【技术实现步骤摘要】
本专利技术涉及深度学习模型的对抗样本防御领域,具体涉及一种针对图像分类任务的对抗样本防御方法及系统。
技术介绍
1、随着深度学习被应用在诸多模式识别任务上,并且在不断超越人工智能的上限,在某些任务上的表现甚至超越了人类。但是,它们容易受到对抗样本的影响,以高置信度输出错误的分类结果。这严重威胁到了如自动驾驶等高安全需求场景的正常运转。
2、对抗净化是对抗样本防御的一种,能够在样本输入到深度学习分类器前,消除对抗扰动对分类结果的负面影响,通常包括一个或两个操作:输入样本破坏和输入样本重建。第一种对抗净化使用各种操作来破坏对抗扰动。buckman等人提出了一种离散化方法对输入样本进行预处理。hosseini等人使用随机子抽样对输入样本进行预处理。qiu等人首先使用基于离散余弦变换的量化来压缩输入样本,然后使用随机剔除和位移来进一步扭曲输入样本。raff等人将许多原生变换组合成一个随机操作来预处理输入样本。这些方法是模型无关的。xie等人和borkar等人在深度学习分类器的中间层增加了一个可训练的预处理模块,对特征进行预处理。这些方法是模型相关的。此外,上述方法都破坏了输入样本表面的良性信息,严重影响了深度学习分类器的泛化能力。
3、第二种对抗净化首先破坏对抗扰动,然后重建输入样本。song等首先在输入样本上加入随机高斯噪声,然后使用pixelcnn来净化输入样本。liao等人使用深度学习分类器的特征重建损失来训练unet,净化输入样本。dai等人训练unet并使用自适应停止策略来保证神经网络主要学习鲁棒特征。
4、在上述对抗净化方法中,模型相关的方法在白盒和黑盒设置下都存在二次攻击问题。虽然半模型相关的方法和模型无关的方法中包含不可求导的操作,但是他们在白盒和黑盒设置下仍然存在二次攻击问题,例如bpda对抗样本、eot对抗样本。
技术实现思路
1、本专利技术的目的在于提供一种针对图像分类任务的对抗样本防御方法及系统,以克服现有技术的不足。
2、一种针对图像分类任务的对抗样本防御方法,包括以下步骤:
3、s1,构建具有残差结构的深度卷积自编码器的图像对抗样本净化器,并采用添加高斯噪声的图像训练数据对图像对抗样本净化器进行训练,使图像对抗样本净化器的训练损失最小化,得到预训练的图像对抗样本净化器;
4、s2,采用预训练的图像对抗样本净化器对预处理图像样本进行净化,利用净化后的图像样本低图像分类模型进行训练。
5、优选的,添加高斯噪声的图像训练数据具体包括添加高斯噪声zk的正常图像样本x+zk、图像对抗样本添加高斯噪声zk的图像对抗样本
6、优选的,采用添加高斯噪声的图像训练数据训练n个图像对抗样本净化器{φ1,…,φk,…,φn}过程中,采用初始参数对初始的图像对抗样本净化器进行初始化,对第k-2个图像对抗样本净化器φk-2以第k-1个图像对抗样本净化器φk-1的参数θk-1作为初始化参数。
7、优选的,每个图像对抗样本净化器φk的损失函数lk包括:净化后的图像样本与正常图像样本x的最小均方误差损失、净化后的图像样本在预训练的图像分类模型f上的交叉熵分类损失。
8、优选的,训练获得的n个图像对抗样本净化器{φ1,…,φk,…,φn}各不相同,每个预训练的图像分类模型f与其中一个图像对抗样本净化器进行组合,形成不同的决策边界。
9、优选的,训练第一个图像对抗样本净化器φ1的图像对抗样本通过预训练的图像分类模型f生成,训练第k个图像对抗样本净化器φk的图像对抗样本是分别在第k-1与k-2个图像对抗样本净化器{φk-1,φk-2}和预训练的图像分类模型f的组合上生成。
10、优选的,采用添加高斯噪声的图像训练数据对图像对抗样本净化器进行训练过程中,使用非连续的优化参数,最小化训练损失{l1,…,lk,…,ln},获得n个图像对抗样本净化器{φ1,…,φk,…,φn}。
11、一种针对图像分类任务的对抗样本防御系统,包括图像对抗样本净化器和防御模块;
12、图像对抗样本净化器:通过构建具有残差结构的深度卷积自编码器的图像对抗样本净化器,并采用添加高斯噪声的图像训练数据对图像对抗样本净化器进行训练,使图像对抗样本净化器的训练损失最小化,得到预训练的图像对抗样本净化器;
13、防御模块,通过采用预训练的图像对抗样本净化器对预处理图像样本进行净化,利用净化后的图像样本低图像分类模型进行训练。
14、优选的,添加高斯噪声的图像训练数据具体包括添加高斯噪声zk的正常图像样本x+zk、图像对抗样本添加高斯噪声zk的图像对抗样本
15、优选的,采用添加高斯噪声的图像训练数据训练n个图像对抗样本净化器{φ1,…,φk,…,φn}过程中,采用初始参数对初始的图像对抗样本净化器进行初始化,对第k-2个图像对抗样本净化器φk-2以第k-1个图像对抗样本净化器φk-1的参数θk-1作为初始化参数。
16、与现有技术相比,本专利技术具有以下有益的技术效果:
17、本专利技术提供了一种针对图像分类任务的对抗样本防御方法,通过构建具有残差结构的深度卷积自编码器的图像对抗样本净化器,并采用添加高斯噪声的图像训练数据对图像对抗样本净化器进行训练,使图像对抗样本净化器的训练损失最小化,得到预训练的图像对抗样本净化器;采用预训练的图像对抗样本净化器对预处理图像样本进行净化,利用净化后的图像样本低图像分类模型进行训练,本专利技术使用添加高斯噪声的图像训练数据对图像对抗样本净化器进行训练,提升净化后的正常图像样本与图像对抗样本在预训练的图像分类模型上的分类准确率,然后最大化净化器之间的差异,使用连续随机性,阻止攻击者对预训练的图像分类模型生成图像对抗样本。
18、优选的,采用初始参数对初始的图像对抗样本净化器进行初始化,对第k-2个图像对抗样本净化器φk-2以第k-1个图像对抗样本净化器φk-1的参数θk-1作为初始化参数,这样做能够防止φk出现灾难性遗忘,无法将图像对抗样本净化为正常图像样本。
本文档来自技高网...【技术保护点】
1.一种针对图像分类任务的对抗样本防御方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,添加高斯噪声的图像训练数据具体包括添加高斯噪声ZK的正常图像样本X+ZK、图像对抗样本添加高斯噪声ZK的图像对抗样本
3.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,采用添加高斯噪声的图像训练数据训练N个图像对抗样本净化器{Φ1,...,ΦK,...,ΦN}过程中,采用初始参数对初始的图像对抗样本净化器进行初始化,对第K-2个图像对抗样本净化器ΦK-2以第K-1个图像对抗样本净化器ΦK-1的参数θK-1作为初始化参数。
4.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,每个图像对抗样本净化器ΦK的损失函数LK包括:净化后的图像样本与正常图像样本X的最小均方误差损失、净化后的图像样本在预训练的图像分类模型F上的交叉熵分类损失。
5.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,训练获得的N个图像对抗样本净化器{
6.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,训练第一个图像对抗样本净化器Φ1的图像对抗样本通过预训练的图像分类模型F生成,训练第K个图像对抗样本净化器ΦK的图像对抗样本是分别在第K-1与K-2个图像对抗样本净化器{ΦK-1,ΦK-2}和预训练的图像分类模型F的组合上生成。
7.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,采用添加高斯噪声的图像训练数据对图像对抗样本净化器进行训练过程中,使用非连续的优化参数,最小化训练损失{L1,...,LK,...,LN},获得N个图像对抗样本净化器{Φ1,...,ΦK,...,ΦN}。
8.一种针对图像分类任务的对抗样本防御系统,其特征在于,包括图像对抗样本净化器和防御模块;
9.根据权利要求8所述的一种针对图像分类任务的对抗样本防御系统,其特征在于,添加高斯噪声的图像训练数据具体包括添加高斯噪声ZK的正常图像样本X+ZK、图像对抗样本添加高斯噪声ZK的图像对抗样本
10.根据权利要求8所述的一种针对图像分类任务的对抗样本防御系统,其特征在于,采用添加高斯噪声的图像训练数据训练N个图像对抗样本净化器{Φ1,...,ΦK,...,ΦN}过程中,采用初始参数对初始的图像对抗样本净化器进行初始化,对第K-2个图像对抗样本净化器ΦK-2以第K-1个图像对抗样本净化器ΦK-1的参数θK-1作为初始化参数。
...【技术特征摘要】
1.一种针对图像分类任务的对抗样本防御方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,添加高斯噪声的图像训练数据具体包括添加高斯噪声zk的正常图像样本x+zk、图像对抗样本添加高斯噪声zk的图像对抗样本
3.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,采用添加高斯噪声的图像训练数据训练n个图像对抗样本净化器{φ1,...,φk,...,φn}过程中,采用初始参数对初始的图像对抗样本净化器进行初始化,对第k-2个图像对抗样本净化器φk-2以第k-1个图像对抗样本净化器φk-1的参数θk-1作为初始化参数。
4.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,每个图像对抗样本净化器φk的损失函数lk包括:净化后的图像样本与正常图像样本x的最小均方误差损失、净化后的图像样本在预训练的图像分类模型f上的交叉熵分类损失。
5.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方法,其特征在于,训练获得的n个图像对抗样本净化器{φ1,...,φk,...,φn}各不相同,每个预训练的图像分类模型f与其中一个图像对抗样本净化器进行组合,形成不同的决策边界。
6.根据权利要求1所述的一种针对图像分类任务的对抗样本防御方...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。