基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法

王濱，李思敏，錢亞冠，張君，李超豪，朱晨鳴，張鴻飛

基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法

王濱1,2，李思敏1，錢亞冠1，張君3，李超豪2，朱晨鳴3，張鴻飛3

（1. 浙江科技學院，浙江 杭州 310023；2. 浙江省多維感知技術應用與安全重點實驗室，浙江 杭州 310052；3. 浙江省電子信息產品檢驗研究院，浙江 杭州 310007）

對抗訓練是一類常用的對抗攻擊防御方法，其通過將對抗樣本納入訓練過程，從而有效抵御對抗攻擊。然而，對抗訓練模型的魯棒性通常依賴于網絡容量的提升，即對抗訓練所獲得的網絡為防御對抗攻擊而大幅提升網絡的模型容量，對其可用性造成較大約束。因此，如何在保證對抗訓練模型魯棒性的同時，降低模型容量，提出輕量對抗攻擊防御方法是一大挑戰。為解決以上問題，提出一種基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法。該方法以對抗魯棒準確率為優化條件，在對預訓練的魯棒對抗模型進行分層自適應剪枝壓縮的基礎上，再對剪枝后的網絡進行基于數據過濾的魯棒蒸餾，實現魯棒對抗訓練模型的有效壓縮，降低其模型容量。在CIFAR-10和CIFAR-100數據集上對所提出的方法進行性能驗證與對比實驗，實驗結果表明，在相同TRADES對抗訓練下，所提出的分層自適應剪枝技術相較于現有剪枝技術，其剪枝所得到的網絡結構在多種FLOPs下均表現出更強的魯棒性。此外，基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法相較于其他魯棒蒸餾方法表現出更高的對抗魯棒準確率。因此，實驗結果證明所提方法在降低對抗訓練模型容量的同時，相較于現有方法具有更強的魯棒性，提升了對抗訓練模型在物聯網邊緣計算環境的適用性。

對抗防御；剪枝；魯棒蒸餾；輕量網絡

0 引言

隨著深度學習技術在圖像識別[1]、語音識別[2]、自然語言處理[3]等領域的廣泛應用，深度學習模型的安全直接決定了其所應用的系統或業務的安全。然而，研究指出了對抗樣本攻擊[4,5]對于現有深度學習模型的攻擊可行性，即通過在干凈樣本上添加微小的擾動，造成深度學習模型的功能錯誤。例如，CW（Carlini and Wagner）攻擊可通過在圖片上添加人眼不易察覺的對抗擾動，造成智能圖像識別模型的分類錯誤[5]，如將停車標志識別為其他標志，可能會造成嚴重的安全事故[6]；同理，攻擊者可通過在音頻上疊加微小噪聲，構造語音對抗樣本，造成智能語音識別系統的錯誤識別，如將人耳所聽的“你好”識別為“打開房門”等敏感指令[7]。

為抵御來自對抗樣本的安全威脅，對抗訓練[8-10]方法被提出并得到大量研究。對抗訓練的核心是在模型訓練階段同時考慮干凈樣本和對抗樣本，從而使訓練獲得的模型對對抗樣本攻擊具有較高的魯棒性。然而，此類方法在提升訓練模型的魯棒性同時，通常會造成模型容量的大幅提升。此外，相關研究表明，模型容量與對抗訓練效果成正相關性，即模型容量越大，對抗訓練效果越好[9]。然而，該特性對對抗訓練的可用性造成較大的約束，如限制對抗訓練在計算及存儲資源相對受限的邊緣設備（如智能手機、智能攝像頭等）上的應用部署。因此，亟須設計一種輕量對抗攻擊防御方法，尤其在壓縮對抗訓練模型容量的同時，對模型的魯棒性影響較小，從而提供輕量級的魯棒模型，適應物聯網邊緣計算環境下的智能應用。

針對以上問題，研究者提出基于知識蒸餾（knowledge distillation）[11]對抗訓練模型優化方法，即將魯棒知識從網絡容量較大的教師網絡遷移到輕量級的學生網絡[12-14]。例如，Goldblum等[13]提出ARD（adversarially robust distillation）方法，將對抗樣本參與模型的蒸餾，從而進一步提高模型的魯棒性。在此基礎上，Zi等[14]提出了RSLAD（robust soft label adversarial distillation）方法，優化了對抗蒸餾的損失函數，使模型的魯棒性與經典對抗訓練方法相比有所提高。但以上方法都是固定教師網絡和學生網絡的結構，無法進一步壓縮網絡容量以適應計算資源相對受限的邊緣設備。

因此，本文提出一種基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法。首先基于分層自適應的剪枝策略對預訓練的魯棒對抗模型進行剪枝壓縮，然后對剪枝后的網絡進行基于數據過濾的魯棒蒸餾，實現魯棒對抗訓練模型的有效壓縮，降低其模型容量。

本文主要貢獻如下。

1) 提出剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法，其在降低對抗訓練模型網絡容量的同時，對于對抗訓練模型的魯棒性影響較小。

2) 改進現有剪枝技術，提出分層自適應剪枝技術，提升剪枝過后模型的魯棒性。

3）提出基于數據過濾的魯棒蒸餾方法，通過對原始干凈樣本中被錯誤識別的樣本進行過濾，提升魯棒蒸餾的有效性。

1 相關工作

1.1 深度神經網絡與對抗攻擊

1.2 對抗訓練

近年來，對抗訓練作為一種常用的對抗樣本攻擊防御方法得到廣泛的研究與應用[15]。Madry等[9]提出標準對抗訓練（SAT，standard adversarial training），其將對抗訓練建模成雙層優化問題，并基于PGD攻擊方法生成對抗樣本訓練模型。除SAT對抗訓練框架之外，Zhang等[16]基于魯棒性和精度的權衡考慮提出了TRADES框架。另外，還有一類工作是利用沒有標簽的數據進行對抗訓練，進一步提升模型的魯棒性[17-18]。上述方法在ResNet和WideResNet等大容量深度神經網絡上均取得了較高的魯棒性。此外，研究發現對抗訓練通?？墒谷萘枯^大的網絡獲得更好的魯棒性[9]。然而，對于部署到邊緣環境中的輕量級神經網絡，直接對其進行對抗訓練所能取得的魯棒性效果不如較大網絡顯著。

1.3 知識蒸餾

2 輕量對抗攻擊防御方法實現

為兼顧對抗訓練模型的魯棒性與可用性，本文提出一種基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法。首先，本文方法基于分層自適應的剪枝策略對預訓練的魯棒對抗模型進行剪枝壓縮。然后，對經過剪枝后的網絡進行魯棒蒸餾。區別于現有魯棒蒸餾機制，本文方法通過對原始干凈樣本中被錯誤識別的樣本進行過濾，提升魯棒知識的高效遷移。剪枝技術和魯棒蒸餾兩類技術的有機結合，既可實現魯棒對抗訓練模型的有效壓縮，降低其模型容量，又能降低對模型魯棒性的影響。下面對以上所述方法進行詳細介紹。

2.1 分層自適應剪枝

剪枝技術的核心是將深度神經網絡中冗余的卷積核或者通道去除。傳統剪枝策略一般分為兩類：預定義剪枝策略、基于全局閾值的剪枝策略。首先，預定義剪枝策略通常依賴于人工設定的剪枝率，但往往達不到最優的剪枝效果。其次，基于全局閾值的剪枝策略在使用中具有一定的局限性，如該方法會造成層崩塌，即該層的卷積核幾乎被剪完，從而使模型性能驟降。針對以上問題，本文提出一種分層自適應的剪枝策略，其創新點在于依據模型各層輸出的軟標簽信息與模型最終的軟標簽輸出進行比較，進而指導各層剪枝率的分配（如圖1所示），使網絡結構能夠適應魯棒性的需要。

圖1 剪枝分配準則

Figure 1 Pruning allocation guidelines

分層自適應剪枝策略的詳細過程如下。

在確定好各層的剪枝率之后，剪枝操作將與蒸餾訓練過程交替進行。

2.2 基于數據過濾的魯棒蒸餾

知識蒸餾的核心是將教師網絡學到的知識遷移到更小的學生網絡中，從而使學生網絡的概率輸出分布接近教師網絡的概率輸出分布，其形式可表達為

算法1 魯棒蒸餾算法

3 實驗評估

3.1 實驗設置

（1）數據集和模型

1）基準數據集：本文實驗采用兩個基準數據集，分別為CIFAR-10和CIFAR-100。這兩個數據集各包含60 000張RGB彩色圖片，其中訓練集50 000張，測試集10 000張，圖片大小為32×32像素。CIFAR-10和CIFAR-100分別包含10類和100類圖片數據。

2）測試模型：本文選取了VGG-16[19]和resnet56[20]作為待剪枝的教師網絡模型。通過對測試模型進行剪枝和魯棒蒸餾，以提高模型在較低FLOP情況下的魯棒性。

（2）實驗環境

本文實驗所用硬件為RTX 2080Ti GPU，運行環境為Ubuntu 16.04.6 LTS，Pytorch版本為1.4.0，CUDA版本為10.0，cuDNN版本為7.6.0，torchattacks庫的版本為3.0.0。

（3）評價指標

1）FLOP：即浮點運算數，用來衡量算法/模型的復雜度。FLOP越小，所需計算量也越小，代表越有利于算法/模型在資源相對受限的邊緣設備計算環境下進行應用部署。

2）對抗魯棒準確率：代表算法/模型對于對抗樣本的分類精度。本文使用目前較為常用的魯棒性基準測試平臺AutoAttack[21]（下面簡稱AA測試）對模型的魯棒性進行評估。

3.2 CIFAR-10實驗結果

本節基于CIFAR-10數據集，選取VGG-16和resnet56作為待剪枝的教師網絡，且都是經過對抗訓練的魯棒網絡。在此基礎上，實驗分別從對抗訓練和魯棒蒸餾兩個角度，對比不同剪枝方法得到的模型結構對魯棒性的影響。圖2給出了模型在不同剪枝方法以及在不同訓練方法下的魯棒性對比。

在對抗訓練實驗中，本文選擇TRADES框架[16]作為對抗訓練的方法。從圖2(a)可以觀察到，本文所提的分層自適應剪枝方法得到的模型在相同TRADES對抗訓練條件下，相比于其他剪枝方法，幾乎在各個FLOP層次上均表現出更高的魯棒性（AA測試）。這充分表明分層自適應剪枝得到的模型結構更能適應模型魯棒性的需要，即模型結構更為合理。為了公平對比，圖2和圖3所有數據點均是模型在實驗訓練中取得的最好結果。

在魯棒蒸餾實驗中，為更合理地進行對比，所有測試方案均采用剪枝技術與魯棒蒸餾融合的形式。測試剪枝技術包括L1-norm、Slimming與CHIP。實驗中除本方案外，其余剪枝操作后使用的魯棒蒸餾方法均為RSLAD魯棒蒸餾方法[14]。該方法是現有較為先進的開源魯棒蒸餾方法。首先，圖2(b)給出了不同方案在VGG-16教師網絡上的性能對比。結果表明本文所提出的基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法與其余剪枝與魯棒融合方法相比，在相同的FLOP層次上具有更高的對抗魯棒準確率；在相同的對抗魯棒準確率上需要更少的FLOP。因此，本文所提方法在綜合性能上表現更好，尤其是高剪枝率、低FLOP情況下更為明顯。此外，實驗將相同FLOP條件下的VGG-11模型和VGG-13模型參與橫向對比。結果表明，本文所提方法是一種有效的壓縮模型手段，且比預設定模型結構進行訓練的效果更好。以上的高性能主要得益于分層自適應剪枝策略與魯棒蒸餾前的數據過濾預處理方法帶來網絡結構的優化。

圖2 模型在不同剪枝方法以及在不同訓練方法下的魯棒性對比

Figure 2 Comparison of the model robustness under different pruning methods and various training methods on CIFAR-10

圖2(c)則給出了不同方案在resnet56教師網絡上的性能對比。實驗結果表明本文所提方法剪枝得到的結構經過相同的對抗訓練后，其性能曲線均位于其他方法上方，即其魯棒性相較于其他方法在整體上具有優勢。此外，所提方法的魯棒準確率在resnet56與VGG-16兩種模型上的趨勢存在差異，即圖2(c)中存在拐點，該現象主要是源于兩種模型的內在結構差異。VGG是一種基于直連結構的模型，各層之間具有不同的語義信息。只要未對VGG模型中間的某些層進行過度剪枝，模型表達能力和性能不會有明顯的驟降，且訓練后的表現較為穩定。因此，本文所提方法的魯棒準確率在VGG模型上與模型的FLOP大致呈現正相關的趨勢。resnet56則是通過特征融合，采取跳層連接結構。這種內在結構的不同，可能會使剪枝操作優先關注某些語義表達豐富的特定層，并且這些層在剪掉相當一部分卷積核之后，出現過渡態的非最優結構，進而出現層與層之間特征表達及語義信息不匹配的情況，造成模型的表達能力受限，即FLOP處于70～80 MFLOP的低谷點。隨著迭代剪枝的進行，該方法會動態地優化剩下的模型結構，使其前后跨通道的特征融合更優，即前后層的結構更匹配、更互相適應。

3.3 CIFAR-100實驗結果

圖3展示了基于CIFAR-100數據集以及VGG-16模型的實驗結果。結果表明，如同CIFAR-10的表現，本文所提方法不論在相同的TRADES對抗訓練下，還是對比其他的魯棒蒸餾方法，綜合魯棒性要表現更好。

另外，盡管Slimming方法是基于全局閾值方法的剪枝，但是由該方法剪枝得到的模型在高剪枝條件下會導致模型魯棒性降。因此該方法存在較大缺陷，無法有效部署于邊緣環境中。

4 結束語

針對物聯網邊緣環境對輕量對抗攻擊防御方法的需求，本文提出一種基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法，通過分層自適應剪枝技術與基于數據過濾的魯棒蒸餾方法，實現魯棒對抗訓練模型的有效壓縮，即在降低其模型容量的同時，對模型的魯棒性影響較小。實驗結果證明，本文所提方法不僅能使相同FLOP條件下的輕量級網絡經過同等對抗訓練更具魯棒性，并且在相同魯棒對抗準確率下，使壓縮的模型具有更低的FLOP。未來將對剪枝技術和魯棒蒸餾做進一步的研究拓展，繼續提高模型的壓縮率同時保持較高的魯棒性。

圖3 模型在不同剪枝方法以及在不同訓練方法下的魯棒性對比

Figure 3 Comparison of the model robustness under different pruning methods and various training methods on CIFAR-100

[1] 鄭遠攀, 李廣陽, 李曄. 深度學習在圖像識別中的應用研究綜述[J]. 計算機工程與應用, 2019, 55(12): 20-36.

ZHENG Y P, LI G Y, LI Y. Survey of application of deep learning in image recognition [J].Computer Engineering and Applications, 2019,55(12):20-36.

[2] 魚昆, 張紹陽, 侯佳正, 等. 語音識別及端到端技術現狀及展望[J]. 計算機系統應用, 2021, 30(3): 14-23.

YU K, ZHANG S Y, HOU J Z, et al. Survey of speech recognition and end-to-end techniques[J]. Computer Systems & Applications, 2021, 30(3): 14-23.

[3] 王睿怡, 羅森林, 吳舟婷, 等. 深度學習在漢語語義分析的應用與發展趨勢[J]. 計算機技術與發展, 2019, 29(9): 110-116.

WANG R Y, LUO S L, WU Z T, et al. Application and development trend of deep learning in Chinese semantic analysis[J]. Computer Technology and Development, 2019, 29(9): 110-116.

[4] SZEGEDY C, ZAREMBA W, SUTSKEVER I, et al. Intriguing properties of neural networks[C]//Proceedings of 2nd International Conference on Learning Representations (ICLR 2014). 2014.

[5] CARLINI N, WAGNER D. Towards evaluating the robustness of neural networks[C]//Proceedings of 2017 IEEE Symposium on Security and Privacy (SP). 2017.

[6] SONG D, EYKHOLT K, EVTIMOV I, et al. Physical adversarial examples for object detectors[C]//12th USENIX Workshop on offensive technologies (WOOT 18). 2018.

[7] CARLINI N, WAGNER D. Audio adversarial examples: targeted attacks on speech-to-text[C]//2018 IEEE Security and Privacy Workshops (SPW). 2018: 1-7.

[8] GOODFELLOW I, SHLENS J, SZEGEDY C. Explaining and harnessing adversarial examples[C]//Proceedings of 3rd International Conference on Learning Representations (ICLR 2015). 2015.

[9] MADRY A, MAKELOV A, SCHMIDT L, et al. Towards deep learning models resistant to adversarial attacks[C]//Proceedings of 6th International Conference on Learning Representations (ICLR 2018). 2018.

[10] GOWAL S, QIN C, UESATO J, et al. Uncovering the limits of adversarial training against norm-bounded adversarial examples[J]. arXiv:2010.03593, 2020.

[11] GOU J, YU B, MAYBANK S J, et al. Knowledge distillation: a survey[J]. International Journal of Computer Vision, 2021, 129(6): 1789-1819.

[12] PAPERNOT N, MCDANIEL P, WU X, et al. Distillation as a defense to adversarial perturbations against deep neural networks[C]//IEEE Symposium on Security and Privacy, 2016: 582-597.

[13] GOLDBLUM M, FOWL L, FEIZI S, et al. Adversarially robust distillation[C]//Proceedings of the AAAI Conference on Artificial Intelligence. 2020: 3996-4003.

[14] ZI B, ZHAO S, MA X, et al. Revisiting adversarial robustness distillation: robust soft labels make student better[C]//Proceedings of 2021 IEEE/CVF International Conference on Computer Vision, 2021:16423-16432.

[15] BAI T, LUO J, ZHAO J, et al. Recent advances in adversarial training for adversarial robustness[C]//Proceedings of the Thirtieth International Joint Conference on Artificial Intelligence, 2021: 4312-4321.

[16] ZHANG H, YU Y, JIAO J, et al. Theoretically principled trade-off between robustness and accuracy[C]//International Conference on Machine Learning. 2019: 7472-7482.

[17] ALAYRAC J B, UESATO J, HUANG P S, et al. Are labels required for improving adversarial robustness[C]//Advances in Neural Information Processing Systems. 2019: 12192-12202.

[18] CARMON Y,RAGHUNATHAN A, SCHMIDT L, et al. Unlabeled data improves adversarial robustness[C]//Advances in Neural Information Processing Systems. 2019: 11190-11201.

[19] SIMONYAN K, ZISSERMAN A. Very deep convolutional networks for large-scale image recognition[J]. arXiv:1409.1556, 2014.

[20] HE K, ZHANG X, REN S, et al. Deep residual learning for image recognition[C]//Proceedings of 2016 IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2016: 770-778.

[21] CROCE F, HEIN M. Reliable evaluation of adversarial robustness with an ensemble of diverse parameter-free attacks[C]//Proceedings of the 37th International Conference on Machine Learning. 2020: 2206-2216.

[22] LI H, KADAV A, DURDANOVIC I, et al. Pruning filters for efficient convnets[C]//Proceedings of 5th International Conference on Learning Representations (ICLR 2017). 2017.

[23] LIU Z, LI J, Shen Z, et al. Learning efficient convolutional networks through network slimming[C]//Proceedings of 2017 IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2017: 2755-2763.

[24] SUI Y, YIN M, XIE Y, et al. CHIP: channel Independence-based pruning for compact neural networks[C]//Advances in Neural Information Processing Systems. 2021: 24604-24616.

Lightweight defense mechanism against adversarial attacks via adaptive pruning and robust distillation

WANG Bin1,2, LI Simin1, QIAN Yaguan1, ZHANG Jun3, LI Chaohao2, ZHU Chenming3, ZHANG Hongfei3

1. Zhejiang University of Science and Technology, Hangzhou 310023, China 2. Zhejiang Key Laboratory of Multi-dimensional Perception Technology, Application and Cybersecurity, Hangzhou 310052, China 3. Zhejiang Electronic Information Products Inspection and Research Institute, Hangzhou 310007, China

Adversarial training is one of the commonly used defense methods against adversarial attacks, by incorporating adversarial samples into the training process. However, the effectiveness of adversarial training heavily relied on the size of the trained model. Specially, the size of trained models generated by the adversarial training will significantly increase for defending against adversarial attacks. This imposes constraints on the usability of adversarial training, especially in a resource-constraint environment. Thus, how to reduce the model size while ensuring the robustness of the trained model is a challenge. To address the above issues, a lightweight defense mechanism was proposed against adversarial attacks, with adaptive pruning and robust distillation. A hierarchically adaptive pruning method was applied to the model generated by adversarial training in advance. Then the trained model was further compressed by a modified robust distillation method. Experimental results on CIFAR-10 and CIFAR-100 datasets showed that our hierarchically adaptive pruning method presented stronger robustness under various FLOP than the existing pruning methods. Moreover, the fusion of pruning and robust distillation presented higher robustness than the state-of-art robust distillation methods. Therefore, the experimental results prove that the proposed method can improve the usability of the adversarial training in the IoT edge computing environment.

adversarial defenses; pruning; robust distillation; lightweight network

TP393

A

10.11959/j.issn.2096?109x.2022074

2022?04?24；

2022?06?11

錢亞冠，qianyg@yeah.net

國家自然科學基金（92167203）；浙江省自然科學基金（LZ22F020007）

The National Natural Science Foundation of China (92167203), The Natural Science Foundation of Zhejiang Province (LZ22F020007)

王濱, 李思敏, 錢亞冠, 等. 基于剪枝技術和魯棒蒸餾融合的輕量對抗攻擊防御方法[J]. 網絡與信息安全學報, 2022, 8(6): 102-109.

WANG B, LI S M, QIAN Y G, et al. Lightweight defense mechanism against adversarial attacks via adaptive pruning and robust distillation[J]. Chinese Journal of Network and Information Security, 2022, 8(6): 102-109.

王濱（1978? ），男，山東泗水人，博士，浙江省多維感知技術應用與安全重點實驗室研究員、博士生導師，主要研究方向為物聯網安全、人工智能安全、密碼學。

李思敏（1997? ），男，浙江義烏人，浙江科技學院碩士生，主要研究方向為深度學習、人工智能安全和模型壓縮。

錢亞冠（1976? ），男，浙江嵊州人，博士，浙江科技學院理學院教授，主要研究方向為深度學習、人工智能安全。

張君（1980? ），女，河南內鄉人，浙江省信息化發展中心高級工程師，主要研究方向為網絡與信息安全。

李超豪（1995? ），男，浙江溫州人，博士，浙江省多維感知技術應用與安全重點實驗室副主任，主要研究方向為物聯網安全、人工智能安全、感知對抗安全、數據隱私保護。

朱晨鳴（1981? ），男，浙江杭州人，浙江省電子信息產品檢驗研究院高級工程師，主要研究方向為網絡與信息安全。

張鴻飛（1984? ），男，浙江嘉興人，浙江省電子信息產品檢驗研究院工程師，主要研究方向為網絡與信息安全。