一种深度神经网络图像分类模型鲁棒性提升方法技术

本发明专利技术针对深度神经网络图像分类模型鲁棒性问题，公开了一种深度神经网络图像分类模型鲁棒性提升方法，属于机器学习和AI智能安全领域。该方法首先基于相同的训练样本集训练n个模型，然后以最大化神经元覆盖率和模型差异行为为指导构建联合优化问题，更新测试样本集中未使n个图像分类模型产生差异行为的样本图像，并采用梯度上升方法求解联合优化问题，得到具有高神经元覆盖率且使n个图像分类模型产生差异行为的样本集，最后对样本集分类并标记正确的标签，加入训练样本集重新训练图像分类模型。本发明专利技术方法能够激活图像分类模型更多的神经元，有助于模型在极端输入下作出正确分类且分类准确率提高，由此模型鲁棒性得到提升。由此模型鲁棒性得到提升。由此模型鲁棒性得到提升。

【技术实现步骤摘要】
一种深度神经网络图像分类模型鲁棒性提升方法


[0001]本专利技术属于机器学习和AI智能安全领域，具体涉及了图像领域的深度神经网络模型鲁棒性提升问题，提出了一种深度神经网络图像分类模型鲁棒性提升的方法。

技术介绍

[0002]现如今，深度神经网络的快速发展使其在日常生活中的各个领域都取得卓越的成绩，比如人脸识别，自动驾驶等。在这些安全攸关的领域，深度神经网络系统在极端情况下的准确率和预测能力就显得尤为重要，如果被精心制作的输入蓄意攻击将导致难以估量的后果，如自动驾驶系统将大雾天气下的左拐标识符识别为右拐。但现有的深度神经网络的数据集多依赖于手动收集并标记，十分有限，且不能揭露系统对罕见输入作出的错误预测。因此通过不断添加输入数据并重新训练模型从而提升深度神经网络模型的鲁棒性，对于促进深度神经网络应用于安全关键领域起到重要作用。
[0003]目前，提升深度神经网络模型鲁棒性的方案主要有三大类，分别是修改模型的输入数据，修改模型网络结构和增加外部模块。在修改模型的输入数据方面，大部分学者通过向训练样本集添加对抗样本进行对抗训练，研究表明，这种方法能够在一定程度上提高深度神经网络的鲁棒性，但对抗训练所需对抗样本的生成耗费时间长，且无论添加多少对抗样本，都存在新的对抗样本再次欺骗网络。本专利技术通过最大化神经元覆盖率来探索深度神经网络逻辑的不同部分，生成新的样本集加入训练样本集对模型进行重新训练，使模型能够在极端输入下作出正确分类，且分类准确率高，提升深度神经网络图像分类模型鲁棒性。

技术实现思路

[0004]本专利技术从三个方面来提升深度神经网络图像分类模型鲁棒性，其一是从测试样本集中选择未使n个图像分类模型产生差异行为的样本图像，并以每一层神经元输出均值作为激活阈值，计算n个图像分类模型的神经元覆盖率，其二是以最大化神经元覆盖率和n个图像分类模型产生差异行为为指导构建联合优化问题更新样本图像，生成具有高神经元覆盖率且对被n个模型分类为不同类别的样本集，其三是将生成的样本集进行分类并标记正确的类别标签并加入训练样本集重新训练。目标是经过重新训练的图像分类模型能够对极端输入作出正确分类，相较于原始模型准确率有所提高，由此模型鲁棒性得到提升。
[0005]本专利技术包括以下步骤：
[0006]步骤一：对n个深度神经网络图像分类模型，基于相同的图像分类数据集，数据集包括训练样本集D和测试样本集C，使用相同的训练样本集D对模型进行训练，得到n个图像分类模型F1,F2,...,F
n
，n是图像分类模型个数，是大于等于2的整数，F
n
代表第n个图像分类模型；
[0007]步骤二：从测试样本集C中随机选取m个样本构成输入样本集Z；
[0008]步骤三：对于输入样本集Z中的每一个样本图像x，使用步骤一训练好的图像分类模型对样本图像x进行分类，n个图像分类模型将样本图像x分类为不同的类别或分类为同
一类别但与x的标签不一致则表示n个图像分类模型存在差异行为，x被分类为同一类别且与x的标签一致则表示n个图像分类模型未存在差异行为；
[0009]步骤四：对于已经使n个图像分类模型产生差异行为的样本图像x保存在样本集S中；
[0010]步骤五：对于未使n个图像分类模型产生差异行为的样本图像x，建立联合优化问题更新样本图像x，产生新的样本图像a，具体地，优化问题有两个子目标：目标一obj1为最大化目标图像分类模型与其它图像分类模型之间的差异行为，目标二obj2为最大化n个图像分类模型的神经元覆盖率，联合优化问题总目标obj表示为
[0011]obj＝obj1+μobj2
[0012][0013][0014]其中联合优化问题总目标obj表示为目标一和添加了平衡参数的目标二之和，μ是两个子目标之间的平衡参数，obj1表示目标图像分类模型与其它图像分类模型分类样本图像x的类别差异的最大化，F
i
(x)[c]表示图像分类模型F
i
分类样本图像x为类别c的概率，F
i
为第i个图像分类模型，F
j
为目标图像分类模型，λ是平衡参数，用来平衡图像分类模型F
i
和目标图像分类模型F
j
的输出，obj2表示最大化n个图像分类模型在输入样本图像x时的神经元覆盖率之和，f
i
(x)表示输入样本图像x时图像分类模型F
i
的神经元覆盖率；
[0015]步骤六：设置约束条件1为像素修改范围为0
‑
255，约束条件2为允许增加或减少上升迭代时梯度平均值个像素，使图像更亮或更暗，约束条件3为允许在图像的任意位置放置一个小矩形，模拟镜头有污垢的场景；
[0016]步骤七：设置神经元激活阈值t为该神经元所在层所有神经元输出的均值，计算n个图像分类模型在样本图像x下的神经元覆盖表，具体地，神经元输出超过t的记为已激活，反之则记为未激活；
[0017]步骤八：采用梯度上升方法对联合优化问题obj求解，具体为，设置梯度迭代次数，针对每一个图像分类模型，从步骤七构建的神经元覆盖表中寻找未被激活的一个神经元记为激活状态，初始梯度为联合优化问题对样本图像x的导数，满足约束条件的前提下迭代地增加梯度更新样本图像x，更新后的样本图像x记为样本图像a；
[0018]步骤九：重复步骤八直至样本图像a被n个模型分类为不同的类别或分类为同一类别但与a的真实标签不一致，则将它保存在样本集S中，或达到梯度迭代次数时停止；
[0019]步骤十：对样本集S进行分类，被图像分类模型F1分类错误的样本标记上正确的类别标签保存在S1中，被图像分类模型F2分类错误的样本标记上正确的类别标签保存在S2中，...，被图像分类模型F
n
分类错误的样本标记上正确的类别标签保存至Sn中；
[0020]步骤十一：重新训练n个图像分类模型，图像分类模型F
i
使用的训练样本集为训练样本集D与针对其模型生成的样本集Si的并集，将样本集Si加入训练样本集进行训练能够有效激活图像分类模型F
i
更多的神经元，提升模型鲁棒性。
附图说明
[0021]附图1为以神经元覆盖率为指导生成新输入样本的流程图。
[0022]附图2为对标签为3的样本图像通过构建联合优化问题更新后的样本图像。
[0023]附图3为LeNet
‑
1模型在Mnist训练集和添加了样本集S1上训练的准确率对比图。
[0024]附图4为LeNet
‑
4模型在Mnist训练集和添加了样本集S2上训练的准确率对比图。
[0025]附图5为LeNet
‑
5模型在Mnist训练集和添加了样本集S3上训练的准确率对比图。
[0026]具体实现方式
[0027]为了使本专利技术的目的，技术方案和优点更加明确，下面将结合具体实例对本专利技术做进一步地详本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种深度神经网络图像分类模型鲁棒性提升方法，其特征在于包括以下步骤：步骤一：对n个深度神经网络图像分类模型，基于相同的图像分类数据集，数据集包括训练样本集D和测试样本集C，使用训练样本集D对模型进行训练，得到n个图像分类模型F1,F2,...,F
n
，n是图像分类模型个数，是大于等于2的整数，F
n
代表第n个图像分类模型；步骤二：从测试样本集C中随机选取m个样本构成输入样本集Z；步骤三：对于输入样本集Z中的每一个样本图像x，使用步骤一训练好的图像分类模型对样本图像x进行分类，n个图像分类模型将样本图像x分类为不同的类别或分类为同一类别但与x的标签不一致表示n个图像分类模型存在差异行为，x被分类为同一类别且与x的标签一致则表示n个图像分类模型未存在差异行为；步骤四：对于已经使n个图像分类模型产生差异行为的样本图像x保存在样本集S中；步骤五：对于未使n个图像分类模型产生差异行为的样本图像x，建立联合优化问题更新样本图像x，产生新的样本图像a，具体地，优化问题有两个子目标：目标一obj1为最大化目标图像分类模型与其它图像分类模型之间的差异行为，目标二obj2为最大化n个图像分类模型的神经元覆盖率，联合优化问题总目标obj表示为obj＝obj1+μobj2obj＝obj1+μobj2其中联合优化问题总目标obj表示为目标一和添加了平衡参数的目标二之和，μ是两个子目标之间的平衡参数，obj1表示目标图像分类模型与其它图像分类模型分类样本图像x的类别差异的最大化，F
i
(x)[c]表示图像分类模型F
i
分类样本图像x为类别c的概率，F
i
为第i个图像分类模型，F
j
是目标图像分类模型，λ是平衡参数，用来平衡图像分类模型F
i
和目...

【专利技术属性】
技术研发人员：孙家泽，李娟，王小银，王曙燕，
申请(专利权)人：西安邮电大学，
类型：发明
国别省市：