本发明专利技术公布了一种基于公平的鲁棒神经网络的图像分类方法,属于人工智能中的机器学习技术领域。本发明专利技术针对分类任务中的每个类别,对其对抗训练强度进行分类校准,采用本发明专利技术提出的基于公平的鲁棒神经网络的图像分类方法,使得分类模型在最差类别的鲁棒性能够明显优于现有的鲁棒分类方法,从而在安全攸关领域的图像分类任务中具有更高可信性与安全性。以汽车自动驾驶中的路标分类任务为例,使用本发明专利技术进行对抗训练后,分类器能够大幅提升在较难分类类别的路标的鲁棒性,从而提升自动驾驶的安全性。全性。全性。
【技术实现步骤摘要】
一种基于公平的鲁棒神经网络的图像分类方法
[0001]本专利技术属于人工智能中的机器学习
,涉及机器学习图像处理的对抗鲁棒性与安全性。具体为一种基于神经网络对抗训练的图像分类方法,具有高鲁棒性和类别间公平性等特点。
技术介绍
[0002]基于神经网络的机器学习方法在图像分类任务中取得了很大优势,并广泛应用于自动驾驶、智能诊疗等领域。通过将带有类别标签的若干样本作为训练集输入到神经网络中进行训练,可以在测试集中获得令人满意的分类效果。然而,研究发现,经过常规机器学习训练后的神经网络模型普遍存在对抗样本问题。对抗样本是在原输入样本上添加微小扰动,导致模型分类错误的一类样本。对于一个属于类别y的样本x和一个分类预测模型f
θ
,如果模型可以在没有扰动的情况下正确分类x,即argmax
k
f
θ
(x)
k
=y,但添加微小扰动δ后导致误分类,即argmax
k
f
θ
(x+δ)
k
≠y,则x+δ称为对抗样本,其中f
θ
(x)
k
为模型f
θ
对样本x在第k个类的预测概率。
[0003]对抗样本的发现揭示了人工智能安全方面的极大隐患,使攻击者可以通过在输入样本中添加扰动的方法实现对抗攻击,从而对机器学习模型的性能造成干扰。例如,攻击者在交通路标中添加特定的对抗干扰图样,就可以使自动驾驶汽车搭载的路标分类器在行驶过程中错误判断路标类别,从而对交通安全造成威胁。在智能军工领域中,攻击者也可以在装备上涂鸦特定的对抗样本,从而绕过执行侦查任务的智能模型。因此,在一些安全攸关领域的人工智能应用中,需要设计针对对抗样本的防御方法,以避免遭到攻击者添加对抗样本造成对模型性能的破坏。这些带有对抗防御技术的分类方法统称为鲁棒图像分类方法。
[0004]对抗训练技术是一种当前主流的提升图像分类鲁棒性的方法。对抗训练通过将对抗样本加入到机器学习训练过程中,以提高模型的鲁棒性,使得其能够提高在对抗扰动下的准确率(即鲁棒性)。现有的对抗训练方法中,对于一个K分类的任务,设D为收集到的数据集,(x,y)分别表示从数据集中采样得到的样本和类别标签。用θ表示拟合的目标函数f
θ
的参数,其中f
θ
(x)∈[0,1]k
给出对每个类别的预测概率,L(θ;x,y)表示目标函数f
θ
在样本x及其对应标签y上的损失函数。对抗训练的目标是在扰动范围内使用损失函数最高的样本进行训练。一般会预先设定最大扰动半径∈,并依l
p
范数选取扰动范围Δ={δ:||δ||
p
≤∈}。每次采样得到一组样本及其标签(x,y)后,在扰动范围Δ内找到使得L(θ;x+δ,y)最大的扰动δ,并使用x+δ代替x进行训练。综上,一般的对抗训练方法可以表示为如下的优化问题:θ=argmin
θ
E
(x,y)~D
max
δ∈Δ
L(θ;x+δ,y)。经过对抗训练后得到的模型f
θ
,鲁棒性优于普通训练得到的模型,在预测带有对抗干扰的样本x+δ时表现出更高准确性。
[0005]然而近期研究表明,经过对抗训练之后的模型在分类任务中,不同类别的鲁棒性有明显区别。具体而言,模型在处理部分类别的样本时鲁棒性较好,但对一些类别的鲁棒性较差。这对人工智能安全带来了进一步挑战,比如在自动驾驶的路标分类模型中,假设模型在上百种路标的平均鲁棒性较好,但依然可能在一部分类别路标(如限速牌、禁行牌)的分
类上鲁棒性较差,如果攻击者故意选取这些路标上添加对抗干扰,则对正在行驶的汽车带来巨大的安全隐患。截至目前,如何通过对抗训练提高对抗训练的鲁棒公平性,即在每个类别上都具有更好的鲁棒性,依然是待解决的问题。
技术实现思路
[0006]为了克服现有对抗训练方法带来的类别间鲁棒性的显著差异,本专利技术提出一种基于公平的鲁棒神经网络的图像分类方法,主要包括分类扰动基于提高鲁棒公平性的扰动强度校准和参数平均校准两部分,从而在部署的神经网络模型中,对最差情况的类别具有更高的鲁棒性,从而提高分类任务的可信性与安全性。
[0007]本专利技术提供的技术方案如下:
[0008]一种基于公平的鲁棒神经网络的图像分类方法,包括如下步骤:
[0009]A.收集分类任务的数据集D。设分类任务共有K个类别,则需要从每个类别y∈{1,2,
…
,K}中收集同样多的样本,组成若干个样本
‑
标签对(x,y),收入数据集D中。再将训练集D划分为训练集D
train
和验证集D
valid
。接下来初始化一个神经网络f
θ
(如常见的ResNet
‑
18模型),其中θ为网络参数。预先设定的扰动半径为∈,一般选取为8/255。再随机初始化一组神经网络参数其网络结构与f
θ
相同,用于维护模型参数平均。设置鲁棒公平性阈值γ,一般可选取为0.2。设一共训练模型N轮。
[0010]B.在第T∈{1,2,
…
,N}轮训练中,采取梯度下降法进行神经网络的训练。每轮训练依次包括如下步骤:
[0011]B1.对于k∈{1,2,
…
,K},假设模型在上一轮的训练迭代中第k类样本的训练准确率为t
k
,则在此轮训练迭代中,对此类别采取∈
k
←
(λ1+t
k
)
·
∈的扰动半径(如果此轮为第一轮,则∈
k
设为∈)。其中λ1为设定的超参数以避免扰动半径太小,一般可选取为0.5。其目的在于,较困难的类的训练准确率t
k
较小,使得本轮使用的扰动半径∈
k
相应减小,以降低在对抗训练过程中此类样本上的扰动强度;反之亦然。由此,提出的分类校准方法能够在训练过程中自动适应合适的训练扰动强度。
[0012]B2.根据步骤B.1得到的每个类别的扰动半径∈
k
,在训练集D
train
上进行随机梯度下降对对抗训练。对每组小批量样本的{(x
n
,y
n
)},在扰动范围内寻找关于当前模型f
θ
对于x
n
的对抗样本,即求解优化问题max
δ∈Δ
L(θ;x
n
+δ,y
n
),再根据得到的x
n
+δ作为输入对参数θ进行梯度下降优化:其中η为学习率超参数。
[0013]B3.对每轮迭代后得到的参数θ,当模型f
θ
在验证集D
valid
每个类的鲁棒性都不低于γ,即R
k
(θ;D
valid
)≥γ时,将本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于公平的鲁棒神经网络的图像分类方法,包括如下步骤:1)收集分类任务的数据集D,设分类任务共有K个类别,则需要从每个类别y∈{1,2,
…
,K}中收集同样多的样本,组成若干个样本
‑
标签对(x,y),收入数据集D中;2)将训练集D划分为训练集D
train
和验证集D
valid
,初始化一个神经网络f
θ
,其中θ为网络参数,随机初始化一组神经网络参数其网络结构与f
θ
相同,用于维护模型参数平均,设置鲁棒公平性阈值γ,设一共训练模型N轮;3)在第T∈{1,2,
…
,N}轮训练中,每轮训练依次包括如下步骤:3
‑
1)对于k∈{1,2,
…
,K},假设模型在上一轮的训练迭代中第k类样本的训练准确率为t
k
,则在此轮训练迭代中,对此类别采取∈
k
←
(λ1+t
k
)
·
∈的扰动半径,其中λ1为设定的超参数,预先设定扰动半径为∈,较困难的类的训练准确率t
k
较小,使得本轮使用的扰动半径∈
k
相应减小,以降低在对抗训练过程中此类样本上的扰动强度;反之亦然;3
‑
2)根据步骤3
‑
1)得到的每个类别的扰动半径∈
k
,在训练集D
train
上进行随机梯度下降对对抗训练,对每组小批量样本的{(x
n
,y
n
)},在扰动范围内寻找关于当前模型f
θ
对于x
n
的对抗样本,即求解优化问题max
δ∈...
【专利技术属性】
技术研发人员:王奕森,魏泽明,
申请(专利权)人:北京大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。