一种基于解纠缠抵抗对抗攻击的防御方法技术

技术编号：40588803 阅读：6 留言：0更新日期：2024-03-12 21:48

本发明专利技术提供一种基于解纠缠抵抗对抗攻击的防御方法，该方法通过自行设计的双层自编码器结构对对抗攻击样本进行属性解离，并针对性的进行属性替换，从而实现数据对对抗攻击的防御。首先利用解纠缠技术对目标数据以及辅助的良性数据集进行属性的解离，再利用自行设计的双层自编码器结构对目标数据及辅助数据集进行对抗或良性属性和语义属性进行分离，并进行属性交换，而后由解码器生成恢复样本。本发明专利技术能够有效抵御多种对抗攻击，且恢复样本与未受到对抗攻击的原始样本在视觉上也近似。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及人工智能安全，特别涉及一种基于解纠缠抵抗对抗攻击的防御方法。

技术介绍

1、近年来，深度神经网络在计算机视觉领域取得了优异的成绩。深度神经网络通过多层次的神经元连接和学习算法，能够对图像、视频和其他视觉数据进行高级的模式识别和分析。这使得它们在图像分类、目标检测、人脸识别等任务中表现出色。然而，尽管取得了巨大的进展，深度神经网络在面对对抗性攻击时存在困境。

2、众所周知，深度神经网络天生就容易受到对抗性攻击，这种攻击会制作对抗性示例来欺骗深度神经网络模型，从而阻碍了深度神经网络在安全敏感分类任务和安全信息检索应用中的广泛应用。对抗性攻击是通过对输入数据进行微小的扰动，以使得深度神经网络产生错误的预测结果。这种攻击可以有意地改变图像的像素值或添加人眼无法察觉的干扰，从而使得网络将原本易于识别的图像误分类为其他类别。这对于安全敏感的应用如自动驾驶、视频监控和图像排序系统来说，可能导致严重的后果，因此针对对抗性攻击的防御变得尤为重要。

3、目前人们已经提出了许多针对对抗性攻击的防御方法，其中对抗训练被证明是最有效的策略之一。对抗训练是一种通过生成大量的对抗性样本来重新训练深度神经网络的方法，使其能够更好地识别和应对对抗性攻击。然而，对抗训练也存在一些问题，包括资源密集型和可能损害自然准确性的缺点。因此，为了解决这些问题，本专利技术提出了一个即插即用的防御框架，利用双层自编码器结构快速减轻对抗性示例对模型预测的误导作用。

技术实现思路

1、为解决现有技

2、根据本专利技术的第一方面，提供一种基于解纠缠抵抗对抗攻击的防御方法，包括：

3、双层自编码器包括对抗样本编码器ex、良性样本编码器ey、对抗样本解码器gx、良性样本解码器gy，以及用于区分对抗样本和受干扰的良性样本的鉴别器dx、用于区分良性样本与恢复样本的鉴别器dy、用于保留语义特征的鉴别器dj。

4、步骤1：准备训练集，训练集包括对抗样本训练集和良性样本训练集，对抗样本、良性样本均为图像数据；用双层自编码器结构对对抗样本和良性样本进行属性解离。

5、其中，对于一个对抗样本x和其对应的良性样本y，对抗样本x经ex编码映射、再经过gx处理后得到图像数据x′，良性样本y经ey编码映射、再经过gy处理后得到图像数据y′。

6、x′经过ex处理后得到对抗样本的语义属性和对抗样本的对抗属性y′经过ey处理后得到良性样本的语义属性和良性样本的良性属性

7、步骤2：将解离后的对抗样本的对抗属性与良性样本中的良性属性进行属性交换，通过判别器对属性编码进行处理，得到判别结果。

8、其中，属性交换前，为对抗样本属性编码，为良性样本属性编码，属性交换后，得到为恢复样本属性编码，得到为受干扰的良性样本属性编码；其中表示通道级联；将属性交换前后的属性编码分别输入到鉴别器dj中，分别得到判别结果

9、步骤3：将输入gx得到恢复样本x*，将输入gy得到受干扰的良性样本y*，将x输入鉴别器dx得到dx(x)，将y输入到鉴别器dy得到dy(y)，将x*输入到鉴别器dy得到dy(x*)，y*输入到鉴别器dx得到dx(y*)。

10、步骤4：将训练集中所有对抗样本和良性样本输入双层自编码器结构，重复步骤1至步骤3，基于损失函数对双层自编码器结构进行优化训练，直至损失收敛，则双层自编码器结构优化训练完毕。

11、其中，损失函数根据由双向映射损失lself、鉴别器损失ldis、反馈损失lfb、风格转换损失lst以及视觉损失lve计算得到：

12、leg＝lself+λldis+lst+λ1lfb+λ2lve，λ、λ1、λ2为权衡超参数。

13、双向映射损失其中表示期望值，‖·‖2表示l2范数。

14、鉴别器损失其中α为控制损失函数平衡的超参数，并且：

15、

16、

17、

18、反馈损失其中‖·‖1表示l1范数。

19、风格转换损失lst＝βmse(grx,gry*)+mse(gry,grx*)，其中mse(·)函数表示均值平方差函数，grx、gry*、gry、grx*分别表示样本x、y*、y、x*的特征格里姆矩阵，β表示权衡超参数。

20、视觉损失lve＝‖x-x*‖2+‖y-y*‖2+smooth(x,x*)+smooth(y,y*)，其中分别表示样本a、b经过模糊高频处理后的数据。

21、步骤5：将优化训练完成的对抗样本编码器、良性样本编码器、对抗样本解码器，作为插件部署，以抵抗对抗攻击。

22、进一步地，本专利技术所提供的方法，还包括：步骤1中，选择公共图像数据集良性样本数据集；利用已知的有目标pgd攻击与无目标的pgd攻击生成pp对抗样本训练集，利用已知的无目标pgd攻击和ddn攻击生成dp对抗样本训练集。

23、根据本专利技术的第二方面，提供一种计算机设备，其特征在于，包括：

24、存储器，用于存储指令；以及处理器，用于调用所述存储器存储的指令执行第一方面的方法。

25、根据本专利技术的第三方面，提供一种计算机可读存储介质，其特征在于，存储有指令，所述指令被处理器执行时，执行第一方面的方法。

26、与现有技术相比，本专利技术所构思的上述技术方案至少具有以下有益效果：

27、1、本专利技术是利用自设计的基于解纠缠的双层自编码器和三个鉴别器结构，结合双向映射损失函数、反馈损失函数、鉴别器损失函数以及风格转换损失函数，有效将样本的对抗属性与语义属性解离，并进行交换的操作，进而成功将各种对抗样本恢复为良性样本。本专利技术通过视觉损失函数，进一步优化了恢复样本的视觉效果。

28、2、本专利技术针对数据进行恢复操作以进行防御，因此本专利技术与分类模型无关，在训练后仅需保存两个编码器和一个解码器，从而可以作为各种分类模型的安全插件使用，具有较强的实用价值。

29、3、本专利技术利用解纠缠技术以及自设计的结构对数据进行潜在分布上的调整，使得本专利技术可以有效应对不可知攻击，经实验论证，它能很好的防御各种不同类型的对抗攻击。

30、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本专利技术。

本文档来自技高网...

【技术保护点】

1.一种基于解纠缠抵抗对抗攻击的防御方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，步骤1中，选择公共图像数据集良性样本数据集；利用已知的有目标PGD攻击与无目标的PGD攻击生成PP对抗样本训练集，利用已知的无目标PGD攻击和DDN攻击生成DP对抗样本训练集。

3.一种计算机设备，其特征在于，包括：

4.一种计算机可读存储介质，其特征在于，存储有指令，所述指令被处理器执行时，执行如权利要求1或2所述的方法。

【技术特征摘要】

1.一种基于解纠缠抵抗对抗攻击的防御方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，步骤1中，选择公共图像数据集良性样本数据集；利用已知的有目标pgd攻击与无目标的pgd攻击生成pp对抗样本训练集，利用...

【专利技术属性】
技术研发人员：刘琴，汪淑兰，
申请(专利权)人：湖南大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人