基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法

王濱，李思敏，錢亞冠，張君，李超豪，朱晨鳴，張鴻飛

基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法

王濱1,2，李思敏1，錢亞冠1，張君3，李超豪2，朱晨鳴3，張鴻飛3

（1. 浙江科技學(xué)院，浙江 杭州 310023；2. 浙江省多維感知技術(shù)應(yīng)用與安全重點(diǎn)實(shí)驗(yàn)室，浙江 杭州 310052；3. 浙江省電子信息產(chǎn)品檢驗(yàn)研究院，浙江 杭州 310007）

對抗訓(xùn)練是一類常用的對抗攻擊防御方法，其通過將對抗樣本納入訓(xùn)練過程，從而有效抵御對抗攻擊。然而，對抗訓(xùn)練模型的魯棒性通常依賴于網(wǎng)絡(luò)容量的提升，即對抗訓(xùn)練所獲得的網(wǎng)絡(luò)為防御對抗攻擊而大幅提升網(wǎng)絡(luò)的模型容量，對其可用性造成較大約束。因此，如何在保證對抗訓(xùn)練模型魯棒性的同時，降低模型容量，提出輕量對抗攻擊防御方法是一大挑戰(zhàn)。為解決以上問題，提出一種基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法。該方法以對抗魯棒準(zhǔn)確率為優(yōu)化條件，在對預(yù)訓(xùn)練的魯棒對抗模型進(jìn)行分層自適應(yīng)剪枝壓縮的基礎(chǔ)上，再對剪枝后的網(wǎng)絡(luò)進(jìn)行基于數(shù)據(jù)過濾的魯棒蒸餾，實(shí)現(xiàn)魯棒對抗訓(xùn)練模型的有效壓縮，降低其模型容量。在CIFAR-10和CIFAR-100數(shù)據(jù)集上對所提出的方法進(jìn)行性能驗(yàn)證與對比實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，在相同TRADES對抗訓(xùn)練下，所提出的分層自適應(yīng)剪枝技術(shù)相較于現(xiàn)有剪枝技術(shù)，其剪枝所得到的網(wǎng)絡(luò)結(jié)構(gòu)在多種FLOPs下均表現(xiàn)出更強(qiáng)的魯棒性。此外，基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法相較于其他魯棒蒸餾方法表現(xiàn)出更高的對抗魯棒準(zhǔn)確率。因此，實(shí)驗(yàn)結(jié)果證明所提方法在降低對抗訓(xùn)練模型容量的同時，相較于現(xiàn)有方法具有更強(qiáng)的魯棒性，提升了對抗訓(xùn)練模型在物聯(lián)網(wǎng)邊緣計算環(huán)境的適用性。

對抗防御；剪枝；魯棒蒸餾；輕量網(wǎng)絡(luò)

0 引言

隨著深度學(xué)習(xí)技術(shù)在圖像識別[1]、語音識別[2]、自然語言處理[3]等領(lǐng)域的廣泛應(yīng)用，深度學(xué)習(xí)模型的安全直接決定了其所應(yīng)用的系統(tǒng)或業(yè)務(wù)的安全。然而，研究指出了對抗樣本攻擊[4,5]對于現(xiàn)有深度學(xué)習(xí)模型的攻擊可行性，即通過在干凈樣本上添加微小的擾動，造成深度學(xué)習(xí)模型的功能錯誤。例如，CW（Carlini and Wagner）攻擊可通過在圖片上添加人眼不易察覺的對抗擾動，造成智能圖像識別模型的分類錯誤[5]，如將停車標(biāo)志識別為其他標(biāo)志，可能會造成嚴(yán)重的安全事故[6]；同理，攻擊者可通過在音頻上疊加微小噪聲，構(gòu)造語音對抗樣本，造成智能語音識別系統(tǒng)的錯誤識別，如將人耳所聽的“你好”識別為“打開房門”等敏感指令[7]。

為抵御來自對抗樣本的安全威脅，對抗訓(xùn)練[8-10]方法被提出并得到大量研究。對抗訓(xùn)練的核心是在模型訓(xùn)練階段同時考慮干凈樣本和對抗樣本，從而使訓(xùn)練獲得的模型對對抗樣本攻擊具有較高的魯棒性。然而，此類方法在提升訓(xùn)練模型的魯棒性同時，通常會造成模型容量的大幅提升。此外，相關(guān)研究表明，模型容量與對抗訓(xùn)練效果成正相關(guān)性，即模型容量越大，對抗訓(xùn)練效果越好[9]。然而，該特性對對抗訓(xùn)練的可用性造成較大的約束，如限制對抗訓(xùn)練在計算及存儲資源相對受限的邊緣設(shè)備（如智能手機(jī)、智能攝像頭等）上的應(yīng)用部署。因此，亟須設(shè)計一種輕量對抗攻擊防御方法，尤其在壓縮對抗訓(xùn)練模型容量的同時，對模型的魯棒性影響較小，從而提供輕量級的魯棒模型，適應(yīng)物聯(lián)網(wǎng)邊緣計算環(huán)境下的智能應(yīng)用。

針對以上問題，研究者提出基于知識蒸餾（knowledge distillation）[11]對抗訓(xùn)練模型優(yōu)化方法，即將魯棒知識從網(wǎng)絡(luò)容量較大的教師網(wǎng)絡(luò)遷移到輕量級的學(xué)生網(wǎng)絡(luò)[12-14]。例如，Goldblum等[13]提出ARD（adversarially robust distillation）方法，將對抗樣本參與模型的蒸餾，從而進(jìn)一步提高模型的魯棒性。在此基礎(chǔ)上，Zi等[14]提出了RSLAD（robust soft label adversarial distillation）方法，優(yōu)化了對抗蒸餾的損失函數(shù)，使模型的魯棒性與經(jīng)典對抗訓(xùn)練方法相比有所提高。但以上方法都是固定教師網(wǎng)絡(luò)和學(xué)生網(wǎng)絡(luò)的結(jié)構(gòu)，無法進(jìn)一步壓縮網(wǎng)絡(luò)容量以適應(yīng)計算資源相對受限的邊緣設(shè)備。

因此，本文提出一種基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法。首先基于分層自適應(yīng)的剪枝策略對預(yù)訓(xùn)練的魯棒對抗模型進(jìn)行剪枝壓縮，然后對剪枝后的網(wǎng)絡(luò)進(jìn)行基于數(shù)據(jù)過濾的魯棒蒸餾，實(shí)現(xiàn)魯棒對抗訓(xùn)練模型的有效壓縮，降低其模型容量。

本文主要貢獻(xiàn)如下。

1) 提出剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法，其在降低對抗訓(xùn)練模型網(wǎng)絡(luò)容量的同時，對于對抗訓(xùn)練模型的魯棒性影響較小。

2) 改進(jìn)現(xiàn)有剪枝技術(shù)，提出分層自適應(yīng)剪枝技術(shù)，提升剪枝過后模型的魯棒性。

3）提出基于數(shù)據(jù)過濾的魯棒蒸餾方法，通過對原始干凈樣本中被錯誤識別的樣本進(jìn)行過濾，提升魯棒蒸餾的有效性。

1 相關(guān)工作

1.1 深度神經(jīng)網(wǎng)絡(luò)與對抗攻擊

1.2 對抗訓(xùn)練

近年來，對抗訓(xùn)練作為一種常用的對抗樣本攻擊防御方法得到廣泛的研究與應(yīng)用[15]。Madry等[9]提出標(biāo)準(zhǔn)對抗訓(xùn)練（SAT，standard adversarial training），其將對抗訓(xùn)練建模成雙層優(yōu)化問題，并基于PGD攻擊方法生成對抗樣本訓(xùn)練模型。除SAT對抗訓(xùn)練框架之外，Zhang等[16]基于魯棒性和精度的權(quán)衡考慮提出了TRADES框架。另外，還有一類工作是利用沒有標(biāo)簽的數(shù)據(jù)進(jìn)行對抗訓(xùn)練，進(jìn)一步提升模型的魯棒性[17-18]。上述方法在ResNet和WideResNet等大容量深度神經(jīng)網(wǎng)絡(luò)上均取得了較高的魯棒性。此外，研究發(fā)現(xiàn)對抗訓(xùn)練通?？墒谷萘枯^大的網(wǎng)絡(luò)獲得更好的魯棒性[9]。然而，對于部署到邊緣環(huán)境中的輕量級神經(jīng)網(wǎng)絡(luò)，直接對其進(jìn)行對抗訓(xùn)練所能取得的魯棒性效果不如較大網(wǎng)絡(luò)顯著。

1.3 知識蒸餾

2 輕量對抗攻擊防御方法實(shí)現(xiàn)

為兼顧對抗訓(xùn)練模型的魯棒性與可用性，本文提出一種基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法。首先，本文方法基于分層自適應(yīng)的剪枝策略對預(yù)訓(xùn)練的魯棒對抗模型進(jìn)行剪枝壓縮。然后，對經(jīng)過剪枝后的網(wǎng)絡(luò)進(jìn)行魯棒蒸餾。區(qū)別于現(xiàn)有魯棒蒸餾機(jī)制，本文方法通過對原始干凈樣本中被錯誤識別的樣本進(jìn)行過濾，提升魯棒知識的高效遷移。剪枝技術(shù)和魯棒蒸餾兩類技術(shù)的有機(jī)結(jié)合，既可實(shí)現(xiàn)魯棒對抗訓(xùn)練模型的有效壓縮，降低其模型容量，又能降低對模型魯棒性的影響。下面對以上所述方法進(jìn)行詳細(xì)介紹。

2.1 分層自適應(yīng)剪枝

剪枝技術(shù)的核心是將深度神經(jīng)網(wǎng)絡(luò)中冗余的卷積核或者通道去除。傳統(tǒng)剪枝策略一般分為兩類：預(yù)定義剪枝策略、基于全局閾值的剪枝策略。首先，預(yù)定義剪枝策略通常依賴于人工設(shè)定的剪枝率，但往往達(dá)不到最優(yōu)的剪枝效果。其次，基于全局閾值的剪枝策略在使用中具有一定的局限性，如該方法會造成層崩塌，即該層的卷積核幾乎被剪完，從而使模型性能驟降。針對以上問題，本文提出一種分層自適應(yīng)的剪枝策略，其創(chuàng)新點(diǎn)在于依據(jù)模型各層輸出的軟標(biāo)簽信息與模型最終的軟標(biāo)簽輸出進(jìn)行比較，進(jìn)而指導(dǎo)各層剪枝率的分配（如圖1所示），使網(wǎng)絡(luò)結(jié)構(gòu)能夠適應(yīng)魯棒性的需要。

圖1 剪枝分配準(zhǔn)則

Figure 1 Pruning allocation guidelines

分層自適應(yīng)剪枝策略的詳細(xì)過程如下。

在確定好各層的剪枝率之后，剪枝操作將與蒸餾訓(xùn)練過程交替進(jìn)行。

2.2 基于數(shù)據(jù)過濾的魯棒蒸餾

知識蒸餾的核心是將教師網(wǎng)絡(luò)學(xué)到的知識遷移到更小的學(xué)生網(wǎng)絡(luò)中，從而使學(xué)生網(wǎng)絡(luò)的概率輸出分布接近教師網(wǎng)絡(luò)的概率輸出分布，其形式可表達(dá)為

算法1 魯棒蒸餾算法

3 實(shí)驗(yàn)評估

3.1 實(shí)驗(yàn)設(shè)置

（1）數(shù)據(jù)集和模型

1）基準(zhǔn)數(shù)據(jù)集：本文實(shí)驗(yàn)采用兩個基準(zhǔn)數(shù)據(jù)集，分別為CIFAR-10和CIFAR-100。這兩個數(shù)據(jù)集各包含60 000張RGB彩色圖片，其中訓(xùn)練集50 000張，測試集10 000張，圖片大小為32×32像素。CIFAR-10和CIFAR-100分別包含10類和100類圖片數(shù)據(jù)。

2）測試模型：本文選取了VGG-16[19]和resnet56[20]作為待剪枝的教師網(wǎng)絡(luò)模型。通過對測試模型進(jìn)行剪枝和魯棒蒸餾，以提高模型在較低FLOP情況下的魯棒性。

（2）實(shí)驗(yàn)環(huán)境

本文實(shí)驗(yàn)所用硬件為RTX 2080Ti GPU，運(yùn)行環(huán)境為Ubuntu 16.04.6 LTS，Pytorch版本為1.4.0，CUDA版本為10.0，cuDNN版本為7.6.0，torchattacks庫的版本為3.0.0。

（3）評價指標(biāo)

1）FLOP：即浮點(diǎn)運(yùn)算數(shù)，用來衡量算法/模型的復(fù)雜度。FLOP越小，所需計算量也越小，代表越有利于算法/模型在資源相對受限的邊緣設(shè)備計算環(huán)境下進(jìn)行應(yīng)用部署。

2）對抗魯棒準(zhǔn)確率：代表算法/模型對于對抗樣本的分類精度。本文使用目前較為常用的魯棒性基準(zhǔn)測試平臺AutoAttack[21]（下面簡稱AA測試）對模型的魯棒性進(jìn)行評估。

3.2 CIFAR-10實(shí)驗(yàn)結(jié)果

本節(jié)基于CIFAR-10數(shù)據(jù)集，選取VGG-16和resnet56作為待剪枝的教師網(wǎng)絡(luò)，且都是經(jīng)過對抗訓(xùn)練的魯棒網(wǎng)絡(luò)。在此基礎(chǔ)上，實(shí)驗(yàn)分別從對抗訓(xùn)練和魯棒蒸餾兩個角度，對比不同剪枝方法得到的模型結(jié)構(gòu)對魯棒性的影響。圖2給出了模型在不同剪枝方法以及在不同訓(xùn)練方法下的魯棒性對比。

在對抗訓(xùn)練實(shí)驗(yàn)中，本文選擇TRADES框架[16]作為對抗訓(xùn)練的方法。從圖2(a)可以觀察到，本文所提的分層自適應(yīng)剪枝方法得到的模型在相同TRADES對抗訓(xùn)練條件下，相比于其他剪枝方法，幾乎在各個FLOP層次上均表現(xiàn)出更高的魯棒性（AA測試）。這充分表明分層自適應(yīng)剪枝得到的模型結(jié)構(gòu)更能適應(yīng)模型魯棒性的需要，即模型結(jié)構(gòu)更為合理。為了公平對比，圖2和圖3所有數(shù)據(jù)點(diǎn)均是模型在實(shí)驗(yàn)訓(xùn)練中取得的最好結(jié)果。

在魯棒蒸餾實(shí)驗(yàn)中，為更合理地進(jìn)行對比，所有測試方案均采用剪枝技術(shù)與魯棒蒸餾融合的形式。測試剪枝技術(shù)包括L1-norm、Slimming與CHIP。實(shí)驗(yàn)中除本方案外，其余剪枝操作后使用的魯棒蒸餾方法均為RSLAD魯棒蒸餾方法[14]。該方法是現(xiàn)有較為先進(jìn)的開源魯棒蒸餾方法。首先，圖2(b)給出了不同方案在VGG-16教師網(wǎng)絡(luò)上的性能對比。結(jié)果表明本文所提出的基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法與其余剪枝與魯棒融合方法相比，在相同的FLOP層次上具有更高的對抗魯棒準(zhǔn)確率；在相同的對抗魯棒準(zhǔn)確率上需要更少的FLOP。因此，本文所提方法在綜合性能上表現(xiàn)更好，尤其是高剪枝率、低FLOP情況下更為明顯。此外，實(shí)驗(yàn)將相同F(xiàn)LOP條件下的VGG-11模型和VGG-13模型參與橫向?qū)Ρ?。結(jié)果表明，本文所提方法是一種有效的壓縮模型手段，且比預(yù)設(shè)定模型結(jié)構(gòu)進(jìn)行訓(xùn)練的效果更好。以上的高性能主要得益于分層自適應(yīng)剪枝策略與魯棒蒸餾前的數(shù)據(jù)過濾預(yù)處理方法帶來網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化。

圖2 模型在不同剪枝方法以及在不同訓(xùn)練方法下的魯棒性對比

Figure 2 Comparison of the model robustness under different pruning methods and various training methods on CIFAR-10

圖2(c)則給出了不同方案在resnet56教師網(wǎng)絡(luò)上的性能對比。實(shí)驗(yàn)結(jié)果表明本文所提方法剪枝得到的結(jié)構(gòu)經(jīng)過相同的對抗訓(xùn)練后，其性能曲線均位于其他方法上方，即其魯棒性相較于其他方法在整體上具有優(yōu)勢。此外，所提方法的魯棒準(zhǔn)確率在resnet56與VGG-16兩種模型上的趨勢存在差異，即圖2(c)中存在拐點(diǎn)，該現(xiàn)象主要是源于兩種模型的內(nèi)在結(jié)構(gòu)差異。VGG是一種基于直連結(jié)構(gòu)的模型，各層之間具有不同的語義信息。只要未對VGG模型中間的某些層進(jìn)行過度剪枝，模型表達(dá)能力和性能不會有明顯的驟降，且訓(xùn)練后的表現(xiàn)較為穩(wěn)定。因此，本文所提方法的魯棒準(zhǔn)確率在VGG模型上與模型的FLOP大致呈現(xiàn)正相關(guān)的趨勢。resnet56則是通過特征融合，采取跳層連接結(jié)構(gòu)。這種內(nèi)在結(jié)構(gòu)的不同，可能會使剪枝操作優(yōu)先關(guān)注某些語義表達(dá)豐富的特定層，并且這些層在剪掉相當(dāng)一部分卷積核之后，出現(xiàn)過渡態(tài)的非最優(yōu)結(jié)構(gòu)，進(jìn)而出現(xiàn)層與層之間特征表達(dá)及語義信息不匹配的情況，造成模型的表達(dá)能力受限，即FLOP處于70～80 MFLOP的低谷點(diǎn)。隨著迭代剪枝的進(jìn)行，該方法會動態(tài)地優(yōu)化剩下的模型結(jié)構(gòu)，使其前后跨通道的特征融合更優(yōu)，即前后層的結(jié)構(gòu)更匹配、更互相適應(yīng)。

3.3 CIFAR-100實(shí)驗(yàn)結(jié)果

圖3展示了基于CIFAR-100數(shù)據(jù)集以及VGG-16模型的實(shí)驗(yàn)結(jié)果。結(jié)果表明，如同CIFAR-10的表現(xiàn)，本文所提方法不論在相同的TRADES對抗訓(xùn)練下，還是對比其他的魯棒蒸餾方法，綜合魯棒性要表現(xiàn)更好。

另外，盡管Slimming方法是基于全局閾值方法的剪枝，但是由該方法剪枝得到的模型在高剪枝條件下會導(dǎo)致模型魯棒性降。因此該方法存在較大缺陷，無法有效部署于邊緣環(huán)境中。

4 結(jié)束語

針對物聯(lián)網(wǎng)邊緣環(huán)境對輕量對抗攻擊防御方法的需求，本文提出一種基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法，通過分層自適應(yīng)剪枝技術(shù)與基于數(shù)據(jù)過濾的魯棒蒸餾方法，實(shí)現(xiàn)魯棒對抗訓(xùn)練模型的有效壓縮，即在降低其模型容量的同時，對模型的魯棒性影響較小。實(shí)驗(yàn)結(jié)果證明，本文所提方法不僅能使相同F(xiàn)LOP條件下的輕量級網(wǎng)絡(luò)經(jīng)過同等對抗訓(xùn)練更具魯棒性，并且在相同魯棒對抗準(zhǔn)確率下，使壓縮的模型具有更低的FLOP。未來將對剪枝技術(shù)和魯棒蒸餾做進(jìn)一步的研究拓展，繼續(xù)提高模型的壓縮率同時保持較高的魯棒性。

圖3 模型在不同剪枝方法以及在不同訓(xùn)練方法下的魯棒性對比

Figure 3 Comparison of the model robustness under different pruning methods and various training methods on CIFAR-100

[1] 鄭遠(yuǎn)攀, 李廣陽, 李曄. 深度學(xué)習(xí)在圖像識別中的應(yīng)用研究綜述[J]. 計算機(jī)工程與應(yīng)用, 2019, 55(12): 20-36.

ZHENG Y P, LI G Y, LI Y. Survey of application of deep learning in image recognition [J].Computer Engineering and Applications, 2019,55(12):20-36.

[2] 魚昆, 張紹陽, 侯佳正, 等. 語音識別及端到端技術(shù)現(xiàn)狀及展望[J]. 計算機(jī)系統(tǒng)應(yīng)用, 2021, 30(3): 14-23.

YU K, ZHANG S Y, HOU J Z, et al. Survey of speech recognition and end-to-end techniques[J]. Computer Systems & Applications, 2021, 30(3): 14-23.

[3] 王睿怡, 羅森林, 吳舟婷, 等. 深度學(xué)習(xí)在漢語語義分析的應(yīng)用與發(fā)展趨勢[J]. 計算機(jī)技術(shù)與發(fā)展, 2019, 29(9): 110-116.

WANG R Y, LUO S L, WU Z T, et al. Application and development trend of deep learning in Chinese semantic analysis[J]. Computer Technology and Development, 2019, 29(9): 110-116.

[4] SZEGEDY C, ZAREMBA W, SUTSKEVER I, et al. Intriguing properties of neural networks[C]//Proceedings of 2nd International Conference on Learning Representations (ICLR 2014). 2014.

[5] CARLINI N, WAGNER D. Towards evaluating the robustness of neural networks[C]//Proceedings of 2017 IEEE Symposium on Security and Privacy (SP). 2017.

[6] SONG D, EYKHOLT K, EVTIMOV I, et al. Physical adversarial examples for object detectors[C]//12th USENIX Workshop on offensive technologies (WOOT 18). 2018.

[7] CARLINI N, WAGNER D. Audio adversarial examples: targeted attacks on speech-to-text[C]//2018 IEEE Security and Privacy Workshops (SPW). 2018: 1-7.

[8] GOODFELLOW I, SHLENS J, SZEGEDY C. Explaining and harnessing adversarial examples[C]//Proceedings of 3rd International Conference on Learning Representations (ICLR 2015). 2015.

[9] MADRY A, MAKELOV A, SCHMIDT L, et al. Towards deep learning models resistant to adversarial attacks[C]//Proceedings of 6th International Conference on Learning Representations (ICLR 2018). 2018.

[10] GOWAL S, QIN C, UESATO J, et al. Uncovering the limits of adversarial training against norm-bounded adversarial examples[J]. arXiv:2010.03593, 2020.

[11] GOU J, YU B, MAYBANK S J, et al. Knowledge distillation: a survey[J]. International Journal of Computer Vision, 2021, 129(6): 1789-1819.

[12] PAPERNOT N, MCDANIEL P, WU X, et al. Distillation as a defense to adversarial perturbations against deep neural networks[C]//IEEE Symposium on Security and Privacy, 2016: 582-597.

[13] GOLDBLUM M, FOWL L, FEIZI S, et al. Adversarially robust distillation[C]//Proceedings of the AAAI Conference on Artificial Intelligence. 2020: 3996-4003.

[14] ZI B, ZHAO S, MA X, et al. Revisiting adversarial robustness distillation: robust soft labels make student better[C]//Proceedings of 2021 IEEE/CVF International Conference on Computer Vision, 2021:16423-16432.

[15] BAI T, LUO J, ZHAO J, et al. Recent advances in adversarial training for adversarial robustness[C]//Proceedings of the Thirtieth International Joint Conference on Artificial Intelligence, 2021: 4312-4321.

[16] ZHANG H, YU Y, JIAO J, et al. Theoretically principled trade-off between robustness and accuracy[C]//International Conference on Machine Learning. 2019: 7472-7482.

[17] ALAYRAC J B, UESATO J, HUANG P S, et al. Are labels required for improving adversarial robustness[C]//Advances in Neural Information Processing Systems. 2019: 12192-12202.

[18] CARMON Y,RAGHUNATHAN A, SCHMIDT L, et al. Unlabeled data improves adversarial robustness[C]//Advances in Neural Information Processing Systems. 2019: 11190-11201.

[19] SIMONYAN K, ZISSERMAN A. Very deep convolutional networks for large-scale image recognition[J]. arXiv:1409.1556, 2014.

[20] HE K, ZHANG X, REN S, et al. Deep residual learning for image recognition[C]//Proceedings of 2016 IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2016: 770-778.

[21] CROCE F, HEIN M. Reliable evaluation of adversarial robustness with an ensemble of diverse parameter-free attacks[C]//Proceedings of the 37th International Conference on Machine Learning. 2020: 2206-2216.

[22] LI H, KADAV A, DURDANOVIC I, et al. Pruning filters for efficient convnets[C]//Proceedings of 5th International Conference on Learning Representations (ICLR 2017). 2017.

[23] LIU Z, LI J, Shen Z, et al. Learning efficient convolutional networks through network slimming[C]//Proceedings of 2017 IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2017: 2755-2763.

[24] SUI Y, YIN M, XIE Y, et al. CHIP: channel Independence-based pruning for compact neural networks[C]//Advances in Neural Information Processing Systems. 2021: 24604-24616.

Lightweight defense mechanism against adversarial attacks via adaptive pruning and robust distillation

WANG Bin1,2, LI Simin1, QIAN Yaguan1, ZHANG Jun3, LI Chaohao2, ZHU Chenming3, ZHANG Hongfei3

1. Zhejiang University of Science and Technology, Hangzhou 310023, China 2. Zhejiang Key Laboratory of Multi-dimensional Perception Technology, Application and Cybersecurity, Hangzhou 310052, China 3. Zhejiang Electronic Information Products Inspection and Research Institute, Hangzhou 310007, China

Adversarial training is one of the commonly used defense methods against adversarial attacks, by incorporating adversarial samples into the training process. However, the effectiveness of adversarial training heavily relied on the size of the trained model. Specially, the size of trained models generated by the adversarial training will significantly increase for defending against adversarial attacks. This imposes constraints on the usability of adversarial training, especially in a resource-constraint environment. Thus, how to reduce the model size while ensuring the robustness of the trained model is a challenge. To address the above issues, a lightweight defense mechanism was proposed against adversarial attacks, with adaptive pruning and robust distillation. A hierarchically adaptive pruning method was applied to the model generated by adversarial training in advance. Then the trained model was further compressed by a modified robust distillation method. Experimental results on CIFAR-10 and CIFAR-100 datasets showed that our hierarchically adaptive pruning method presented stronger robustness under various FLOP than the existing pruning methods. Moreover, the fusion of pruning and robust distillation presented higher robustness than the state-of-art robust distillation methods. Therefore, the experimental results prove that the proposed method can improve the usability of the adversarial training in the IoT edge computing environment.

adversarial defenses; pruning; robust distillation; lightweight network

TP393

A

10.11959/j.issn.2096?109x.2022074

2022?04?24；

2022?06?11

錢亞冠，qianyg@yeah.net

國家自然科學(xué)基金（92167203）；浙江省自然科學(xué)基金（LZ22F020007）

The National Natural Science Foundation of China (92167203), The Natural Science Foundation of Zhejiang Province (LZ22F020007)

王濱, 李思敏, 錢亞冠, 等. 基于剪枝技術(shù)和魯棒蒸餾融合的輕量對抗攻擊防御方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2022, 8(6): 102-109.

WANG B, LI S M, QIAN Y G, et al. Lightweight defense mechanism against adversarial attacks via adaptive pruning and robust distillation[J]. Chinese Journal of Network and Information Security, 2022, 8(6): 102-109.

王濱（1978? ），男，山東泗水人，博士，浙江省多維感知技術(shù)應(yīng)用與安全重點(diǎn)實(shí)驗(yàn)室研究員、博士生導(dǎo)師，主要研究方向?yàn)槲锫?lián)網(wǎng)安全、人工智能安全、密碼學(xué)。

李思敏（1997? ），男，浙江義烏人，浙江科技學(xué)院碩士生，主要研究方向?yàn)樯疃葘W(xué)習(xí)、人工智能安全和模型壓縮。

錢亞冠（1976? ），男，浙江嵊州人，博士，浙江科技學(xué)院理學(xué)院教授，主要研究方向?yàn)樯疃葘W(xué)習(xí)、人工智能安全。

張君（1980? ），女，河南內(nèi)鄉(xiāng)人，浙江省信息化發(fā)展中心高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

李超豪（1995? ），男，浙江溫州人，博士，浙江省多維感知技術(shù)應(yīng)用與安全重點(diǎn)實(shí)驗(yàn)室副主任，主要研究方向?yàn)槲锫?lián)網(wǎng)安全、人工智能安全、感知對抗安全、數(shù)據(jù)隱私保護(hù)。

朱晨鳴（1981? ），男，浙江杭州人，浙江省電子信息產(chǎn)品檢驗(yàn)研究院高級工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

張鴻飛（1984? ），男，浙江嘉興人，浙江省電子信息產(chǎn)品檢驗(yàn)研究院工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。