冼卓滢，陈国明，罗家梁，梁伟堂

（广东第二师范学院计算机学院，广州 510303）

0 引言

随着深度学习理论的不断发展，特别是深度神经网络（deep neural network，DNN）算法取得的巨大成功，人工智能在自动驾驶以及人脸识别等图像领域的应用越来越广泛。如自动驾驶中对交通标志、障碍物等图像的识别，安保系统中对人脸图像的检测，以及场景识别中对各场景图片的分类等。与此同时，数据投毒［1］、模型窃取、后门攻击、对抗样本［2］等攻击也层出不穷。其中，对抗样本攻击最为流行，指的是在原始图像数据中添加肉眼无法察觉的干扰噪声。这些细微的干扰极易使深度分类模型受到干扰而得出错误结果。分类器把构造对抗样本对深度神经网络的分类识别进行干扰称为对抗攻击（adversarial attack）。相关研究表明对抗攻击不仅可以在数字域产生攻击效果，在物理域也被用来攻击深度学习系统［3］。例如，攻击者将路标改造成相应的对抗样本，造成自动驾驶系统对路标产生错误判断。同时，对抗样本具有迁移性，同一个对抗样本可以对不同的分类器模型进行“诱骗”，对抗样本的存在严重影响到智能系统的分类与判断。

为了提高识别准确率，深度模型需要调整参数或继续增加自身网络层数，深度网络通常层数多且结构复杂，需要花费大量的精力和时间进行调参，同时要求较高的资源配置。灵活高效的宽度学习系统应运而生，其不但可以应用到图像分类领域，还可以通用到其它网络结构中。充分识别并挖掘输入数据中的有效信息后，能够在保证原始网络性能的基础上进行网络重构。宽度学习的提出为人工智能的研究开辟了新的思路，具有良好的发展前景。

针对深度网络黑箱，前人在图像分类可解释性［4］方面得到了许多研究成果。比如，基于CAM 模型并通过热力图解释网络关注区域的优化算法Grad-CAM［5］，首先对可解释的代理模型进行训练，在此基础上再对预测结果行为进行解释的局部可解释模型（local interpretable modelagnostic explanations,LIME）［6］；将深度模型的输出对输入图像的梯度作为解释结果，并对原始梯度进行处理提升可视化效果的敏感性分析算法Saliency Map。本文提出基于位平面切割的可解释性方法，能够从不同的角度解释分类器的工作过程，提高分类系统的可靠性。

1 宽度学习

Chen 等［7］率先研究并提出了宽度学习系统（broad learning system，BLS），这是一种新的基于随机的学习算法［8］，由三层系统结构——输入层、隐藏层和输出层组成，与传统的深度学习方法有很大区别。BLS 倾向于以“广度”为导向扩展网络，首先对输入数据进行随机特征映射，分别提取特征节点和扩展节点。然后在输入层中合并这两个节点来连接输出层，最后用岭回归逆求出输出层与输入层之间的连接权重。BLS 的学习过程可以分为无增量学习和增量学习过程。无增量学习的BLS 无异于大多数常见的神经网络，导致网络模型与数据集的训练过程拟合性很差，所以增量学习算法应运而生。图1 表示无增量学习的具体运算方法与过程，首先将输入的原始数据X乘以随机权重W，再映射到映射特征（Mapped Feature）。与此同时，一个Mapped Feature 包含多个映射节点，第i组Mapped Feature可以表示为

图1 无增量学习的BLS的学习过程

图2 增量学习的过程

其中，Zi∈Rn×G，βi表示偏置，d表示特征节点的组数，G表示每组特征节点的维度，φ(⋅)表示激活函数。映射特征Z乘以随机权重W，再加上偏置β，经过激活函数φ，得到增强节点特征（Enhancement Nodes），从而实现横向拓宽网络。公式表示为

其中，q表示增强节点数，H表示增强节点特征且H∈Rn×q，n代表特征映射数。最终得出无增量学习的网络输出结果为

设定无增量学习原始的网络结构由d组特征映射节点和q组增强节点组成，网络结构就可以表示成Aq=[Zd|Hq]。在该基础上添加m个增强节点，那么特征映射节点和新添加的增强节点之间的关系可以表达为

并且随机产生特征映射节点与新增m个增强节点间的权重Wq+1∈Rnk×m和偏置βq+1∈Rm，k为每个特征映射包含的特征节点数。最终添加增强节点后的网络结构可表示为

本节将公共对抗样本DAmageNet［9］与宽度学习系统相结合，提出一种将深度神经网络GoogleNet 的Inception 部分进行缩减，并将最后一个block 逐级进行横向拓宽，依次进行训练从而找到最优解的宽度学习方法。DAmageNet 是具有高度可转移性的通用对抗性数据集，被深度学习模型分类的错误率高达90%，可以作为研究和提高DNN 鲁棒性的基准。充分利用宽度学习系统无须迭代与执行高效的特点，最终解决深度学习模型在训练对抗样本时由于不断加深网络而导致模型过拟合、计算复杂度过高等问题。

STM32有USART_CR1～3三个串口控制寄存器，USART_CR1是最常用的，其中RXNEIE为接受缓冲区非空中断使能.系统采用串口中断法进行串口通信.首先在程序中启用USART中断功能，当数据接收完之后，USART_CR1寄存器中的RXNEIE置为‘1’,然后产生中断，可以在中断函数中将数据读出，然后清除中断标志.串口中断法的优点在于摆脱了对CPU的实时依赖，当数据接收完毕之后，自动进入中断函数，然后CPU去执行数据处理，通过中断法，大大提高了CPU的执行速率.同时串口中断法大大降低了CPU的占用率，各个串口按照中断优先级协调工作，数据有条不紊地进行接收处理显示.

首先减少GoogleNet 的Inception 部分作为初始网络，然后对初始网络的最后一个block 块结构进行横向扩宽从而构成新的宽度网络，验证宽度学习对于对抗数据集的有效分类，初始网络结构如图3所示。

图3 初始网络结构

实验采用公共对抗数据集DAmageNet，挑选的测试样本数量有500个。首先初始网络对该数据集进行分类训练，把图像分成两部分，分别为训练集和测试集，比例为3∶7。将数据集输入分类器中，经过210次迭代，图像的分类准确率为57.33%，初始的网络对抗数据集分类准确率较低，准确率曲线呈上升趋势但未达到收敛状态，不能有效抵御攻击，网络结构仍有改进余地。

接下来逐步对初始网络的最后一个块结构block3 进行多个节点横向扩宽，构成新的网络进行多次训练，探究不同宽度的网络对验证准确率的影响，宽度网络最优解的网络结构如图4所示。实验结果见表1。

表1 加宽前后实验准确率对比

图4 横向加宽后的网络结构

由实验结果可知，随着宽度的不断增加，图像分类的验证准确率总体呈现递增的趋势。对比于初始网络结构，在block3 结构横向分别增加一个、两个、三个、四个、五个和六个block3 时，验证准确率比初始网络依次提高了13.34、15.3、16.00、20.00、18.67 和23.34 个百分点。实验结果见表1，训练结果表明，网络加宽后图像分类的验证准确率有显著提高，对于公共的对抗数据集DAmageNet 最高验证准确率能够达到80.67%，准确率曲线呈上升趋势并呈现收敛状态，对比初始网络的验证准确率最高可提升23.34 个百分点。同时，随着宽度的增加，其训练损失率也呈现下降的趋势，加宽后损失率最多可下降1.20%。

本文对初始网络结构的block3 进行横向扩宽操作，一共进行了数十次实验，实验结果见表1。其中，横向增加六个block3 的网络结构效果最显著，相比原始网络结构的验证准确率最多可提高23.34 个百分点。而且与深度网络结构相比，训练时间上也有一定的优势。

在此基础上再往后扩宽并进行了多次实验，验证准确率没有明显提高，训练时长却有所增加。对此可得出，横向拓宽六个block3 的网络结构是本文进行宽度学习得出的最优解。根据该结果可分析出，宽度学习对于抵御对抗数据集的攻击具有显著效果，但并不是越宽越好。当宽度达到一定数量时再进行加宽，分类准确率没有提高且具有下降趋势，同时训练时长也有所增加。

2 融合攻击

融合攻击是指采用多种攻击方法对一个类别的数据集进行攻击，并形成按照攻击方法分类的对抗数据集。对该类型数据集进行训练，有利于提升分类器对于攻击方法的识别准确率，从而更好地抵御现实场景中各种各样的攻击。本文提出的融合攻击采用三分类的乳腺摄影图（MIAS）数据集，分别为正常、异常良性、异常恶性。在该数据集中，选取异常良性（Bb）和异常恶性（Mb）这两个类别，分别用FGSM、CW、JSMA、Deepfool 四种攻击方法对这两个类别的图像进行攻击，从而形成两个按照攻击方法分类的四分类测试数据集，分别命名为融合攻击Bb数据集、融合攻击Mb数据集。

2.1 快速梯度符号法

快速梯度符号法（fast gradient sign method，FGSM）是一种基于梯度的对抗样本产生方法，由Goodfellow 等［10］提出。在近几年出现的各种对抗攻击算法中，以梯度算法最为经典，也最为流行。该方法既可以在白盒模型上生成对抗样本，又可以在黑盒模型上有较强的攻击性。

2.2 基于雅可比矩阵的显著图攻击方法

基于雅可比矩阵的显著图攻击方法（Jacobianbased saliency map attack，JSMA）是一种包含前向导数计算、对抗显著图计算、对抗干扰添加三个过程的对抗攻击算法，可以将其应用到图像识别中，实现对分类模型的“诱骗”。Papernot等［11］认为，神经网络模型的输出受输入特征的影响，为了提高产生的对抗样本属于预定目标类的概率，可以在输入样本中添加相应的输入特征。

2.3 Deeppffooooll攻击方法

Deepfool算法是由Moosavi-Dezfooli 等［12］提出的一种白盒攻击方法，利用几何的思想来增加干扰。使用二分类问题举例，若决策边界是一条直线，那么直线两侧就代表两个不同的分类标签，跨越界线代表着分类结果的改变。Deepfool算法通过向样本添加扰动向量使得模型将其误分类为另一侧，以达到跨越边界的目的。扰动向量增加的距离则经过计算目标样本和边界之间的距离求得。

2.4 CC&&WW攻击方法

C&W（Carlini and Wagner attack methods）攻击方法是由Carlini 等［13］提出的以优化为目的的攻击方法，该算法将对抗样本看作一个变量，认为攻击成功不仅要使对抗样本和原始样本差距尽可能小，而且要使模型分类错的概率尽可能高。

2.5 融合攻击与对抗

防御与攻击应该是相互促进的，本节将使用加宽后的网络结构进行迁移学习，并在此基础上进行调整与不断优化。探究宽度学习对于混合多种攻击的对抗数据集的有效分类。

我们在宽度学习优化后的网络基础上进行迁移学习，分别用初始网络以及加宽后的神经网络对融合攻击Bb 数据集、融合攻击Mb 数据集进行训练，把图像分为训练集和测试集，划分比例为3∶7。将数据集输入分类器中，分别经过了84次、108次迭代，融合攻击Bb数据集、融合攻击Mb 数据集最终训练的验证准确率结果分别如表2 和表3 所示。将表2、表3 中验证准确率最高的宽度网络进行对比可得出，对于不同的数据集，宽度网络结构的最优解有所不同，网络结构并不是越宽越好。对于融合攻击Bb 数据集，加宽后的网络相比于初始网络验证准确率最多可提高25.75 个百分点，融合攻击Mb 数据集最多可提高25.33 个百分点，其中融合攻击Bb数据集用GoogleNet 网络结构进行分类时验证准确率仅有50%。实验结果均表明宽度学习对于攻击方法分类的有效性。

表2 融合攻击Bb数据集加宽前后验证准确率对比图

表3 融合攻击Mb数据集加宽前后验证准确率对比图

实验结果表明，在混合了多种攻击的乳腺癌数据集中，宽度学习对于抵御对抗样本的攻击均有较好的效果。在使用第一节优化后的网络进行迁移学习训练时验证准确率有显著的提高。在此基础上再次进行加宽优化，加宽的部分如图5 所示，命名为add_block。按照图示部分为一组进行加宽形成新的网络并进行训练，由实验结果可知，融合攻击Bb 数据集和融合攻击Mb 数据集在第一节的宽度网络上再次增加add_block后验证准确率都有所提高并趋于稳定。对于不同的对抗数据集宽度的最优解有所不同，不是越宽越好，当宽度达到一定数量再进行加宽时验证准确率没有提高并且训练时间有所增加。其中，对于融合攻击Bb 数据集，宽度网络block_5+2add_block 训练效果最好，该网络表示在拓宽五个block 的基础上再增加两组add_block，与初始网络相比准确率最多可提高25.75个百分点。而对于融合攻击Mb 数据集，宽度网络block_5+1add_block 训练效果最好，该网络表示在拓宽五个block 的基础上再增加一组add_block，与初始网络相比准确率最多可提高25.33 个百分点。同时，该对抗数据集用深度网络GoogleNet 进行训练时，验证准确率仅有50.00%，加宽后能够达到82.00%并趋于稳定，与深度网络相比准确率提高了32.00 个百分点。由此可见，宽度学习与融合攻击的对抗样本相结合，再次验证了宽度学习对于抵御对抗样本的攻击具有显著的效果。在抵御对抗攻击上有了新的突破，同时在训练时间上较深度网络具有一定的优越性。在节约时间和资源的同时，使智能系统更加可靠，具有极高的研究价值。

3 基于位平面分解的可解释性方法

针对神经网络“黑盒子”的不透明性，其中隐藏的层数目、神经元数目、激活函数等难以应用［14］。对深度神经网络进行解释有利于理解该模型的学习分类过程、决策结果以及依据的合理，提高智能系统性能的效果。本文创新性地提出了基于位平面分割的可解释性，是针对优化后的宽度网络结构进行训练，把训练结果导出并针对不同攻击强度的对抗样本进行解释，验证宽度网络对攻击方法分类的有效性。该方法从图像的多个角度进行解释，使分类过程更加清晰，一定程度上提高了分类系统的可靠性。

对于混合攻击的数据集，不同攻击方法分类过程的解释显得尤为重要。对网络分类操作的解释有助于我们更好地了解目标网络对于不同的攻击方法如何进行对抗和识别。本文旨在通过遮挡输入解释方法去解释加宽效果最优网络的分类操作，首先采用快速梯度符号方法对融合攻击Bb 数据集进行四种不同强度的攻击，并随机选取一张图片，对该图片及其经过不同强度攻击后的副本分别进行位平面分解，最后通过遮挡输入的解释方法对分类行为进行解释。

通过运用可视化的方式观察图像的重要特征，从而判断宽度网络对于攻击方法的分类依据是否正确，使加宽后网络的分类行为更加透明清晰，易于理解。这对宽度网络识别对抗样本的不同攻击方法以及优化宽度网络具有重要意义。

3.1 位平面分解

位平面分解［15］是将每个灰度值都分解为二进制，然后把具有同一权值的位进行重新组合，最后构成图像的不同位平面。本文创新性地提出将位平面分解与FGSM 的四种攻击强度相结合，构成如图6所示的表格，对于原始图像，攻击强度不断增加，我们肉眼并不能察觉图像发生的细微变化。而在选取不同的位平面时，就能够观察到不同攻击强度图像之间的区别，其中位平面5～8 最为明显。因此，不同的位平面对于对抗样本具有不同程度的重要性，要从多个角度来观察图像。

图6 图像的位平面分解

图7 网络解释结果图

如图6所示，纵坐标表示快速梯度符号方法（FGSM）对图像的四种不同攻击强度，图中增加了我们肉眼无法识别的干扰，横坐标表示位平面复杂度的变化。沿着横坐标方向的b7～b0 代表位平面8～1，位平面图像的特征随着位平面复杂度的变化而不断改变，同时干扰噪声也逐渐增加。由图6可以看出，原始图像的轮廓渐渐变得模糊直至彻底消失，当选取位平面4时，背景噪声完全覆盖图像原有的轮廓。由此得出，不同的位平面对原始图像的重要性不同，不能只从一个平面来观察图像。

3.2 使用遮挡敏感度图解释网络预测

遮挡敏感度［16］用于分析图像哪些部分对深度网络分类的影响具有重要作用。采用深度学习系统中的occlusionSensitivity 函数对神经网络的闭塞敏感图进行计算。该函数通过闭塞掩码对输入的小区域进行替换以达到干扰的目的。当图像的重要特征部分被遮挡时，预测类别的结果将急剧下降。遮挡敏感图中红色区域的数值最高，当红色部分被遮挡时，分类结果的准确率显著下降，表明该区域的图像特征对分类具有积极作用。而当图中的蓝色区域被遮挡时，分类结果准确率有所提高，这些区域会混淆网络，对图像分类具有消极作用。

本文使用上述加宽效果最优的网络block_5+1add_block对不同攻击强度下的不同位平面采用可视化的遮挡敏感度图进行解释，并对结果进行分析。由解析结果图可知，对于不同攻击强度的原始图像，红色区域的关键特征集中在干扰部分，而且随着攻击强度的增加，红色区域关注的错误特征也不断增加，这表明宽度网络能够有效识别FGSM攻击的强度。与此同时，对原始图像进行位平面分解并解释，由解释结果图可知，当位平面选取6～8 时，红色区域集中在图像的关键区域而不是噪声干扰的区域，表明宽度网络正在对图像的错误特征进行学习。显然，这与该宽度网络的高度分类准确性相矛盾。当选取位平面5时，随着攻击强度不断加强，红色区域也朝着噪声干扰区域靠近，表明FGSM攻击强度越强，宽度网络对于攻击方法的分类就越准确。当选取位平面1～4时，原始图像的轮廓已经无法用肉眼识别，根据敏感度图可以分析出，宽度网络正在对噪声干扰部分进行正确的学习分类，能够有效地对攻击方法进行区分，同时说明训练结果的准确性。采用位平面分解的可解释性方法，当分类结果有误时，可以通过遮挡图分析错误原因。尤其是对于经过处理的对抗样本，可以根据遮挡图找出该网络强烈关注的干扰部分，从而分析出该网络学习了哪些攻击方法的错误特征并进行对应的抵御［17］。

4 结语

由上述解释结果可知，宽度学习能够学习对抗样本的重要特征并进行有效分类。同时，本文提出在融合攻击中，对攻击方法进行分类以及位平面切割解释方法也为抵御混合攻击提供了可靠的依据，能够更有针对性地优化网络。将宽度学习系统应用于对抗数据集来抵御图像的干扰和攻击［18］，能够有效减少人工智能操作过程中对抗数据集带来的威胁。借用宽度学习思想，扩展神经网络的宽度能够有效解决深度学习训练过程中耗时的不足，但提高分类器的准确率要以消耗一定时间为代价。灵活高效的宽度学习系统十分具有研究价值［19］，运用宽度网络不仅能够有效抵御对抗样本的攻击，还能有效识别不同的攻击方法。在节约资源配置的同时优化智能系统的性能，提高系统可靠性，具有十分重要的研究意义。