【最新成果】深度卷积神经网络图像识别模型对抗鲁棒性技术综述
研究背景
以卫星、无人机等为代表的多源空天图像侦察近年来发展迅猛,不断持续获取海量高分辨率图像数据,仅依赖专家判读的数据分析模式已无法满足情报生成的时效性要求。一方面,基于人工智能和深度学习算法的大规模图像内容自动分析已逐步被引入离线情报生产过程中。另一方面,考虑到通信带宽、数据传输效率、情报生成实时性和区域拒止电磁对抗等多因素的影响,未来大量基于深度神经网络模型的多源图像目标检测与识别算法将被部署在边缘计算平台,进行在线目标识别和感兴趣数据筛选。与传统的基于专家系统的符号主义智能化识别系统不同,基于深度卷积神经网络的联结主义智能化图像识别系统涉及全链路的数据复杂处理操作、预训练系统、机器学习框架多个方面,这些方面在军事对抗场景中都可能涉及安全问题。
图1 深度图像识别系统潜在安全风险
团队工作
针对上述问题,国防科技大学匡纲要教授和计科峰教授团队从信息安全角度分析了基于深度卷积神经网络的图像识别系统潜在安全风险与对抗脆弱性成因;建立对抗学习攻击与防御敌手模型,系统总结了对抗样本攻击、主被动对抗防御、对抗鲁棒性评估技术的研究进展;最后结合团队研究工作指出存在的开放性问题。
对抗扰动或常见堕化扰动并没有改变输入图像的语义内容,因此深度卷积神经网络模型不应该因为它们的存在而改变决策行为。但是事实上深度卷积神经网络模型却很容易被很小的局部变化所迷惑,改变决策行为,以高置信度给出错误判断。与堕化噪声扰动相比较,由于对抗噪声扰动产生机理更加复杂、扰动幅度小,因此人类视觉通常不可分辨、机器统计量很难可靠检测,在安全敏感领域危害性更强。
对抗鲁棒性最有效的提升方法是采用最大化模型损失的对抗样本重训练深度网络模型。深度识别模型的对抗训练过程是有监督学习过程,而且对抗训练过程的样本采样复杂度要比标准训练高很多,因此需要更大规模的高质量标记数据集。充分挖掘无标记数据中的潜在语义关系和因果关系将大大降低鲁棒识别模型学习算法对标记数据的严重依赖。国防科技大学匡纲要教授和计科峰教授团队提出利用无监督数据提升深度识别模型的对抗鲁棒性,通过无监督数据可以将深度识别模型的判别特征更加聚焦在显著目标区域,减小非鲁棒性特征对识别结果的影响。
此外,在自动驾驶和军事侦察等多种应用场景同时存在光电和微波等多类图像传感器,现有的攻击算法重点关注光电对抗智能扰动技术,很容易在其他波段暴露。深度学习在多源图像处理任务结构上的相似性会导致耦合攻击风险。图4为课题组开展的基于协同稀疏差分进化的多源图像深度识别模型耦合攻击结果,对于同一地理区域的光学图像深度识别模型和SAR图像深度识别模型,仅仅更改同一个像素位置的数字值,光学图像和SAR图像添加的扰动幅度不同,便可以同时欺骗多个识别模型。
图4 多传感器耦合对抗攻击实例
该工作已发表在《雷达学报》网络优先出版的“深度卷积神经网络图像识别模型对抗鲁棒性技术综述”(孙浩,陈进,雷琳,计科峰,匡纲要)。
论文介绍
论文首先分析了深度图像识别系统对抗安全风险与脆弱性成因。由于理想的任务决策边界在实际中只能通过模型决策边界近似,因此图像解译过程中无论是人类判读还是深度识别模型都是会出现错误的。模型通过数据和进化过程进行训练,在训练得到的模型中,传感器输入或其他边界条件的微小变化都有可能会导致状态改变,跨越决策边界。任务决策边界与模型决策边界之间并不一定总是能够重合,在两者不同的区域,输入空间中常常存在对抗样本。图5表示输入空间二维投影中存在的对抗样本。输入空间中,存在四个类别的数据样本,类别A的深度识别模型决策边界由三个决策边界共同构成。类别A的任务决策边界与模型决策边界存在差异,在跨越或不跨越任务决策边界前提下,位于模型决策边界周围的样本都很容易受到微小扰动的影响造成模型输出错误。在高维空间中,搜索非重合区域内的样本很容易构造对抗样本。
图5 深度识别模型决策空间
其次聚焦深度识别模型推理阶段的安全风险,建立对抗攻击威胁模型如图6所示,其中攻击模型主要包括对抗攻击目标、对抗攻击知识、对抗攻击能力和对抗攻击策略四个方面。在白盒攻击场景中,攻击者可以直接计算梯度或求解约束优化函数、基于特征归因开展敏感性分析、利用生成模型进行采样等方式寻找对抗样本。在黑盒攻击场景中,攻击者通过多次查询被攻击模型获取相关信息,然后训练替代模型进行白盒攻击;或者估计梯度和近似决策边界来寻找对抗样本。
大量对抗样本生成方法的不断提出,催生深度神经网络识别模型防御技术迭代演进,两者之间形成对抗攻防竞赛。根据防御目标的不同,对抗防御技术可以分为主动性防御和被动性防御两类。对抗攻击检测方法可以看成是一类被动防御方法,对推理阶段的所有测试样本首先进行诊断,判断是否可能为恶意对抗样本。对抗样本检测与深度模型预测不确定性、分布外检测等领域紧密相关,核心思想是利用集成策略、度量方法、不一致性准则和生成性方法在推理阶段检测可靠泛化区域外的异常样本。对抗攻击检测四类典型方法的基本原理如图7所示。
图7 对抗样本检测方法
论文重点梳理了对抗样本生成、主被动对抗防御、对抗鲁棒性评估等方面的技术思路与典型方法,并以SAR图像深度目标识别为例,进行了对抗攻防原理与可视化分析,为下一步建立鲁棒可信的高性能智能化图像识别系统提供参考。
作者简介
孙浩,男,博士,国防科技大学电子科学学院副教授,硕士生导师。主要研究方向为多源图像智能解译与对抗、边缘机器学习、知识嵌入的因果表示学习研究。
计科峰,男,博士,国防科技大学电子科学学院教授,博士生导师。主要研究方向为SAR图像解译、目标检测与识别、特征提取、SAR和AIS匹配。
相关阅读
编辑:高华 蒋文
本号发布信息旨在传播交流,其内容由作者负责,不代表本号观点。如涉及文字、图片、版权等问题,请在20日内与本号联系,我们将第一时间处理。《雷达学报》拥有最终解释权。