主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公English
2020-2021年专刊出版计划 微信服务介绍 最新一期:2020年第10期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
韦璠,宋云飞,邵明莉,刘天,陈小红,王祥丰,陈铭松.利用特征融合和整体多样性提升单模型鲁棒性.软件学报,2020,31(9):2756-2769
利用特征融合和整体多样性提升单模型鲁棒性
Improving Adversarial Robustness on Single Model via Feature Fusion and Ensemble Diversity
投稿时间:2019-07-01  修订日期:2019-08-18
DOI:10.13328/j.cnki.jos.005943
中文关键词:  物联网  特征融合  整体多样性  模型防御  鲁棒性  对抗样本
英文关键词:Internet of things  feature fusion  ensemble diversity  model defense  robustness  adversarial example
基金项目:国家重点研发计划(2018YFB2101300);国家自然科学基金(61872147)
作者单位E-mail
韦璠 上海市高可信计算重点实验室(华东师范大学), 上海 200062  
宋云飞 上海市高可信计算重点实验室(华东师范大学), 上海 200062  
邵明莉 上海市高可信计算重点实验室(华东师范大学), 上海 200062  
刘天 上海市高可信计算重点实验室(华东师范大学), 上海 200062  
陈小红 上海市高可信计算重点实验室(华东师范大学), 上海 200062  
王祥丰 上海市高可信计算重点实验室(华东师范大学), 上海 200062  
陈铭松 上海市高可信计算重点实验室(华东师范大学), 上海 200062 mschen@sei.ecnu.edu.cn 
摘要点击次数: 1185
全文下载次数: 1086
中文摘要:
      使用深度神经网络处理物联网设备的急剧增加产生的海量图像数据是大势所趋,但由于深度神经网络对于对抗样本的脆弱性,它容易受到攻击而危及物联网的安全.所以,如何提高模型的鲁棒性,就成了一个非常重要的课题.通常情况下,组合模型的防御表现要优于单模型防御方法,但物联网设备有限的计算能力使得组合模型难以应用.为此,提出一种在单模型上实现组合模型防御效果的模型改造及训练方法:在基础模型上添加额外的分支;使用特征金字塔对分支进行特征融合;引入整体多样性计算辅助训练.通过在MNIST和CIFAR-10这两个图像分类领域最常用的数据集上的实验表明,该方法能够显著提高模型的鲁棒性.在FGSM等4种基于梯度的攻击下的分类正确率有5倍以上的提高,在JSMA,C&W以及EAD攻击下的分类正确率可达到原模型的10倍.同时,不干扰模型对干净样本的分类精度,也可与对抗训练方法联合使用获得更好的防御效果.
英文摘要:
      It is an inevitable trend to use deep neural network to process the massive image data generated by the rapid increase of Internet of Things (IoT) devices. However, as the DNN is vulnerable to adversarial examples, it is easy to be attacked and would endanger the security of the IoT. So how to improve the robustness of the model has become an important topic. Usually, the defensive performance of the ensemble model is better than the single model, but the limited computing power of the IoT device makes the ensemble model difficult to apply. Therefore, this study proposes a novel model transformation and training method on a single model to achieve similar defense effect like ensemble model: adding additional branches to the base model; using feature pyramids to fuse features; and introducing ensemble diversity for training. Experiments on the common datasets, like MNIST and CIFAR-10, show that this method can significantly improve the robustness. The accuracy increases more than fivefold against four gradient-based attacks such as FGSM, and can be up to 10 times while against JSMA, C&W, and EAD. This method does not disturb the classification of clean examples, and could obtain better performance while combining adversarial training.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会 京ICP备05046678号-4
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利