一种对抗样本防御方法、系统、介质、设备及终端技术方案

本发明专利技术属于人工智能安全技术领域，公开了一种对抗样本防御方法、系统、介质、设备及终端，输入待分类的图像数据，使用分类网络结合攻击算法得到包含原始数据和对抗样本数据的数据集；使用数据集训练生成对抗网络，利用生成器对对抗样本进行“映射”，生成一个新的重构样本来达到去噪的效果；将重构样本输入最终的分类模型中完成分类。对发明专利技术中使用的分类器和鉴别器均采用全卷积的形式进行改进；发明专利技术中使用的生成器使用3个stride＝2的卷积层获得特征图，再使用3个stride＝2的逆卷积层恢复原始分辨率。本发明专利技术能够有效地解决图像样本遭受对抗攻击的问题，在保证防御精度的同时大大降低训练成本，使算法更具鲁棒性，更有利于后续的分类任务。分类任务。分类任务。

【技术实现步骤摘要】
一种对抗样本防御方法、系统、介质、设备及终端


[0001]本专利技术属于人工智能安全
，尤其涉及一种对抗样本防御方法、系统、介质、设备及终端。

技术介绍

[0002]目前，人工智能的理论和技术正在不断成熟。深度学习作为人工智能领域的高级算法，在人工智能逐渐成为社会发展必然趋势的同时，不可避免地被应用于许多与安全相关的关键任务中，尤其以图像领域中的应用最为普及与深入。
[0003]自“对抗样本”出现以来，人工智能便开始面临许多潜在的威胁。攻击者可以在样本中添加人类难以察觉的扰动来进行攻击。比如目前热度最高的“智能驾驶”，它就是通过训练模型在道路上做出决策的，在智能驾驶过程中，车辆通过智能动态调速与前车保持车距，传感器自动识别交通指示牌来决策车辆动作。若攻击者在交通指示牌上添加极其细微的扰动使其变成对抗样本，那么智能驾驶汽车势必会将其识别错误从而给出错误的决策，这将会引起非常严重的交通事故，从而造成人员伤亡。现阶段人工智能也被应用在银行、保险等金融系统中来为客户的信用进行打分，对抗样本同样能使神经网络错误预测客户信用，从而给个人和机构造成巨大的财产损失。能源、电力、金融、国防等关系到国家核心利益的基础设施也容易受到对抗样本攻击，从而给国家和社会带来非常恶劣的影响。这些都将破坏整个人工智能生态应用的进程与基本信任。所以对抗样本防御方法的研究是目前的研究重点。
[0004]迄今为止，研究者们针对对抗样本提出了如对抗训练、数据压缩、样本重构等多种防御方法。但这些方法都不同程度地存在一定的局限性，如数据资源浪费、防御不彻底、准确率和成本达不到平衡等。基于GAN的防御方法相较其他防御方法的原理和实现比较简单，并且属于完全防御，不会造成数据资源的浪费。但这类防御方法也存在很多不足，比如防御框架中的网络模型在训练的过程中会消耗大量的训练成本，生成对抗网络中生成器网络的设计会影响生成的重构样本的分布，即影响对抗样本的去噪效果，进而影响防御准确率等等。因此，亟需设计一种新的对抗样本防御方法。
[0005]通过上述分析，现有技术存在的问题及缺陷为：
[0006](1)现有对抗样本防御方法会造成数据资源浪费，且防御范围有限、防御效果和成本达不到平衡。
[0007](2)现有基于GAN的防御方法存在训练成本高、重构样本不真实、防御效果差等缺陷。
[0008](3)现有基于GAN的防御框架中的网络模型在训练过程中需要消耗大量训练成本，生成对抗网络中生成器的设计影响重构样本的分布，进而影响防御准确率。

技术实现思路

[0009]针对现有技术存在的问题，本专利技术提供了一种对抗样本防御方法、系统、介质、设
备及终端，尤其涉及一种基于生成对抗网络的对抗样本防御方法、系统、介质、设备及终端。
[0010]本专利技术是这样实现的，一种对抗样本防御方法，对抗样本防御方法包括：输入待分类的图像数据，结合攻击算法得到包含原始数据和对抗数据的数据集；使用数据集训练生成对抗网络，并利用生成器生成与原始图像样本分布一致的重构样本；将重构样本输入最终的分类模型中完成分类。其中分类器和生成对抗网络中的鉴别器采用全卷积的形式，生成器使用卷积层和逆卷积层设计。本专利技术的创造性在于，防御框架中使用的各网络模型的设计能够解决当前防御方法的缺陷。防御框架中使用的分类器模型和鉴别器模型均采用微网络结构设计，这样做能够大大减小训练成本，并且能够提高分类准确率；采用带步长的卷积层和逆卷积层构造生成对抗网络中的生成器，训练之后生成的“重构样本”更真实，可以进一步提高对“重构样本”的识别准确率，达到提高防御效果的目的。
[0011]进一步，对抗样本防御方法包括以下步骤：
[0012]步骤一，向用于训练的分类器模型中输入原始样本数据集；
[0013]步骤二，在分类器模型中结合攻击算法生成对抗样本，构造训练生成对抗网络需要使用的包含原始数据和对抗数据的数据集；
[0014]步骤三，使用步骤二得到的数据集，结合生成器和鉴别器的零和博弈损失函数训练生成对抗网络；
[0015]步骤四，将待分类的对抗样本数据输入训练好的生成对抗网络的生成器中，生成重构样本(该重构样本的分布几乎与原始样本一致)；
[0016]步骤五，将重构样本输入最终的分类器模型中进行分类实现对抗样本的防御。
[0017]进一步，步骤一和步骤五中使用的分类器模型采用全卷积的形式对传统的网络结构进行改进，具体包括：
[0018](1)获取输入的原始图像样本数据；
[0019](2)输入数据经过卷积核为5的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；
[0020](3)对步骤(2)的结果经过Relu激活函数，激活神经元，利用非线性变换的特征，使神经元对输入信号做出反应；
[0021](4)设置池化窗口为2*2，步长为2，池化窗口对步骤(3)的结果，从最左上方开始，按从左往右、从上往下的顺序依次在数组中滑动，窗口中的输入子数组的平均值为输出数组中相应位置的元素；
[0022](5)以步骤(4)的结果作为输入数据，继续循环执行步骤(2)、(3)(4)1次；
[0023](6)将步骤(5)的结果经过卷积核为4的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；
[0024](7)将步骤五的结果使用log_softmax函数得到概率最大的结果，确定分类器对输入样本分类的最终结果。
[0025]进一步，对步骤三中的鉴别器也进行了与上述分类器一样的改进，具体包括：
[0026](1)获取输入的待判别的图像数据；
[0027](2)输入数据经过卷积核为3、步长为2的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；
[0028](3)对步骤(2)的结果进行标准化处理，使同一个batch的特征图满足均值为0，方
差为1的分布规律；
[0029](4)对步骤(3)的结果经过Leaky_Relu激活函数，激活神经元，改变神经网络的运作方式；
[0030](5)以步骤(4)的结果作为输入数据，继续循环执行步骤(2)、(3)(4)2次；
[0031](6)将步骤(5)的结果经过卷积核为1、步长为2的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；
[0032](7)将步骤(6)的结果经过卷积核为1的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；
[0033](8)将步骤(7)的结果使用sigmoid函数将不同的距离转化为概率的形式即为输入图像最终的判别结果。
[0034]进一步，步骤三中的生成器采用卷积层和逆卷积层构成，如图8所示，具体包括：
[0035](1)获取输入的图像数据；
[0036](2)输入数据经过卷积核为4、本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对抗样本防御方法，其特征在于，对抗样本防御方法包括：输入待分类的图像数据，使用分类网络结合FGSM攻击算法得到包含原始数据和对抗样本数据的数据集；使用数据集训练生成对抗网络的生成器和鉴别器；将对抗样本输入训练好的生成器中生成与原始图像样本分布一致的重构样本；将重构样本输入最终的分类模型中完成分类。2.如权利要求1所述的对抗样本防御方法，其特征在于，对抗样本防御方法包括以下步骤：步骤一，向分类器模型中输入原始图像样本数据集；步骤二，在分类器模型中结合攻击算法生成对抗样本，构造包含原始样本和对抗样本的数据集；步骤三，使用步骤二得到的数据集，结合生成器和鉴别器的零和博弈损失函数训练生成对抗网络；步骤四，将待分类的对抗样本数据输入训练好的生成器中，生成与原始样本分布一致的重构样本；步骤五，将重构样本输入最终的分类器模型中进行分类；其中，分类器和鉴别器采用全卷积的形式；生成器使用3个stride＝2的卷积层获得特征图，再使用3个stride＝2的逆卷积层恢复原始分辨率。3.如权利要求2所述的对抗样本防御方法，其特征在于，步骤二中，根据下式生成对抗样本：式中，x表示原始样本，ε表示权重参数，L(x,y)表示损失函数；步骤三中，根据下式分别计算生成器和鉴别器的损失值：l
g
＝ε1l
mse
+ε2l
adv
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(2)式中，l
mse
表示去噪误差，l
adv
表示对抗性损失，分别定义如下：表示对抗性损失，分别定义如下：式中，A、B分别表示图像的横坐标和纵坐标，X和X
adv
分别表示原始样本和对抗样本。4.如权利要求2所述的对抗样本防御方法，其特征在于，步骤一和步骤五中，用于训练和最终的分类器模型使用全卷积层的形式对网络结构进行改进，具体包括：(1)获取输入的原始图像样本数据；(2)输入数据经过卷积核为5的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；(3)对步骤(2)的结果经过Relu激活函数，激活神经元，利用非线性变换的特征，使神经元对输入信号做出反应；(4)设置池化窗口为2*2，步长为2，池化窗口对步骤(3)的结果，从最左上方开始，按从左往右、从上往下的顺序依次在数组中滑动，窗口中的输入子数组的平均值为输出数组中
相应位置的元素；(5)以步骤(4)的结果作为输入数据，继续循环执行步骤(2)、(3)(4)1次；(6)将步骤(5)的结果经过卷积核为4的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；(7)将步骤五的结果使用log_softmax函数得到概率最大的结果，确定分类器对输入样本分类的最终结果。5.如权利要求2所述的对抗样本防御方法，其特征在于，步骤三中的鉴别器同样使用全卷积层构成神经网络，具体包括：(1)获取输入的待判别的图像数据；(2)输入数据经过卷积核为3、步长为2的卷积层对图像中每个通道的矩阵从左到右、从上到下进行互相关运算，提取输入图像数据的信息；(3)对步骤(2)的结果进行标准...

【专利技术属性】
技术研发人员：卢嘉中，王晨莉，舒健，吴畏，许小锋，卢虹宇，
申请(专利权)人：成都信息工程大学，
类型：发明
国别省市：