CN113936140B

CN113936140B - 一种基于增量式学习的对抗样本攻击模型的评估方法

Info

Publication number: CN113936140B
Application number: CN202111367546.7A
Authority: CN
Inventors: 温蜜; 吕欢欢; 王亮亮; 张凯; 魏敏捷
Original assignee: Shanghai Electric Power University
Current assignee: Shanghai Electric Power University
Priority date: 2021-11-18
Filing date: 2021-11-18
Publication date: 2024-06-18
Anticipated expiration: 2041-11-18
Also published as: CN113936140A

Abstract

本发明提供一种基于增量式学习的对抗样本攻击模型的评估方法，由于使用Deeplab v2语义分割模型结合知识蒸馏的增量式学习方法对样本数据进行特征提取获取语义分割图，再分别在不同的扰动值下使用不同的攻击算法对该采用不同学习方法的模型进行攻击获取攻击成功率，最终通过对比采用不同学习方法的模型的攻击成功率，得出增量式学习方法可以在不存储旧任务图像的情况下学习新知识，从而减少时间上和空间上的浪费，也可以解决深度学习模型使用批量式学习时产生的灾难性遗忘问题，同时，也得出了针对无人驾驶场景中的深度学习模型在执行增量学习任务时，对抗样本攻击对深度学习模型所产生的影响。

Description

一种基于增量式学习的对抗样本攻击模型的评估方法

技术领域

本发明涉及一种基于增量式学习的对抗样本攻击模型的评估方法。

背景技术

随着人工智能的兴起，无人驾驶汽车的出现可以缓解道路交通拥堵，降低交通事故的风险，其中深度学习已成为其关键技术之一。但是，深度学习模型已经被许多工作证明了存在脆弱性并且容易受到对抗样本的攻击。攻击者通过在原始图片上添加一些细微的扰动就可以导致分类模型输出的分类结果错误，从而达到攻击的目的。对于无人驾驶***而言，安全性是至关重要的。因此，对抗样本的攻击将影响无人驾驶场景中人工智能的部署，也存在着巨大的安全隐患。此外，深度学习模型还存在灾难性遗忘问题。随着无人驾驶汽车在道路上行驶，它们需要学习新的类别和其不同的表示形式。当***需要模型来学习新知识而同时不忘记旧知识时，它们会表现出严重的性能下降。最近，已经观察到增量学习技术可以解决上述挑战。然而，先前针对无人驾驶场景中的对抗样本攻击的研究主要集中在批量学习上。尚不清楚在执行增量学习任务时，使用对抗样本攻击对深度学习模型产生多大影响。这个问题暴露了无人驾驶***的潜在安全隐患，同时也增加了研究的机会。

发明内容

为解决上述问题，提供一种基于增量式学习的对抗样本攻击模型的评估方法，本发明采用了如下技术方案：

本发明提供了一种基于增量式学习的对抗样本攻击模型的评估方法，其特征在于，包括以下步骤：步骤S1，基于预定数据集获取训练数据，训练数据包含若干个类别；步骤S2，采用预定的语义分割模型对训练数据分别进行非增量式学习、L'_D式增量学习以及E_qL'_D式增量学习；步骤S3，基于预定的语义分割模型对学习后的训练数据进行特征提取，分别获取非增量式学习的第一语义分割图、L'_D式增量学习的第二语义分割图以及E_qL'_D式增量学习的第三语义分割图；步骤S4，采用若干类预定的攻击算法在不同的扰动值下分别对第一语义分割图、第二语义分割图以及第三语义分割图进行攻击，并分别获取对应的攻击成功率；步骤S5，通过对攻击成功率进行对比，从而评估基于增量式学习的模型的鲁棒性。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，预定的语义分割模型为DeepLab v2模型，该模型包括空洞卷积、空洞空间金字塔池化以及条件随机场，DeepLab v2模型通过使用DCNN获得近似的语义分割结果，根据双线性差值将特征图恢复到原始图像分辨率，并采用完全连接的条件随机场完善语义分割结果。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，预定的攻击算法包括FGSM攻击算法、DeepFool攻击算法以及MI-FGSM攻击算法。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，预定数据集为Pascal VOC2012数据集，样本数据包含21个类别。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，两组实验数据分别为：将样本数据的21个类别分为前20个类别以及最后1个类别的第一组实验数据，将样本数据的21个类别分为前16个类别以及最后5个类别的第二组实验数据。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，在步骤S2中基于第一组实验数据进行学习的过程为：对第一组实验数据中的前20个类别进行非增量式学习，对第一组实验数据中的最后1个类别分别进行非增量式学习、L'_D式增量学习以及E_qL'_D式增量学习；在步骤S2中基于第二组实验数据进行学习的过程为：对第二组实验数据中的前16个类别进行非增量式学习，对第二组实验数据中的最后5个类别分别进行非增量式学习、L'_D式增量学习以及E_qL'_D式增量学习。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，L'_D式增量学习为在预定的语义分割模型的输出层上进行知识蒸馏以获得蒸馏损失L'_D，E_qL'_D式增量学习为在预定的语义分割模型的输出层上进行知识蒸馏的同时冻结编码器，在编码器冻结时获得蒸馏损失E_qL'_D。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，蒸馏损失L'_D为：

式中，是指每个步骤的新的训练样本，k是索引的增量步骤，k＝1,2,…，以便模型每次学习一组新的类，M_k(X_n[c])反映了类别c的评价分数，S_k-1是以前学过的所有类别的结合。

本发明提供的一种基于增量式学习的对抗样本攻击模型的评估方法，还可以具有这样的技术特征，其中，步骤S5还包括对基于增量式学习的模型进行对抗训练以提升该模型的鲁棒性，对抗训练为：采用对抗样本算法针对被攻击的基于增量式学习的模型生成对抗样本，将对抗样本以及样本数据输入至基于增量式学习的模型进行训练，并采取有监督学习方式进行学习。

发明作用与效果

根据本发明的基于增量式学习的对抗样本攻击模型的评估方法，由于使用Deeplab v2语义分割模型结合知识蒸馏的增量式学习方法对样本数据进行特征提取获取语义分割图，再分别在不同的扰动值下使用不同的攻击算法对该采用不同学习方法的模型进行攻击获取攻击成功率，最终通过对比采用不同学习方法的模型的攻击成功率，得出增量式学习方法可以在不存储旧任务图像的情况下学习新知识，从而减少时间上和空间上的浪费，也可以解决深度学习模型使用批量式学习时产生的灾难性遗忘问题。同时，也得出了针对无人驾驶场景中的深度学习模型在执行增量学习任务时，对抗样本攻击对深度学习模型所产生的影响。

附图说明

图1是本发明实施例中的基于增量式学习的对抗样本攻击模型的评估方法的流程图；

图2是本发明实施例中的DeepLab v2模型中的ASPP模块示意图；

图3是本发明实施例中的第k个增量学习步骤的框架示意图；

图4是本发明实施例中第k个增量步骤中编码器的冻结方案示意图；

图5是本发明实施例中第一组实验数据的语义分割结果示意图；

图6是本发明实施例中第二组实验数据的语义分割结果示意图；

图7是本发明实施例中基于第一组实验数据得到的攻击成功率；

图8是本发明实施例中基于第二组实验数据得到的攻击成功率。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，以下结合实施例及附图对本发明的一种基于增量式学习的对抗样本攻击模型的评估方法作具体阐述。

<实施例>

本发明的基于增量式学习的对抗样本攻击模型的评估方法以无人驾驶为场景进行实验。该实验环境设置为：实验硬件配置为Intel(R)Core(TM)i7-7800X CPU，NVIDIAGeForce RTX 2080Ti GPU和24GB RAM，在Ubuntu环境下基于Tensorflow框架运行，其中主要环境配置为python 3.6。

图1是本发明实施例中的基于增量式学习的对抗样本攻击模型的评估方法的流程图。

如图1所示，基于增量式学习的对抗样本攻击模型的评估方法包括以下步骤：

步骤S1，基于预定数据集获取包含若干个类别的样本数据。

本实施例中，预定数据集为Pascal VOC 2012数据集，包含21个类别(background、aeroplane、bicycle、bird、boat、bottle、bus、car、cat、chair、cow、dining table、dog、horse、motorbike、person、potted plant、sheep、sofa、train、tv/monitor)，共有10582张训练图像和1449张验证图像。

此外，该数据集含有6类(bicycle、bus、car、motorbike、person、train)是无人驾驶场景中常见的类别。因此，它不仅可以用于评估基于无人驾驶场景中增量式技术的对抗样本攻击算法的性能而且更具有一般性。

步骤S2，将样本数据分为两组作为实验数据，采用预定的语义分割模型对实验数据分别进行两组的非增量式学习、L'_D式增量学习以及E_qL'_D式增量学习。

本实施例中，预定的语义分割模型为DeepLab v2模型，该模型包括空洞卷积、空洞空间金字塔池化(ASPP)以及条件随机场(CRF)。

图2是本发明实施例中DeepLab v2模型中的ASPP模块示意图。

其中，ASPP模块(如图2所示)是受SPP模块的启发，将SPP模块中普通卷积层替换为并行的多个不同扩张率的孔洞卷积来提取图像特征，进而采集不同尺度的全局和局部特征信息，获取多种感受野，以此来提高最终的分割准确度。

其中，两组实验数据分别为：

将样本数据的21个类别分为前20个类别以及最后1个类别的第一组实验数据；将样本数据的21个类别分为前16个类别以及最后5个类别的第二组实验数据。

在该步骤S2中基于第一组实验数据进行学习的过程为：

对第一组实验数据中的前20个类别进行非增量式学习，对第一组实验数据中的最后1个类别(即tv/monitor)分别进行非增量式学习、L'_D式增量学习以及E_qL'_D式增量学习。

在该步骤S2中基于第二组实验数据进行学习的过程为：

对第二组实验数据中的前16个类别进行非增量式学习，对第二组实验数据中的最后5个类别(potted plant、sheep、sofa、train、tv/monitor)分别进行非增量式学习、L'_D式增量学习以及E_qL'_D式增量学习。

图3是本发明实施例中第k个增量学习步骤的框架示意图。

如图3所示，L'_D式增量学习为在DeepLab v2模型的输出层上进行知识蒸馏以获得蒸馏损失L'_D，L'_D是掩盖由先前ZENsoftmax层的输出与当前模型M_k中的softmax层的输出所产生的对数交叉熵损失(假设当前处于第k个增量学习步骤)。这是因为我们想通过引导学习过程来保存它们，所以交叉熵被掩盖，这对于考虑已经看到的类是非常有用的。

其中，蒸馏损失L'_D为：

图4是本发明实施例中第k个增量步骤中编码器的冻结方案示意图。

E_qL'_D式增量学习为在DeepLab v2模型的输出层上进行知识蒸馏的同时冻结编码器，在编码器冻结时获得蒸馏损失E_qL'_D。

该增量式学习方法则是在第一种增量式学习方法L'_D的基础上进行的修改，编码器旨在提取一些中间特征的表示，修改也是基于此点。这种方法允许网络仅通过解码器来学习新类别。与之前的训练阶段相比，它保留了相同的特征提取功能，如图4所示，其中M_k-1是上一步的整个模型。

其中，知识蒸馏是将从一个复杂模型或多个模型中学习到的知识迁移到另一个简单模型上。上述两种增量式学习方法是最具挑战性的设置，不存储(不浪费存储空间)、之前的性能不会降低来自旧任务的图像并且不能将其用于帮助增量过程，这特别适合类似于无人驾驶汽车这样的***，既涉及隐私问题，对存储也有要求。

步骤S3，基于DeepLab v2模型对学习后的两组实验数据进行特征提取，分别获取与两组实验数据分别对应的非增量式学习的第一语义分割图、L'_D式增量学习的第二语义分割图以及E_qL'_D式增量学习的第三语义分割图。

实施例中，DeepLab v2模型通过使用DCNN获得近似的语义分割结果，根据双线性差值将特征图恢复到原始图像分辨率，并采用完全连接的条件随机场完善语义分割结果。

图5是本发明实施例中第一组实验数据的语义分割结果示意图，图6是本发明实施例中第二组实验数据的语义分割结果示意图。

如图5所示，DeepLab v2模型分别对基于非增量式学习(图中GT列)、L'_D式增量学习(图中L'_D列)以及式增量学习(图中E_qL'_D列)的最后1个类别即tv/monitor(图中RGB列)进行特征提取，得到对应的语义分割示例图。

如图6所示，DeepLab v2模型分别对基于非增量式学习(图中GT列)、L'_D式增量学习(图中L'_D列)以及式增量学习(图中E_qL'_D列)的最后5个类别：potted plant、sheep、sofa、train、tv/monitor(图中RGB列)进行特征提取，得到对应的语义分割示例图。

步骤S4，采用若干类预定的攻击算法在不同的扰动值下分别对两组实验数据中的第一语义分割图、第二语义分割图以及第三语义分割图进行攻击，并分别获取两组对应的攻击成功率。

近几年有关对抗样本攻击的研究主要可以分为以下三种类型：白盒攻击、黑盒攻击以及物理攻击。

其中，白盒攻击的前提是可以充分获取模型的体系结构，包括其各层的参数值以及模型的组成，并且可以完整控制模型的输入，对输入的控制粒度甚至可以到比特级别。它的优点是计算速度相对较快，但需要目标网络的梯度信息。白盒攻击算法主要包括以下几种算法：快速梯度算法(FGSM)、显著图攻击算法(JSMA)、DeepFool算法、动量迭代快速梯度算法(MI-FGSM)以及C&W算法等。

本实施例中，采用FGSM攻击算法、DeepFool攻击算法以及MI-FGSM攻击算法分别在扰动值ε设置为ε＝0.3，ε＝0.2，ε＝0.1时对基组实验数据分别进行学习所获取的语义分割图进行攻击以获取对应的攻击成功率。

步骤S5，通过对每一组中的攻击成功率进行对比，从而评估基于增量式学习的模型的鲁棒性。

图7是本发明实施例中基于第一组实验数据得到的攻击成功率。

本实施例中，基于第一组实验数据进行的学习中，将非增量式学习的模型记作M(0-20)，将L'_D式增量学习的模型记作M(0-19)+M(20)(L'_D)，将E_qL'_D式增量学习的模型记作M(0-19)+M(20)(E_qL'_D)。

如图7所示，首先选择在扰动值ε＝0.3时的FGSM攻击算法进行详细分析：

当采用L'_D式增量学习时，攻击成功率可以达到94.55％；

当采用E_qL'_D式增量学习时，攻击成功率可以达到92.10％；

当采用非增量式学习时，攻击成功率仅达到了86.12％。

因此，增量式学习可以使对模型的攻击成功率提高8.43％，从仅对前20类的攻击结果，可以发现在增量式学习之后攻击成功率确实提高了。

然后，对于DeepFool攻击算法分析扰动值ε＝0.2的攻击成功率：

当采用L'_D式增量学习时，攻击成功率可以达到83.71％；

当采用E_qL'_D式增量学习时，攻击成功率可以达到81.52％；

当采用非增量式学习时，攻击成功率仅达到了80.18％。

因此，当扰动值ε＝0.2时，增量学习可以使对模型的攻击成功率提高3.53％。

类似的，对MI-FGSM攻击算法分析当扰动值ε＝0.3时，采用L'_D式增量学习可以使攻击成功率提高2.59％。

另外，E_qL'_D式增量学习也可以提高一定的攻击成功率，但是没有L'_D式增量学习提高的多，所以可以得出E_qL'_D式增量学习比L'_D式增量学习的对抗鲁棒性更好，即当模型采用增量式进行学习时，对抗样本攻击该模型的攻击成功率均高于非增量式学习的模型。

本实施例中，基于第二组实验数据进行的学习中，将非增量式学习的模型记作M(0-15)，将L'_D式增量学习的模型记作M(0-15)+M(16-20)(L'_D)，将E_qL'_D式增量学习的模型记作M(0-15)+M(16-20)(E_qL'_D)。

如图8所示，首先选择在扰动值ε＝0.3时的FGSM攻击算法进行详细分析：

当采用L'_D式增量学习时，攻击成功率可以达到92.14％；

当采用E_qL'_D式增量学习时，攻击成功率可以达到93.75％；

当采用非增量式学习时，攻击成功率仅达到了86.12％。

因此，增量式学习可以使对模型的攻击成功率有所提高。

然后，对于DeepFool攻击算法分析扰动值ε＝0.3的攻击成功率：

当采用L'_D式增量学习时，攻击成功率可以达到82.23％；

当采用E_qL'_D式增量学习时，攻击成功率可以达到83.39％；

当采用非增量式学习时，攻击成功率仅达到了81.16％。

此时，E_qL'_D式增量学习可以使得攻击成功率提高2.23％。

类似的，对MI-FGSM攻击算法分析当扰动值ε＝0.1时，E_qL'_D式增量学习可以使得攻击成功率提高3.08％。

因此，由上可知，基于增量式学习的对抗样本攻击模型具有更高的攻击成功率。其中，在第二组实验中，E_qL'_D式增量学习比L'_D式增量学习方法的攻击成功率更高。

因此，当模型采用增量式学习方法进行样本学习时，能够实现不存储旧任务图像的情况下学习新知识，从而减少时间上和空间上的浪费，也可以解决深度学习架构的灾难性遗忘问题，但是模型的鲁棒性会降低。

本实施例中，为了进一步的提高采用增量式学习的模型的鲁棒性，还加入了对抗训练。具体地：

首先使用FGSM攻击算法、DeepFool攻击算法以及MI-FGSM攻击算法等常见的对抗样本算法，针对被攻击模型生成大量的对抗样本，然后把对抗样本和原始数据放到该模型里重新训练，进行有监督学习，从而获得加固后的模型。

实施例作用与效果

根据本实施例提供的基于增量式学习的对抗样本攻击模型的评估方法，由于使用Deeplab v2语义分割模型结合知识蒸馏的增量式学习方法对样本数据进行特征提取获取语义分割图，再分别在不同的扰动值下使用不同的攻击算法对该采用不同学习方法的模型进行攻击获取攻击成功率，最终通过对比采用不同学习方法的模型的攻击成功率，得出增量式学习方法可以在不存储旧任务图像的情况下学习新知识，从而减少时间上和空间上的浪费，也可以解决深度学习模型使用批量式学习时产生的灾难性遗忘问题。同时，也得出了针对无人驾驶场景中的深度学习模型在执行增量学习任务时，对抗样本攻击对深度学习模型所产生的影响。

实施例中，预定数据集为Pascal VOC 2012数据集，该数据集含有6类(bicycle、bus、car、motorbike、person、train)是无人驾驶场景中常见的类别。因此，它不仅可以用于评估基于无人驾驶场景中增量式技术的对抗样本攻击算法的性能而且更具有一般性。

实施例中，由于采用对抗训练对基于增量式学习的模型进行了加固，使得该模型的鲁棒性得到了有效提升，降低了对抗样本攻击基于增量式学习的模型的影响。

上述实施例仅用于举例说明本发明的具体实施方式，而本发明不限于上述实施例的描述范围。

Claims

1.一种基于增量式学习的对抗样本攻击模型的评估方法，其特征在于，包括以下步骤：

步骤S1，基于预定数据集获取包含若干个类别的样本数据；

步骤S2，将所述样本数据分为两组作为实验数据，采用预定的语义分割模型对所述实验数据分别进行两组的非增量式学习、L'_D式增量学习以及E_qL'_D式增量学习；

步骤S3，基于所述预定的语义分割模型对学习后的两组所述实验数据进行特征提取，分别获取与两组所述实验数据分别对应的所述非增量式学习的第一语义分割图、L'_D式增量学习的第二语义分割图以及所述E_qL'_D式增量学习的第三语义分割图；

步骤S4，采用若干类预定的攻击算法在不同的扰动值下分别对两组所述实验数据中的所述第一语义分割图、所述第二语义分割图以及所述第三语义分割图进行攻击，并分别获取两组对应的攻击成功率；

步骤S5，通过对每一组中的所述攻击成功率进行对比，从而评估基于增量式学习的模型的鲁棒性，

其中，所述预定的语义分割模型为DeepLab v2模型，该模型包括空洞卷积、空洞空间金字塔池化以及条件随机场，

所述DeepLab v2模型通过使用DCNN获得近似的语义分割结果，根据双线性差值将特征图恢复到原始图像分辨率，并采用完全连接的条件随机场完善所述语义分割结果，

所述L'_D式增量学习为在所述预定的语义分割模型的输出层上进行知识蒸馏以获得蒸馏损失L'_D，

所述E_qL'_D式增量学习为在所述预定的语义分割模型的输出层上进行知识蒸馏的同时冻结编码器，在所述编码器冻结时获得蒸馏损失E_qL'_D，

所述蒸馏损失L'_D为：

2.根据权利要求1所述的一种基于增量式学习的对抗样本攻击模型的评估方法，其特征在于：

其中，所述预定的攻击算法包括FGSM攻击算法、DeepFool攻击算法以及MI-FGSM攻击算法。

3.根据权利要求1所述的一种基于增量式学习的对抗样本攻击模型的评估方法，其特征在于：

其中，所述预定数据集为PascalVOC 2012数据集，所述样本数据包含21个类别。

4.根据权利要求3所述的一种基于增量式学习的对抗样本攻击模型的评估方法，其特征在于：

其中，所述两组实验数据分别为：

将所述样本数据的21个类别分为前20个类别以及最后1个类别的第一组实验数据，

将所述样本数据的21个类别分为前16个类别以及最后5个类别的第二组实验数据。

5.根据权利要求4所述的一种基于增量式学习的对抗样本攻击模型的评估方法，其特征在于：

其中，在所述步骤S2中基于所述第一组实验数据进行学习的过程为：

对所述第一组实验数据中的所述前20个类别进行所述非增量式学习，

对所述第一组实验数据中的所述最后1个类别分别进行所述非增量式学习、所述L'_D式增量学习以及所述E_qL'_D式增量学习；

在所述步骤S2中基于所述第二组实验数据进行学习的过程为：

对所述第二组实验数据中的所述前16个类别进行所述非增量式学习，

对所述第二组实验数据中的所述最后5个类别分别进行所述非增量式学习、所述L'_D式增量学习以及所述E_qL'_D式增量学习。

6.根据权利要求1所述的一种基于增量式学习的对抗样本攻击模型的评估方法，其特征在于：

其中，所述步骤S5还包括对所述基于增量式学习的模型进行对抗训练以提升该模型的鲁棒性，

所述对抗训练为：

采用对抗样本算法针对被攻击的所述基于增量式学习的模型生成对抗样本，将所述对抗样本以及所述样本数据输入至所述基于增量式学习的模型进行训练，并采取有监督学习方式进行学习。