一种基于数据重建和数据过滤的图像对抗样本防御方法技术

本发明专利技术公开了一种基于数据重建和数据过滤的图像对抗样本防御方法，包括如下步骤：步骤1、对抗训练得到初始鲁棒模型；步骤2、通过初始鲁棒模型构造初始鲁棒图像数据集；步骤3、基于GAN的编解码图像转换方法得到图像生成模型；步骤4、构建最终鲁棒模型，输出分类结果。本发明专利技术方法得到的最终鲁棒模型由图像生成模型和重新训练的图像分类模型组成。其中，图像生成模型可以很好地解决对抗样本导致的错误分类、防御策略单一、需要极高训练成本的防御策略不断升级的问题；重新训练的图像分类模型可以很好地解决分类准确率下降较多的问题。以很好地解决分类准确率下降较多的问题。以很好地解决分类准确率下降较多的问题。

【技术实现步骤摘要】
一种基于数据重建和数据过滤的图像对抗样本防御方法


[0001]本专利技术涉及对抗样本防御
，具体涉及一种基于数据重建和数据过滤的图像对抗样本防御方法。

技术介绍

[0002]目前，有很多优秀的深度神经网络解决方案已被广泛应用，比如：图像识别，人脸识别等。尽管如此，但它却非常容易受到对抗样本的攻击，这些对抗样本仅仅是在原始图像上添加细微扰动(人类视觉无法察觉)，就能导致深度神经网络模型对图像的错误分类。对抗样本的存在给这些解决方案的使用带来了巨大的风险。比如，在人脸识别系统中，不法分子可以利用对抗样本冒用他人身份，入侵政府或公司内部系统，窃取机密信息。随着深度神经网络对抗攻击的手段越来越多，攻击所需的扰动也越来越小，防御这些对抗样本的攻击就显得尤为迫切。
[0003]目前存在的防御方案分为三个方向：(1)输入预处理。对图像进行压缩重建，对图像进行缩放，降低图像分辨率，对图像进行去噪；(2)改进神经网络模型。限制神经元的输出，在神经网络模型中添加不可微部分，降低神经网络过拟合，以及在训练集中添加对抗样本提高神经网络模型的鲁棒性；(3)仅识别是否为对抗样本不进行处理。分辨输入数据是否为对抗样本，若是则丢弃。
[0004]目前的防御方案存在的主要问题有：(1)输入预处理会导致输入图像质量下降，降低原始无噪声图像的分类准确率，同时该防御方案大多对扰动较大的对抗样本有较好的防御效果，扰动越小防御效果越差。(2)改进神经网络模型的方法需要重新训练网络模型，同时仅在当前神经网络模型下有防御作用，防御策略无法迁移至其他网络模型，并且随着对抗攻击的升级，防御策略也要跟随升级，这导致该防御有着极高的网络训练成本。(3)仅识别是否为对抗样本而不进行处理，无法对对抗样本进行识别，有时会误识别受到轻微随机噪声影响的输入数据。
[0005]因此，亟需一种能解决分类准确率下降较多、对抗样本导致的错误分类、防御策略单一、需要极高训练成本的防御策略不断升级问题的对抗样本防御方法。

技术实现思路

[0006]为解决现有技术中存在的问题，本专利技术提供了一种基于数据重建和数据过滤的图像对抗样本防御方法，该方法通过对抗训练得到初始鲁棒模型，使用初始鲁棒模型进行图像数据的重建，使用基于GAN的编解码转换模型进行数据过滤，解决了上述
技术介绍
中提到的问题。
[0007]为实现上述目的，本专利技术提供如下技术方案：一种基于数据重建和数据过滤的图像对抗样本防御方法，包括如下步骤：
[0008]步骤1、对抗训练得到初始鲁棒模型；
[0009]步骤2、通过初始鲁棒模型构造初始鲁棒图像数据集；
[0010]步骤3、基于GAN的编解码图像转换方法得到图像生成模型；
[0011]步骤4、构建最终鲁棒模型，输出分类结果。
[0012]优选的，所述对抗训练如下所示：
[0013][0014]其中，X为原始数据集，Y为X对应的标签，θ为模型参数，δ为对抗扰动，ε为扰动空间。
[0015]优选的，所述步骤1中，具体包括如下：
[0016]步骤1.1、将大小为N的原始图像数据集X中的每一张图像x
i
输入初始分类模型进行训练，前向传播计算损失loss，反向传播计算梯度grad并备份；
[0017]步骤1.2、对抗步骤：设置投影梯度下降PGD对抗训练的扰动累积步数为n步，按如下步骤循环：
[0018]步骤1.2.1、对抗攻击，生成对抗样本；
[0019]步骤1.2.1.1、先根据t(t＝1,2,
…
,n)判断当前是否是首步，若是，则要保存未受攻击的grad；
[0020]步骤1.2.1.2、计算第t+1步的对抗扰动r，如下式：
[0021]r＝αg
t
/||g
t
||2；
[0022]其中，g
t
表示当前第t步的梯度，||
·
||2表示l2范数，并且r满足下式：
[0023]||r||2≤ε；
[0024]若r超出范围，则根据下式将其投影回ε内：
[0025]r＝εr/||r||2；
[0026]步骤1.2.1.3、得到中间对抗样本x
i
+r；
[0027]步骤1.2.2、根据t更新梯度；
[0028]步骤1.2.2.1、若t不是最后一步，则将模型当前梯度归0，根据步骤1.2.1.3得到的x
i
+r计算前后向并得到梯度，继续循环；
[0029]步骤1.2.2.2、若t是最后一步，则模型恢复步骤1.1的梯度，根据最终的x
i
+r计算前后向并得到梯度，将梯度累加到步骤1.1的梯度上，跳出循环；
[0030]步骤1.3、根据步骤1.2.2.2的梯度对初始分类模型参数进行更新，得到初始鲁棒模型。
[0031]优选的，在步骤S2中，以随机噪声作为底图和原始图像一起作为初始鲁棒模型的输入，正向传播计算两者在初始鲁棒模型最后一个卷积层上的内容损失content Loss，
[0032][0033]其中，p表示原始图像数据集中的每一张图像，y表示随机噪声底图，l表示模型最后一个卷积层，F
l
表示l层得到的响应，N
l
表示第l层过滤器fliter的个数，M
l
表示fliter的大小，表示底图y在第l层第i个fliter在j位置的输出，表示原始图像p在第l层第i个fliter在j位置的输出；
[0034]若内容损失L
content
>ε，则通过loss反向传播更新底图，更新后转到正向传播，多次迭代获得鲁棒图像，最终构成初始鲁棒图像数据集。
[0035]优选的，所述的图像生成模型由编码器和解码器两部分组成；
[0036]所述编码器包含两个重复单元，每个重复单元包括两个带ReLU激活函数的3*3步长的卷积层和一个2*2步长的max
‑
pooling层；
[0037]所述解码器包含两个重复单元，每个重复单元包括两个带ReLU激活函数的3*3步长的卷积层和一个upSample层。
[0038]优选的，所述基于GAN的编解码图像转换方法具体包括如下：
[0039]步骤3.1、初始化生成器G与判别器D；
[0040]步骤3.2、迭代执行如下步骤：
[0041]步骤3.2.1、从原始图像数据集和初始鲁棒图像数据集中随机抽取小批量mini
‑
batch图像数据，分别记为X和X
r
；
[0042]步骤3.2.2、将X输入G得到输出图像G(X)；
[0043]步骤3.2.3、将G(X)和X
r
一起送入D，得到相应的分数D(G(X))和D(X
r
)；按式(1)所示的损失函数更新D的参数，
[0044][0045]步骤本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于数据重建和数据过滤的图像对抗样本防御方法，其特征在于，包括如下步骤：步骤1、对抗训练得到初始鲁棒模型；步骤2、通过初始鲁棒模型构造初始鲁棒图像数据集；步骤3、基于GAN的编解码图像转换方法得到图像生成模型；步骤4、构建最终鲁棒模型，输出分类结果。2.根据权利要求1所述的基于数据重建和数据过滤的图像对抗样本防御方法，其特征在于：所述对抗训练如下所示：其中，X为原始数据集，Y为X对应的标签，θ为模型参数，δ为对抗扰动，ε为扰动空间。3.根据权利要求1所述的基于数据重建和数据过滤的图像对抗样本防御方法，其特征在于：所述步骤1中，具体包括如下：步骤1.1、将大小为N的原始图像数据集X中的每一张图像x
i
输入初始分类模型进行训练，前向传播计算损失loss，反向传播计算梯度grad并备份；步骤1.2、对抗步骤：设置投影梯度下降PGD对抗训练的扰动累积步数为n步，按如下步骤循环：步骤1.2.1、对抗攻击，生成对抗样本；步骤1.2.1.1、先根据t(t＝1,2,
…
,n)判断当前是否是首步，若是，则要保存未受攻击的grad；步骤1.2.1.2、计算第t+1步的对抗扰动r，如下式：r＝αg
t
/g
t2
；其中，g
t
表示当前第t步的梯度，
·2表示l2范数，并且r满足下式：r2≤ε；若r超出范围，则根据下式将其投影回ε内：r＝εr/r2；步骤1.2.1.3、得到中间对抗样本x
i
+r；步骤1.2.2、根据t更新梯度；步骤1.2.2.1、若t不是最后一步，则将模型当前梯度归0，根据步骤1.2.1.3得到的x
i
+r计算前后向并得到梯度，继续循环；步骤1.2.2.2、若t是最后一步，则模型恢复步骤1.1的梯度，根据最终的x
i
+r计算前后向并得到梯度，将梯度累加到步骤1.1的梯度上，跳出循环；步骤1.3、根据步骤1.2.2.2的梯度对初始分类模型参数进行更新，得到初始鲁棒模型。4.根据权利要求1所述的基于数据重建和数据过滤的图像对抗样本防御方法，其特征在于：在步骤S2中，以随机噪声作为底图和原始图像一起作为初始鲁棒模型的输入，正向传播计算两者在初始鲁棒模型...

【专利技术属性】
技术研发人员：谭雅月，郑哲妮，刘辉，
申请(专利权)人：西南大学，
类型：发明
国别省市：