【技术实现步骤摘要】
本专利技术涉及机器学习领域,具体来说涉及图像分类的扰动对抗领域,更具体地说,涉及一种基于可验证鲁棒auc的端到端对抗训练方法。
技术介绍
1、深度神经网络因为性能较优,在人工智能领域中受到越来越多的关注。虽然深度神经网络在很多领域都有优秀的性能表现,但是其易受到经过精心设计的对抗样本的影响。对抗样本是通过对原样本添加扰动而形成,人类肉眼往往无法发现对抗样本和原样本的区别,且对抗样本能够欺骗深度神经网络,使其做出错误的决策。
2、常见的对抗样本生成方式包括注入噪声分布、像素扰动、设置触发特征等,例如,通过l∞、l2或者l0范数限制为每个样本注入的扰动大小,使得扰动无法被察觉,这种对抗攻击不需要知道网络参数或梯度的任何信息,在cifar、mnist等公开数据集上可以取得高欺骗率。
3、但是目前对于深度神经网络的鲁棒性设计方法主要针对于准确率设计,这种思路假设数据类别分布是总体平衡的。在实际场景中,尤其是在注重安全的任务中,数据往往呈现长尾分布,即少部分类的样本数量很大而大部分类的样本数量很小。因此,针对准确率(acc...
【技术保护点】
1.一种用于图像分类模型的对抗训练方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在所述多次迭代训练中的每次训练中,均对每个类别的每个原始样本对利用以下所述预设的正态分布采样一个该原始样本对的扰动矩阵:
3.根据权利要求2所述的方法,其特征在于,所述预设损失函数计算的损失被配置为与每个类别下的各扰动样本对中扰动正样本在该类别的置信度减去扰动负样本在该类别的置信度的差值之和负相关。
4.根据权利要求3所述的方法,其特征在于,所述图像分类模型为一个基于深度神经网络的特征提取器和一个分类器构成,所述特征提取器用于根据输...
【技术特征摘要】
1.一种用于图像分类模型的对抗训练方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在所述多次迭代训练中的每次训练中,均对每个类别的每个原始样本对利用以下所述预设的正态分布采样一个该原始样本对的扰动矩阵:
3.根据权利要求2所述的方法,其特征在于,所述预设损失函数计算的损失被配置为与每个类别下的各扰动样本对中扰动正样本在该类别的置信度减去扰动负样本在该类别的置信度的差值之和负相关。
4.根据权利要求3所述的方法,其特征在于,所述图像分类模型为一个基于深度神经网络的特征提取器和一个分类器构成,所述特征提取器用于根据输入的图像提取其对应的图像特征,所述分类器用于根据所述图像特征确定该输入的图像在各个类别的置信度,所述输入的图像是任意扰动样本对中的扰动正样本或...
【专利技术属性】
技术研发人员:许倩倩,包世龙,杨智勇,操晓春,黄庆明,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。