Adversarial Robustness of Deep Convolutional Neural Network-based Image Recognition Models: A Review

  • 摘要: 近年来,以卷积神经网络为代表的深度识别模型取得重要突破,不断刷新光学和SAR图像场景分类、目标检测、语义分割与变化检测等多项任务性能水平。然而深度识别模型以统计学习为主要特征,依赖大规模高质量训练数据,只能提供有限的可靠性能保证。深度卷积神经网络图像识别模型很容易被视觉不可感知的微小对抗扰动欺骗,给其在医疗、安防、自动驾驶和军事等安全敏感领域的广泛部署带来巨大隐患。该文首先从信息安全角度分析了基于深度卷积神经网络的图像识别系统潜在安全风险,并重点讨论了投毒攻击和逃避攻击特性及对抗脆弱性成因;其次给出了对抗鲁棒性的基本定义,分别建立对抗学习攻击与防御敌手模型,系统总结了对抗样本攻击、主被动对抗防御、对抗鲁棒性评估技术的研究进展,并结合SAR图像目标识别对抗攻击实例分析了典型方法特性;最后结合团队研究工作,指出存在的开放性问题,为提升深度卷积神经网络图像识别模型在开放、动态、对抗环境中的鲁棒性提供参考。


  • 图  1  SAR图像深度神经网络识别模型典型扰动对比示例

    Figure  1.  Different perturbations for deep neural networks based SAR image recognition models

    图  2  深度学习图像识别系统潜在安全风险

    Figure  2.  Security risks for deep learning based image recognition system

    图  3  深度学习训练阶段和测试阶段攻击对比

    Figure  3.  Comparison of training stage attacks and testing stage attacks for deep learning

    图  4  投毒攻击与逃避攻击基本原理

    Figure  4.  Illustration of poisoning attack and evasion attack

    图  5  深度识别模型决策过程示例[1]

    Figure  5.  Decision process for deep neural networks[1]

    图  6  MSTAR性能评估策略[21]

    Figure  6.  Performance evaluation strategy for MSTAR[21]

    图  7  对抗攻击威胁模型

    Figure  7.  Threat model for adversarial attacks

    图  8  对抗样本生成流程

    Figure  8.  Flowchart for adversarial example generation

    图  9  SAR图像目标识别定向对抗攻击举例

    Figure  9.  Targeted adversarial attacks for SAR image target recognition

    图  10  FUSAR-Ship数据子集对抗扰动举例[59]

    Figure  10.  Adversarial perturbations on images from FUSAR-Ship dataset[59]

    图  11  对抗攻击防御模型[60]

    Figure  11.  Defense model for adversarial attacks[60]

    图  12  对抗攻击典型防御方法分类[26]

    Figure  12.  Taxonomy of defense methods for adversarial attack[26]

    图  13  对抗样本检测方法[122]

    Figure  13.  Adversarial example detection methods[122]

    图  14  无监督数据提升对抗鲁棒性

    Figure  14.  Unlabeled data for improving adversarial robustness

    图  15  So2Sat LCZ42数据子集示例[154]

    Figure  15.  Examples images from the So2Sat LCZ42 dataset[154]

    图  16  多传感器耦合对抗攻击实例

    Figure  16.  Adversarial attacks for multiple sensors

    表  1  对抗攻击典型方法

    Table  1.   Summarization of adversarial attacks

    DeepFool-DF[30]白盒非定向梯度优化L0, L2, Linf个体扰动/通用扰动
    UAN[32]白盒定向生成模型L2, Linf通用扰动
    C&W[34]白盒定向/非定向约束优化L0, L2, Linf个体扰动
    PGD[36]白盒定向/非定向梯度优化L1, Linf个体扰动
    RP2[38]白盒定向梯度优化L1, L2个体扰动
    GTA[39]白盒定向梯度优化L1, Linf个体扰动
    OptMargin[40]白盒定向梯度优化L1, L2, Linf个体扰动
    LSA attack[45]黑盒定向/非定向梯度近似L0个体扰动
    NES attack[46]黑盒定向梯度近似Linf个体扰动
    BA attack[47]黑盒定向估计决策边界L2个体扰动
    GenAttack[48]黑盒定向估计决策边界L2, Linf个体扰动
    HSJA[51]黑盒定向/非定向决策近似L2, Linf个体扰动
    BPDA[53]黑盒定向/非定向梯度近似L2, Linf个体扰动
    Houdini[56]黑盒定向约束优化L2, Linf个体扰动
    表  2  对抗攻击防御方法

    Table  2.   Defense methods for adversarial attack

    Thermometer encoding[62]主动防御输入重建PGD
    Super resolution[64]主动防御输入重建FGSM/BIM/DF/C&W/MI-BIM
    Pixel deflection[65]主动防御输入重建FGSM/BIM/JSMA/DF/L-BFGS
    Feature distillation[70]主动防御输入重建FGSM/BIM/DF/C&W
    JPEG compression[72]主动防御输入重建/集成重建FGSM/ DF
    Deep defense[75]主动防御正则化DF
    Na et al.[76]主动防御正则化FGSM/BIM/ILCM/C&W
    Cao et al.[77]主动防御区域分类器FGSM/BIM/JSMA/DF/ C&W
    S2SNet[78]主动防御梯度掩模FGSM/BIM /C&W
    Adversarial training[8,36,79]主动防御对抗训练PGD
    Bilateral AT[80]主动防御改进对抗训练FGSM/PGD
    CCNs[83]主动防御预处理FGSM/ DF
    DCNs[84] 主动防御梯度掩模/预处理L-BFGS
    WSNNS[85] 主动防御近邻度量FGSM/PGD/C&W
    Defense distillation[87]主动防御梯度掩模JSMA
    EDD[88] 主动防御梯度掩模FGSM/JSMA
    Strauss et al.[89] 主动防御集成防御FGSM/BIM
    Tramèr et al.[90] 主动防御梯度掩模/集成防御FGSM/BIM/ILCM
    MTDeep[91] 主动防御集成防御FGSM/C&W
    Defense-GAN[92] 主动防御预处理FGSM/C&W
    APE-GAN[93] 主动防御预处理FGSM/JSMA/L-BFGS/DF/C&W
    Zantedeschi et al.[94]主动防御梯度掩模FGSM/JSMA
    Parseval networks[95] 主动防御梯度掩模FGSM/BIM
    HGD[96] 主动防御预处理FGSM/BIM
    ALP[97] 主动防御梯度掩模PGD
    Sinha et al.[98] 主动防御梯度掩模FGSM/BIM/PGD
    Fortified networks[99] 主动防御预处理FGSM/PGD
    DDSA[101] 主动防御预处理FGSM/M-BIM/C&W/PGD
    ADV-BNN[102] 主动防御梯度掩模PGD
    Artifacts[104]被动防御对抗检测FGSM/BIM/JSMA /C&W
    Gong et al.[113]被动防御辅助模型FGSM/ JSMA
    Metzen et al.[114] 被动防御辅助模型FGSM/BIM/DF
    MagNet[115] 被动防御预处理FGSM/BIM/DF/C&W
    MultiMagNet[116] 被动防御预处理/近邻度量/集成防御FGSM/BIM/DF/C&W
    SafetyNet[117] 被动防御辅助模型FGSM/BIM/DF/JSMA
    Feature squeezing[118] 被动防御预处理FGSM/BIM/C&W/JSMA
    TwinNet[119] 被动防御辅助模型/集成防御UAP
    Abbasi et al.[120] 被动防御集成防御FGSM/DF
    Liang et al.[121] 被动防御预处理FGSM/DF/C&W
    表  3  对抗鲁棒性评估指标体系[127]

    Table  3.   Adversarial evaluation for deep models[127]

    表  4  SAR舰船目标识别深度模型对抗鲁棒性评估实例[59]

    Table  4.   Adversarial robustness evaluation of deep models for SAR ship recognition[59]

