本发明专利技术属于量子对抗机器学习技术领域,公开了一种基于量子局部内在维度的对抗样本检测方法及系统,包括数据预处理;样本划分;量子态制备;计算待测样本LID估计值;训练二分类检测器;二分类检测器评估与优化;本申请旨在解决基于局部内在维度的对抗样本检测算法高时间复杂度问题,充分利用量子计算并行优势,一次性计算待测样本与所有样本间的相似度,避免了经典算法中的冗余计算;并结合量子相位估计算法QPE和量子Grover搜索算法计算出待测样本的局部内在维度;最后以局部内在维度LID值作为检测器的评判依据,检测区分出对抗样本。相较于经典方法计算局部内在维度,提出的检测算法更高效,降低了时间复杂度,实现了指数级加速。速。速。
【技术实现步骤摘要】
一种基于量子局部内在维度的对抗样本检测方法及系统
[0001]本专利技术属于量子对抗机器学习
,尤其涉及一种基于量子局部内在维度的对抗样本检测方法。
技术介绍
[0002]目前,机器学习发展迅速,尤其是基于人工神经网络的深度学习逐渐渗透到人们生活中的各个领域,如图像识别、信号处理以及优化组合。然而在实际应用中,可能会存在大量的攻击者对深度神经网络(Deep Nueral Network,DNN)模型进行对抗样本攻击,致使DNN模型对其分类或预测出错。现如今,已有很多研究者在此基础上提出不同种类的对抗样本攻击方法来生成对抗样本,如基于梯度的攻击方法、基于超平面分类的攻击方法、基于雅可比矩阵的显著性图攻击方法、基于优化的攻击方法等,对抗样本的输入使得深度学习模型在置信水平极高的情况下做出错误判断,给深度学习的实际应用带来了巨大挑战。
[0003]现在对抗样本防御方法主要分为对抗攻击防御和对抗攻击检测两个方面:
[0004](1)对抗攻击防御是指研究者提出针对对抗样本攻击的防御方法,使得深度学习模型在输入对抗样本的情况下仍然保持良好的性能,提高了深度学习模型的鲁棒性。Goodfellow等人为了使模型适应不同属性的样本集,提出对抗训练方法,将对抗样本与正常样本一同输入模型中训练,提高模型的分类准确率;Athalye等人分析了对抗样本生成方法的通用思想,提出了梯度掩码方法以隐藏模型原始的梯度信息,可有效规避基于梯度的攻击方法;Liao等人将人眼无法察觉的对抗扰动视为噪声,设计高阶表征引导去噪器来消除这些噪声,从而达到防御的效果;Papernot等人提出防御蒸馏方法,使用该方法平滑训练得到蒸馏模型,提高模型的泛化能力,使得模型在面对攻击时具备高弹性。
[0005](2)对抗攻击检测是指通过分析样本的对抗性,设计检测算法区分出对抗样本。Xu等人提出特征压缩方法,将不必要的输入特征压缩,通过减少每个像素的颜色位深度和像素值的空间平滑,降低攻击的自由度,以DNN预测出的结果与原始样本预测结果的差值是否超过阈值的标准来检测出样本属性;Feinman等人根据对抗样本与正常样本分布流形区域的不同,使用核密度法(Kernel Density Estimates,KDE)和贝叶斯不确定性估计法(Bayesian Uncertainty Estimates,BUE)来检测出低置信区域的数据点;Pang等人使用逆交叉熵方法作为目标函数训练神经网络模型,通过设置的阈值策略来识别检测出对抗样本;Ma等人分析了对抗性区域的特点,证明了基于不同密度的检测方法对于对抗性区域的定性具有局限性,提出使用局部内在维度(Local Intrinsic Dimensionality,LID)来表征对抗性区域的内在维度,并将样本的LID估计值作为分类检测器的评判依据,根据检测器输出的标签来区分出对抗样本,实验表明,基于LID的检测方法可在多种攻击策略下比KDE、BUE等检测方法更具优势。
[0006]然而,许多对抗攻击防御方法在面对多样化的攻击时仍存在一定的局限性。因为在面对更优化的对抗样本攻击时,已有的对抗攻击防御方法可能不再适用。
[0007]通过上述分析,现有技术存在的问题及缺陷为:
[0008](1)对抗样本攻击:由于目前的深度学习模型的脆弱性,很容易遭受到对抗样本攻击。攻击者可以通过向原始样本中添加对抗扰动来诱导深度学习模型做出错误的预测或分类。因此,对抗样本攻击使得深度学习模型的可信度大大降低。
[0009](2)对抗样本防御:目前的对抗样本防御方法虽然可以提高深度学习模型的鲁棒性,但是这些方法的性能往往会受到模型结构的复杂度和攻击者的攻击策略的影响。此外,这些防御方法在面对更优化的对抗样本攻击时,可能将不再适用。
[0010](3)对抗样本检测:目前的对抗样本检测方法可以有效检测出对抗样本,但是目前大部分的检测方法已被成功规避或对于某类攻击性强的对抗样本检测效果较差,从而无法完全抵御对抗样本攻击。此外,随着数据集规模以及特征维度的扩大,对抗样本检测方法的运行效率将大大降低。
技术实现思路
[0011]针对现有技术存在的问题,本专利技术提供了一种基于量子局部内在维度的对抗样本检测方法。
[0012]本专利技术是这样实现的,一种基于量子局部内在维度的对抗样本检测方法,所述基于量子局部内在维度的对抗样本检测方法具体包括以下步骤:
[0013]S1:数据预处理;对原始样本集进行归一化处理,使得数据分布在统一的范围内;
[0014]S2:样本划分;对预处理后的数据进行样本划分得到待测样本集与训练样本集,然后再按照以下步骤计算每个待测样本与训练样本集之间的LID估计值;
[0015]S3:量子态制备;根据振幅编码规则,将待测样本与训练样本集的属性值进行量子态制备,并将量子态作为量子算法的输入;
[0016]S4:计算待测样本的LID估计值;使用SWAP
‑
Test算法、量子相位估计QPE算法以及量子Grover算法计算出与待测样本邻近k个样本的距离,结合公式计算出待测样本的LID估计值并保存;
[0017]S5:训练二分类检测器;为不同属性样本的LID估计值添加不同的标签,并将数值和标签一同输入二分类检测器中进行监督学习;
[0018]S6:二分类检测器评估与优化;构建训练集和测试集,使用测试集对训练好的模型进行评估,得到模型的性能指标;根据模型评估的结果,对模型进行优化;最终得到一个能准确分类出对抗样本的二分类检测器。
[0019]进一步,所述S2中的样本划分:将对抗样本和部分正常样本划分为待测样本集,以便后续对正常样本和对抗样本的计算结果做对比;将所有但不包括当前待测样本的正常样本集划分为训练样本集。
[0020]进一步,所述S3中量子态制备具体如下:
[0021]根据振幅编码规则,将待测样本与训练集样本的属性值进行归一化,得到待测样本x1=[x
11
,x
12
,...,x
1N
]T
和所有但不包括x1的样本集Y=[Y1,Y2,...,Y
M
]T
;
[0022]其中Y
j
=[Y
j1
,Y
j2
,...,Y
jN
]T
,(j∈[1,N]),N代表每个样本的特征维数,M代表Y样本集中样本的数量,Y
j
表示样本集中第j个样本,其向量元素Y
jN
为样本归一化后的属性值;
[0023]将编码的结果x1和Y作为量子算法的输入,分别制备为量子叠加态|α>和|β>:
[0024][0025][0026]进一步,所述S4中计算待测样本LID估计值具体包括如下步骤:
[0027]S401:计算量子态|α>和|β>的相似度;
[0028]S402:通本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于量子局部内在维度的对抗样本检测方法,其特征在于,包括以下步骤:S1:数据预处理;对原始样本集进行归一化处理,使得数据分布在统一的范围内;S2:样本划分;对预处理后的数据进行样本划分得到待测样本集与训练样本集,然后再按照以下步骤计算每个待测样本与训练样本集之间的LID估计值;S3:量子态制备;根据振幅编码规则,将待测样本与训练样本集的属性值进行量子态制备,并将量子态作为量子算法的输入;S4:计算待测样本的LID估计值;使用SWAP
‑
Test算法、量子相位估计以及量子Grover算法计算出与待测样本邻近k个样本的距离,并结合公式计算出待测样本的LID估计值并保存;S5:训练二分类检测器;为不同属性样本的LID估计值添加不同的标签,并将数值和标签一同输入二分类检测器中进行监督学习;S6:二分类检测器评估与优化;构建训练集和测试集,使用测试集对训练好的模型进行评估,得到模型的性能指标;根据模型评估的结果,对模型进行优化;最终得到一个能准确分类出对抗样本的二分类检测器。2.如权利要求1所述基于量子局部内在维度的对抗样本检测方法,其特征在于,所述S2中的样本划分具体为:将对抗样本和部分正常样本划分为待测样本集,以便后续对正常样本和对抗样本的计算结果做对比;将所有但不包括当前待测样本的正常样本集划分为训练样本集。3.如权利要求1所述基于量子局部内在维度的对抗样本检测方法,其特征在于,所述S3中量子态制备具体如下:根据振幅编码规则,将待测样本与训练集样本的属性值进行归一化,得到待测样本x1=[x
11
,x
12
,...,x
1N
]
T
和所有但不包括x1的样本集Y=[Y1,Y2,...,Y
M
]
T
;其中Y
j
=[Y
j1
,Y
j2
,...,Y
jN
]
T
,(j∈[1,N]),N代表每个样本的特征维数,M代表Y样本集中样本的数量,Y
j
表示样本集中第j个样本,其向量元素Y
jN
为样本归一化后的属性值;将编码的结果x1和Y作为量子算法的输入,分别制备为量子叠加态|α>和|β>:分别制备为量子叠加态|α>和|β>:4.如权利要求1所述基于量子局部内在维度的对抗样本检测方法,其特征在于,所述S4中计算待测样本LID估计值具体包括如下步骤:S401:计算量子态|α>和|β>的相似度;S402:通过量子相位估计QPE算法,将测量出的相似度转换到量子比特上;S403:使用量子Grover搜索算法搜索出最相似的k个样本集,并保存其对应的相似度;相似度从大到小排列,可表示为:max{d1(x1,Y
ind1
),d2(x1,Y
ind2
),...,d
k
(x1,Y
indk
)},其中indk代表样本索引值;S404:将相似度转换为余弦距离;S405:将计算出的余弦距离代入LID求值公式得到...
【专利技术属性】
技术研发人员:昌燕,张瑜,张仕斌,
申请(专利权)人:成都信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。