的是具有Softmax输出层DNNs，其中Softmax函数定义为:

DNN可以表示为F(X)＝Softmax(z)，其中z表示DNN最后一层隐藏层的输出向量。给定一个输入样本x∈X，DNNs的预测标签可以表示为：y′＝argmax_i∈{1,..,L}F(x)_i，其中概率值F(x)_y′被称为该预测的置信度得分。训练DNNs的目标就是让其预测y′与真实标签y之间的差距越来越小。用J(x,y,θ)表示输入-标签对(x,y)的损失，本文训练DNNs的目标函数是交叉熵损失函数，定义为：J(x,y,θ)＝-1_y·log(Softmax(z(x,θ)))，其中-1_y是真实标签的one-hot编码，向量的对数定义为每个元素的对数。

对抗样本是在输入样本x中添加人眼无法察觉的扰动r，使得具有一定泛化能力的模型错误分类。具体而言就是:x_adv＝x+r,s.t||r||_p≤ε，使DNN的预测argmax_iF(x_adv)≠-1_y或 argmax_iF(x_adv)＝t，其中t是攻击者指定的类别。本文使用l_∞范数来度量扰动r的大小，即||r||_∞≤ε。

1.2基于梯度的攻击

当已知DNNs的模型信息，白盒攻击方法可以在约束||x_adv-x||_p≤ε下，通过优化函数来构造对抗样本。本节主要介绍基于梯度优化生成对抗样本的攻击方法。

FGSM(快速梯度符号法)：GoodFellow提出的第一种基于模型梯度信息生成对抗样本的方法，其通过最大化损失函数J(x,y,θ)获取对抗样本x_adv，为此在损失函数对于x的梯度变化最大的方向上寻找扰动r，即x_adv＝x+r·sign(▽_xJ(x,y；θ))，其中sign(·)表示符号函数，▽_xJ(x,y；θ) 是损失函数对于输入x的梯度，||r||_∞≤ε。

PGD(投影梯度下降)：Aleksander等人将FGSM扩展为迭代的方式寻找对抗扰动，即其中t是迭代次数，迭代步长α＝ε/T，T是整个迭代的总次数，clip_ε(·)表示将扰动裁剪在ε约束内。

MI-FGSM：Dong等人将PGD的迭代部分用动量迭代代替，以稳定梯度方向以免进入局部最大值。基于梯度下降的动量迭代方法表示为:其中u是动量项衰减因子。

MDI2-FGSM：Xie等人为了提高多步迭代方法的黑盒攻击率，提出了在每一步迭代完成后对样本进行输入变换，具体而言：其中p表示变换概率，随机变换函数/>

1.3对抗训练

对抗训练是一种学习DNNs的方法，能够提高DNNs的对抗鲁棒性。首次由Goodfellow 等人提出，他们认为对抗样本能迷惑DNNs的原因是训练数据的不足，因此为了防御对抗样本，提出了用FGSM生成大量的对抗样本然后与其正确标签作为训练数据的一部分再次训练 DNNs。Mardy等人将对抗训练学习问题描述为如下的鲁棒优化问题：

他们提出用PGD方法来解决内部最大化问题。然后利用生成的对抗样本进行训练解决外部最小化问题。但是该对抗训练的方法在单批次的梯度计算复杂度为O(MN)，其中M是数据量，N是PGD的迭代次数，这比标准训练O(M)大了N倍。

1.4知识蒸馏

Hinton首先提出知识蒸馏，他认为模型的预测向量包含了分类之间的结构化信息，可以用来去除神经网络的部分冗余，达到压缩网络结构的目的。具体而言，对于一个已训练好的教师模型F_t(θ)，它的logits层输出为Z＝(Z₁(x),...,Z_L(x))，重新定义softmax函数：

其中，参数T为温度参数，称为软标签，样本x的原始标签y称为硬标签。相比只使用硬标签进行训练，软标签和硬标签可以更好地训练学生模型。学生模型的训练是最小化知识蒸馏损失：/>其中，/>是教师模型生成的软标签，β是调节学生模型训练过程硬标签和软标签计算损失的权重。

1.5Bayes-Stackelberg博弈

Stackelberg博弈是非合作的、有先后次序的决策博弈，它的参与者(player)包括先采取行动的领导者(leader)L，以及随后启动的跟随者(followers)F。我们用一个六元组来表示Stackelberg博弈G＝(L,F,S_L,S_F,R_L,R_F)，这里S_L是领导者的行动空间，S_F是跟随者的行动空间，R_L是领导者的收益函数，R_F是跟随者的收益函数。收益函数是定义在行动组合上的函数R_i:[S_L]×[S_F]→R，这里i＝L,F，[S_i]代表行动空间的索引集合。纯策略是一种只能选择一个行动的策略，而混合策略是每个行动都可以概率0≤p＜1来选择。在Stackelberg博弈中，领导者采用混合策略s，先采取行动，追随者F在领导者的策略下优化自身收益，回应一个纯策略q。最后求解一个领导者的混合整数二次规划问题(MIQP)：

这里，N是一个大的正数，求解得到目标函数值是领导者的最优收益，此时领导者的最优混合策略是s，q是追随者回应的最优策略，此时追随者的收益是v。

在信息安全领域，通常假设领导者为防御方，而跟随者为攻击方。攻击方可能包含多种攻击类型，于是把Stackelberg博弈扩展到有多个类型跟随者的情形，称为Bayes-Stackelberg 博弈，表示为c∈1,...,C，即追随者包含C个类型，每个类型的跟随者F^(c)均有自己的策略集/>和收益函数/>p^(c)表示跟随者F^(c)出现的概率。在这种博弈中，领导者不知道跟随者F^(c)的类型，但知道他的类型的概率分布p^(c)，因此是一种不完全信息的Stackelberg博弈。最后求解Bayes-Stackelberg博弈的领导者MIQP问题：

求解得到目标函数值是领导者的最优收益，此时领导者的最优混合策略是s，q^(c)是追随者F^(c)回应的最优策略，此时追随者的收益是v^(c)。

2、防御方法

本发明提出了包含三个关键技术的边缘智能移动目标防御框架：对抗训练、差异知识蒸馏和模型动态调度。我们在云数据中心使用对抗训练获得强大教师模型。其次，我们使用迁移学习从教师模型中提取鲁棒性知识，并将其应用到资源有限的小规模学生模型中，不同于 Hinton的知识蒸馏，我们增加了差异性正则项来提高学生模型之间的多样性，有效地降低对抗样本的可转移性。这些学生模型，也称成员模型被进一步动态调度。得益于所获得的多样性，我们的动态调度可以增加攻击者找到最优代理模型难度，如图1右侧所示。

教师模型的对抗训练：假设我们有一个训练数据集和一个教师模型。已有工作表明，容量更大的网络可以通过对抗训练获得更强的鲁棒性。因此，我们选择像ResNet-101 有101层的网络作为教师模型。然后在云数据中心进行对抗训练，并结合的“FAST”对抗训练方法来加速这一过程。

学生模型的差异性知识蒸馏。首先从教师模型中获得适当蒸馏温度下训练集的软标签，然后创建新的训练数据集。知识蒸馏的本质是用教师模型软标签训练学生模型。为了获得学生模型的多样性，我们定义了一个新的带有正则化项的损失函数，同时训练所有学生模型，以最小化公共损失函数。请注意，在本发明中，学生模型、成员模型和目标模型是指同一个对象，它们在特定的上下文中有特定的名称。

成员模型的动态服务调度。在差异性知识蒸馏后，学生模型被部署到边缘节点。请注意，每个边缘节点，包括边缘设备和边缘服务器，只有一个学生模型。其中，边缘服务器被指定为调度控制器。所有学生模型，即成员模型都在调度控制器中注册。当用户(包括攻击者)通过边缘设备(例如，智能电话)输入图像请求分类服务时。边缘设备首先将服务请求上传到调度控制器，而不是直接在本地模型上处理。调度控制器选择一个边缘节点，更准确地说，选择其上的模型来执行分类。因此，攻击者无法知道最终由哪个边缘节点提供服务。边缘服务器通过Bayes-Stackelberg博弈来提供一个最佳目标模型选择。

3.1差异性度量

如上所述，模型的多样性对动态调度的有效性起着重要的作用。为此，如何恰当地衡量多样性是一个重要的问题。受对抗攻击利用相对于输入的梯度作为扰动方向这一事实的启发，我们使用梯度对齐作为多样性度量。

假设有两个成员模型和/>∈Ω以及攻击者选定的代理模型F_a∈U，用/>分别表示/>和/>的损失函数对样本x的梯度。如果/>和/>之间的夹角足够小，这意味着能使/>误分类的x_adv也能使/>误分类，因此/>与/>之间的差异性与/>和/>之间的夹角有关。我们使用余弦相似度(CS)表示▽_xJ₁和▽_xJ₂的对齐程度：

其中＜▽_xJ₁,▽_xJ₂＞是和/>的内积。若CS(▽_xJ₁,▽_xJ₂)＝-1，则▽_xJ₁和▽_xJ₂的梯度方向相反，意味着能使/>误分类的x_adv不能使/>错误分类。

3.2差异性知识蒸馏

本节进一步将余弦相似性应用于成员模型的训练过程，以获得具有较大差异性的成员模型。由于余弦相似度是用两个梯度计算的，并且我们的EI-MTD包括K个模型，因此将成对余弦相似性上的最大值定义为EI-MTD多样性度量:

其中J_a和J_b分别表示成员模型和/>的损失函数，θ^(a)和θ^(b)分别表示成员模型和/>的参数，/>是x从教师模型获得软标签。由于CS_coherence是非光滑函数，无法使用梯度下降等一阶优化方法，本文使用LogSumExp函数来光滑近似CS_coherence：

较小的CS_coherence小意味着成员模型之间的差异性较大。注意成员模型是从云数据中心的教师模型中蒸馏出来的，同时需要保证成员模型之间的多样性，因此我们在知识蒸馏过程中加入了正则化项，从新定义了一个新的蒸馏损失函数如下:

其中λ是正则化***，控制训练过程中CS_coherence的重要性。为了让学生模型充分的学习到教师模型的对抗知识，设置β＝1。也就是说，我们只使用软标签示例来训练学生模型。差异性知识蒸馏算法1如下中所示。

3.3模型调度策略

3.2小节中差异性知识蒸馏得到学生模型后，即成员模型，被部署到边缘节点，如图2所示。当边缘设备收到图像时，它不会对自己的模型执行分类，而是将图像转发给调度控制器。调度控制器将通过调度策略选择注册的服务模型。在本节中，我们将详细描述调度策略。

在对抗环境中，防守方和攻击者都希望通过一些策略最大化自身的“收益”，这正是典型的博弈问题。在本发明中，使用Bayes-Stackelberg博弈来建模调度策略。防御者的策略是选择一个合适的服务分类模型，而对手的策略是选择一个最优的代理模型来生成对抗样本。本发明将Bayes-Stackelberg博弈表示为七元组其中L是防御者， S_L是差异性蒸馏后得到的一组学生模型/>追随者F类型包含两种，合法用户F⁽¹⁾和攻击者F⁽²⁾；合法用户F⁽¹⁾的行动空间/>只有一种行动，即使用合法样本请求服务；攻击者 F⁽²⁾的行动空间/>是选择不同的代理模型/>防御者L的收益和合法用户F⁽¹⁾的收益/>定义为成员模型对自然图像的分类准确率；防御者L的收益是成员模型对对抗样本的分类准确率；非法用户F⁽²⁾的收益/>定义为对抗样本攻击成功率；P⁽¹⁾表示合法用户F⁽¹⁾出现的概率，P⁽²⁾表示攻击者F⁽²⁾出现的概率；将基于Bayes-Stackelberg博弈的模型调度策略问题，转化如下的混合整数二次规划问题(MIQP)：

0≤s≤1

/>

v^(c)∈R

其中P⁽¹⁾＝1-α，P⁽²⁾＝α，s＝(p₁,p₂,...,p_K)求解得到成员模型的调度策略，p_i成员模型F_s(θ⁽ⁱ⁾) 被选择的概率。q^(c)是终端用户F^(c)回应的最优策略，终端用户的收益是v^(c)。

MIQP是一个NP难问题，本发明利用分解最优Bayes-Stackelberg博弈解算法解决该问题。此外DOBSS算法相对于其它求解方法三个关键优点。首先，该方法允许Bayes-Stackelberg 被紧凑地表达，不需要通过海萨尼(Harsanyi)转换为正常形式的博弈；其次，该方法只需要求解一个混合整数线性规划问题，而不是计算一组线规划问题的集合，从而进一步提高了求解速度；最后，它直接寻找最优的领导者策略，而不是Nash均衡，从而使其能够找到高收益的 Stackelberg均衡策略(利用了领导者的占先优势)。对于求解得到的领导者最优策略s，边缘服务器根据用户的服务器亲求，在该最优策略下依调度配置在边缘设备上的模型服务用户。

4、实验

4.1实验设置

在本发明的实验验证中，使用一个GPU集群、一台PC和树莓派机器来分别模拟云数据中心、边缘服务器和边缘设备。

云计算中心：本发明实施实例使用中科曙光的X745-G30服务器模拟云计算中心，该服务器的操作***是Ubuntu16.04.6LTS，GPU型号是NVIDIA Geforce RTX 2080Ti*4，使用Python3.7.3、Pytorch1.2等扩展包。在该服务器上进行教师模型的对抗训练以及学生模型的差异性知识蒸馏。

边缘服务器：使用HUAWEI MateBook14 2020笔记本来模拟边缘服务器，64位Windows 10操作***，CPU处理器是Intel Core i5-10210U 2.11GHz，16GB RAM。使用python3.6、 PuLP2.1实现DOBSS算法的求解。

边缘设备：我们选择一组6个Raspberry Pi 3Model B+作为边缘设备，每一个Raspberry Pi 3Model B+的处理器是Broadcom BCM2837B0，操作***是64位四核ARMCortex-A53，内存是1GB LPDDR2 SDRAM。除了这些边缘设备上的学生模型，我们还开发了测试程序，即在任意时间点将图像发送到边缘服务器，模拟图像分类请求。

教师模型：教师模型采用了ResNet-101模型。该模型有101层和33个残差块。教师模型在GPU用120万张干净的图像和它们对应的对抗样本训练，这些对抗样本由FGSM方法生成。

学生/成员模型：采用目前主流的几种轻量级模型结构，即MobileNetV2、ShuffleNetV2和 SqueezeNet作为为学生/成员模型。在这三种模型结构上，通过不同的超参数得到六个模型： MobileNetV2-1.0,MobileNetV2-0.75,ShuffleNetV2-0.5,ShuffleNetV2-1.0,SqueezeNet-1.0, SqueezeNet-1.1。

代理模型：为了模拟攻击者的策略，选择了五个替代模型：MobileNetV2-1.0、Shufflenetv2-1.0、SuqeezeNe-1.0、ResNet-18和VGG-13。前三个模型的结构与模拟白盒攻击的成员模型完全相似。给定预训练的代理模型，我们通过FGSM,PGD,MI-FGSM and M-DI2-FGSM生成对抗样本。

数据集：本发明实例是在ILSVRC2012数据集上进行实验，该数据集包含1000个类别，由120万幅图像作为训练集和150,000幅图像作为测试集组成。每幅图像大小为224×224，有三个颜色通道。它目前是图像分类领域的一个基准数据集。

4.2对抗训练和差异性知识蒸馏

教师模型的准确性：为了确保从教师模型到学生模型的更好的知识转移，教师模型本身必须具有足够的准确性和健壮性。我们使用了120万张干净的图片和它们对应的对抗样本对抗训练教师模型F_t。在训练过程中，我们从测试集选中利用即PGD生成的10,000个对抗样本策略教师模型F_t的每个训练阶段。对于PGD方法，扰动大小ε＝5，迭代步长为ε/5，迭代次数为20。图3展示了教师模型F_t对抗训练的效果。随着训练轮数的加深，教师模型F_t的准确性逐渐提高。首先，对于干净的例子，教师模型的top-1准确率为11.83％，top-5准确率为15.31％。经过15轮的对抗训练，top-1准确率提高到64.03％，top-5的准确率提高到82.8％。同样，教师模型F_t对于PGD对抗样本的top-1准确率从3.37％提高到52.35％，top-5的准确率从13.55％提高到73.71％。综上所述，教师模型通过对抗训练获得了较高的准确性和鲁棒性，保证了学生模型获得良好的性能。

学生/成员模型的准确性。我们使用分别对应于正常训练和差异蒸馏的两组模型进行评估，其中每组包含6个模型，如图4所示。图4展示了通过干净的例子和敌对的例子测试的两个组模型的top-1和top-5的准确率。例如，经过正常训练的shufflenetv2-1.0模型在对抗攻击下的top-1准确率为6.12％，top-5准确率为20.49％。相反，差异性蒸馏的相同模型可以达到39.15％的top-1准确率和67.43％的top-5准确率，干净示例的准确度略有降低。但这些结果表明，从鲁棒的教师模型中蒸馏出来的学生模型具有更好的防御对抗样本的能力，而且具有较低的模型容量。这表示，通过差异性蒸馏得到学生模型可以应用到边缘智能计算环境中。

4.3移动目标防御的收益矩阵

博弈中的收益矩阵代表了参与者在不同策略下的收益。收益矩阵的元素是二元组(a,b)，其中a是被对抗样本攻击时的分类准确性，b是攻击成功率。我们通过ILSVRC2012的测试集测试成员模型获得a的值，并在代理模型上生成测试集的对抗样本测试成员模型获得b。对于合法用户来说，他们的收益是分类器的准确率。表2显示了在MTD-EI框架中，防御者和合法用户之间的博弈矩阵结果。表3、表4、表5和表6给出了防守者和攻击者(PGD、FGSM、MI-FGSM和M-DI2-FGSM)之间的收益矩阵。例如，表3中的(56.73，43.27)表示攻击者在代理模型ResNet-18上用PGD生成对抗样本，攻击分类模型MobileNetV2-1.0时，防御者的收益为对抗样本的分类准确率56.73％，攻击者的收益是对抗样本攻击成功率43.27％。

表3：防御者与PGD攻击者的博弈收益，其中攻击者的收益为攻击成功率(％)，而图像分类***的收益是被攻击时的分类准确率(1-攻击成功率)

表4：防御者与FGSM攻击者的博弈收益，其中攻击者的收益为攻击成功率(％)，而防御者的收益是被攻击时的分类准确率(1-攻击成功率)

表5：防御者与MI-FGSM攻击者的博弈收益，其中攻击者的收益为攻击成功率(％)，而防御者的收益是被攻击时的分类准确率(1-攻击成功率)

表6：防御者与M-DI²-FGSM攻击者的博弈收益，其中攻击者的收益为攻击成功率(％)，而防御者的收益是被攻击时的分类准确率(1-攻击成功率)

4.4 EI-MTD的有效性

给定第5.2节中的收益矩阵，我们可以通过求解选择合适的成员模型的概率向量。由于防御者的最优策略依赖于攻击者出现的概率α，与没有动态调度的单个成员模型相比，我们验证了不同情况下EI-MTD的有效性。这些成员模型具有一定程度的健壮性，因为它们是从鲁棒的教师模型中蒸馏出来的。结果显示在图5中，其中(a)、(b)、(c)和(d)分别对应于FGSM、 PGD、MI-FGSM和M-DI2-FGSM。接下来，我们以PGD(图4(对抗样本))为例，根据对手的出现概率α，讨论了EI-MTD防御***的有效性:

(1)假设用户类型只有合法用户，也即所有的请求都是干净样本，此时设置α＝0，EI-MTD 会选择干净样本分类准确率最高的成员模型MobileNetV2-1.0，相当于EI-MTD使用纯策略 MobileNetV2-1.0，不启用模型切换。

(2)假设用户类型只有攻击者，也即所有的请求都是对抗样本，此时设置α＝1，EI-MTD 求解得到的最优调度策略是s＝(0.13，0.15，0.16，0.12，0.14，0.3)，EI-MTD根据概率向量s随机选择成员模型。在此策略下，EI-MTD对于正常样本的期望分类准确率为64.57％，对抗样本的期望准确率为40.86％，但对于单个DNN来说，对抗样本准确率均小于32％。，可知EI-MTD具有较好的防御有效性。

(3)实际情况通常是合法用户和攻击者以一定的先验概率分布，假设攻击者出现的概率为α(0＜α＜1)，那么合法用户的出现概率就为1-α。实验中，α分别取0.1,0.2,…,0.9，模拟各种可能的情况。从图5中可以观察发现，随着α的不断增大，即对抗样本在请求中的比例增加，所有模型的准确率出现下降趋势，这是由于对抗样本的破坏效果在增加。但我们可以发现，EI-MTD的分类准确率仍高于单一成员模型。

我们同时分析了FGSM、MI-FGSM以及M-DI2-FGSM的对抗攻击，EI-MTD分类准确率同样高于单一成员模型。特别是对于黑箱攻击能力最强的M-DI2-FGSM而言，EI-MTD将防御能力最差的单个成员模型的SqueezeNet-1.0的准确率从15.77％提高到41.09％。由此可见，本文提出的EI-MTD方法可以提高整个图像分类***的鲁棒性。

4.5 EI-TMD的可转移性

对抗性样本的可转移性可以通过转移率来衡量，即被转移的对抗样本的数量与原始模型构建的对抗样本的总数之比。本质上，转移率等于100减去目标模型的分类准确率。我们从图5中可以观察到EI-MTD上的对抗样本的可转移率低于其他成员模型。例如，在图5d中， EI-MTD上的转移率是(100％-41.09％)，而在MobileNetV2-1.0的成员模型上的可转移率是 (100％-28.74％)。类似地，可以发现其他成员模型上的转移率都高于EI-MTD，这表明EI-MTD 可以降低对抗样本的可转移性。

4.6 T和λ对EI-MTD的影响

为了深入分析差异性知识蒸馏对于EI-MTD的影响，我们进一步分析了两个重要的参数T 和λ，这两个参数代表了蒸馏温度和正则化系数。Sailik等人提出了差异免疫作为MTD有效性的衡量标准，其认为对于理想的MTD，特定攻击在不同模型配置上表现出差异性。因此，他们利用攻击成功率定义差异免疫:

其中F_a∈U表示由攻击者选择生成对抗样本的代理模型，F_s∈Ω表示由防守者选择的用于分类服务的目标模型，并且ASR(F_a,F_s)表示代理模型生成的对抗样本对目标模型的攻击成功率。较大的γ值表示MTD性能良好。在本节中，我们使用差异免疫γ来探讨T和λ对于EI-MTD 的影响。

T的影响：为了方便分析，固定λ＝0.3，同时假设所有的请求都是对抗样本。EI-MTD的准确度和蒸馏温度T之间的关系如图6所示。随着蒸馏温度T的升高，我们观察到对于FGSM, PGD,MI-FGSM and M-DI2-FGSM生成的对抗样本，EI-MTD的分类准确率都相应地提高。

由于得到所有成员模型的分类准确率，差异免疫γ可以容易的通过计算得到。图7给出了对应与蒸馏温度T的差异免疫γ。可以观察差异免疫γ到随着蒸馏温度T的升高而增加，这意味着更高的蒸馏温度T可以扩大成员模型的多样性。原因因为，较高的温度会是成员模型的决策边界接近鲁棒的教师模型，降低了max_FsASR(F_a,F_s)。但是，当蒸馏温度T增加到12之后，差异免疫γ的增长变得平缓，这表明此时蒸馏温度T可能不再是影响成员模型差异的主要因素。该结果很好的证明了EI-MTD的有效性。

在上述观察的基础上，我们进一步分析了EI-MTD的准确性与差分免疫γ之间的联系。在图8中，我们通过实验给出了不同差分免疫γ下的EI-MTD的分类准确率。结果表明，增加差分免疫γ可以提高EI-MTD的性能，这再次证实了3.1节中描述的观点，即成员模型的多样性决定了EI-MTD的有效性。例如，当γ＝0.15时，EI-MTD的准确率只有27.34％时，而当我们通过将温度T增大到20，此时γ增加到0.38，EI-MTD的准确率达到47.86％。我们可以清楚地解释蒸馏温度T如何起作用:(1)增加温度T提高差分免疫γ；(2)增加差分免疫γ可以进一步提高EI-MTD的精度；因此(3)增加蒸馏温度T可以提高EI-MTD的有效性。

λ的影响：λ是正则化系数，在训练过程中控制CS_coherence的重要性。为了分析λ对EI-MTD 性能的影响，我们固定了蒸馏温度T＝10。如图9所示，增加λ可以很好地提高EI-MTD的精度。该结果并没有说明它们之间的本质关系。因此，我们首先在图10中展示了正则化系数λ如何影响差分免疫γ。特别是，如果我们减少λ为0时，这表示所有的成员模型都是相同的，即，EI-MTD不进行动态调度，对PGD生成的对抗样本的准确率只有27.34％。相反，如果将差分免疫增加到1，EI-MTD达到55.68％的精度。事实上，增大λ表示差异性蒸馏过程中增大成员模型差异性的重要性。这相应地增加了差分免疫性。通过这种方式，可以看出较大的γ可以提高EI-MTD的准确率。图11表明在温度T＝10时，增加γ可以提高EI-MTD的准确性。因此，我们将上述分析简要总结如下:(1)较大λ可以增加成员模型的多样性，从而进一步提高差分免疫γ；(2)较大差分免疫γ可以保证较高的精度；所以(3)较大λ有利于提高EI-MTD准确率。

T和λ的最优组合：虽然我们分别分析了T和λ各自的影响，但还不清楚它们的组合对 EI-MTD准确性的影响。我们通过图12中的热力图展示不足组合下了差分免疫γ和EI-MTD 的准确率。可以返现，T和λ并没有抵消对方的影响。这是因为，增加T和λ都增大差分免疫γ。在本发明的实例实验中，T＝18和λ＝0.9可以达最优的性能，但是过大的数值似乎没有进一步的显著影响。

以上显示和描述了本发明的基本原理和主要特征及本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (2)

1.一种基于Bayes-Stackelberg博弈的边缘智能移动目标防御方法，其特征在于，包括以下步骤：

S1：针对教师模型的对抗训练：设云数据中心已有训练数据集和教师模型F_t(θ_t)；采用ResNet-101具有101层的神经网络作为教师模型，利用FGSM对抗样本在云数据中心进行对抗训练，并结合的“FAST”对抗训练方法加速这一过程；

S2：学生模型的差异性知识蒸馏：首先从教师模型F_t(θ_t)中获得适当蒸馏温度T下样本x_i的软标签创建新的训练数据集/>定义一个新的带有正则化项CS_coherence的损失函数L＝∑T²J/K+λ·CS_coherence，同时训练所有学生模型/>以最小化公共损失函数L；

S3：成员模型的动态服务调度：在差异性知识蒸馏后，上述学生模型被部署到边缘节点，每个节点部署一个模型；这里边缘节点包括边缘设备和边缘服务器；指定某个边缘服务器为服务调度控制器，所有成员模型及其所在的节点都注册在调度控制器中；当用户通过边缘设备输入图像请求分类服务时，边缘设备首先将服务请求上传到调度控制器，接着调度控制器通过Bayes-Stackelberg博弈选择一个边缘节点来执行分类任务；

根据步骤S3中所述，采用梯度对齐作为多样性度量；

设有两个成员模型和/>以及攻击者选定的代理模型F_a∈U，用/>分别表示和/>的损失函数对样本x的梯度；如果/>和/>之间的夹角足够小，这意味着能使误分类的x_adv也能使/>误分类，因此/>与/>之间的差异性与/>和/>之间的夹角有关；使用余弦相似度(CS)表示/>和/>的对齐程度：

其中是/>和/>的内积；若/>则/>和/>的梯度方向相反，意味着能使/>误分类的x_adv不能使/>错误分类。

所述步骤S2中进一步将余弦相似性应用于学生模型的训练过程，以获得具有较大差异性的成员模型集合；由于余弦相似度是用两个梯度计算的，为进一步推广到K个模型，将成对余弦相似性上的最大值定义为EI-MTD多样性度量：

其中，J_a和J_b分别表示学生模型和/>的损失函数，θ^(a)和θ^(b)分别表示学生模型/>和/>的参数，/>是x从教师模型获得软标签；由于CS_coherence是非光滑函数，无法使用梯度下降优化方法，进一步使用LogSumExp函数近似CS_coherence：

学生模型从云数据中心的教师模型中蒸馏而来，在蒸馏同时需要保证学生模型之间的多样性，因此在知识蒸馏过程中加入正则化项CS_coherence，重新定义新的蒸馏损失函数：

其中，λ是正则化系数，控制训练过程中CS_coherence的重要性；为了让学生模型充分学到教师模型的对抗知识，即只使用软标签示例来训练学生模型；差异性知识蒸馏算法1如下：

2.根据权利要求1所述的基于Bayes-Stackelberg博弈的边缘智能移动目标防御方法，其特征在于：所述步骤S3中差异性知识蒸馏得到学生模型后，即成员模型，被部署到边缘节点；当边缘设备收到图像时，不会在自己的模型上执行分类，而是将图像转发给调度控制器；调度控制器将通过调度策略选择注册的服务模型，具体而言：

将Bayes-Stackelberg博弈表示为七元组其中L是防御者，S_L是差异性蒸馏后得到的一组学生模型/>追随者F类型包含两种，合法用户F⁽¹⁾和攻击者F⁽²⁾；合法用户F⁽¹⁾的行动空间/>只有一种行动，即使用合法样本请求服务；攻击者F⁽²⁾的行动空间/>是选择不同的代理模型/>防御者L的收益/>和合法用户F⁽¹⁾的收益/>定义为成员模型对自然图像的分类准确率；防御者L的收益/>是成员模型对对抗样本的分类准确率；非法用户F⁽²⁾的收益/>定义为对抗样本攻击成功率；P⁽¹⁾表示合法用户F⁽¹⁾出现的概率，P⁽²⁾表示攻击者F⁽²⁾出现的概率；将基于Bayes-Stackelberg博弈的模型调度策略问题，转化如下的混合整数二次规划问题MIQP：

0≤s_n≤1

其中P⁽¹⁾＝1-α，P⁽²⁾＝α，s＝(p₁,p₂,...,p_K)求解得到成员模型的调度策略，p_i成员模型F_s(θ⁽ⁱ⁾)被选择的概率；q^(c)是用户F^(c)回应的最优策略，用户的收益是v^(c)；利用DOBSS算法求解。