本发明专利技术属于人工智能科学领域,提供了一种基于集成防御的鲁棒性增强的分类方法及装置,主旨在于解决传统图像去噪、自编码网络去噪和原有蒸馏防御的问题。主要方案包括首先将取自图像的原始数据集经过数据预处理后进行特征提取;然后对图像进行是否是对抗样本的分类检测,主要步骤为将图像分别进行传统图像去噪、深度学习去噪,将原对抗样本和两种去噪图像分三次输入到原始分类模型中进行预测,分别计算两次去噪图像预测的标签概率与原图像预测概率之差,并取差值的最大值,若差值大于某阈值则判别输出为对抗样本,反之则不是;最后对模型进行梯度平滑的鲁棒性增强,鲁棒性增强模型。
【技术实现步骤摘要】
一种基于集成防御的鲁棒性增强的分类方法及装置
本专利技术属于人工智能科学领域,其用途是利用对抗样本检测和模型平滑的集成防御方式对原始网络进行鲁棒性增强,首先用对抗样本检测检测出部分对抗样本,无法正确分类的对抗样本进一步使用梯度平滑后的模型进行正确分类,梯度平滑主要利用了软标签来替代硬标签,最后达到对原始神经网络模型进行鲁棒性增强和区分出对抗样本的效果,同时涉及了一种提升深度神经网络模型鲁棒性的装置。
技术介绍
深度学习是目前研究最活跃的计算机领域之一,其已被证明在很多机器学习的问题上处理表现优异,如人脸识别、图片分类和物品跟踪等。这些深度神经网络(DNN)能够有效地从大量训练样本中学习高度精确的模型,然后以非常高的准确度对看不见的样本进行分类。然而,这种用于分类的模型却极易遭受由攻击者精心设计的对抗样本的攻击,这种攻击能使原始的分类模型的准确率大大下降,甚至能使模型将数据分类为攻击者想要的类别。这种对抗样本对于深度学习的应用产生极大的威胁,引发了相关安全问题的广泛讨论。在此之前有人提出了知识蒸馏的方法,其最初设计是用于使用从不同DNN传输的知识来训练DNN。有研究者基于此制定了一种新的蒸馏变体来提供防御训练:使用从原始DNN中提取的知识来提高其对抗样本的适应能力,而不是在不同的体系结构之间传递知识。但是传统的蒸馏防御技术限制了用于蒸馏的小规模的学生模型的结构,一些扰动较大的对抗样本本身非常难以分类准确,单纯使用学生模型难以提升包含对抗样本的大规模数据集的分类准确率,同时会进一步降低原始干净图像的分类准确率;此外,传统的对抗样本防御方法成本更高,对于模型的改动更大,难以部署到真实场景中。使用对抗样本检测的方法能够将扰动特性难以确定、扰动大的图像进行检测性二分类,再结合提升模型鲁棒性的方法能够对剩余分类后的样本进行更准确的分类,综合来看成本更低,防御效果更好。
技术实现思路
针对上述研究的问题,本专利技术的目的在于提供一种基于集成防御的鲁棒性增强的分类方法及装置,解决传统图像去噪、自编码网络去噪和原有蒸馏防御方法。为了达到上述目的,本专利技术采用如下技术方案:一种基于集成防御的鲁棒性增强的分类方法,数据预处理:计算机获取训练集中的原始训练数据和原始训练数据的真实标签进行预处理,原始训练数据包括多张图像,图像为基本的图像数据集mnist或cifar10数据集,并将原始训练数据集通过对抗样本生成算法fgsm、BIM、CW生成原始对抗样本,最后输入进行分类检测的原始图像数据集包括原始训练数据和原始对抗样本数据;对抗样本去噪:将预处理后的各图像分别进行图像位数压缩去噪和深度学习自编码网络去噪;对抗样本分类预测:将原始图像数据和两种去噪图像分三次输入到原始分类模型中进行预测,得到原始干净图像的预测值p1,压缩去噪图像预测值p2和自编码网络去噪预测值p3;对抗样本分类检测:分别计算压缩去噪图像预测值p2和自编码网络去噪预测值p3与原始干净图像的预测值p1之差,即p3和p1的差值d2,p2和p1的差值d1,取差值d2和d1中的最大值,若差值大于给定阈值则判别输入为对抗样本,反之则不是;模型增强:经检测后的图像数据无法保证将对抗样本进行完全的分类,被分类为非对抗样本的图像数据中仍然可能包含一定数量的对抗样本,这些样本需要依靠模型进行自动正确分类,对模型进行进一步的鲁棒性增强从而增加正确分类对抗样本的概率,对教师神经网络进行知识蒸馏,将教师神经网络的知识迁移到小规模低复杂度的学生模型,利用得到的第二次概率分布向量对学生模型进行训练得到最终的鲁棒性增强模型;鲁棒性增强模型分类:将分类检测中分类为非对抗样本的图像输入鲁棒性增强模型进行分类,提高模型对于对抗样本的防御能力;进一步,图像进行图像位数压缩去噪的具体步骤如下:首先将图像的输入像素值乘以2i-1,并取整,i指i位图像;将该整数归一化至[0,1],并除以2i-1;通过整数舍入运算,将i位图像压缩至低于i位图像。进一步,深度学习自编码网络去噪采用编码器与解码器结构,两种结构均为卷积神经网络结构;编码器采用卷积层Conv2d-池化层MaxPooling2D-卷积层Conv2d-池化层的双层结构;解码器采用卷积层Conv2d-上采样层UpSampling2D-卷积层Conv2d-上采样层UpSampling2D的双层结构;其中,池化层使得数据降维,上采样层UpSampling2D进行图像上采样将特征图进行放大,图像输入深度学习自编码网络进行降维并重新重构将图像进行去噪。进一步,采用卷积深度学习网络结构MobileNet作为原始分类模型。进一步,得到第二次概率分布向量的具体步骤为:将原始训练数据和原始训练数据的真实标签在蒸馏温度T下用于待增强的教师训练模型进行训练,得到第一次概率分布向量;将原始训练数据与第一次概率分布向量作为新的数据集,在蒸馏温度T下训练规模和复杂度较小的学生模型,但其结构与原始教师模型类似,从而得到第二次概率分布向量。一种基于集成防御的鲁棒性增强的分类装置,该装置主要包括处理器、存储器、通信组件、电源组件、多媒体组件及输入/输出接口。其中,存储器、通信组件、传感器组件、电源组件、多媒体组件及输入/输出接口均与该处理器连接,处理器主要用于对输入的图像数据进行对抗样本的检测分类处理以及模型的鲁棒性增强再训练处理。设备中的存储器主要用于存储原始图像数据及分类为对抗样本和非对抗本的数据,可以选择静态随机存取存储器(SRAM)、电可擦除可编程只读存储器(EEPROM)、可擦除可编程只读存储器(EPROM)、可编程只读存储器(PROM)、只读存储器(ROM)、磁存储器、快闪存储器等;处理器可以选择中央处理器(CPU)、图形处理器(GPU)、现场可编程逻辑门阵列(FPGA)、专用集成电路(ASIC)、数字信号处理(DSP)芯片等。其他通信组件、电源组件、多媒体组件等均可以采用现有智能手机通用部件实现。本专利技术同现有技术相比,其有益效果表现在:本专利技术在经典CNN神经网络模型外部加上了图像去噪的对抗样本分类检测,有效去除大量对抗样本。剩余少部分未去除的对抗样本依靠增强模型再分类准确,对经典CNN模型进行梯度平滑操作得到鲁棒性增强CNN模型,这种方法能够大大提高模型的泛化能力和对于对抗样本的抵抗能力,并且保持不降低原有模型的分类准确率,该方法在分析对抗样本生成原理的基础上进行针对性的防御,为深度神经网络模型针对对抗样本攻击方面的安全性验证和测试,为防御性的对抗训练方法提供数据来源,综上所述,本专利技术能有效针对图像进行分类,对输入中包含的恶意对抗样本有明显的分类效果,在保证干净图像的分类效果不大幅下降的情况下提高了CNN模型的鲁棒性。此外,本集成防御的鲁棒性增强方法也能够推广到除了图像数据集的场景中,如文字、语音和流量监测等需要数据安全性的场景当中。附图说明图1是本专利技术的总体架构图;图2是本专利技术中本文档来自技高网...
【技术保护点】
1.一种基于集成防御的鲁棒性增强的分类方法,其特征在于:/n数据预处理:计算机获取训练集中的原始训练数据和原始训练数据的真实标签进行预处理,原始训练数据包括多张图像,图像为基本的图像数据集mnist或cifar10数据集,并将原始训练数据集通过对抗样本生成算法fgsm、BIM、CW生成原始对抗样本,最后输入到分类检测的原始图像数据包括原始训练数据和原始对抗样本数据;/n对抗样本去噪:将预处理后的原始图像数据分别进行图像位数压缩去噪和深度学习自编码网络去噪,得到去噪后的原始训练数据和原始对抗样本数据;/n对抗样本分类预测:将原始图像数据和去噪后的原始训练数据和原始对抗样本数据分三次输入到原始分类模型中进行预测,得到图像的预测值p
【技术特征摘要】
1.一种基于集成防御的鲁棒性增强的分类方法,其特征在于:
数据预处理:计算机获取训练集中的原始训练数据和原始训练数据的真实标签进行预处理,原始训练数据包括多张图像,图像为基本的图像数据集mnist或cifar10数据集,并将原始训练数据集通过对抗样本生成算法fgsm、BIM、CW生成原始对抗样本,最后输入到分类检测的原始图像数据包括原始训练数据和原始对抗样本数据;
对抗样本去噪:将预处理后的原始图像数据分别进行图像位数压缩去噪和深度学习自编码网络去噪,得到去噪后的原始训练数据和原始对抗样本数据;
对抗样本分类预测:将原始图像数据和去噪后的原始训练数据和原始对抗样本数据分三次输入到原始分类模型中进行预测,得到图像的预测值p1,压缩去噪图像预测值p2和自编码网络去噪预测值p3;
对抗样本分类检测:分别计算压缩去噪图像预测值p2和自编码网络去噪预测值p3与原始干净图像的预测值p1之差,即p3和p1的差值d2,p2和p1的差值d1,取差值d2和d1中的最大值,若差值大于给定阈值则判别输入为对抗样本,反之则不是;
模型增强:经检测后的图像数据无法保证将对抗样本进行完全的分类,被分类为非对抗样本的图像数据中仍然可能包含一定数量的对抗样本,这些样本需要依靠模型进行自动正确分类,对模型进行进一步的鲁棒性增强从而增加正确分类对抗样本的概率,对教师神经网络进行知识蒸馏,将教师神经网络的知识迁移到小规模低复杂度的学生模型,利用得到的第二次概率分布向量对学生模型进行训练得到最终的鲁棒性增强模型;
鲁棒性增强模型分类:将分类检测中分类为非对抗样本的图像输入鲁棒性增强模型进行分类,提高模型对于对抗样本的防御能力。
2.根据权利要求1所述的一种基于集成防御的鲁棒性增强的分类方法,其特征在于:图像进行图像位数压缩去噪的具体步骤如下:
首先将图像的输入像素值乘以2i-1,并取整,i指i位图像;
将该整数归一化至[0,1],并除以2i-1;
通过整数舍入运算,将i位图像压缩至低于i位图像。
3.根据权利要求1所述...
【专利技术属性】
技术研发人员:张小松,牛伟纳,丁康一,周杰,李信强,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。