基于图像去噪和图像生成的对抗样本检测方法.pdf

《基于图像去噪和图像生成的对抗样本检测方法.pdf》由会员分享，可在线阅读，更多相关《基于图像去噪和图像生成的对抗样本检测方法.pdf（10页珍藏版）》请在咨信网上搜索。

1、第 50 卷 第 8 期2 0 2 3 年 8 月Vol.50，No.8Aug.2 0 2 3湖 南 大 学 学 报（自 然 科 学 版）Journal of Hunan University（Natural Sciences）基于图像去噪和图像生成的对抗样本检测方法杨宏宇 1，2，杨帆 2（1.中国民航大学 安全科学与工程学院，天津 300300；2.中国民航大学 计算机科学与技术学院，天津 300300）摘 要：针对现有对抗样本检测方法存在检测准确率低和训练收敛速度慢等问题，提出一种基于图像去噪技术和图像生成技术实现的对抗样本检测方法.该检测方法将对抗样本检测问题转换为图像分类问题，无须事

2、先得知被攻击模型的结构和参数，仅使用图像的语义信息和分类标签信息即可判定图像是否为对抗样本.首先，采用基于 swin-transformer 和 vision-transformer实现的移动窗口式掩码自编码器去除图像中的对抗性噪声，还原图像的语义信息.然后，使用基于带有梯度惩罚的条件生成式对抗网络实现的图像生成部分根据图像分类标签信息生成图像.最后，将前两阶段输出的图像输入卷积神经网络进行分类，通过对比完成去噪的图像和生成图像的分类结果一致性判定检测图像是否为对抗样本.在 MNIST、GTSRB 和CIAFAR-10数据集上的实验结果表明，相比于传统检测方法，本文提出的对抗样本检测方法的平均

3、检测准确率提高6%36%，F1分数提高6%37%，训练收敛耗时缩减27%83%，存在一定优势.关键词：对抗攻击；对抗样本；vision-transformer；swin-transformer；卷积神经网络；深度学习中图分类号：TP389.1 文献标志码：A Adversarial Example Detection Method Based on Image Denoising and Image GenerationYANG Hongyu1，2，YANG Fan2（1.School of Safety Science and Engineering，Civil Aviation Unive

4、rsity of China，Tianjin 300300，China；2.School of Computer Science and Technology，Civil Aviation University of China，Tianjin 300300，China）Abstract：In order to solve the problems of low detection accuracy，slow training convergence speed of existing adversarial example detection methods，a method of adve

5、rsarial example detection based on image denoising technology and image generation technology is proposed.The detection method converts the adversarial example detection problem into an image classification problem.It does not need to know the structure and parameters of the attacked model in advanc

6、e，and only uses the semantic information and classification label information of the image to determine whether the image is an adversarial example.Firstly，a shifted masked auto-encoder based on swin-收稿日期：2022-10-24基金项目：国家自然科学基金民航联合研究基金项目（U1833107），Civil Aviation Joint Research Fund Project of Natio

7、nal Natural Science（U1833107）作者简介：杨宏宇（1969），男，吉林长春人，中国民航大学教授，博士 通信联系人，E-mail：文章编号：1674-2974（2023）08-0072-10DOI：10.16339/ki.hdxbzkb.2023282第 8 期杨宏宇等：基于图像去噪和图像生成的对抗样本检测方法transformer and vision-transformer is used to remove the adversarial noise in the image and restore the semantic information of the

8、image.Then，the image generation part based on conditional generative adversarial networks with gradient penalty is used to generate images based on image classification label information.Finally，the output of the images in the first two stages is input into the convolutional neural network for class

9、ification.By comparing the classification results of the denoised images and the generated images，it is determined whether the detected images are adversarial examples.The experimental results on MNIST，GTSRB，and CIAFAR-10 datasets show that the proposed adversarial example detection method outperfor

10、ms the traditional detection methods.The average detection accuracy of this method is improved by 6%36%，the F1 score is increased by 6%37%，and the training convergence time is reduced by 27%83%，respectively.Key words：adversarial attack；adversarial example；vision-transformer；swin-transformer；convolut

11、ional neural network；deep learning随着人工智能1学科和深度学习技术2的蓬勃发展，深度神经网络在诸如计算机视觉和网络安全3-5等领域的应用愈加广泛并在表现效果上取得了巨大成功.但研究表明，深度神经网络自身存在缺陷，容易遭受对抗攻击，输出错误的预测或分类结果.图像对抗样本6通常是通过在正常数据样本上添加人类视觉系统不易识别的细微扰动以欺骗模型，使模型以极高的置信度输出错误预测结果的样本7-9.对抗样本存在2个重要特征10，一是对抗样本中的扰动非常细微，不易为人类的视觉系统所察觉，可认为从人类视觉的角度而言，对抗样本与正常样本所蕴含的内容相同，即两者存在一致性；二是

12、不易察觉的对抗性扰动会导致模型输出错误的分类结果.使用数据训练深度学习模型，使深度学习模型学习可到图像语义信息与标签之间的“关联”.模型测试和应用阶段，可视为深度学习模型根据在训练中学习到的“关联”知识，预测与输入图像语义信息对应的标签信息.检测输入深度学习模型的图像是否为对抗样本有助于保障深度学习模型的安全运行.目前的对抗样本检测方法主要包括基于数据特征压缩的检测方法、基于对抗特征统计的检测方法和基于输入重构的检测方法.其中，基于数据特征压缩的检测方法通过识别对抗样本与正常样本之间的数据特征差异，将复杂的高维度数据降维成能够凸显差异的低维度数据，低维度数据对于对抗攻击较为敏感，检测低维度数据

13、的变化即可实现检测对抗样本.基于对抗特征统计的方法通过统计图像输入神经网络时，每一层网络输出的特征图之间的数据特征分布差异以实现检测对抗样本.基于输入重构的检测方法在被攻击模型外附加图像重构模型以重构输入图像，通过检测重构前后图像的差异程度来判断输入图像是否为对抗样本.文献 11 提出使用数据特征压缩的方法检测对抗样本.该方法对多种对抗样本的检出率均较高，但其阈值设定的范围存在较大的不确定性，在实际应用中不易把控.同时，如若攻击实施者事先得知该检测方法的存在，其完全可以绕过检测，进而成功实施对抗攻击.文献 12 提出使用局部维度不变性（Local Intrinsic Dimensionalit

14、y，LID）作为指标以量化图像的对抗性特征，通过统计并分析LID特征以实现检测对抗样本.使用该检测方法需要清晰地认知被攻击模型的内部结构和参数，但在实际应用中被攻击模型的内部结构和参数不易获取，给检测对抗样本带来极大困难.同时，该检测方法需使用大量数据进行训练，然而在实际应用中训练数据规模十分有限，无法充分支撑对抗性特征的统计.文献 10 提出基于 Conditional Pixel CNN10模型重构多张输入图像，检测图像之间的差异性以实现检测对抗样本.该模型的泛化性能较强，但由于Conditional Pixel CNN模型生成图像需依次生成图像的每一个像素点，模型训练和推理的耗时均较长.

15、同时，上述检测方法需使用对抗样本和正常样本同时参与训练，增加了训练模型的耗时.针对上述问题，本文提出了一种基于图像去噪技术和图像生成技术实现的对抗样本检测方法（Denoising-Generation，Den-Gen）.本文的贡献总结73湖南大学学报（自然科学版）2023 年如下.1）提出一种基于图像去噪技术13和图像生成技术14实现的对抗样本检测方法.该方法由图像去噪阶段、图像生成阶段和图像分类阶段构成.通过对比图像去噪阶段输出的去噪图像与图像生成阶段生成的图像的分类标签是否一致以判定待检测图像是否为对抗样本.该方法首次实现了将图像对抗样本检测问题转换为图像分类问题，并具备以下优点.a）该检

16、测方法无须事先得知被攻击模型的具体结构和参数即可直接检测对抗样本.b）该检测方法无须使用对抗样本参与训练，使用条件生成式对抗网络直接生成完整的图像，无须依次生成图像的每个像素点，有效缩减模型的训练收敛耗时.c）该检测方法具备良好的泛化性能，可以有效检出各类对抗样本，尤其是对于不易被传统方法有效检出的对抗样本和扰动程度较小的对抗样本均有较好的检出效果.2）设计一种可以有效去除图像中对抗性扰动的图像去噪方法移动窗口式掩码自编码器（Shifted Window Masked Auto-Encoder，SWMAE）.该方法由编码器部分和解码器部分构成，其中，编码器基于 swin-transformer

17、15实现，解码器基于 vision-transformer16实现.相对于传统的图像去噪方法均需输入固定尺寸的图像，且对于小尺寸图像的重建效果不够理想，SWMAE对任意尺寸的图片均可进行高质量的去噪，还原图像的语义信息.1 Den-Gen对抗样本检测方法设计1.1 总体设计对于正常图像样本，其中所包含的语义信息与图片分类标签信息存在自然的一致性，即图像语义与标签之间的“关联”很强.而对抗样本的本质在于图像的分类标签信息与图像在视觉上所蕴含的信息之间存在不一致性，即在图像中添加对抗性扰动导致模型将其错误分类为其他类别.判断输入深度学习模型的图像是否为对抗样本，可视为检测图像语义信息与标签信息是否

18、一致，如果一致，判定图像为正常样本，反之则判定图像为对抗样本，使得在无须获取被攻击模型结构和参数等先验条件的情况下判别图像是否为对抗样本成为可能.本文提出的Den-Gen对抗样本检测方法基于上述理论设计和实现，检测方法由图像去噪阶段、图像生成阶段和图像分类阶段构成.该方法的总体架构如图1所示.首先，由图像去噪部分去除图像中可能存在的对抗性扰动，还原图像的语义信息.然后，使用图像生成部分依据图像标签生成其对应种类的图像.最后，将标签所蕴含的信息映射为图像形式，对比进行“去对抗化”之后的图像与基于标签生成的图像是否为同一类别，即对比图像的语义信息与标签信息是否一致，若类别相同图1 Den-Gen检

19、测方法架构Fig.1 Framework of Den-Gen detection method74第 8 期杨宏宇等：基于图像去噪和图像生成的对抗样本检测方法则判定为正常样本，若类别不同则判定为对抗样本.1.2 图像重构本文提出SWMAE用于去除图像中的对抗性扰动.图像去噪不依赖于图像的标签信息，仅使用图像的语义信息.SWMAE的编码器将原始图像编码为低维度张量，以去除图像中的对抗性噪声并学习图像中最重要的语义信息，解码器用于解码低维度张量，根据编码器学到的语义信息将其还原为图像.由于编码器输出的特征图与原始图像的尺寸不一致，本文使用全连接神经网络连接编码器和解码器，以将特征图恢复至原始图像

20、的尺寸.1.3 图像生成还原图像的语义信息之后，还需将标签转换为图像，以对比两者的分类结果是否一致.本文使用CWGAN-GP14（Conditional Wasserstein Generative Adversarial Nets Gradient Penalty）根据标签图像分类标签生成图像，将标签从文本信息转换为图像语义信息，便于GAN中的卷积神经网络17处理，进而完成将对抗样本检测问题转换为图像分类问题.1.4 图像分类在图像分类阶段，将图像去噪阶段输出的完成去噪的图像和图像生成阶段生成的图像均输入至卷积神经网络进行分类.比较两幅图像的分类结果，如若分类结果一致，判定图像为正常样本.如

21、若分类结果不一致，判定图像为对抗样本.2 对抗样本检测方法的实现2.1 图像去噪图像去噪部分使用了移动窗口式自注意力机制，即在自注意力机制操作的同时，不断合并图像中的像素块以降低去除噪声的复杂度，且该注意力机制有效避免了自注意力机制的局限性，对于不同复杂度的图像均具备良好的去噪性能，从而发掘图像数据中的本质结构和深层次语义信息.故图像去噪能够消除图像中的对抗性噪声，还原图像所蕴含的语义信息.在图像去噪阶段，采用掩码机制14，即先随机遮掩图像中的大部分像素信息，再基于图像中未被遮掩的少部分像素信息，重建被遮掩部分的像素值，构造完整的图像，进而达到去除对抗性扰动的目的.图像去噪部分的结构如图2所示

22、.图像去噪包括随机遮掩、像素块合并、窗口内的多头自注意力运算、移动窗口式自注意力运算、图像解码5个步骤.步骤步骤1 随机遮掩.将输入图像均匀划分为规则的正方形像素块，相邻像素块互不重叠.随机遮掩其中 75%的像素块，图 2 中灰色部分为被遮掩的像素块.步骤步骤2 像素块合并.将数个相邻的像素块编为一组，每组内的像素块合并，以缩减模型的计算开销.步骤步骤3 窗口内的多头自注意力机制运算.对于图2 图像去噪部分结构Fig.2 Structure of image denoising part75湖南大学学报（自然科学版）2023 年特征图中的每一窗口，使用vision-transformer的多头

23、自注意力运算.如图 2中 swin-transformer 块上部所示，首先，对一张窗口内的特征图进行层归一化处理，即将数据统一为均值为0，方差为1的形式，便于神经网络处理，并提高模型的训练速度和鲁棒性.然后，依据公式（1）对窗口内的所有像素块进行自注意力运算操作，以获取窗口内像素块之间的关联程度.最后，依据公式（2）使用多层感知机变换上步输出的张量的维度，便于下一次自注意力机制运算.zl=W-MSA(LN(zl-1)+zl-1（1）zl=MLP(LN(zl)+zl（2）式中：l表示swin-transformer的层数，zl-1为从第l-1层输入的特征图，W-MSA为窗口内计算多头自注意力运

24、算操作，LN为层归一化18，MLP为多层感知机.步骤步骤4 移动窗口式自注意力运算.移动窗口式自注意力运算的流程与上步相同，但采用了新的窗口划分策略.如图2中移动窗口部分所示，将分隔图像窗口的宽线条向右下方移动2个像素块单位的距离，构成了新的窗口划分方式，使得在原划分方式中，不同窗口内的图像块之间可以进行多头自注意力运算，进一步提取了图像的全局特征信息，而对于新窗口中无须进行自注意力计算的部分采用掩码策略，禁止其参与自注意力运算，避免增加模型的冗余程度.首先，对每一窗口内的相邻像素块进行一次合并操作；然后，依据公式（3）使用移动窗口式自注意力机制合并像素块并进行自注意力运算操作；最后，依据公式

25、（4）使用多层感知机变换上步输出的张量的维度，便于下一次自注意力机制运算.zl+1=SW-MSA(LN(zl)+zl（3）zl+1=MLP(LN(zl+1)+zl+1（4）式中：SW-MSA为移动窗口式多头自注意力机制运算操作，LN为层归一化，l表示swin-transformer的层数，zl为从第l层输入的特征图，MLP为多层感知机.步骤步骤5 图像解码.使用vision-transformer对图像进行解码，解码器的处理图像的过程与编码器相同，即直接将完整的图像输入 vision-transformer 进行解码.2.2 图像生成CWGAN-GP不但拥有高质量的图像生成性能，还能够根据前置

26、条件生成相应种类的图像，若将前置条件设置为图像标签，则可根据标签类别生成相应种类的图像，即实现了将标签从文本信息转换为图像语义信息.在图像生成阶段，首先，将图像标签编码.然后，分别循环训练生成模型和判别模型，使基于反卷积神经网络结构的生成模型可以按照编码值生成其对应的图像.最后，将生成的图像与图像去噪阶段输出的“去对抗化”图像进行对比.图像生成的模型结构如图3所示.图像生成阶段包括标签编码、训练模型和生成图像3个步骤.图像生成部分由图像生成模型和图像判别模型构成，其中，生成模型生成数据以“欺骗”判别模型，判别模型判定接收的图像是否为生成模型所生成，两者相互博弈，共同提升图像生成性能或判别性能.

27、步骤步骤1 标签编码.将图像数据集中的图像标签按照类别数目编码，即每一类别对应一个编码值19.图3 图像生成部分结构Fig.3 Structure of image generation part76第 8 期杨宏宇等：基于图像去噪和图像生成的对抗样本检测方法对于生成模型，将标签编码与隐变量进行拼接，作为生成图像的控制变量.对于判别模型，控制变量仅为条件编码.步骤步骤 2 训练模型.固定生成模型，训练判别模型，使判别模型辨别输入图像为真实图像还是生成模型生成的假图像，并将判别结果反馈至生成模型.固定判别模型，训练生成模型，使生成模型根据反馈结果生成数据分布尽可能接近真实图像的图像19.步骤步骤

28、3 生成图像.经过训练后，生成模型的图像生成能力趋于完善.将待检测图像的标签输入生成模型，生成相应种类的图像，以与图像去噪阶段输出的完成去噪的图像进行对比.2.3 图像分类设置图像分类部分的目的在于判断图像去噪部分输出的完成去噪的图像和图像生成部分生成的图像是否为同一类别，故采用卷积神经网络完成分类任务.卷积神经网络由卷积层、池化层和线性层构成.其中，卷积层用于提取图像的语义特征，并增加图像通道数以便于后续的分类层处理.池化层用于下采样特征图以减少冗余参数，提高模型的运算速度并缓解模型在训练和测试过程中可能产生的过拟合问题.线性层用于将最后一层池化层输出的特征图展开为一维张量，进行分类，其维度

29、与图像的种类数目一致.在图像分类阶段，接收图像去噪阶段输出的去噪图像和图像生成阶段生成的图像，并对比其分类结果是否一致，最终实现检测对抗样本.图像分类的模型结构如图4所示.图像分类阶段包括图像分类、对比结果2个步骤.步骤步骤1 图像分类.将图像去噪阶段输出的去噪图像和图像生成阶段生成的图像输入卷积神经网络进行分类，并记录两者的分类结果.步骤步骤2 对比结果.对比上步中两张图像的分类结果，若分类结果一致，判定待检测图像为正常样本；若分类结果不一致，判定待检测图像为对抗样本.3 实验与分析3.1 实验设置本文实验的硬件配置为 NVIDIA Tesla V100 图形处理器（16GB显存）.基于Ce

30、ntOS 7.0操作系统，使用Python 3.9编程语言和PyTorch 1.11深度学习环境实现实验中的所有检测方法.使用Foolbox20工具生成 对 抗 样 本.本 文 在 MNIST10、CIFAR-1010、GTSRB10三个数据集上训练 VGG-1621和 ResNet-1822两种被攻击模型.训练轮次均为100，训练完成后保存模型参数.模型在测试数据集上的测试准确率如表1所示.MNIST数据集内图像为单通道灰度图像，图像内容为由250人手写“09”10个数字，图像为单通道黑白图片，像素点为在0255范围内取整数的灰度值，图像分辨率为2828=784像素.MNIST数据集由6 0

31、00幅训练集图像和1 000幅测试集图像组成，其分类标签为数字“09”.德国交通标志识别数据集（The German Traffic Sign Detection Benchmark，GTSRB）内图像为三通道RGB 彩色图像，图像内容为 43 类交通标志，如“直行”“转弯”等.GTSRB数据集中共包含51 939幅图像，其中训练集包含39 309幅图像，测试集包含12 630幅图像.其分类标签为“直行”“转弯”“掉头”等.CIFAR-10数据集内图像为三通道RGB彩色图像，内容为现实世界中的10种物体，包括交通工具、图4 图像分类部分结构Fig.4 Structure of image cl

32、assification part表1 被攻击模型训练后的分类准确率Tab.1 Classification accuracy of attacked model%模型VGG-16ResNet-18数据集MNIST98.9799.56CIFAR-1097.4598.43GTSRB98.1098.1277湖南大学学报（自然科学版）2023 年动植物等.图像分辨率为3232=1 024像素.CIFAR-10数据集由5 000幅训练集图像和1 000幅测试集图像组成.其分类标签为“飞机”“汽车”“轮船”等.VGG-16包含13层卷积神经网络和3层线性神经网络.卷积神经网络部分用于特征提取，线性神经网

33、络部分用于根据前者提取的特征信息进行分类并输出预测结果.ResNet-18包含17层卷积神经网络和1层线性神经网络，但在卷积神经网络的基础上添加了“残差连接”，使模型在训练和测试过程中不易产生梯度消失、梯度爆炸和分类准确率偏低等问题，并提升了模型的训练效率和分类准确率.本 文 实 验 生 成 FGSM12、JSMA23、C&W24、BIM25、Deepfool26五种对抗样本，每种对抗样本的数量均为1 000，每一数据样本包含图像和被攻击模型输出的标签两部分.Den-Gen检测方法仅使用正常样本数据集中的全部训练集部分进行训练，本文中对比的其他检测方法的训练不但使用正常数据，还使用基于正常数据

34、集中训练集生成的等数量的对抗样本进行训练.3.2 评价指标在本文实验中，分别采用准确率和F1分数两个指标评价检测方法的检测性能.准确率（Accuracy，ACC）表示模型预测正确的攻击样本频率.准确率越高，误报率越低.该指标可表示为公式（5）.Accuracy=TP+TNTP+TN+FP+FN（5）F1分数（F1-score，F1）综合考虑了模型的准确率和召回率，可以更全面地衡量模型的检测性能.该指标可表示为公式（6）.F1=2TP2TP+FN+FP（6）式中：TP（True Positive）表示被模型预测为对抗样本而实际也是对抗样本的次数；FP（False Positive）表示被模型预测

35、为正常样本而实际是对抗样本的次数；TN（True Negative）表示被模型预测为正常样本而实际也是正常样本的次数；FN（Fales Negative）表示被模型预测为对抗样本而实际是正常样本的次数.3.3 实验结果与分析3.3.1 准确率和F1分数对比实验本文提出的Den-Gen检测方法与FS11、LID12、Argos10检测方法在VGG-16和ResNet-18图像分类模型中的检测准确率和 F1分数对比的实验结果如表 2表 4所示.在表2表 4中，针对每一种图像分类模型分别展示其检测准确率和F1分数，检测准确率使用ACC表示，F1分数使用F1表示.表2 4种检测方法在MNIST数据集上

36、的检测结果对比Tab.2 Comparison of 4 detection methods on MNIST%攻击类型FGSMJSMAC&WBIMDeepfoolDen-GenVGG-16ACC9085968988F19491979393ResNet-18ACC8189917693F18994958696ArgosVGG-16ACC8490676865F19194808077ResNet-18ACC7582886868F18189937978LIDVGG-16ACC5772674656F16783795669ResNet-18ACC7071766775F18183857985FSVGG-16

37、ACC6657824783F17971905690ResNet-18ACC6256735873F17269827283表3 4种检测方法在GTSRB数据集上的检测结果对比Tab.3 Comparison of 4 detection methods on GTSRB%攻击类型FGSMJSMAC&WBIMDeepfoolDen-GenVGG-16ACC8981818593F19389899196ResNet-18ACC9188978587F19593989193ArgosVGG-16ACC7587706974F18592817880ResNet-18ACC7771746555F185828478

38、65LIDVGG-16ACC8381716774F19089837981ResNet-18ACC6773666370F18175777581FSVGG-16ACC7676697266F18685788377ResNet-18ACC6882477482F1809061849078第 8 期杨宏宇等：基于图像去噪和图像生成的对抗样本检测方法由表 2表 4可见：1）在 MNIST数据集上，与其他检测方法相比，本文提出的 Den-Gen 检测方法对于 FGSM、C&W、BIM、Deepfool 4种对抗样本的检测准确率和F1分数均优于其他方法，相应的提升幅度分别为 19%28%、7%37%.2）在GT

39、SRB数据集上，与其他检测方法相比，本文提出的 Den-Gen 检测方法检测对于 FGSM、C&W、BIM、Deepfool 4种对抗样本的准确率和 F1分数的提升幅度分别为6%27%、3%31%.3）在 CIFAR-10数据集上，与其他检测方法相比，本文提出的Den-Gen检测方法检测对于FGSM、JSMA、C&W、Deepfool 4种对抗样本的准确率和F1分数 的 提 升 幅 度 分 别 为 10%36%、6%26%.对 于C&W等扰动程度较低且不易被现有检测方法检出的对抗样本的检出率优于其他检测方法.在 MNIST 和 GTSRB 数据集上，对 JSMA 对抗样本的检测准确率和 F1分

40、数略低于 Argos.其原因在于：JSMA攻击并未改动图像中的所有像素点，图像去噪阶段在“去对抗化”时未能将JSMA攻击修改过的像素点恢复至原始像素值，而Argos检测方法在重构图像时将图像划分为几个部分，基于不同的部分重构图像，存在恰好避开被攻击部分的可能性.在CIFAR-10数据集上，对于BIM对抗样本的检测准确率和F1分数略低于Argos.其原因在于：BIM攻击多次修改图像中的所有像素点，扰动程度过大，图像失真度过高，图像去噪阶段无法还原其语义信息，导致图像去噪的效果不佳，影响了Den-Gen的检测准确率和F1分数.同时由于CWGAN-GP生成图像的质量并未完全达到真实图像的水平，可能生

41、成深度学习模型难以进行分类的图像，导致CWGAN-GP生成的图像与图像去噪阶段输出的图像之间差异较大，模型判定两者的类别不一致，轻微影响了对抗样本的检测效果.但综上所述，本文提出的Den-Gen检测方法的检测效果总体上优于其他检测方法.3.3.2 训练收敛耗时对比实验在本实验中，将 4种检测方法训练至平均检测准确率为80%的耗时.本文提出的Den-Gen检测方法与LID、Argos、FS检测方法在测试集上的训练收敛耗时如图 5所示.Den-Gen方法在GTSRB数据集上的收敛耗时为17.24 h，在CIFAR-10上的收敛耗时为20.96 h.与其他检测方法相比，其收敛耗时缩减了27%83%.

42、其原因在于：LID检测方法与FS检测方法需要对被攻击模型的每一网络层进行特征统计，Argos方法需依次重构图像的每一像素点，且需使用对抗样本训练，导致收敛时间过长.本文提出的Den-Gen检测方法使用对抗样本参与训练，无需统计被攻击模型的结构和参数，由于使用 CWGAN-GP 直接生成完整的图像，节省了训练模型的收敛时间.但CWGAN-GP需图5 4种检测方法的训练耗时对比Fig.5 Comparison of training time for 4 detection methods表4 4种检测方法在CIFAR-10数据集上的检测结果对比Tab.4 Comparison of 4 dete

43、ction methods on CIFAR-10%攻击类型FGSMJSMAC&WBIMDeepfoolDen-GenVGG-16ACC8590858789F19194919393ResNet-18ACC8683859087F19290919592ArgosVGG-16ACC7573728973F18584829484ResNet-18ACC7270796568F18381877879LIDVGG-16ACC6970737653F17979838567ResNet-18ACC8670755981F18982857388FSVGG-16ACC5770776681F16982867789ResNe

44、t-18ACC6867525943F1807667715379湖南大学学报（自然科学版）2023 年较多轮次的训练才能使生成图像的质量达到可以被分类模型精确识别的效果，导致Den-Gen的收敛耗时也稍长.上述实验结果表明，本文提出的Den-Gen对抗样本检测方法的综合性能优于其他检测方法.4 结束语针对传统对抗样本检测方法存在的检测准确率不高、训练收敛速度慢等问题，本文提出了一种基于图像去噪和图像生成的对抗样本检测方法.该检测方法使用SWMAE去除对抗样本中的对抗性扰动，并使用CWGAN-GP根据图像标签生成图像，通过与去噪图像对比以判定待检测图像是否为对抗样本.实验结果表明，本文提出的对抗样

45、本检测方法对于多种对抗样本的检测效果优于传统的检测方法，其时间复杂度也更低.在未来的研究中，将尝试使用收敛速度更快、去噪效果更好的图像去噪方法和生成图像质量更高的图像生成方法，进一步提升检测对抗样本的性能并降低检测方法运行所需耗费的计算资源.同时，本文研究提出的对抗样本检测方法可以迁移到其他领域以检测该领域中的对抗样本，如检测语义分割、视频处理、自然语言处理等领域的对抗样本.参考文献1ZHANG J，PAN L，HAN Q L，et alDeep learning based attack detection for cyber-physical system cybersecurity：a

46、survey JIEEE/CAA Journal of Automatica Sinica，2021，9（3）：377-3912MIAO Y T，CHEN C，PAN L，et alMachine learningbased cyber attacks targeting on controlled informationJ ACM Computing Surveys，2022，54（7）：1-363YANG H Y，ZHANG Z X，XIE L X，et al Network security situation assessment with network attack behavio

47、r classificationJ International Journal of Intelligent Systems，2022，37（10）：6909-69274YANG H Y，WANG Z L，ZHANG L A，et al IoT botnet detection with feature reconstruction and interval optimization J International Journal of Intelligent Systems，2022，37（12）：12009-120345王继良，周四望，金灿灿基于对抗样本的深度学习图像压缩感知方法 J 湖南

48、大学学报（自然科学版），2022，49（4）：11-17WANG J L，ZHOU S W，JIN C CMethod of deep learning image compressed sensing based on adversarial samples J Journal of Hunan University（Natural Sciences），2022，49（4）：11-17（in Chinese）6GOODFELLOW I J，SHLENS J，SZEGEDY C Explaining and harnessing adversarial examples EB/OL 2014：

49、arXiv：1412.6572https：/arxivorg/abs/1412.6572.7张田，杨奎武，魏江宏，等面向图像数据的对抗样本检测与防御技术综述 J 计算机研究与发展，2022，59（6）：1315-1328ZHANG T，YANG K W，WEI J H，et alSurvey on detecting and defending adversarial examples for image dataJ Journal of Computer Research and Development，2022，59（6）：1315-1328（in Chinese）8XU H，MA Y，L

50、IU H C，et alAdversarial attacks and defenses in images，graphs and text：a review J International Journal of Automation and Computing，2020，17（2）：151-1789AKHTAR N，MIAN A Threat of adversarial attacks on deep learning in computer vision：a survey J IEEE Access，2018，6：14410-1443010 KIANI S，AWAN S N，LAN C，