【技术实现步骤摘要】
基于图像特征分析的抵御神经网络后门攻击方法及系统
本专利技术属于人工智能安全领域,利用图像特征提取技术提取图像特征,基于质心、深度KNN防御策略双重筛查毒化数据,在模型训练之前进行数据清洗,以抵御神经网络后门攻击。
技术介绍
随着近些年来深度学习的发展,神经网络模型已被应用于各个场景,例如机器视觉、语音识别、自动控制、辅助决策等。由于越来越多的深度学习系统需要接受公共和半公共的数据进行训练,如社交网络、多媒体发布服务,这为攻击者实现后门注入提供了新的出路。当深度神经网络使用攻击者精心构造的恶意数据训练时,将会被注入后门,从而导致在特定后门触发器出现时,分类为错误的目标类别,而在正常数据上仍能具有良好的预测准确率。攻击者可以通过以下两种攻击手段构造毒化数据。第一种是直接更改良性数据的标签为后门目标标签,第二种是在良性数据上添加后门触发器并标记为目标类别。然而这两种传统的后门攻击方式由于容易被视觉检验,隐蔽性欠佳。目前,2020年AAAI会议上,研究者提出可以通过构造标签正确的、触发器隐藏的恶意数据蒙蔽训练者,注入后门。...
【技术保护点】
1.一种抵御神经网络后门攻击的图像特征分析方法,其特征在于,包括以下步骤:/n步骤1,数据处理与模型初始化,包括在需要训练新模型且良性数据过少时进行数据增强,得到干净数据集D
【技术特征摘要】
1.一种抵御神经网络后门攻击的图像特征分析方法,其特征在于,包括以下步骤:
步骤1,数据处理与模型初始化,包括在需要训练新模型且良性数据过少时进行数据增强,得到干净数据集Dc;
步骤2,基于初始深度神经网络模型,进行良性数据特征共性分析,包括特征选择和特征提取;
在特征选择阶段,将特征选择的过程融入到全连接层,选择出与标签关联性较强的特征;
在特征提取阶段,将干净数据集Dc送入深度神经网络进行正向传播,提取倒数第二层输出作为特征向量,并根据标签整合成特征向量集Fci;计算每个Fci的特征空间质心μ并确定该类别特征向量能够接受的半径r,使得以μ为中心以r为半径的特征空间中至少包含λ的该类特征向量,所得特征空间域为对应类别可接受的特征范围;其中,λ为预设的百分比;
步骤3,特征差异分析,基于质心防御策略初步筛选恶意数据,实现方式如下,
将待查数据集Du输入深度神经网络进行正向传播,并根据标签将深度神经网络倒数第二层的输出整合成特征向量集Fui;计算Fui中的每一个特征向量与对应标签的质心μi的距离dui,判断dui与该类别特征向量能够接受的半径ri的大小关系,
如果dui>ri,说明该特征向量在可接受半径之外,将其定义为可疑特征向量x(i),并进行步骤4细筛相应可疑数据;
如果dui≤ri,说明该特征向量在可接受半径之内,判定为干净数据,加入到对应标签的Fci中,并将相应数据送入深度神经网络模型进行训练,之后更新对应类别的质心μi和特征向量可接受半径ri;
步骤4,基于深度KNN防御策略二次筛查可疑数据。
2.根据权利要求1所述抵御神经网络后门攻击的图像特征分析方法,其特征在于:步骤4的实现方式如下,
根据步骤3所选出的可疑数据中各类别数据的大小选定K值,并计算出该可疑数据对应特征向量的K个最邻近特征向量,如果该邻近特征向量与可疑数据的标签相同,则投肯定票反之,投否定票比较两种票的数目总合tp,tc的大小关系:
如果tp>tc,则该可疑样本x(i)为干净样本,并进行后续操作;
如果tp<tc,则该可疑样本x(i)为有毒样本,则彻底舍弃该数据;
重复进行上述操作,直到所有的可疑数据均操作完毕,有毒数据被过滤掉。
3.根据权利要求1或2所述抵御神经网络后门攻击的图像特征分析方法,其特征在于:λ=70%。
4....
【专利技术属性】
技术研发人员:王骞,龚雪鸾,周峻韬,张云驻,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。