Vol. 36 No. 12Dae. 2020
第36卷第12期2020年12月
信号处理Journai of Signai Processing
文章编号:1003-0530(2020)12-1965-14
网络鲁棒性研究
徐延杰孙浩雷琳计科峰匡纲要
(
国防科技大学电子科学学院电子信息系统复杂电磁环境效应国家重点实验室,湖南长沙410073)
摘 要:随着深度学习技术的迅猛发展,卷积神经网络(Convolutional Neural Networks, CNN)在合成孔径雷达
(Synthetic Aperture Radar , SAR )舰船分类任务上取得很高的精度。但同时,由于SAR 成像存在相干斑噪声等特
性以及CNN 自身的脆弱性,使得预测结果稳定性较差,在实际应用中存在明显隐患。针对上述CNN 在SAR 舰 船识别分类任务上鲁棒性不足的问题,本文将对抗样本引入到SAR 舰船识别鲁棒性的研究之中,通过从梯度、 边界、黑盒模拟等多个角度对CNN 网络进行全方位的对抗攻击及干扰,实现了对各SAR 舰船识别CNN 网络的
综合评估,并依照评估结果完成针对性的鲁棒性增强方案的制定,为SAR 舰船识别鲁棒性研究开拓了新的领域。 关键词:合成孔径雷达;舰船识别;对抗样本;卷积神经网络
中图分类号:TP391.4 文献标识码:A DOI : 10.16798/j. issn. 1003-0530.2020. 12.002
引用格式:徐延杰,孙浩,雷琳,等.基于对抗攻击的SAR 舰船识别卷积神经网络鲁棒性研究[J].信号处理,
2020, 36(12) : 1965T978. D0I : 10. 16798/j. issn. 1003-0530. 2020.12.002.
Reference format : Xu Yanjie , Sun Hao , Lei Lin ,et ai. The Research for the Robustnes s of SAR Ship Identification Based on Adversariai Example [ J ]. Journai of Signai Processing ,
2020,36 ( 12 ) : 1965-1978. D01: 10. 16798/j. issn.
1003-0530. 2020. 12.002.
The Researc* foe the Robustnes s
of SAR Ship Identification
Baser on Adversarial Example
Xu Yanjia Sun Hao Lai Lin Ji Kefeng Kuang Gangyao田壮壮
( SiaieKesLaboaaioasooCompoeiEoeciaomagneiicEneiaonmeniE o ecison Eoeciaonicsand Inooamaiion Sssiem , Co o egeoo EoeciaonicScienceand Technooogs , NaiionaoUnieeasiisooDeoenseTechnooogs , Changsha , Hunan 410073, China )
Abeteaet : Wiih iheaapid deeeoopmenioodeep oeaaningiechnooogs , CNNhasgoigaeaiaccuaacsin SARship coa s ioicaiion.
Howeeea , becauseooihechaaacieaooSARpiciuaeand iheoaagioiisooCNN , ihepeaooamanceoo
CNNisunsiaboeihaicauses hidden danger in practicai application. For CNN's insufficient robustness in SAR ship identification task ,this paper makes useooadeesaiaoeiampoeio esea*ch iheadeesa*iao*obusine s ooSAR ship ideniioicaiion ihai ep eseniiheabioiisoo
mainiainingsiaboeinpui-ouipui*eoaiion unde*sma o change.Thispape*usekindsooadeesa*iaoa i ack based on g*adieni ,
boundas , boock boiand soon iooooomosicommon CNNin SARship ideniioicaiion iask.Then , weuseiheideniioicaiion
esuoiand neiwo*k eisuaoieaiion iechnooogsioeeaouaieiheCNN ' s*obusine s , oindingihaimosiSAR ship ideniioicaiion
CNN ' sadeesaiaoobusinessisweak ihaiwouod beeasiosooooed bsoi i oechange.Fina o s , weenhanceihe*obusine s oo CNNiageied based on iheeeaouaiion ihaibehaeesmuch be i e*in adeesaiaoobusine s .Theuseooadeesaiaoeiampoe
and iheaboee*esea*ch p*oce s b eaksnewgound in ihe eseach oo*iheRobusinessooSARShip ideniioicaiion.Key words : synthetic aperture radar ; ship identification ; adversarial example ; convolutionai neurai networks
收稿日期:2020-11-06 "修回日期:2020-12-24基金项目:国家自然科学基金资助(61971426)
1966信号处理第36卷
1引言
合成孔径雷达作为一种主动式的微波成像传感器,不同于传统的光学、红外等被动式的传感器,可以不受云雾、天气、光照等影响,全天时全天候的对目标区域进行有效的观测[1])随着SAR独特优势的逐渐显现,世界各国都着力发展了自己的SAR 工业,SIR、TerraSAR-X、ALOS-2、GF-3等一系列SAR 卫星的相继发射使用,大大丰富了SAR图像数据。SAR图像由于自身成像特性,可以很好的克服海洋天气多变,云雾遮挡等问题,因而在海上目标舰船探测,尤其是舰船识别分类任务中表现良好,目前已广泛应用于船舶交通,移民监控等领域[2])CNN[3]凭借其对于SAR舰船图像强大的特征提取能力和表征能力⑷,在众多识别分类方法中脱颖而出,并在实践中不断发展。Bentes等[5]将CNN 与传统识别分类方法结合,提出了CFAR-图像预处理-CNN的SAR舰船分类模式,并成功应用于高分辨率下SAR舰船与冰山的识别;史鹤欢等[6]设计了基于PCA的CNN目标识别网络,在一定程度上解决了SAR图像经平移旋转等变化后识别率低的问题;田壮壮[7]等将误差代价引入到CNN分类训练中,使CNN与SAR结合更加紧密,提升了CNN在SAR图像识别上的分类正确率;徐丰[8]等充分利用SAR图像特性,在利用强度信息的基础上充分利用特定SAR的相位信息,使用复数卷积神经
网络实现对SAR图像的识别。随着各种新方法的问世,CNN 已经在稳定一致的SAR舰船数据集上取得了较高的识别精度,在OpenSARShip数据集上,何敬鲁[9]已经将主要的三类目标的识别正确率提升到了将近90%,五类目标的识别正确率也达到了将近70%,FUSAR-Ship数据集[10]在其制作者公布的算法上,大类别分类的正确率也达到了87%以上。
但上述结果都是建立在数据集独立同分布的基础之上,当图像受到自然干扰时,SAR舰船识别CNN的性能往往就会发生比较大下降,当面对人造的数字域或物理域干扰时,哪怕添加用肉眼难以区分的极小噪声,SAR舰船识别CNN仍有很大的概率输出高置信度的错误识别结果。
SAR舰船识别CNN对于SAR图像的细微变化极其敏感,目标背景一旦发生较大的变化,往往难以维持准确稳定的输出,这种鲁棒性的欠缺成为限制SAR舰船识别CNN实际性能的主要问题之一,寻制作高鲁棒性SAR舰船识别CNN是解决这一问题的关键。
2基于对抗攻击的舰船目标识别鲁棒性研究
模型的鲁棒性指其输入发生摄动时,保持稳定输入输出关系的特性,主要包括针对对抗样本的对抗鲁棒性、针对随机噪声的鲁棒性以及针对域外分布的鲁棒性等,本文着重研究神经网络的对抗鲁棒性(后简称鲁棒性))相对于其他鲁棒性研究,对抗鲁棒性的特殊性在于:(1%对抗鲁棒性的研究专注于对抗样本,而对抗样本丰富多样如PGD等是对扰动的数值上限进行限定,而JSMA等对扰动点的数
量进行限定,对于准确率而言起决定性影响的是对抗攻击方式而非扰动参数的设定,所以难以用单一的扰动参数来衡量鲁棒性,必须结合多种具体的对抗攻击方法,进行综合研究;(2%其他鲁棒性研究的结果一般是持久稳定的,但对抗样本与对抗鲁棒性之间存在着持续的博弈,对抗鲁棒性得到提升,随之而来的是新的对抗样本,反之亦然;(3%对抗鲁棒性所面临的攻击更加精准强大,对抗鲁棒性的增强使模型更加关注图像的本质特征而忽略一定细节信息,所以对抗鲁棒性的增强往往可以实现其他鲁棒性的连带增强,反之却未必。针对对抗鲁棒性的特性,本文主要做如下研究:
2.1SAR舰船识别CNN鲁棒性欠缺原理分析2.1.1SAR图像舰船目标典型特性
SAR图像舰船目标典型特性从参数特性上来看,SAR图像为雷达接收到的地物目标的微波反射成像,本质上是地物目标的后向散射信息。这些信息不仅包括散射强度信息,还有相位信息,多极化成像中还包含有极化信息,如此多的信息纠缠耦合,使得SAR图像复杂多变*11+)—般而言,平静的水域呈暗,而粗糙突出的舰船呈现出亮,但是具体成像结果受雷达参数、目标材料和表面结构等多重因素影响,即使同一舰船在同一卫星的不同参数观察下、或不同观测角度下甚至不同特性水域下都会呈现出相异的图像特性,对于CNN图像特征的提取造成很大的困难。从成像机理上讲,SAR由于其独特的合成孔径成像方式,使得SAR图像不可避免的存在由于信号衰落而产生的相干斑噪声[12],这种噪声在均匀的海面之上存在广泛,其存在对于信息提取是否有用几乎随机,因而对于CNN识别网络
第12期徐延杰等:基于对抗攻击的SAR舰船识别卷积神经网络鲁棒性研究1967
具有很强的误导作用,大大削弱了模型的鲁棒性。2.1.2基于CNN的深度识别模型的对抗脆弱性
最近的研究发现,对于图像添加特定的微小噪声就有可能使深度网络输出错误的、与原本判断完全不同的结果,这种通过添加精心设计的微小噪声使模型产生错误分类的输入称为对抗样本,使用对抗样本欺骗深度网络的攻击称为对抗攻击*13+)对抗样本相比于随机噪声,攻击更加“精致”,如图1(噪声图像实际强度的50倍)所示FUSAR-Ship数据集中的BulkCarrier在CNN中识别正确,但添加随机噪声后识别发生错误,而在添加人工噪声(C&W 对抗样本)后,CNN以极高的置信度将BulkCarrier 图像识别为Fishing。
BulkCarrier92%Fishing42%
(a)
BulkCarrier92%Fishing98%
(b)
图1SAR舰船图像添加自然扰动和人工扰动后
图像及CNN输出
Fig.1The attacked SAR ship picture and its output of CNN 当基于CNN的深度识别模型面对对抗样本时,表现出了严重的对抗脆弱性。解决对抗脆弱性问题首先要了解对抗样本出现的原因,目前主要的观点为流形中的低概率区域解释和线性解释,如图2所示。
对抗样本
出现原囱
图2对抗样本出现原因解释
Fig.2The reason why adversarict example exist
流形中的低概率区域解释从数据的角度出发,认为训练集毕竟有限,只是从整个无限的样本空间中以某个特定的方式提取了一部分样本进行学习。神经网络实质学习到的可分类区域只有高维特征空间上所学样本附近的区域,而没有能力泛化到整个样本空间。就算样本是无限且致密的,如同有理数一样,依然有无穷且更多的无理数不能遍历,从这个角度看,我们的训练集是有限的,所以对抗样本的存在也就是不可能完全避免的,只能尽量使模型鲁棒,压缩对抗样本的存在空间*13+。此外模型的非线性特性会至使对数据的高维特征提取并不均匀,可能导致低概率流形,进而引出对抗样本的出现。线性解释*⑶从模型计算出发,一是认为机器存储计算过程中的精度有限,添加一个小的扰动,可能就
会使计算精度造成的系统误差变得不可控,对后续结果产生剧烈影响。二是认为线性网络的层层叠加计算会对扰动的结果进行放大,指数级别的叠加,特别是高维空间呈现出线性特征,配合上前面所讲的精度问题,所造成的计算结果偏差可能是极为巨大的。
这些原因导致SAR舰船识别CNN上必不可免的存在对抗样本,减少乃至消除对抗样本对于CNN 的影响不只是针对于对抗样本的攻击,还使模型对于微小噪声不再敏感,关注于SAR舰船的本质信息,是鲁棒性提升的重要手段和关键环节。
2.2对抗攻击
对抗攻击技术最近几年获得很大发展,Szegedy 等人通过给图像添加肉眼难以分辨的扰动(L BFGS),使已训练神经网络的分类错误的概率最大化,最终误导模型输出错误的分类结果。Goodfellow 等人提出了基于快速梯度符号算法生成对抗样本的方法(FGSM)*13+。后续以此思路,产生了各种策略的迭代梯度攻击如PGD*⑷、BIM、AutoPGD等。Papernot等人使用雅可比矩阵来确定在产生对抗样本时修改哪些信息(JSMA)。Carlin-和Waaner改进了L-TFGS算法的搜索策略(C&W)*15+,大大减少了运算量。Deepfool*16+等算法通过正交投影寻决策边界,HopSkipJump等算法*17+在不了解网络结构和参数的情况下通过梯度模拟制作对抗样本,此外还有SSP*18+等算法与最新的自监督学习相结合,制作对抗样本。各种对抗攻击方式层出不穷,攻击效果也越来越好,成为检验模型鲁棒性的有效手段。
对抗攻击的分类方式多种多样,可以从是否使对抗样本分类成指定类别分为定向攻击与不定向攻击;也可以从攻击前是否获悉网络结构与参数分类成白盒攻击与黑盒攻击。为了保证攻击的全面、有效,本文分别从白盒的基于梯度攻击、优化搜索、边界投影和黑盒的基于梯度模拟、自监督伪梯度攻击算法中分别选取经典方法总结如下
:
1968信号处理第36卷
表1 Tab.1经典对抗攻击方法总结Coa s otaoadveasaaoaoa i atk
方法攻击噪声限噪声设
名称类型定标准计原理
实现公式
FGSM白盒
(Fast gradient攻击基于梯度sogn meihod%
%二%-$sign("loss:+%)%
+代表若为定向攻击的目标类别,$为攻击的步长,tgn取±1)
PGD
(Pr°J ect白盒L其干梯度Gaadoeni攻击l基于梯度Desteni%
%二%
%+1=';<(%_clm-(#°a n(v11s:,i(%)%%%
迭代梯度攻击,并通过随机球投影使对抗样本更具不可预测性)
0gt>0o「叫?
白盒C&W白盒
攻击
Minimiee loss:+%)=
基干约束条件mce(mce1=(%%1-z(%%:-%)
L/L”聲优化搜索=(%%表示对抗样本输入神经网络后,神经网络Softmce前一层的输出。
=(%%:表示%被预测为t的分数。mcej Z(%%1#+表示除了t类外,
其他类别的最大分数,-%为对噪声大小的限制参数。
白盒Deepoooo白盒
攻击
二arg min&IL
L基于向决策边界.(>、、―:>、、
5正交投影s-e sl a n(/(%++%%#sign(/(%%%
"通过迭代生成最小二阶范数扰动,将图片逐步移动至决策边界。
<0
JSMA
(Jacobian
Saooenty Map Attack%白盒
攻击
e o基于显著性
矩阵计算
a:(?%y
(A oiheawose
F为最后一层输出,j为输出类别丿为攻击目标类别,,为输入特征
通过计算对抗性显著图。
Pixel Attack 白盒
攻击
e o基于差分
进化搜索
%(g+
1%=%1(3+1%+F(%(g)+%3(g)%
F为淘汰参数,g为种进化代数,通过父代生成子代,再进行比较,
保留得分更高的样本,实现进化,最后得到对模型影响最大的点的参数。
{mae c#/%F c(%)-F c%(%)untaraeted
F/-mae c#/:(%%taraeted
S.(?')=
肆沁-黑盒攻击up
%+1、["S?%(%%]
L基于决策访问%1®+(—,%{||"<?%(%)订
%代表原始输入,S?%(%%>0代表攻击成果#为线性搜索参数,
以保证S?%(%+1%=0也就是%1在估算的决策边界上,重复梯度方向
估计、通过几何级数对步长搜索和二分法搜索边界,制造对抗样本。
SSP(Seoo Supeavosed黑盒攻击Peaiuabaioons%
基干自监督%=#(%)%+1=%+K・sign(V#A(%,%))
L基干自度督以图像在相关神经网络指定层输出作为其高维特征空间坐标,兀通过梯度计算,使对抗样本和原始图像特征空间距离尽量拉大。
S(?,+[1=
a:?%
a
2.3鲁棒性评估
本文通过向SAR舰船图像添加对抗样本噪声和随机噪声制作对于CNN的攻击图像,使用各种SAR舰船分类CNN进行分类实验,针对输出结果进行各模型的直观评价和量化指标数据评估,再加上网络可视化,实现对于SAR舰船分类CNN的鲁棒性综合评估,最后根据评估结果实现模型鲁棒性的针对性增强,基本流程如图3所示。
2.3.1量化指标体系
攻击图像的实验结果随SAR舰船识别CNN种类的变化而变化,攻击效果的好坏反过来体现了该CNN在SAR舰船识别任务上鲁棒性的优劣,所以说对于对抗样本等攻击图像实现了有效的评估也就对SAR舰船识别CNN实现了有效的评估。
对于攻
第12期
徐延杰等:基于对抗攻击的SAR 舰船识别卷积神经网络鲁棒性研究
1969
SAR 舰船图像一
噪声一
实现对于各神经网络 鲁棒性的综合评估
对神经网络鲁棒 性进行直观评价
实现对于SAR 舰 船识别CNN 的挑 选及针对性改进
图3鲁棒性评估及应用基本流程
Fig. 3 The process of ebustness evaluation and application
Tab. 2 Criteria of quantitative evaluation
表2量化评估标准
误分类率
(Missclassification Ratio ,MR)
误分类率是对抗样本最为重要的指标,在不定向攻击中,定义为原图片在经 过对抗样本攻击以后,由
原来的正确分类改变为其他任意类别的分类的比 率。在定向攻击中,其被定义为原图片在经过对抗样本攻击以后,由原来的
正确分类改变为指定类别分类的比率)
攻击效 果评估
正确类平均置信度
(Average Confidence of
TaueCea s , ACTC )
对抗样本在原本正确分类项上的平均确信度。
对抗类平均相对置信度
(Average Relative Confidence of Adversariol Class ,RCAC )
对抗样本在错误分类项上的平均置信度除以正确类平均置信度,
体现对抗样本偏离原判断的相对程度。
平均 Lp 失真( AeeaageLp Dosioaioon , ALDp )
对抗样本与原图片之间的p 阶范数距离,常使用2阶范数(即欧氏距离)和 无尽阶范数,对对抗样本的失真程度进行评估,ALDp 越小失真越小。失真情 况评估
平均结构相似度( AeeaageSiauciuaa- Somoaaoiy , ASS )
所有攻击成功的对抗样本与原始图片之间的SSIM 相似度,常用来衡量两幅 图片相似度的常用指标之一一,—般认为比ALDp 更符合人眼感知的结果,
ASS 越大,对抗样本越难以用人眼进行识别。
摄动灵敏度距离( Peaiuabaioon Sensoioeoiy
Dosiance , PSD )
基于对比掩盖理论提出的评估人类感知扰动的指标,PSD 越小,对抗样本
越难以被察觉。
攻击鲁 棒性评估
噪声容忍评估( NooseToeaance Esiomaioon , NTE )
反应了对抗样本在保持错误分类不变的情况下所能承受的噪声大小,具体 来说它代表误分类类别置信度与其他类最大置信度之间的差距。由于不确 定将遇到何种噪声与处理,在此使用最为广泛的情况:高斯模糊、图像压缩。
噪声容忍评估值越高,对抗样本的鲁棒性越强。高斯模糊鲁棒评估 ( Robusine s io Gau s oan B-ua , RGB )
高斯模糊是计算机视觉中预处理阶段常用的去噪手段,通过对对抗样本进 行高斯平滑,观察其平滑后是否返回为正确分类效果,RGB 越低,模型对高
斯模糊的鲁棒性越强)
击图像的评估要从多角度出发,本文参考DEEP SEC * 19+设计了一套综合考虑攻击效果、失真情况和 攻击鲁棒性的有损图像评估体系:
本评估系统,既考虑了分类的最终结果,又考
虑了结果的偏移程度,既以机器视觉为基础,也充 分考虑人眼对于图像的识别,同时考虑到对抗样本 的攻击可能会遇到各种无意的干扰或者有意的防 御,还考察了有损图像在面对这些情况时是否保有
鲁棒性,是对攻击图像在SAR 舰船识别CNN 中表 现的全方位评估考察。 2.3.2可视化评估
近些年,可解释机器学习得到迅猛发展,隐层 表示方法、敏感性分析方法、可解释性网络构建等
方法从多个不同角度出发,对神经网络的运行机理
进行可视化,一定程度上解决了神经网络的黑盒问 题,同时也推动了神经网络鲁棒性的研究。相比于 背景环境,神经网络对目标给予足够关注是鲁棒的 重要前提,在噪声影响下,神经网络对于目标的关
注保持稳定是模型鲁棒的重要表现。SAR 舰船检 测识别主要使用CNN ,对CNN 的可解释性可视化主
发布评论