【技术实现步骤摘要】
一种对抗攻击检测方法
[0001]本专利技术属于对抗攻击、人工智能技术应用、人工智能系统安全领域,具体涉及一种对抗攻击检测方法。
技术介绍
[0002]深度学习作为一种实现机器学习的技术,具有强大的特征抽取与表示能力、数据拟合能力和复杂问题的解决能力,被广泛应用于图片分类、语音识别、目标检测、机器翻译、推荐系统等各个领域,给人们的生活带来了巨大的便利。但是,深度学习本身存在的一些安全问题,限制了其在安全关键任务上的应用,尤其是深度学习模型面对对抗样本具有极高的脆弱性。在普通样本中故意添加人眼不可识别的微小扰动,就可能导致模型决策机制的改变,从而诱导深度学习模型产生误判。为了扩大深度学习技术在各个领域,尤其是安全关键任务上的应用,现在迫切需要防御对抗样本攻击的有效方法。
[0003]为了防御对抗攻击,很多研究者对数据样本进行预处理以希望去除或降低对抗样本中微小扰动对模型的影响。Guo、Liao等人对样本进行随机化、降噪等预处理;Guo等人随机将样本中的像素替换为其领域的任意像素,并用小波去噪技术让图片更接近自然图片;L...
【技术保护点】
【技术特征摘要】
1.一种对抗攻击检测方法,其特征在于,包括以下步骤:步骤S1,通过多种对抗攻击算法生成对于目标深度神经网络的对抗样本,并与自然输入样本混合作为输入样本;步骤S2,将输入样本输入到目标深度神经网络中提取全局特征和隐含层特征;步骤S3,将输入样本的全局特征和隐含层特征进行特征融合,得到输入样本的最终特征表示;步骤S4,使用输入样本的最终特征表示训练分类器,得到对抗样本检测模型;步骤S5,利用步骤4得到的对抗样本检测模型检测输入数据中是否含有对抗样本。2.根据权利要求1所述的对抗攻击检测方法,其特征在于:所述步骤S1包括:步骤S11,将拟攻击的目标深度神经网络的输入数据集分成训练集和测试集,使用训练集训练好目标深度神经网络预测测试集样本,去除预测错误的样本,剩下的记为自然输入样本;步骤S12,将多种攻击方法在不同参数下分别应用到训练、验证、测试三个集合中的自然输入样本以生成对抗样本,将对抗样本输入到目标深度神经网络中进行分类,丢弃目标深度神经网络可以正确分类的对抗样本,剩余的样本标记为输入样本。3.根据权利要求2所述的对抗攻击检测方法,其特征在于:在步骤S1中,为保证对于每种对抗攻击方法在每种参数下的自然输入样本和对抗样本分布均为1:1,在训练、验证、测试集合中通过随机选择的方法丢弃部分自然输入样本。4.根据权利要求3所述的对抗攻击检测方法,其特征在于:在步骤S1中...
【专利技术属性】
技术研发人员:徐思涵,麦隽韵,王志煜,李君龙,李梅,蔡祥睿,
申请(专利权)人:南开大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。