本发明专利技术公开了一种基于图像内在Wasserstein距离的对抗防御方法及装置,以以提升分类器的鲁棒性。该方法包括如下步骤:S1、获取用于训练神经网络的目标数据集;S2、构建内在Wasserstein距离来衡量对抗样本和干净样本x之间的相似度;S3、使用内在Wasserstein距离构造对抗攻击以生成多样化对抗样本;S4、构建对抗训练目标函数并在目标数据集上训练模型。本发明专利技术提出的内在Wasserstein距离的对抗攻击方法可以生成多样化的对抗样本,将生成的多样化对抗样本覆盖整个低维数据流形,以提升分类器的鲁棒性。
【技术实现步骤摘要】
本专利技术涉及深度神经网络技术,具体涉及一种基于图像内在wasserstein距离的对抗防御方法及装置。
技术介绍
1、近年来,深度神经网络已被广泛应用于计算机视觉等领域并取得了突破性的进展。然而,深度神经网络容易受到对抗样本的攻击。这些对抗样本在视觉上不被人类所感知却可引导网络对其误分类,给安全要求严格的现实场景(例如人脸识别、医疗诊断等)带来了巨大的威胁。因此,研究如何防御对抗样本的攻击获得鲁棒的网络具有重要的现实意义。
2、为解决上述问题,现有防御方法常用lp度量距离扰动原始干净样本以生成对抗样本,并将这些对抗样本加入训练过程中,以得到对对抗干扰鲁棒的深度神经网络。然而,由于该度量距离扰动范围较小,使得生成的对抗样本难以填补低维数据流形上的数据空洞,极大地限制了网络模型训练后的鲁棒性。
技术实现思路
1、本专利技术的目的在于克服上述现有技术的不足,提供一种基于图像内在wasserstein距离的对抗防御方法及装置,以以提升分类器的鲁棒性。
2、为实现上述目的,本专利技术的技术方法是:
3、第一方面,本专利技术提供一种基于图像内在wasserstein距离的对抗防御方法,包括如下步骤:
4、s1、获取用于训练神经网络的目标数据集;
5、s2、构建内在wasserstein距离来衡量对抗样本和干净样本x之间的相似度;
6、s3、使用内在wasserstein距离构造对抗攻击,以生成多样化对抗样本;
>7、s4、构建对抗训练目标函数并在目标数据集上训练模型。8、进一步地,所述内在wasserstein距离定义为:
9、令和分别是从两个样本x和参加抽取的n块;
10、将x和的内在分布分别定义为和其中δ为狄拉克分布,
11、分别给定x和的内在分布μ和v,内在wasserstein距离被定义为:
12、
13、其中γ为所有边缘分布为μ和v构成的联合分布γ的集合。
14、进一步地,所述步骤s3包括:
15、基于内在wasserstein距离,提出优化以下对抗损失函数,以产生对抗样本:
16、
17、其中,并且μ和v分别为x和中的块的内在分布,||f||l是f的利普希茨常数;g为生成器,旨在生成对抗样本f为判别器,在区分对抗样本和干净样本x中块的分布。
18、进一步地,所述步骤s3还包括:
19、对于无目标攻击,分类损失函数被定义为预测值g(x,z)和真实标签y之间的距离;对于目标攻击,分类损失函数被定义为预测值g(x,z)和目标标签yt之间的距离;分类损失函数在数学上的形式为:
20、以达到分类器将对抗样本误分类的目。
21、进一步地,所述步骤s3还包括:
22、对抗攻击的总目标函数被写为:
23、
24、其中τ为超参数。
25、进一步地,所述对抗训练目标函数为为极小极大目标函数,数学形式上为:
26、
27、其中,和β为超参数。
28、进一步地,在所述抗训练目标函数中,第一项旨在最小化将预测h(x)跟真实标签y之间的分类损失最小化,第二项则激励产生约束下对抗样本。
29、进一步地,基于公式(5),在划分的训练数据集上利用随机梯度下降算法训练目标模型至收敛。
30、第二方面,本专利技术提供一种基于图像内在wasserstein距离的对抗防御装置,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上任一所述方法的步骤。
31、第三方面,本专利技术提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述方法的步骤。
32、本专利技术与现有技术相比,其有益效果在于:
33、本专利技术提出的内在wasserstein距离的对抗攻击方法可以生成多样化的对抗样本,将生成的多样化对抗样本覆盖整个低维数据流形,以提升分类器的鲁棒性。
本文档来自技高网...
【技术保护点】
1.一种基于图像内在Wasserstein距离的对抗防御方法,其特征在于,包括如下步骤:
2.如权利要求1所述的基于图像内在Wasserstein距离的对抗防御方法,其特征在于,所述内在Wasserstein距离定义为:
3.如权利要求2所述的基于图像内在Wasserstein距离的对抗防御方法,其特征在于,所述步骤S3包括:
4.如权利要求3所述的基于图像内在Wasserstein距离的对抗防御方法,其特征在于,所述步骤S3还包括:
5.如权利要求4所述的基于图像内在Wasserstein距离的对抗防御方法,其特征在于,所述步骤S3还包括:
6.如权利要求5所述的基于图像内在Wasserstein距离的对抗防御方法,其特征在于,所述对抗训练目标函数为为极小极大目标函数,数学形式上为:
7.如权利要求6所述的基于图像内在Wasserstein距离的对抗防御方法,在所述抗训练目标函数中,第一项旨在最小化将预测h(x)跟真实标签y之间的分类损失最小化,第二项则激励产生约束下对抗样本。
8.如权利要求7所述的基于图像内在Wasserstein距离的对抗防御方法,其特征在于,基于公式(5),在划分的训练数据集上利用随机梯度下降算法训练目标模型至收敛。
9.一种基于图像内在Wasserstein距离的对抗防御装置,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8中任一所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8中任一所述方法的步骤。
...
【技术特征摘要】
1.一种基于图像内在wasserstein距离的对抗防御方法,其特征在于,包括如下步骤:
2.如权利要求1所述的基于图像内在wasserstein距离的对抗防御方法,其特征在于,所述内在wasserstein距离定义为:
3.如权利要求2所述的基于图像内在wasserstein距离的对抗防御方法,其特征在于,所述步骤s3包括:
4.如权利要求3所述的基于图像内在wasserstein距离的对抗防御方法,其特征在于,所述步骤s3还包括:
5.如权利要求4所述的基于图像内在wasserstein距离的对抗防御方法,其特征在于,所述步骤s3还包括:
6.如权利要求5所述的基于图像内在wasserstein距离的对抗防御方法,其特征在于,所述对抗训练目标函数为为极小极大目标函数,数学形式上为:
7....
【专利技术属性】
技术研发人员:谭明奎,张书海,李金城,
申请(专利权)人:人工智能与数字经济广东省实验室广州,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。