【技术实现步骤摘要】
一种针对大尺寸图像分类的对抗样本混合防御方法
[0001]本专利技术涉及信息安全
,尤其涉及一种针对大尺寸图像分类的对抗样本混合防御方法。
技术介绍
[0002]近年来深度神经网络在各种应用中表现出了卓越的性能,但深度学习的流行揭示了深度神经网络容易受到对抗样本的攻击。不法分子通过故意制造敌对的例子可以操纵深度神经网络从而产生不正确的输出。
[0003]安全问题是对抗性的,其中有防御者—好人角色,例如,网络管理员、反病毒公司、防火墙制造商、计算机用户等,尽管受到外部威胁,他们仍然试图保持工作效率;还有攻击者—坏人角色,传播恶意软件、发送垃圾邮件和网络钓鱼电子邮件、侵入易受攻击的计算设备、窃取数据或执行拒绝服务攻击,不管他们出于什么恶意目的。恶意的攻击者通常利用机器学习算法的缺点,通过修改训练或测试样本来降低机器学习系统的性能,从而达到他们的非法目的。由于大多数的机器学习系统在设计之初并没有考虑到可能遭受的攻击,因此目前大多数机器学习算法在对抗环境下性能较差,只要有少量攻击就能使系统的性能大大降低,这严重影响机器...
【技术保护点】
【技术特征摘要】
1.一种针对大尺寸图像分类的对抗样本混合防御方法,其特征在于:训练原始分类模型;训练对攻击方法有抵抗性的强化分类模型;对输入原始分类模型的样本图像进行检测,确定输入样本是干净样本还是对抗样本;针对对抗样本,自适应地选择图像预处理方式进行预处理;使用原始分类模型和强化分类模型对样本图像进行分类识别并分析识别结果。2.根据权利要求1所述的一种针对大尺寸图像分类的对抗样本混合防御方法,其特征在于:所述方法具体包括以下步骤:步骤1:使用干净图片数据集训练测试原始分类模型M1;步骤2:训练对攻击方法有抵抗性的分类模型M1,得到强化分类模型M2;步骤3:对输入样本图像S进行自适应去噪,生成去噪后的样本图像S1;步骤4:对输入分类模型M1的样本图像S进行特征压缩检测,确定输入样本图像S是干净样本还是对抗样本;同时,将自适应去噪后的样本图像S1输入分类模型M1进行分类预测,如果分类结果和原始样本图像S的分类结果相同,则进一步确定原始样本图像S为干净样本,反之则进一步确定原始样本图像S为对抗样本;步骤5:对检测出的对抗样本进行图像预处理;对于检测出的对抗样本,从减少像素颜色深度、局部平滑、非局部平滑和JPEG压缩防御四种预处理方法中随机选择一种进行预处理;步骤6:将待分类样本根据样本类型导入分类模型M1或强化分类模型M2进行分类。3.根据权利要求2所述的一种针对大尺寸图像分类的对抗样本混合防御方法,其特征在于:所述步骤1的具体方法为:步骤1.1:训练;首先导入干净图片数据集并创建列表样本,将列表转换为数组格式;然后获取符合分类模型要求的二维特征数据,将样本拆分为训练数据集和测试数据集,使用训练数据训练原始分类模型,获取分类的精确度;步骤1.2:测试;将干净图片测试数据集导入训练阶段得到的分类模型,根据像素坐标轴对干净图片数据集进行划分,对划分之后的图片进行维度、格式的调整,使测试数据集与训练数据集保持一致,之后进行分类并获取精确度,保存分类模型M1。4.根据权利要求3所述的一种针对大尺寸图像分类的对抗样本混合防御方法,其特征在于:所述步骤2的具体方法为:使用多种攻击方法去...
【专利技术属性】
技术研发人员:高超奇,刘礼铭,于莹,张宸,张长胜,张斌,
申请(专利权)人:东北大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。