【技术实现步骤摘要】
本专利技术涉及对抗样本攻击与防御,具体涉及一种基于边缘增强的防御网络构建方法及基于防御网络的对抗样本防御方法。
技术介绍
1、近年来,随着深度学习的发展,深度神经网络(dnn)在计算机视觉和自然语言处理等方面得到了广泛运用,在图像分类和目标检测等任务中展现了优异的性能。然而,深度神经网络也显示出了其脆弱性。在图像识别任务中,对图像进行轻微的扰动,就可能会误导深度神经网络以高置信度输出不正确的预测。这种扰动会使得深度神经网络的性能急剧下降,而人类又很难从视觉上察觉。
2、这种添加了扰动的图像称为对抗样本,生成对抗样本的方法称为对抗样本攻击,目前已经提出了多种对抗样本攻击方法。大多数方法旨在找到基于梯度上升方法的扰动,将其添加到图像中,目前针对这种攻击的主要防御方法是对抗训练,将对抗样本作为训练集,对深度神经网络进行训练,从而使深度神经网络学习到对抗样本的特征,提升深度神经网络的识别准确率。
3、然而,现有的对抗训练方法存在很多限制。这些方法通常使用特定设置的扰动值来生成对抗样本,并使用这些对抗样本对深度神经网络进行训练。这种训练方式在面对不同扰动值生成的对抗样本时表现出较差的鲁棒性,无法保证在各种情况下都能实现样本的准确识别和分类。因此,为了有效抵御潜在的恶意攻击,亟需提供一种具有普遍性的对抗样本防御方法。
技术实现思路
1、本专利技术的目的是为了解决现有的对抗样本防御方法不具有普遍性,导致深度神经网络遭受对抗样本攻击时鲁棒性差的难题,提供一种基于边缘增强的防
2、本专利技术的第一个目的可以通过采取如下技术方案达到:
3、一种基于边缘增强的防御网络构建方法,所述防御网络构建方法包括以下步骤:
4、s1、构建位置索引矩阵i1,位置索引矩阵i1沿第2维度对随机初始化权重矩阵取值,即沿列维度取权重矩阵在i1位置上的数,得到矩阵k1,构建水平边缘检测算子d1,将d1与矩阵k1相乘,得到水平边缘增强卷积核;
5、s2、构建位置索引矩阵i2,位置索引矩阵i2沿第2维度对随机初始化权重矩阵取值,即沿列维度取权重矩阵在i2位置上的数,得到矩阵k2,构建垂直边缘检测算子d2,将d2与矩阵k2相乘,得到垂直边缘增强卷积核;
6、s3、将水平边缘增强卷积核和垂直边缘增强卷积核沿通道维度进行拼接操作,得到边缘增强卷积核;
7、s4、将原始图像与边缘增强卷积核进行卷积操作,得到原始图像的边缘增强特征x;
8、s5、将原始图像的边缘增强特征x输入到用于图像分类的残差网络f中进行前向传递,得到原始图像特征,将原始图像特征与事先指定图像数据集中多张图像特征进行特征相似度计算,得到相似度最高的样本id作为预测标签f(x);
9、s6、通过约束预测标签f(x)与真实标签y之间的距离,迭代地在原始图像的边缘增强特征x上增加扰动,得到原始图像的边缘增强特征x的对抗样本图像的边缘增强特征xt;
10、s7、将对抗样本图像的边缘增强特征xt输入到残差网络f中进行前向传递,得到对抗样本图像特征,将对抗样本图像特征与事先指定图像数据集中多张图像的特征进行特征相似度计算,得到相似度最高的样本id作为对抗样本图像的预测标签f(xt);
11、s8、使用adam优化器更新边缘增强卷积核与残差网络f的参数,迭代训练直至总损失函数λ小于事先指定的阈值时完成训练,得到最终的防御网络,该防御网络由训练完成后的边缘增强卷积核与残差网络f依次连接组成。其中,总损失函数λ由交叉熵损失函数λcla和交叉熵损失函数λadv相加得到,λcla通过原始图像的边缘增强特征x对应的预测标签f(x)计算得到,λadv通过对抗样本图像的边缘增强特征xt对应的预测标签f(xt)计算得到。
12、进一步地,所述对抗样本图像的边缘增强特征xt的计算方法如下:
13、
14、其中,clipx,ε(·)表示将样本的扰动范围限定在[x-ε,x+ε]内,保持扰动范围始终在设定的阈值范围内,可以使得扰动不易被察觉,α表示每次迭代图像像素更新的幅值,f(x)表示预测标签,y表示真实标签,j(f(x),y))表示预测标签与真实标签的交叉熵损失函数,表示交叉熵损失函数关于x的偏导数,sign(·)表示符号函数,xt表示经过t次扰动迭代后对抗样本图像的边缘增强特征,取决于前一次扰动迭代后对抗样本图像的边缘增强特征xt-1。
15、交叉熵损失函数j(f(x),y))的表达式为:
16、
17、其中,d(y|f(x))表示预测标签f(x)对应真实标签y的概率,n表示事先指定图像数据集中图像的数目。
18、进一步地,所述事先指定图像数据集为可以为cifar10数据集和imagenet数据集,cifar10数据集属于现有数据集,出自learning multiple layers of featuresfrom tinyimages论文,krizhevsky a,hinton g作者,technical report,2009会议。imagenet数据集属于现有数据集,出自imagenet:a large-scale hierarchical image database论文,deng j,dong w等作者,cvpr 2009会议。
19、进一步地,所述步骤s3中,水平边缘增强卷积核的维度是(a1,b,c),垂直边缘增强卷积核的维度是(a2,b,c),拼接得到边缘增强卷积核的维度是(a1+a2,b,c)。以上拼接方式是为了能够全面增强图像各个方向上的边缘信息。
20、进一步地,所述步骤s5中使用了残差网络,残差网络在层与层之间传递信息的方式更加高效,能够保留更多原始图像的信息,残差网络f的结构如下:
21、从输入层至输出层依次连接为:residualblock1层res1_1、relu层res1_1_relu、residualblock2层res2_1、relu层res2_1_relu、residualblock2层res2_2、relu层res2_2_relu、residualblock1层res1_2、relu层res1_2_relu、residualblock2层res2_3、relu层res2_3_relu、residualblock2层res2_4、relu层res2_4_relu、residualblock2层res2_5、relu层res2_5_relu、residualblock1层res1_3、relu层res1_3_relu、residualblock2层res2_6、relu层res2_6_relu、residualblock2层res2_7、relu层res2_7_relu、residualblock2层res2_8、relu层res2_8_relu、residualblock2层res2_9、relu层本文档来自技高网...
【技术保护点】
1.一种基于边缘增强的防御网络构建方法,其特征在于,所述防御网络构建方法包括以下步骤:
2.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述对抗样本图像的边缘增强特征xt的计算方法如下:
3.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述事先指定图像数据集为CIFAR10数据集和ImageNet数据集。
4.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述步骤S3中,水平边缘增强卷积核的维度是(a1,b,c),垂直边缘增强卷积核的维度是(a2,b,c),拼接得到边缘增强卷积核的维度是(a1+a2,b,c)。
5.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述步骤S5中残差网络F的结构如下:
6.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述步骤S8中总损失函数Λ=Λcla+Λadv;
7.一种基于防御网络的对抗样本防御方法,其特征在于,将具有扰动的图像输入权利要求1至6任一所述的基于边缘增强的防御网络构建
...【技术特征摘要】
1.一种基于边缘增强的防御网络构建方法,其特征在于,所述防御网络构建方法包括以下步骤:
2.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述对抗样本图像的边缘增强特征xt的计算方法如下:
3.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述事先指定图像数据集为cifar10数据集和imagenet数据集。
4.根据权利要求1所述的基于边缘增强的防御网络构建方法,其特征在于,所述步骤s3中,水平边缘增强卷积核的维度是(a1,b,c),垂直边...
【专利技术属性】
技术研发人员:陈欣,吉冰冰,兰玉彬,龙拥兵,
申请(专利权)人:华南农业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。