本发明专利技术属于对抗样本防御技术领域,公开了一种基于VAE‑GAN的对抗样本防御方法及系统,使用变分自动编码器VAE和生成对抗网络GAN对对抗样本进行去噪,VAE作为分类器的预处理模型对对抗样本进行去噪处理,GAN用于辅助VAE的训练,使得VAE输出的图像结果更加接近于原始无噪声的图像。本发明专利技术提供的基于VAE‑GAN的对抗样本防御方法属于输入预处理,可在不同分类模型之间学习迁移;无需重新训练原有分类网络,训练成本较低;几乎不影响原始无噪声样本分类精度;不需要使用对抗样本,所以无需而外的训练对抗样本;对噪声较小的对抗样本防御效果也很好;预处理速度快且输出图像质量接近于原始无噪声图像。
【技术实现步骤摘要】
一种基于VAE-GAN的对抗样本防御方法及系统
本专利技术属于对抗样本防御
,尤其涉及一种基于VAE-GAN的对抗样本防御方法及系统。
技术介绍
目前,深度神经网络在许多传统机器学习难以解决的问题上有着优秀的表现。随着深度神经网络模型的不断完善,越来越多的深度学习解决方案慢慢的进入人们的日常生活,比如:图形识别,人脸识别,自动驾驶,语音指令识别等。尽管深度神经网络在各领域有着优秀的表现,但Szegedy等人证明现代深度神经网络非常容易受到对抗样本的攻击,这些对抗样本仅仅是在原始图片上添加细微扰动(人类视觉无法察觉),就能导致深度神经网络模型对图像的错误分类(如图5所示)。目前深度神经网络对抗攻击的手段越来越多,攻击所需的扰动也越来越小,传统对图像的去噪及降低深度神经网络过拟合程度的方法已经无法防御这些对抗样本的攻击。并且目前的防御方案存在训练成本大,防御迁移能力差的缺点。目前存在的防御方案分为三个方向:输入预处理,改进神经网络模型以及仅识别是否为对抗样本而不进行处理。目前的防御方案如下:(1)输入预处理:对图像进行压缩重建,对图像进行缩放,降低图像分辨率,对图片进行去噪;(2)改进神经网络模型:限制神经元的输出,在神经网络模型中添加不可微部分,降低神经网络过拟合,以及在训练集中添加对抗样本提高神经网络模型的健壮性。(3)仅识别是否为对抗样本不进行处理:利用svm分辨输入数据是否为对抗样本,使用胶囊网络来分辨输入数据是否为对抗样本。但是,目前的防御方案中,输入预处理会导致输入图片质量下降,降低原始无噪声图像的分类准确率,同时该防御方案大多对扰动较大的对抗样本有较好的防御效果,扰动越小防御效果越差。改进神经网络模型在一定程度下会降低神经网络模型的分类准确率,但其更大缺点是需要重新训练网络模型,同时仅在当前神经网络模型下有防御作用,防御策略无法迁移至其他网络模型,并且随着对抗攻击的升级,防御策略也要跟随升级(否则无法防御更新后的对抗攻击),这导致该防御有着极高的网络训练成本。仅识别是否为对抗样本不进行处理:无法对对抗样本进行识别,有时会误识别受到轻微随机噪声影响的输入数据。目前大部分防御策略要使用对抗样本进行训练,造成了额外的训练成本。综上所述,现有技术存在的问题是:(1)传统对图像的去噪及降低深度神经网络过拟合程度已经无法防御这些对抗样本的攻击,并且目前的防御方案存在训练成本大,防御迁移能力差的缺点。(2)目前的防御方案中,输入预处理会导致输入图片质量下降,降低原始无噪声图像的分类准确率,同时该防御方案大多对扰动较大的对抗样本有较好的防御效果,扰动越小防御效果越差。(3)改进神经网络模型的方法需要重新训练网络模型,同时仅在当前神经网络模型下有防御作用,防御策略无法迁移至其他网络模型,并且随着对抗攻击的升级,防御策略也要跟随升级(否则无法防御更新后的对抗攻击),这导致该防御有着极高的网络训练成本。(4)仅识别是否为对抗样本而不进行处理:无法对对抗样本进行识别,有时会误识别受到轻微随机噪声影响的输入数据。目前大部份防御策略要使用对抗样本进行训练,造成了训练成本过高。解决上述技术问题的难度:由于成对抗样本的算法在不断的改进,导致:生成对抗样本的代价也越来越低,更容易生成对抗样本用于攻击。对抗样本攻击能力也越来越强。(3)攻击方式也由纯白盒攻击转向黑盒攻击。解决上述技术问题的意义:目前很多深度学习解决方案已经进入人们的日常生活,如人脸识别、自动驾驶、视频检测等,对抗样本的存在给这些解决方案的使用带来了巨大的风险。比如,在人脸识别系统中,不法分子可以利用对抗样本冒用他人身份,入侵政府或公司内部系统,窃取机密信息。又或者,在自动驾驶过程中,使用对抗样本覆盖真实的路标,车辆自动驾驶系统将无法对该路标做出正确的决策,从而引发严重的交通事故。因此设计安全性要求严苛的深度学习解决方案时,必须考虑如何防御对抗样本的攻击。对抗样本的存在极大的限制了深度学习解决方案的使用,因此,研究如何有效的防御对抗样本攻击具有巨大的现实意义。
技术实现思路
针对现有技术存在的问题,本专利技术提供了一种基于VAE-GAN的对抗样本防御方法,旨在解决现有对抗样本防御方案存在的防御训练成本高、防御方案通用性差以及防御方案可能导致原始分类器分类精度下降等问题。本专利技术是这样实现的,一种基于VAE-GAN的对抗样本防御方法,所述基于VAE-GAN的对抗样本防御方法使用变分自动编码器(VAE)和生成对抗网络(GAN)对对抗样本进行去噪,VAE作为分类器的预处理模型对对抗样本进行去噪处理,GAN用于辅助VAE的训练,使得VAE输出的图像结果更加接近于原始无噪声的图像。进一步,所述基于VAE-GAN的对抗样本防御方法包括以下步骤:步骤一,选择合适的网络结构构建VAE-GAN训练网络。步骤二,对VAE-GAN网络进行训练。步骤三,使用VAE-GAN模块作为分类器预处理模块防御对抗样本的攻击。采用VAE和GAN的融合VAE-GAN模型来防御对抗样本攻击,模型如图6所示,通过步骤二训练一个专门针对于对抗样本的VAE-GAN降噪模型作为分类器的预处理块,任何输入到分类器的样本都需要先通过VAE-GAN模型的降噪,然后才送入分类器模型中进行分类,最终使分类器能正确识别对抗样本。进一步,步骤一中,所述选择合适的网络结构构建VAE-GAN训练网络的方法如下:选择合适的网络结构构建VAE-GAN训练网络,对于分类器的不同VAE和GAN选择的神经网络结构也不同,对于小的数据集VAE和GAN选择使用DNN结构,对于大的数据集VAE和GAN就需要选择更深的神经网络或者卷积神经网络。进一步,步骤一中,所述VAE-GAN包含两个部分:VAE部分与GAN部分。VAE主要功能是将输入的图像进行去噪,然后通过GAN使得VAE重建图像分布尽可能的接近原始图像分布,以保证去除噪声后图像质量接近于原始无噪声图像。VAE又可以分为Encoder编码部分以及Decoder解码部分。Encoder主要是将输入的图像样本映射成两组n维矢量(均值矢量和标准差矢量)。Decoder主要将这两组n维矢量添加噪声后恢复为原始的图像样本。本专利技术通过GAN辅助训练变分自动编码器的Decoder,从而提高变分自动编码器(VAE)生成图像的质量。GAN包含两个部分:生成器(Generator)将一维矢量z转化为图像,辨别器(Discriminator)用于识别输入图像是真实图像还是生成器生成图像。在解码/生成网络中VAE的解码网络和GAN的生成网络共用该部分网络参数,为方便描述,之后统一称为解码网络。进一步,步骤二中,所述对VAE-GAN网络进行训练的方法如下:在完成VAE-GAN的网络构建后,需要先确定整个网络的优化目标,所述VAE-GAN防御模型包含三个网络,分别为编码网络、解码网络和判别网络,三个网络的优化目标各不相同本文档来自技高网...
【技术保护点】
1.一种基于VAE-GAN的对抗样本防御方法,其特征在于,所述基于VAE-GAN的对抗样本防御方法使用变分自动编码器VAE和生成对抗网络GAN对对抗样本进行去噪,并利用GAN辅助变分自动编码器VAE的训练,使变分自动编码器VAE输出的图像结果接近原始无噪声图像。/n
【技术特征摘要】
1.一种基于VAE-GAN的对抗样本防御方法,其特征在于,所述基于VAE-GAN的对抗样本防御方法使用变分自动编码器VAE和生成对抗网络GAN对对抗样本进行去噪,并利用GAN辅助变分自动编码器VAE的训练,使变分自动编码器VAE输出的图像结果接近原始无噪声图像。
2.如权利要求1所述的基于VAE-GAN的对抗样本防御方法,其特征在于,所述基于VAE-GAN的对抗样本防御方法包括以下步骤:
步骤一,选择合适的网络结构构建VAE-GAN训练网络;
步骤二,对VAE-GAN网络进行训练;
步骤三,使用VAE-GAN模块作为分类器预处理模块防御对抗样本的攻击。
3.如权利要求1所述的基于VAE-GAN的对抗样本防御方法,其特征在于,步骤一中,所述选择合适的网络结构构建VAE-GAN训练网络的方法如下:
选择合适的网络结构构建VAE-GAN训练网络,对于分类器的不同VAE和GAN选择的神经网络结构也不同,对于小的数据集VAE和GAN选择使用DNN结构,对于大的数据集VAE和GAN就需要选择更深的神经网络或者卷积神经网络。
4.如权利要求1所述的基于VAE-GAN的对抗样本防御方法,其特征在于,步骤一中,所述VAE-GAN包含两个部分:VAE部分与GAN部分;VAE主要功能是将输入的图像进行去噪,然后通过GAN使得VAE重建图像分布尽可能的接近原始图像分布;
VAE又可以分为Encoder编码部分以及Decoder解码部分;Encoder主要是将输入的图像样本映射成两组n维矢量,均值矢量...
【专利技术属性】
技术研发人员:何永庆,王海卫,王荣耀,王珂,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。