一种针对大尺寸图像分类的对抗样本混合防御方法技术

本发明专利技术提供一种针对大尺寸图像分类的对抗样本混合防御方法，涉及信息安全技术领域。该方法首先训练原始分类模型，并训练对攻击方法有抵抗性的分类模型，得到强化分类模型；再对输入样本图像进行自适应去噪检测，通过特征压缩检测判断输入样本图像是否为对抗样本；并对检测出的对抗样本进行图像预处理；最后根据样本分类结果将输入样本输入导入分类模型或强化分类模型进行分类。该方法能抵抗从大尺寸图片数据集上生成的对抗样本，能同时兼顾到对抗样本和干净样本，在具有防御性能的强化模型对干净样本分类的过程中，能够保证一定的准确性，相比于单一的防御策略具有更优越的泛化性能。能。能。

【技术实现步骤摘要】
一种针对大尺寸图像分类的对抗样本混合防御方法


[0001]本专利技术涉及信息安全
，尤其涉及一种针对大尺寸图像分类的对抗样本混合防御方法。

技术介绍

[0002]近年来深度神经网络在各种应用中表现出了卓越的性能，但深度学习的流行揭示了深度神经网络容易受到对抗样本的攻击。不法分子通过故意制造敌对的例子可以操纵深度神经网络从而产生不正确的输出。
[0003]安全问题是对抗性的，其中有防御者—好人角色，例如，网络管理员、反病毒公司、防火墙制造商、计算机用户等，尽管受到外部威胁，他们仍然试图保持工作效率；还有攻击者—坏人角色，传播恶意软件、发送垃圾邮件和网络钓鱼电子邮件、侵入易受攻击的计算设备、窃取数据或执行拒绝服务攻击，不管他们出于什么恶意目的。恶意的攻击者通常利用机器学习算法的缺点，通过修改训练或测试样本来降低机器学习系统的性能，从而达到他们的非法目的。由于大多数的机器学习系统在设计之初并没有考虑到可能遭受的攻击，因此目前大多数机器学习算法在对抗环境下性能较差，只要有少量攻击就能使系统的性能大大降低，这严重影响机器学习算法在安全领域中的应用。在这种环境下，对抗机器学习(Adversarial Machine Learning，AML)领域应运而生，目的是研究机器学习方法在对抗性环境下的脆弱性，并开发出使机器学习对对抗性操作具有鲁棒性的技术。目前，对抗学习，即对抗环境下的机器学习，已成为机器学习研究中的一个热门方向。
[0004]传统的机器学习算法基于一个平稳性假设，即假设训练和测试数据来自同一个分布。但在对抗环境中，这一假设不再成立。对抗环境中的机器学习假定在一定的前提条件下，攻击者能操纵部分训练或测试数据，使得训练数据和测试数据具有不同的分布，从而误导分类器的学习和逃脱分类器的检测。攻击者和防御者之间构成一种互相竞争的关系，它们不断地考虑对方的策略并提出相应的针对反击措施。攻击者通过探索安全系统所存在的漏洞来设计新型的攻击，而防御者通过筛选训练样本和提升分类器的鲁棒性来对抗攻击。这一过程不断地重复，直到达到一个博弈均衡。
[0005]对抗样本防御方法开始朝着以下三个方向发展：
[0006](1)第一个方向是抵抗更广泛更强大攻击的防御方法。大多数防御方法面对强大的攻击方法时往往效果很差。设计出的防御方法可以抵抗快速梯度符号法、基本迭代法等基于梯度的攻击方法仅仅是第一步，还要能够抵御目前最强攻击方法的对抗攻击，例如C&W攻击方法。
[0007](2)第二个方向是抵抗二次对抗攻击。对抗样本防御方法不仅要可以抵抗对抗攻击，还要尽可能地不会被针对此防御方法生成的对抗样本攻破，也就是要可以抵御二次对抗攻击。
[0008](3)第三个方向是抵抗在大尺寸图片数据集上生成的对抗样本。许多防御方法可以十分有效地对抗小尺寸图片数据集上生成的对抗样本，例如MNIST数据集和CIFAR数据
集。然而，这些防御方法对大尺寸图片数据集(例如ImageNet数据集)生成的对抗样本却没那么有效。在实际应用中人工智能系统处理的往往是大尺寸的自然图像，因此设计一个可以抵抗在大尺寸图片数据集上生成的对抗样本的防御方法是目前备受关注的问题。

技术实现思路

[0009]本专利技术要解决的技术问题是针对上述现有技术的不足，提供一种针对大尺寸图像分类的对抗样本混合防御方法，抵抗从大尺寸图片数据集上生成的对抗样本。
[0010]为解决上述技术问题，本专利技术所采取的技术方案是：一种针对大尺寸图像分类的对抗样本混合防御方法，
[0011]训练原始分类模型；
[0012]训练对攻击方法有抵抗性的强化分类模型；
[0013]对输入原始分类模型的样本图像进行检测，确定输入样本是干净样本还是对抗样本；
[0014]针对对抗样本，自适应地选择图像预处理方式进行预处理；
[0015]使用原始分类模型和强化分类模型对样本图像进行分类识别并分析识别结果；
[0016]具体包括以下步骤：
[0017]步骤1：使用干净图片数据集训练测试原始分类模型M1；
[0018]步骤1.1：训练；首先导入干净图片数据集并创建列表样本，将列表转换为数组格式；然后获取符合分类模型要求的二维特征数据，将样本拆分为训练数据集和测试数据集，使用训练数据训练原始分类模型，获取分类的精确度；
[0019]步骤1.2：测试；将干净图片测试数据集导入训练阶段得到的分类模型，根据像素坐标轴对干净图片数据集进行划分，对划分之后的图片进行维度、格式的调整，使测试数据集与训练数据集保持一致，之后进行分类并获取精确度，保存分类模型M1；
[0020]步骤2：训练对攻击方法有抵抗性的的分类模型M1，得到强化分类模型M2；使用多种攻击方法去攻击训练好的分类M1模型，生成原始干净数据集对应的对抗样本，将这些对抗样本作为新增加的数据与干净数据一起放入分类模型M1中进行再训练，直至训练出对这些攻击方法有抵抗性的强化分类模型M2；
[0021]步骤3：对输入样本图像S进行自适应去噪，生成去噪后的样本图像S1；
[0022]首先以适当的间隔对样本进行量化，该间隔是通过计算样本的熵来确定的；熵还被用来确定是否需要对量化样本进行平滑处理，仅当熵大于阈值时，才会通过滤波器对其进行平滑；
[0023]步骤4：对输入分类模型M1的样本图像S进行特征压缩检测，确定输入样本图像S是干净样本还是对抗样本；
[0024]将原始样本图像S、中值平滑后的样本图像S2以及非局部均值平滑后的样本图像S3输入分类模型M1进行预测，得到预测值f1、f2、f3，计算f1和f2之间的距离d1以及f1和f3之间的距离d2，取d1和d2的最大值与阈值T进行比较，如果max(d1，d2)>T，则说明输入样本S为对抗样本，反之则为干净样本；
[0025]同时，将自适应去噪后的样本图像S1输入分类模型M1进行分类预测，如果分类结果和原始样本图像S的分类结果相同，则进一步确定原始样本图像S为干净样本，反之则进
一步确定原始样本图像S为对抗样本；所述中值平滑的滑动窗口的尺寸设置为2
×
2，在2
×
2的窗口中，中心像素始终位于右下角。非局部均值平滑的搜索窗口设置为12
×
12，领域窗口大小为3
×
3，控制平滑程度的参数为2；
[0026]步骤5：对检测出的对抗样本进行图像预处理；对于检测出的对抗样本，从减少像素颜色深度、局部平滑、非局部平滑和JPEG压缩防御四种预处理方法中随机选择一种进行预处理；
[0027]步骤6：将待分类样本根据样本类型导入分类模型M1或强化分类模型M2进行分类；步骤6.1：根据步骤3的检测结果确定分类模型；如果是干净样本则分别导入原始分类模型M1和强化分类模型M2中进行分类，执行步骤6.2并比较分析分类结果，若是对抗样本则只导入强化模型M2进行分类；
[0028]步骤6.2：判本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对大尺寸图像分类的对抗样本混合防御方法，其特征在于：训练原始分类模型；训练对攻击方法有抵抗性的强化分类模型；对输入原始分类模型的样本图像进行检测，确定输入样本是干净样本还是对抗样本；针对对抗样本，自适应地选择图像预处理方式进行预处理；使用原始分类模型和强化分类模型对样本图像进行分类识别并分析识别结果。2.根据权利要求1所述的一种针对大尺寸图像分类的对抗样本混合防御方法，其特征在于：所述方法具体包括以下步骤：步骤1：使用干净图片数据集训练测试原始分类模型M1；步骤2：训练对攻击方法有抵抗性的分类模型M1，得到强化分类模型M2；步骤3：对输入样本图像S进行自适应去噪，生成去噪后的样本图像S1；步骤4：对输入分类模型M1的样本图像S进行特征压缩检测，确定输入样本图像S是干净样本还是对抗样本；同时，将自适应去噪后的样本图像S1输入分类模型M1进行分类预测，如果分类结果和原始样本图像S的分类结果相同，则进一步确定原始样本图像S为干净样本，反之则进一步确定原始样本图像S为对抗样本；步骤5：对检测出的对抗样本进行图像预处理；对于检测出的对抗样本，从减少像素颜色深度、局部平滑、非局部平滑和JPEG压缩防御四种预处理方法中随机选择一种进行预处理；步骤6：将待分类样本根据样本类型导入分类模型M1或强化分类模型M2进行分类。3.根据权利要求2所述的一种针对大尺寸图像分类的对抗样本混合防御方法，其特征在于：所述步骤1的具体方法为：步骤1.1：训练；首先导入干净图片数据集并创建列表样本，将列表转换为数组格式；然后获取符合分类模型要求的二维特征数据，将样本拆分为训练数据集和测试数据集，使用训练数据训练原始分类模型，获取分类的精确度；步骤1.2：测试；将干净图片测试数据集导入训练阶段得到的分类模型，根据像素坐标轴对干净图片数据集进行划分，对划分之后的图片进行维度、格式的调整，使测试数据集与训练数据集保持一致，之后进行分类并获取精确度，保存分类模型M1。4.根据权利要求3所述的一种针对大尺寸图像分类的对抗样本混合防御方法，其特征在于：所述步骤2的具体方法为：使用多种攻击方法去...

【专利技术属性】
技术研发人员：高超奇，刘礼铭，于莹，张宸，张长胜，张斌，
申请(专利权)人：东北大学，
类型：发明
国别省市：