【技术实现步骤摘要】
一种应对神经网络对抗性攻击的图像处理方法及系统
[0001]本专利技术涉及图像处理
,具体涉及一种应对神经网络对抗性攻击的图像处理方法及系统。
技术介绍
[0002]深度学习受神经科学启发而来,在计算机视觉领域有很高的分类效果,但是有人发现,深度模型很容易受到细微扰动的攻击。这些细小的扰动对于人类视觉系统来说是几乎无法察觉的,但却可以使得深度模型分类错误,甚至对错误的分类结果表现出很高的置信度。
[0003]抗性示例包含由攻击者专门设计的微小的、可感知的扰动,以愚弄(欺骗)学习模型。这些对抗示例对安全关键应用程序构成严重威胁,例如:自动驾驶汽车、生物特征识别和监控系统。
[0004]为了减轻对抗性攻击给神经网络造成的影响,最近有研究人员提出了各种防御方法。这些可以大致分为两类:
[0005](1)在测试期间修改输入的被动防御,使用图像变换来对抗对抗性扰动的影响。
[0006](2)改变底层体系结构或学习过程的主动防御。通过增加更多的层,集成/对抗训练或改变损失/激活函数。
[00...
【技术保护点】
【技术特征摘要】
1.一种应对神经网络对抗性攻击的图像处理方法,其特征在于,包括以下步骤:获取训练样本图像和经过对抗攻击的样本图像;利用训练样本图像训练对抗攻击防御神经网络模型,并采用交叉熵损失函数使模型分类器学习从神经网络隐藏层特征空间到神经网络输出层类别空间的映射;利用训练后的对抗攻击防御神经网络模型对经过对抗攻击的样本图像进行分类识别。2.根据权利要求1所述的应对神经网络对抗性攻击的图像处理方法,其特征在于,所述交叉熵损失函数具体为:式中,L
CE
(x,y)表示交叉熵损失函数,m表示样本图像数量,表示图像标签y
i
的权重向量,f
i
表示神经网络卷积层提取的第i个样本图像的特征向量,表示图像标签y
i
的偏置向量,k表示模型分类器的类别数量,w
j
表示模型分类器的第j个类别的权重向量,b
j
表示模型分类器的第j个类别的偏置向量,T表示转置操作。3.根据权利要求2所述的应对神经网络对抗性攻击的图像处理方法,其特征在于,所述利用训练样本图像训练对抗攻击防御神经网络模型具体包括以下分步骤:初始化对抗攻击防御神经网络模型参数,并设定迭代总次数;其中模型参数包括模型分类器各个类别的权重向量和偏置向量;判断当前迭代次数是否达到迭代总次数;若当前迭代次数未达到迭代总次数,则收敛交叉熵损失函数,得到模型参数;若当前迭代次数已达到...
【专利技术属性】
技术研发人员:程敏,徐灿,郭乐江,黄俊,涂文婕,
申请(专利权)人:中国人民解放军空军预警学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。