对抗训练是一类常用的对抗攻击防御方法,其通过将对抗样本纳入训练过程,从而有效抵御对抗攻击.然而,对抗训练模型的鲁棒性通常依赖于网络容量的提升,即对抗训练所获得的网络为防御对抗攻击而大幅提升网络的模型容量,对其可用性造成较大约束.因此,如何在保证对抗训练模型鲁棒性的同时,降低模型容量,提出轻量对抗攻击防御方法是一大挑战.为解决以上问题,提出一种基于剪枝技术和鲁棒蒸馏融合的轻量对抗攻击防御方法.该方法以对抗鲁棒准确率为优化条件,在对预训练的鲁棒对抗模型进行分层自适应剪枝压缩的基础上,再对剪枝后的网络进行基于数据过滤的鲁棒蒸馏,实现鲁棒对抗训练模型的有效压缩,降低其模型容量.在CIFAR-10和CIFAR-100数据集上对所提出的方法进行性能验证与对比实验,实验结果表明,在相同TRADES对抗训练下,所提出的分层自适应剪枝技术相较于现有剪枝技术,其剪枝所得到的网络结构在多种FLOPs下均表现出更强的鲁棒性.此外,基于剪枝技术和鲁棒蒸馏融合的轻量对抗攻击防御方法相较于其他鲁棒蒸馏方法表现出更高的对抗鲁棒准确率.因此,实验结果证明所提方法在降低对抗训练模型容量的同时,相较于现有方法具有更强的鲁棒性,提升了对抗训练模型在物联网边缘计算环境的适用性.

对抗防御;剪枝;鲁棒蒸馏;轻量网络

王滨;李思敏;钱亚冠;张君;李超豪;朱晨鸣;张鸿飞

浙江科技学院,浙江杭州 310023;浙江省多维感知技术应用与安全重点实验室,浙江杭州 310052;浙江省电子信息产品检验研究院,浙江杭州 310007

网络与信息安全学报

[1]王滨;李思敏;钱亚冠;张君;李超豪;朱晨鸣;张鸿飞-.基于剪枝技术和鲁棒蒸馏融合的轻量对抗攻击防御方法)[J].网络与信息安全学报,2022(06):102-109

鲁棒蒸馏,TRADES

剪枝,对抗攻击,攻击防御,防御方法,对抗训练,对抗样本,训练过程,训练模型,可用性,模型鲁棒性,优化条件,预训练,数据过滤,CIFAR,性能验证,练下,FLOPs,边缘计算环境,对抗防御,轻量网络

0.171463