基于Hilbert的对抗性示例的改进方法

4784基于Hilbert的对抗性示例杨白严锋王逸森王<$戴涛夏淑涛蒋勇<$<$清华大学§部门上海交通大学清华大学{y-bai17，y-feng18}@ mails.tsinghua.edu.cn;eewangyisen@gmail.com摘要干净图像的对抗性扰动通常是人眼无法察觉的，但可以自信地欺骗深度神经网络（DNN）做出错误的预测。DNN的这种脆弱性引发了严重的安全问题，即它们在安全敏感应用中的实用性。为了抵御这种对抗性扰动，最近开发的PixelDefend以光栅扫描顺序（逐行/列）基于PixelCNN净化扰动图像。然而，这种扫描模式不充分地利用像素之间的相关性，这进一步限制了其鲁棒性性能。因此，我们提出了一个更加(a)光栅扫描（b）希尔伯特扫描图1：（a）光栅扫描（逐行和逐列）和（b）希尔伯特扫描的扫描顺序本文提出了一种改进的Hilbert曲线扫描顺序来模拟像素依赖性。Hilbert曲线在从二维图像到一维矢量的映射过程中能够很好地保持局部一致性，从而能够更有效地对相邻像素的局部特征进行建模。此外，通过不同方向的Hilbert曲线的集合，可以进一步提高实验结果表明，我们的方法优于国家的最先进的防御各种对抗性攻击。1.00.80.60.40.20.0(a) PixelDefend（光栅扫描）1.00.80.60.40.20.0(b) PixelDefend（希尔伯特扫描）1. 介绍最近的工作已经表明，具有小的和精心设计的扰动的输入图像对抗性示例）可以导致深度神经网络分类器产生自信的错误预测[28，8]。由于对抗性示例和相应的干净图像之间的差异通常是不可感知的，因此DNN对这种对抗性示例的脆弱性的存在暴露了对其大受欢迎和广泛应用的严重关注[9，6，17]。因此，非常需要对这种对抗性的例子进行辩护。*同等缴款。†通讯作者：Yisen Wang和Yong Jiang。图2：PixelDefend的防御性能（a）光栅扫描，（b）希尔伯特扫描。顶部图像是对抗性示例，而底部图像是PixelDefend的纯化图像的热图。基于希尔伯特的方法正确地分类了已经有一些工作来防御对抗性示例，包括预处理输入[10]，梯度正则化[22]和对抗性训练[18，31]。其中，直接预处理输入可能更实用，这是由于其模型和攻击注释属性，例如Defense-GAN [25]、PixelDefend[27]和卡车船马青蛙狗鹿猫鸟汽车飞机卡车船马青蛙狗鹿猫鸟汽车飞机4785∞其他传统的图像变换方法[5，10]。Pix-elDefend 和Defense-GAN类似地基于生成模型来净化输入图像。不同之处在于，前者侧重于低水平（像素水平）的外显密度，而后者侧重于高水平的内隐密度。由于扰动往往受到Lp范数的限制，像素级方法具有更大的潜在性，是一种有效的防御方法，这也是本文的主要研究内容。PixelDefend虽然取得了令人瞩目的成绩，但仍存在一些不足。例如，像素依赖性尚未得到充分利用，因为PixelDefend的核心是PixelCNN [30，24]，它以光栅扫描顺序利用像素依赖性（图1a，逐行或逐列）。然而，光栅扫描不能总是保持局部一致性，因此不能很好地建模例如，图la中的像素⑷和像素⑸在光栅曲线中是附近的像素，但是在空间域中是远处的为了更好地对像素依赖性进行建模并保持局部一致性 ， 我 们 提 出 了 一 种 基 于 Hilbert 的 PixelDefend（HPD），方法是沿着Hilbert曲线扫描像素[33，12]。与光栅扫描相比，希尔伯特扫描具有空间邻近性，即空间距离的概念。，I-D域中的两个接近像素是2. 相关工作在这一节中，我们对几种常见的对抗性攻击和防御做一个简要的回顾。2.1. 对抗性攻击给定一个正常样本X，X周围的球限制了对抗样本X′的扰动强度。符号表示损失函数，F是soft-max层的输出，Z是logit层的输出，T是目标标签（如果是针对性攻击，则T是原始标签）。已经提出了各种各样的攻击方法来制作对抗性示例。快速梯度符号法（FGSM）[9]。 FGSM通过线性近似神经网络模型并最大化梯度方向的损失来′X=X+·sign （ F，T （ X ） ） .（一）投影梯度下降（PGD）[13]。PGD是一种多步骤攻击。它用α代替α，在每次迭代中迈出一小步。在每一步之后，PGD将对抗性示例投射回球上：在2-D域中也是闭合的，这改善了特征-′像素之间的相互依赖性的量化。空间接近度在对图像的局部特征进行建模时也表现得更好。作为预览，我们在图2中比较了PixelDefend与不同像素扫描或- der的防御结果，这表明基于Hilbert的PixelDefend可以更好地保持局部特征并找到正确的Xi = Xi−1 + clip（α sign（F，T（Xi−1）。（二）CW[4]. Carlini和Wagner提出了一种基于优化的攻击。假设κ是一个分类结果的置信度，c是一个超参数，Z（X）i是X标记到i的logit输出，C W试图最小化：在热图中的活动区域[34]，从而获得正确的类，化分布 此外，希尔伯特扫描可以利用X′−X自相似性，即，每个象限可分为小f（X′）=max（max{Z（X′）i：iT} − Z（X′）T，−κ）。与自身相似的象限。自相似性可用于开发具有各种希尔伯特方向的自然集成模型，进一步提高防御性能。主要贡献概述如下：• 我们建议使用希尔伯特扫描代替传统的光栅扫描，以更好地利用局部特征的像素依赖关系建模。• 我们提出了一个基于希尔伯特的生成防御，命名为希尔伯特的像素防御（HPD），对对抗性的例子，通过净化输入图像。此外，我们探索了一个自然的模型合奏通过各种希尔伯特方向。• 实验结果表明，HPD算法的性能明显优于原有的PixelDe- fend算法.此外，我们的合奏版本达到ro-在CIFAR-10上，使用ResNet 50进行模糊梯度攻击的bustness增益从0.15提高到0.52 [2]。模糊梯度[2]。当梯度不可用时，混淆梯度方法通过向后通过可微近似（BPDA）攻击防御方法。它已被证明可以成功地打破许多防御模式，包括PixelDefend。2.2. 对抗性辩护已经开发了许多防御模型，包括防御蒸馏[23]，对抗训练[18]，动态对抗训练[31]，特征挤压[15]，防御GAN [25]等。对抗训练[18]。对抗性训练是用对抗性样本重新训练网络它能很好地防御过拟合的对抗性例子，但不能防御由线性引起的对抗性例子早期的网络。Encodone [29]可以通过不同攻击生成的对抗性示例获得更好的[15]第十五话特征压缩通过比较原始图像和压缩图像的分类结果来检测恶意样本压缩图像是4786n通过减小每个像素的颜色位深度并且稍后执行空间平滑来生成。如果发现分类结果之间存在较大差异，则认为图像是对抗性的。国防-GAN[25]。防御GAN基于WGAN [1，7]，并且损失函数遵循WGAN的损失设计。分类器是在相同的真实数据集上训练如果GAN是经过良好训练的，可以代表原始数据分布，原始图像和重建图像之间应该没有显著差异。Defense-GAN试图从扰动输入中去除噪声，从而抵御任何形式的攻击。3. 生成性辩护3.1. 初步PixelDefend基于PixelCNN（Pix-elRNN）[30，24]纯化图像，其核心思想是将大小为n×n的图像X的可能性分解为遵循光栅扫描顺序的一维序列的产物的链式规则。联合分布p（X）表示为条件分布的乘积，像素上的分布2p（X）= Yp（x i|x1，… x i−1）。（四）i=1根据1-D序列从第一个像素到最后一个像素重复净化过程，即，通过光栅扫描从左上角到右下角。尽管PixelDefend通过净化对抗性示例显示出巨大的防御潜力，但像素之间的依赖性根据光栅扫描顺序以条件概率建模。由于在2-D域中较近的像素更可能包含相关信息和局部特征，因此期望它们在1-D中更近因此，将像素从2-D映射到1-D时，扫描顺序3.2. 希尔伯特扫描的优势与常见的逐行逐列的光栅扫描方式不同，希尔伯特扫描沿着希尔伯特曲线生成一维序列[19]，可以如图3所示构造。我们比较了图4中的几种空间填充曲线，包括光栅阶，Z阶和希尔伯特阶，我们可以看到希尔伯特曲线及其近似更有可能聚类像素。聚类被定义为通过映射（或曲线）连续连接的一组像素，其应该保持局部特征[20]。如图4所示，在相同的选择区域中，光栅顺序具有3个聚类，Z顺序具有2个聚类，而希尔伯特顺序具有1个聚类。自然地，聚集在一起的附近像素有助于保持局部特征。为了说明这一点，我们在图5中展示了使用不同扫描方法的PixelCNN的图像生成过程。光栅扫描使PixelCNN以逐行方式生成图像（图5a），而(a) 开始（b）1次迭代（c）2次迭代图3：希尔伯特曲线的构造。(a)光栅扫描（b）Z扫描（c）希尔伯特扫描图4：空间填充曲线的比较。在同一区域内，光栅序有3个聚类，Z序有2个聚类，而希尔伯特序有1个聚类，这意味着希尔伯特序能更好地保持局部特征。希尔伯特扫描使PixelCNN以逐块的方式生成图像（图5b），因为希尔伯特扫描可以很好地聚类像素。逐块生成模式更容易提取图像的局部特征，这有助于分类和防御。此外，图3中的希尔伯特曲线的构造暗示了它的另一个良好性质，即自相似性（自相似对象与其自身的一部分完全相似或近似相似）。换句话说，每个象限可以以相同的方式被划分为小象限，并且由U形曲线扫描。Hilbert曲线的自相似性表明其本身具有一定的内在多样性，这对于基于Hilbert扫描的集成防御有着天然的意义。希尔伯特扫描由于其空间接近性，在像素依赖性方面也显示出很大的优势图6中比较了光栅扫描和希尔伯特扫描的像素对的二维距离与一维距离的比率可以看出，希尔伯特扫描在具有不同尺寸的图像上更好地保持2-D和1-D域的局部一致性，因为比率一致地平坦和小。我们还发现相邻像素在希尔伯特一维序列中更相关，如图7所示。当曲线更接近y=x时，来自希尔伯特曲线的相邻像素对更相关。从以上观察，我们可以得出结论，更好地建模像素依赖性有助于学习局部特征。而局部特征在分类任务中是非常重要的[3]。使用SIFT的现有防御方法[16] 其他变换也表明，保持局部特征在对抗性防御中至关重要[32]。因此，希尔伯特扫描可能是一种有前途的有效方法，47871e7希尔伯特扫描光栅扫描2次攻击(a) PixelCNN以光栅顺序250200150100500光栅扫描050100150200250先前像素值(a) 光栅扫描250200150100500希尔伯特扫描050100150200250先前像素值(b) 希尔伯特扫描（b）PixelCNN以希尔伯特顺序图5：PixelCNN在（a）光栅图7：光栅扫描和希尔伯特扫描的相邻像素值依赖关系。在1-D曲线中，x轴表示先前的像素值，y轴表示当前的像素值。希尔伯特扫描的相邻像素对显示出更强的相关性。序和（b）Hilbert序。 这两组图像清楚地示出了像素中的不同生成顺序，即在（a）中逐行，在（b）中逐块。距离比率2.01.5算法1基于Hilbert的PixelDefend（HPD）。′输入：X：对抗性示例;防御：防御页-参数;HPixelCNN：预训练的基于希尔伯特的PixelCNN模型输出：Xpurified：纯化图像一曰： 将图像重新排列为希尔伯特有序。′ ′XHilbertHilbert scan（X）1.0第二章： 对于每个像素值（行i，列j，通道k）。′0.5xXHilbert[i，j，k]0.00 1 2 3 4 5 672^n，图像的大小。第三章： 设置防御范围。R[x−defend，x+defend]图6：希尔伯特扫描（蓝线）和光栅扫描（绿线）的二维和一维距离比。x轴是′4：计算256路softmaxHPixelCNN（XHilbert）5：更新希尔伯特曲线的阶，因为2n是正方形图像的宽度。y轴是像素对希尔伯特X[i，j，k]argmax z∈RHPixelCNN[i，j，k，z]1-D较小的y值意味着1-D序列可以更好地描述2-D的实际距离。光栅扫描在对抗性防御中的地位3.3. 基于Hilbert的PixelDefend（HPD）在此基础上，将Hilbert扫描应用于PixelDefend，提出 了 基 于 Hilbert 的 PixelDefend 。 基 于 希 尔 伯 特 的PixelDefend基于基于希尔伯特的PixelCNN沿着希尔伯特曲线净化像素，其使用希尔伯特扫描重新对齐图像像素并对像素依赖性进行建模。我们提出的基于希尔伯特的像素保护（HPD）方法的伪代码在算法1中示出。同时，我们也为这一问题的解决提供了理论保证6：将X希尔伯特重新对齐为原始有序的二维图像。X纯希尔伯特扫描第七章： 返回X纯化找到最佳的清洁图像周围扰动一个我们的方法的能力定理1. 当第一个像素是精确的（x（1=µ1））时，利用所提出的贪婪搜索算法可以找到最优的干净图像。 给定微扰常 数，则|x1−µ1|≤100%ttack. 可以以至少1的概率找到干净图像。证据 假设输入图像X=（x1，x2，· · ·，xn2）二维距离与一维距离之比当前像素值当前像素值4788纯化2111nn−1n2−1n−1XHilbert Hilbert scani（ X），i∈[1，8]N（µ，Σ），并将Σi（i= 1，2，···，n2−1）表示为Σ，X的i阶主从行列式，作为最优通过贪婪搜索al-xim获得的纯化图像的估计，并且Xopt作为对应的干净图像（Xopt= argmax p（X）=（μ1，μ2，···，μn2））。根据道具-多变量高斯分布的线性化，如果|x1−µ1|=0，我们有x2=a r gmax p（x2|x（1）=µ+~kΣ−1x~T特别是在防御模糊梯度攻击时，这被声称有效地打破了许多防御模型事实上，HPD可以被认为是EHPD的一个特定情况，其中它只使用一个希尔伯特曲线。算法2中示出了我们提出的基于增强希尔伯特的PixelDefend（EHPD）方法的伪代码。算法2基于希尔伯特的集成像素防御（EHPD）。′=µ+co v（x，x）co v（x，x）−1（x−µ）输入：X：对抗性示例2=µ2。···2 1 1 1 1 1输出：Xfinal：纯化图像1：沿着预定义的希尔伯特曲线x≠n2=a r gmaxp（xn2|x1，···，xn2−1）在图8中，分解成8个独立的希尔伯特有序图像。=µ2+~k2Σ−1xT2i′=µ2+~k2−1[xn n−1=µn2−1，n2 −111n−1n−12：用算法1中提出的HPD纯化它们中的每一个。其中ki−1=[cov（xi，x1），···，cov（xi，xi−1）]，xki−1=ii[x1−µ1，···，xi−1−µi−1]，i=1，2，···，n2−1.因此，我们认为，X=[µ1，µ2，···，µn2]=Xopt3.4. 基于希尔伯特的像素防御（EHPD）除了空间上的接近性，以提高防御性能，希尔伯特曲线有另一个良好的性质，自相似性，如图3所示。自相似性是指图像的每个局部分量与全局分量相似。自然地，它可以被认为是一种数据增强。希尔伯特扫描遵循这样的自相似模式X纯化 HPD（XHilbert）3：对于每个纯化的图像，用预训练的CNN预测其独热分类，N表示类别的数量。Yi[1，.，N]CNN（Xi）4：将集成预测Y集成分配给在Yi中具有最高频率的类别。Σ具有不同的扫描方向，并且更适合于en-比光栅扫描更复杂。[001pdf 1st-31files][001 pdf1st-31files]i∈[1，8]Yi[1，.，N]）5：选择预测最接近Y系综的纯化图像。idxargmax（交叉熵（Yi，Y系综））IDX纯化6：返回X最终图8：整体希尔伯特曲线。在希尔伯特扫描之前旋转原始图像产生的一维序列有4种典型的类型而另一个4是通过在旋转和扫描之前反转原始图像而产生的，如图8的底行所示。不同排序的一维序列可以提供不同的前像素信息，从而带来一定的多样性，从而可以获得更好的防御效果。4. 实验在本节中，我们评估了我们提出的方法，HPD和EHPD的鲁棒性，与几个国家的最先进的防御模型对白盒攻击和黑盒攻击。前一种白盒攻击具有目标模型的完整知识和模型参数的完全访问权限，而后一种黑盒攻击只能查询模型得到输出，不能访问模型参数。基线。 我们使用的基准防御模型包括1)对抗训练（AT）：与各种广告商的培训-最后一个X4789清洁FGSM正常ResNet 0.90 0.32[18] 0.88 0.79[15] 0.900.84[25]2016年12月25日PD [27] 0.90 0.82住房和财产司0.900.84PGD CW0.07 0.040.73 0.760.81 0.040.49 0.470.820.820.82 0.86正常ResNet 0.90 0.14 0.00 0.00电话：+86-021-88888888传真：+86-021 - 88888888电话：+86-021 - 88888888传真：+86-021 - 88888888=8DG [25] 0.51 0.47 0.47 0.50粤ICP备16037669号-1住房和财产司0.90 0.780.75 0.86表1：ResNet 50上不同防御方法的白盒鲁棒性（攻击强度=2/8/16，防御强度defend=16，像素值在[0，255]中剪切）。正常ResNet0.900.080.000.00[第十八话]0.880.340.060.09[15]0.900.260.340.00=16简体中文[CN]0.510.460.440.50PD [27]0.900.530.560.82HPD0.900.600.640.86不同攻击方法生成的仿真实例; 2）特征压缩（FS）：使用传统的图像处理来恢复受扰动图像的重要特征;3)Defense-GAN（DG）：使用GAN来恢复对抗性示例;以及4）PixelDefend（PD）：使用另一个生成模型PixelCNN来纯化对抗性示例。防御设置。对于CIFAR-10，我们提出的防御方法HPD和EHPD设置为防御参数=16（默认情况下在[0，255]中裁剪像素值）以及PixelDefend。通过测试负对数似然来评估，PixelCNN模型在我们的基于Hilbert的PixelCNN中被训练为3.4bit/dim，并且在来自预训练的OpenAIPixelCNN++ 的 PixelCNN 中 被 训 练 为2.92bit/dim[24]。对于攻击方法，FGSM、PGD和CW（L∞）都被设置 为 λ=2/8/16 。 PGD设 置 为 步 长 1 和 最 大 攻 击 步 长3/10/20。 C W设置为步长1.275以及最大攻击时期100，超参数c= 100。Ob-fuscated梯度攻击被设置为最大攻击时期20和步长0.5。对于防御方法，对抗性训练使用由PGD攻击生成的对抗性示例进行重新训练，其中=8和最大攻击步长为10。特征将挤压设置为颜色深度减少为2 ± 5。防御- GAN使用30000次迭代和批量大小32进行训练。表2：PD、HPD和EHPD相对于PGD的测试准确度。H1PD表示在生成纯化图像时使用所有8个不同希尔伯特曲线中的第i条曲线。EHPD8代表8条不同曲线的集合。清洁PGD（=2）PGD（PGD=8）PGD（=16）PD0.900.820.730.56EPD80.900.820.740.59H0PD0.900.820.750.64H1PD0.900.830.760.64H2 PD 0.90 0.82 0.75 0.64H3 PD 0.90 0.82 0.76 0.65H4 PD 0.900.830.75 0.65H5 PD 0.90 0.82 0.75 0.64H6 PD 0.90 0.82 0.75 0.64H7 PD 0.90 0.82 0.75 0.64EHPD80.900.820.774.1. 白盒稳健性评价我们使用ResNet 50在CIFAR-10上测试白盒鲁棒性[11]。结果示于表1中。我们可以看到，在白盒攻击下，正常网络的准确性急剧下降具有防御方法的网络表现出更强大的结果。在所有的防御方法中，HPD几乎达到了最好特征压缩防御的有效性提供了强有力的证据，表明局部特征在对抗性防御中是重要的因此，基于Hilbert的PixelDefend算法具有更好的防御性能是随着λ的增大，HPD的防御优势越来越明显，对λ=16的PGD攻击的鲁棒性从PD的0.56提高到0.64。与其他方法相比，改进更大。这些改进意味着HPD算法在图像受到较大扰动的情况下仍能很好地建模像素依赖关系和保持局部特征，表现出较强的防御能力。此外，我们比较了Ensemble PixelDefend和Ensemble基于Hilbert的PixelDefend与8条曲线，命名为EPD8和EHPD8。底层数字表示用于集成的曲线对于EHPD，我们首先用8种不同的Hilbert曲线来检验HPD的防御效果独立地在此基础上，对EHPD增强方法表2中示出了具有HPD系列的EHPD8相对于 具 有Lp范数中的攻击扰动=2/8/16的PGD的结果。我们发现HPD系列达到了相当的结果，而EHPD8的表现更好，4790白盒攻击特别是当攻击强度增加时，鲁棒性从0.75提高到0.77表3：针对模糊梯度攻击的防御方法的测试准确性。当λ=16时，λ=8和0.64至0.66。虽然8个HPD模块-ELS独立地实现类似的精度，但是由于它们的不同扫描顺序，预测可能在特定图像中变化。Hilbert曲线的自相似性表明，从一幅图像中可以自然地生成各种不同顺序的Hilbert曲线。EHPD有效地集成了这些模型，从而实现了更好的结果。4.2. 模糊梯度攻击的防御混淆梯度攻击是一种防御引导攻击，可以有效地绕过特定的防御方法。它通过对输出进行采样来估计防御方法的隐藏梯度，因此具有某些边界的防御方法可能会被高概率破坏，包括PixelDefend [27]。然而，我们提出的HPD可以扩展到一系列的防御模型，所带来的多样性的希尔伯特曲线。虽然EHPD中已经利用了一些好处，但我们进行了一系列实验，特别是针对混淆梯度攻击，以进一步探索Hilbert扫描的好处。我们比较了PD、HPD和EHPD抵抗混淆梯度攻击的性能，并在表3中显示了准确性（攻击参数λ=8/16，L∞范数）。结果表明，基本的HPD方法已经过时，执行PD的幅度很大，从0.15到0.39。它的结果，从HPD在建模- ING像素依赖性的出色表现。HPD可以在每次纯化迭代中返回更合格的图像，从而更鲁棒地抵抗混淆梯度攻击。最重要的是，当具有不同Hilbert曲线的更多HPD模型被集成时，鲁棒性增加。将HPD作为EHPD的一种特殊情况（只对1条Hilbert曲线进行集成），我们发现，当集成1条、4条和8条Hilbert曲线时，精度分别从0.39提高到0.49和0.52。它还显示了进一步改进的潜力，更多的希尔伯特曲线来合奏。我们还比较了打破混淆梯度攻击（ObfuscatedGradient Attack）结果示于表4中。由于我们将模糊梯度攻击的最大历元限制为20，因此在20历元攻击后仍然正确分类的图像的攻击历元被记录为20。我们发现，平均攻击时间增加更多的en-希尔伯特曲线。与PD相比，EHPD8将结果从11提高到17趋势显示平均-老化攻击时期逐渐接近有限的最大时期数20，这意味着平均攻击时期的性能仍然受到我们的设置的限制。如果最大攻击时间较长，差异可能会更大。防御方法PDH0PDEHPD4EHPD8混淆梯度0.15 0.39 0.490.52表4：被混淆梯度攻击破坏的防御方法所需的平均历元更大的时期意味着该方法对攻击更鲁棒。防御方法PDH0PDEHPD4EHPD8平均历元111416174.3. 黑盒稳健性评估在我们的黑盒实验中应用的分类模型是具有0.90准确度的正常VGG [26也就是说，在生成对抗性示例的过程中，没有来自分类模型的信息我们测试了针对对抗性攻击FGSM和PGD的性能，其中攻击率=8/16。由于PD在防守效果上已经表现出了良好的表现，我们主要将HPD与PD进行比较。在PD和HPD方法中，防御参数均设置为16。PD和HPD对抗黑盒攻击的结果如表5所示。我们发现，即使VGG显示出强大的分类能力，它是脆弱的对抗性的例子。ResNet50上生成的对抗性示例可能会有效地误导训练有素的正常VGG模型。这被解释为对抗性示例的可转移性[14] [21]。有了防御手段，VGG可以更加强大。例如，在PD防御的ResNet50上，针对FGSM对抗性示例的准确度从0.29提高到0.66，其中R2=16我们提出的HPD表现出明显更好的鲁棒性性能，在几乎所有的黑盒防御情况下，提高了0.02-0.03的准确性。实验结果表明，HPD能更有效地防御黑盒攻击。这种优越性也来自希尔伯特曲线的空间接近性，因为它有助于HPD更好地保留生成图像中的局部特征，这在几乎所有DNN模型的分类任务中都是必不可少的。4.4. 分析与探讨从以上的实验中，我们发现EHPD的性能远远优于原始PD方法。至于其原因，我们认为希尔伯特曲线本身所带来的扰动在防御中起了很大的因此，我们测试一个随机4791表5：来自源模型ResNet的50到目标VGG模型（攻击强度=8/16以及防御强度defend=16，像素值在[0，255]中被裁剪）。清洁FGSM= 8PGD= 8正常VGG0.900.540.290.610.39PD0.900.760.660.770.70HPD0.900.780.680.800.724.03.53.02.5损失曲线2.0HPD模型，而不是整体模型。具体来说，在每次迭代中，我们从具有不同Hilbert扫描顺序的所有HPD模型为了简单起见，我们使用RHPD来表示这个随机模型。除了在具有多个测试图像的数据集上的准确性外，分类网络的交叉熵损失1.51.00.50.00 2 4 6 8 10 12 1416攻击时期也可以使用单个图像来评估和分析防御能力。一个错误的分类总是伴随着一个大的交叉熵损失，反之亦然。因此，当交叉熵损失急剧增加时，分类几乎肯定是错误的。我们在图9中展示了一个图像的损失趋势，以进一步利用随机性的好处。对图像进行模糊梯度攻击，并分别采用PD、HPD和RHPD进行防护。从图9可以看出，HPD比PD可以延迟6-7个时期的急剧上升，但总体上都呈上升趋势。另一方面，RHPD可以减少防御过程中的损失。这表明希尔伯特曲线的多样性在对抗防御中是必不可少的，因为不同顺序的序列可以提供不同的像素信息。这种多样性和随机性有助于减少交叉熵损失，从而提高鲁棒性。总之，我们的实验表明，扫描顺序是PixelDefend（以及PixelCNN）的重要因素希尔伯特扫描由于空间邻近性和自相似性而提高了PixelDefend的性能。空间邻近性有助于为像素提供更多的相关信息，从而更好地保持局部特征，提高防御性能。由于自相似性带来的多样性，使得该防御方法对白盒和黑盒攻击，特别是模糊梯度攻击具有更强的鲁棒性。最后，我们要提到的一点是希尔伯特扫描要求图像的宽度和高度为2n。当涉及到具有自由形状的图像时，我们需要提前进行一些基本的上采样、下采样或填充操作，以便将图像调整为归一化的2n形状。图9：顶行是从测试集中随机挑选的一个图像，用作分析防御方法（PD、HPD和RHPD）的性质的示例。底部是顶部图像的交叉熵损失曲线，通过PD，HPD和RHPD防御混淆梯度攻击。5. 结论在本文中，我们提出了使用希尔伯特扫描，而不是广泛使用的光栅扫描，以精确地表征像素的依赖性。此外，我们提出了一个基于希尔伯特扫描的生成防御模型，命名为希尔伯特-基于像素的像素- elDefend（HPD），对抗对抗性的例子，通过净化扰动图像像素。由于Hilbert曲线的自基准数据集上的实验表明，我们提出的HPD和EHPD方法优于最先进的防御白盒攻击，黑盒攻击，特别是模糊梯度攻击。Hilbert曲线的空间邻近性和自相似性是我们提出的HPD和EHPD方法的主要优势。确认这 项 工 作 得 到 了 中 国 国 家 重 点 研 究 发 展 计 划2018YFB1800204，国家自然科学基金61771273，深圳&研发计划JCYJ20180508152204044以及PCL未来区域网络设施大规模实验和应用研究基金的部分支持PCL2018KP001）。PixelDefend基于Hilbert的PixelDefend基于随机Hilbert的PixelDefend损失4792引用[1] 马 丁 ·阿 乔 对 ky ， 苏 米 特 ·钦 塔 拉 和 Le'onBottou 。Wasserstein生成对抗网络ICML，2017。3[2] Anish Athalye，Nicholas Carlini，and David Wagner.模糊的梯度给人一种错误的安全感：规避对对抗性示例的防御。在ICML，2018。2[3] 维兰德·布伦德尔和马蒂亚斯·贝奇。在imagenet上，用局部特征袋模型来近似cnns的效果出奇的好2019年，在ICLR。3[4] 瓦格纳·D·卡利尼评估神经网络的鲁棒性。InS P，2017.2[5] Nilaksh Das，Madhuri Shanbhogue，Shang-Tse Chen，Fred Hohman ， Siwei Li ， Li Chen ， Michael EKounavis，and Duen Horng Chau. Shield：使用JPEG压缩进行深度学习的快速实用防御和真空。InKDD，2018.2[6] 贾斯汀·吉尔默，卢克·梅斯，法塔什·法格里，塞缪尔·S·舍恩霍尔茨，迈特拉·拉古，马丁·瓦滕伯格和伊恩 ·古 德费 尔 · 洛 。敌 对领 域 。arXiv预 印本 arXiv：1801.02774，2018。1[7] 伊恩·古德费洛、让·普盖特-阿巴迪、迈赫迪·米尔扎、许冰、大卫·沃德-法利、谢尔吉尔·奥扎尔、阿伦·库维尔和约舒亚·本吉奥。生成性对抗网。NeurIPS，2014。3[8] Ian J. Goodfellow，Jonathon Shlens，Christian Szegedy.解释和利用对抗性的例子。2015年，国际会议。1[9] 放大图片作者：Christian Goodfellow，Ian J.解释和利用对抗性的例子。计算机科学，2014年。一、二[10] Chuan Guo ， Mayank Rana ， Moustapha Cisse ， andLaurens van der Maaten.使用输入变换对抗性图像。在ICLR，2018年。一、二[11] Kaiming He，Xiangyu Zhang，Shaoying Ren，and JianSun.用于图像识别的深度残差学习。在CVPR，2016年。6[12] Hosagrahar V Jagadish。希尔伯特曲线表示二维空间的分析。信息处理快报，1997年。2[13] Alexey Kurakin，Ian Goodfellow，and Samy Bengio.物理世界中的对抗性例子。在ICLR，2017。2[14] Alexey Kurakin，Ian Goodfellow，and Samy Bengio.大规模的对抗性机器学习。在ICLR，2017。7[15] 梁斌，李洪成，苏妙强，李喜荣，石文昌，王晓峰.在具有自适应降噪的深度神经网络中检测对抗性图像示例 。 IEEE Transactions on Dependable and SecureComputing，2018。二、六[16] David G.洛从尺度不变关键点中提取独特的图像特征。IJCV，2004年。3[17] Xingjun Ma，Bo Li，Yisen Wang，Sarah M Erfani，Sudanthi Wienickrema ， Grant Schoenebeck ， DawnSong，Michael E Houle，and James Bailey.利用局部固有维数刻画对抗子空间。在ICLR，2018年。1[18] Aleksander Madry 、 Aleksandar Makelov 、 LudwigSchmidt、Dimitris Tsipras和Adrian Vladu。对抗攻击的深度学习模型。在ICLR，2018年。一、二、六[19] 约翰·麦克维，纳德·恩格塔，艾哈迈德·胡法使用希尔伯特曲线包体的高阻抗超材料表面。IEEE Microwave andWireless Components Letters，2004年。3[20] Bongki Moon ， Hosagrahar V Jagadish ， ChristiansFaloutsos，and Joel H.萨尔兹希尔伯特空间填充曲线的聚类特性分析TKDE，2001年。3[21] Nicolas Papernot Patrick McDaniel和Ian Goodfellow机器学习中的可转移性：从现象到使用对抗样本的黑盒攻击。arXiv预印本arXiv：1605.07277，2016。7[22] Nicolas Papernot、Patrick McDaniel、Ian Goodfellow、Somesh Jha、Z Berkay Celik和Ananthram Swami。针对机器学习的实际黑盒攻击。2017年ACM亚洲计算机与通信安全会议，2017。1[23] Nicolas Papernot、Patrick McDaniel、Xi Wu 、SomeshJha和Ananthram Swami。蒸馏作为对深度神经网络的对抗性扰动的防御。InS P，2016. 2[24] Tim Salimans，Andrej Karpathy，Xi Chen，and DiederikP Kingma. Pixelcnn++：使用离散化逻辑混合似然和其他修改来改进pixelcnn。在ICLR，2017。二、三、六[25] Pouya Samangouei玛雅Kabkab和Rama Chellappa。防御甘： 使用 生成 模型 保护 分类器 免受 敌对 攻击 。在ICLR，2018年。一、二、三、六[26] Karen Simonyan和Andrew Zisserman用于大规模图像识别的非常深的卷积网络2015年，国际会议。7[27] 杨 松 ， 金 泰 燮 ， 斯 特 凡 诺 · 厄 蒙 ， 内 特 · 库 什 曼 .Pixeldefend：利用生成模型来理解和防御对抗性示例。在ICLR，2018年。一、六、七[28] Christian Szegedy、Wojciech Zaremba、Ilya Sutskever、Joan Bruna 、 Dumitru Erhan 、 Ian Goodfellow 和 RobFergus。神经网络的有趣特性。见ICLR，2014年。1[29] Flori anTrame`r ， Alexe yKurakin ， NicolasPapernot ，IanGoodfellow，Dan Boneh，and Patrick McDaniel.集体对 抗 训 练 ： 攻 击 和 防 御 。 arXiv 预 印 本 arXiv ：1705.07204，2017。2[30] Aa¨ronVanDenOord，NalKalchbrenner，andKorayKavukcuoglu.像素递归神经网络。InICML，2016. 二、三[31] Yisen Wang，Xingjun Ma，James Bailey，Jinfeng Yi，Bowen Zhou，and Quanquan Gu.对抗训练的收敛性和在ICML，2019。一、二[32] ValentinaZantedeschi ， Maria-IrinaNicolae ， andAmbrish Rawat.有效防御对抗性攻击。在2017年的ACM人工智能和安全研讨会3[33] Jian Z