一种基于特征重映射的对抗样本防御方法和应用技术

本发明专利技术公开了一种基于特征重映射的对抗样本防御方法和应用，包括：构建特征重映射模型，该特征重映射模型包括用于生成显著特征的显著特征生成模型，用于生成非显著特征的非显著特征生成模型，用于判别显著特征和非显著特征真伪的共享判别模型；根据显著特征生成模型和非显著特征生成模型构建检测器，该检测器用于检测对抗样本和良性样本；根据显著特征生成模型构建重识别器，该重识别器用于识别对抗样本的类别；在进行对抗样本检测时，将检测器连接到目标模型的输出，利用检测器进行对抗样本检测；在进行对抗样本识别时，将重识别器连接到目标模型的输出，利用重识别器进行对抗样本识别。能够实现对抗样本的检测和重识别的双重防御效果。

【技术实现步骤摘要】
一种基于特征重映射的对抗样本防御方法和应用
本专利技术涉及面向深度学习对抗攻防的防御领域，具体涉及一种基于特征重映射的对抗样本防御方法和应用。
技术介绍
随着硬件计算能力的提升、大数据存储的支持和理论框架的完善，深度学习技术凭借强大的特征提取能力和拟合能力被应用到众多领域，包括计算机视觉领域、自然语言处理领域、生物信息领域等等。同时，深度学习技术也从实验室逐渐走向产业化，其中以自动驾驶应用最为突出。自动驾驶系统中的路牌识别、车牌识别、行人识别、道路识别、障碍物检测等，都涉及到计算机视觉的技术，而语音指令控制则涉及到语音识别技术。随着深度学习技术的进一步广泛应用，其中存在的问题也逐渐暴露。早在2014年，就有研究人员发现深度模型容易受到对抗样本的攻击，即对抗攻击。具体表现为，训练好的深度模型对测试集中的良性样本具有较好的识别准确率，但是在原本能够被正确识别的良性样本中添加微小的精心设计的对抗扰动后，得到的对抗样本会被深度模型错误识别。对抗攻击揭露了深度模型中存在的漏洞，而这样的漏洞将会阻碍深度学习技术的进一步发展。同样以自动驾驶系统为例，本文档来自技高网...

【技术保护点】
1.一种基于特征重映射的对抗样本防御方法，其特征在于，包括以下步骤：/n构建特征重映射模型，该特征重映射模型包括用于生成显著特征的显著特征生成模型，用于生成非显著特征的非显著特征生成模型，用于判别显著特征和非显著特征真伪的共享判别模型；/n根据显著特征生成模型和非显著特征生成模型构建检测器，该检测器用于检测对抗样本和良性样本；/n根据显著特征生成模型构建重识别器，该重识别器用于识别对抗样本的类别；/n在进行对抗样本检测时，将检测器连接到目标模型的输出，利用检测器进行对抗样本检测；/n在进行对抗样本识别时，将重识别器连接到目标模型的输出，利用重识别器进行对抗样本识别。/n

【技术特征摘要】
1.一种基于特征重映射的对抗样本防御方法，其特征在于，包括以下步骤：
构建特征重映射模型，该特征重映射模型包括用于生成显著特征的显著特征生成模型，用于生成非显著特征的非显著特征生成模型，用于判别显著特征和非显著特征真伪的共享判别模型；
根据显著特征生成模型和非显著特征生成模型构建检测器，该检测器用于检测对抗样本和良性样本；
根据显著特征生成模型构建重识别器，该重识别器用于识别对抗样本的类别；
在进行对抗样本检测时，将检测器连接到目标模型的输出，利用检测器进行对抗样本检测；
在进行对抗样本识别时，将重识别器连接到目标模型的输出，利用重识别器进行对抗样本识别。


2.如权利要求1所述的基于特征重映射的对抗样本防御方法，其特征在于，特征重映射模型的构建方法为：
构建特征重映射模型训练体系，包括目标模型、显著特征生成模型、非显著特征生成模型以及共享判别模型，其中，目标模型用于目标识别，输入为样本，输出隐藏层特征；显著特征生成模型的输入为隐藏层特征，输出为生成显著特征；非显著特征生成模型的输入为隐藏层特征，输出为生成非显著特征；共享判别模型的输入为生成显著特征、生成非显著特征、真实显著特征以及真实非显著特征，输出为对良性样本或对抗样本的识别结果；
构建训练共享判别模型的损失函数lossD和训练显著特征生成模型和非显著特征生成模型的损失函数lossG，利用损失函数lossD和损失函数lossG对共享判别模型、显著特征生成模型以及非显著特征生成模型进行联合训练，以确定显著特征生成模型、非显著特征生成模型以及共享判别模型的模型参数；
其中，损失函数为对抗样本的显著特征生成训练时共享判别模型的损失函数，对抗样本的非显著特征生成训练时共享判别模型的损失函数，为良性样本的显著特征生成训练时共享判别模型的损失函数，为良性样本的非显著特征生成训练时共享判别模型的损失函数；
损失函数为对抗样本的显著特征生成训练时显著特征生成模型的损失函数，为对抗样本的非显著特征生成训练时非显著特征生成模型的损失函数，为良性样本的显著特征生成训练时显著特征生成模型的损失函数，为良性样本的非显著特征生成训练时非显著特征生成模型的损失函数。


3.如权利要求1所述的基于特征重映射的对抗样本防御方法，其特征在于，检测器的构建方法为：
构建检测器训练体系，包括目标模型、参数确定的显著特征生成模型、参数确定的非显著特征生成模型以及检测模型，其中，目标模型用于目标识别，输入为样本，输出隐藏层特征；显著特征生成模型的输入为隐藏层特征，输出为生成显著特征；非显著特征生成模型的输入为隐藏层特征，输出为生成非显著特征；检测模型的输入为生成显著特征与生成非显著特征级联形成的级联特征，输出为良性样本或对抗样本的检测结果；
构建训练检测模型的损失函数lossdetect，以最小化损失函数lossdetect为目标对检测模型进行训练，以确定检测模型的模型参数；
其中，损失函数lossdetect为：



其中，log(·)表示对数函数，Det(·)表示检测模型，h(·)表示目标模型隐藏层模块的输出，xi表示良性样本，表示xi对应的对抗样本，GSF(·)表示...

【专利技术属性】
技术研发人员：陈晋音，郑海斌，张龙源，王雪柯，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：浙江;33