本发明专利技术针对深度学习网络的对抗攻击防御问题,公开了一种基于对抗样本训练的对抗攻击防御方法。首先,引入训练样本类别标签的先验分布,对标签进行平滑修正,使得网络在训练时不会过度相信训练样本是完全正确的;其次,在网络训练的过程中加入对抗样本,同时修改原有的损失函数,体现对抗样本对损失函数的贡献,从而使得网络对梯度攻击具有抵抗性;最后,对网络神经元进行随机失活处理,在一定程度上减少过拟合。本发明专利技术方法抑制了过拟合,增强了网络的泛化能力,从而提高了网络防御对抗性样本攻击的鲁棒性。
A defense method of counter attack based on training of counter sample
【技术实现步骤摘要】
一种基于对抗样本训练的对抗攻击防御方法
本专利技术属于人工智能
,涉及一种深度学习对抗样本攻击的防御方法,具体涉及一种基于对抗样本训练的对抗攻击防御方法。
技术介绍
深度学习技术在图像分类识别、自然语言处理、语音处理等领域得到广泛应用。然而,人工智能系统面临对抗样本攻击的安全隐患。对抗样本攻击就是指通过对输入样本添加人类难以察觉的扰动,致使人类分类不会出现错误的样本被机器错误识别分类。在实际的应用场景中,对抗样本攻击有时会带来巨大的安全性问题。比如在人脸识别中,攻击者可以使用对抗样本,绕开验证,从而获得本来无法获得的权限。在无人驾驶系统中,攻击者能够实现对于车辆前方照片进行攻击,使得无人驾驶系统对于交通指示牌等信息获取有误,导致无人驾驶系统的失灵造成灾难性后果。甚至一些对抗样本通过翻拍后仍然能够对神经网络进行欺骗。加州大学伯克利分校人工智能实验室的研究表明,实物样本也能够对深度神经网络进行攻击。他们通过在真实的“stop”标牌上贴上干扰贴纸,成功地对分类器进行了欺骗,分类器几乎不能正确识别出“stop”标志类。后续,他们又使用该实物对YOLO检测器进行了攻击,该检测器在一段带有“stop”标志的视频中,几乎每一帧都无法识别出该标志。由此可见,深度神经网络在对抗样本攻击下极其脆弱。将深度神经网络应用到人脸身份验证、无人驾驶等存在很大的安全隐患。因此,深度神经网络防御对抗样本攻击的需求非常迫切。对抗样本训练就是将对抗样本添加到训练集中进行针对性训练,从而增加预测模型的免疫力。尽管加入对抗训练后的深度学习网络的识别精度能得到提高,但距离原始样本的识别精度仍然存在较大差距,而且从智能无人系统防御对抗攻击鲁棒性的角度看,这个精度还不够可靠。进一步分析,对抗攻击样本的识别精度在训练集和测试集上存在明显差别,训练集的精度明显高于测试集,根据深度学习的基本原理,这种差异主要归结于深度模型的过拟合。因此,提高精度的改进措施应该从避免模型的过拟合入手。
技术实现思路
为了解决上述问题,本专利技术提出了一种基于对抗样本训练的对抗攻击防御方法。本专利技术所采用的技术方案是:一种基于对抗样本训练的对抗攻击防御方法,其特征在于,包括以下步骤:步骤1:针对训练集样本,引入训练样本类别标签的先验分布,对标签进行平滑修正处理;步骤2:针对处理后的训练集样本,进行深度卷积神经网络训练;在网络训练的过程中加入对抗样本,同时修改原有的损失函数,体现对抗样本对损失函数的贡献;步骤3:保持输入输出神经元不变,按预设概率p随机删除网络中的神经元,执行一轮输入前向传播和误差反向传播训练,通过梯度下降法更新网络参数,在下一轮的训练中恢复删掉的神经元,然后重复相同过程,直到训练的损失函数不再收敛。作为优选,步骤1中,使用均匀分布对样本真实分类的One-hot标签矢量y进行如下平滑处理:其中,θ为标签平滑度参数,K表示样本的类别数目。作为优选,步骤2中,根据FGSM方法产生添加的对抗样本,在原有的损失函数J(θ,x,y)上加上正则项,该正则项与对抗样本的扰动有关;新的损失函数为:其中,x、y分别表示样本及其标签,代表梯度算子,sign表示符号函数;∈为[0,1]范围的扰动强度;α为对抗样本贡献占比参数;θ为标签平滑度参数。作为优选,步骤3中所述随机删除网络中神经元的规则为:对网络中第一个全连接层中每一个神经元按p=0.2的概率丢弃;同时,在模型预测的时候,每个神经元的权向量乘上概率p,即:W(l)表示第l层的网络参数权向量。与现有的对抗样本攻击的防御方法相比,本专利技术具有以下优点和积极效果:(1)本专利技术在训练过程中增加对抗样本对于损失函数的贡献,并且在计算损失函数时使用标签平滑来防止过拟合,从而增强了网络的泛化能力;(2)本专利技术对网络的第一个全连接层使用了随机失活,从而提高了网络的鲁棒性,抑制了过拟合。附图说明图1为本专利技术实施例的流程图。具体实施方式为了便于本领域普通技术人员理解和实施本专利技术,下面结合附图及实施例对本专利技术作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本专利技术,并不用于限定本专利技术。请见图1,本专利技术提供的一种基于对抗样本训练的对抗攻击防御方法,包括以下步骤:步骤1:针对训练集样本,引入训练样本类别标签的先验分布,对标签进行平滑修正处理;使得网络在训练时不会过度相信训练样本是完全正确的。为了使网络不完全信任训练样本的分类,使用均匀分布对样本真实分类的One-hot标签矢量y进行如下平滑处理:其中,θ为标签平滑度参数,本实施例中设置成0.1,K表示样本的类别数目,本实施例中K=43。步骤2:针对处理后的训练集样本,进行深度卷积神经网络训练;本实施例在网络训练的过程中加入对抗样本,同时修改原有的损失函数,体现对抗样本对损失函数的贡献;根据FGSM方法产生添加的对抗样本,在原有的损失函数J(θ,x,y)上加上正则项,该正则项与对抗样本的扰动有关。因而新的损失函数表示为:这里x、y分别表示样本及其标签,代表梯度算子,sign表示符号函数。∈为[0,1]范围的扰动强度。α为对抗样本贡献占比参数,如果α的值变大,那么代表添加扰动的样本对损失函数造成的影响会变小,也就是说,训练出来的网络抵抗FGSM样本攻击的能力会相对较弱;如果α的值减小,代表网络的训练着重关注FGSM生成扰动样本的识别正确率,但是带来的副作用是有可能会影响到正常样本的识别正确率。因此,应根据实际需要设置合理的α值,本实施例取值0.5。步骤3:保持输入输出神经元不变,按预设概率p随机删除网络中的神经元,执行一轮输入前向传播和误差反向传播训练,通过梯度下降法更新网络参数,在下一轮的训练中恢复删掉的神经元,然后重复相同过程,直到训练的损失函数不再收敛,本专利技术实施案例中迭代30次损失函就趋向稳定。本实施例的网络,对第一个全连接层使用p=0.2的随机失活。也就是说,第一个全连接层中每一个神经元有0.2的概率被丢弃。在模型预测的时候,每个神经元的权向量乘上概率p,即:W(l)表示第l层的网络参数权向量。本专利技术首先引入训练样本类别标签的先验分布,对标签进行平滑修正,使得网络在训练时不会过度相信训练样本是完全正确的;其次,在网络训练的过程中加入对抗样本,同时修改原有的损失函数,体现对抗样本对损失函数的贡献,从而使得网络对梯度攻击具有抵抗性;最后,对网络神经元进行随机失活处理,在一定程度上减少过拟合。本专利技术方法抑制了过拟合,增强了网络的泛化能力,从而提高了网络防御对抗性样本攻击的鲁棒性。应当理解的是,本说明书未详细阐述的部分均属于现有技术。应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本专利技术专利保护范围的限制,本领域的普通技术人员在本专利技术的启示下,在不脱离本专利技术权利要求所保护的范围情况下,还可以做出替换或变形,均落入本专利技术的保护范围之内,本专利技术的请求保护范围应以所附权利要求为准。本文档来自技高网...
【技术保护点】
1.一种基于对抗样本训练的对抗攻击防御方法,其特征在于,包括以下步骤:步骤1:针对训练集样本,引入训练样本类别标签的先验分布,对标签进行平滑修正处理;步骤2:针对处理后的训练集样本,进行深度卷积神经网络训练;在网络训练的过程中加入对抗样本,同时修改原有的损失函数,体现对抗样本对损失函数的贡献;步骤3:保持输入输出神经元不变,按预设概率p随机删除网络中的神经元,执行一轮输入前向传播和误差反向传播训练,通过梯度下降法更新网络参数,在下一轮的训练中恢复删掉的神经元,然后重复相同过程,直到训练的损失函数不再收敛。
【技术特征摘要】
1.一种基于对抗样本训练的对抗攻击防御方法,其特征在于,包括以下步骤:步骤1:针对训练集样本,引入训练样本类别标签的先验分布,对标签进行平滑修正处理;步骤2:针对处理后的训练集样本,进行深度卷积神经网络训练;在网络训练的过程中加入对抗样本,同时修改原有的损失函数,体现对抗样本对损失函数的贡献;步骤3:保持输入输出神经元不变,按预设概率p随机删除网络中的神经元,执行一轮输入前向传播和误差反向传播训练,通过梯度下降法更新网络参数,在下一轮的训练中恢复删掉的神经元,然后重复相同过程,直到训练的损失函数不再收敛。2.根据权利要求1所述的基于对抗样本训练的对抗攻击防御方法,其特征在于:步骤1中,使用均匀分布对样本真实分类的One-hot标签矢量y进行如下平滑处理:其中,θ为...
【专利技术属性】
技术研发人员:王中元,曾诚,何政,傅佑铭,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。