【技术实现步骤摘要】
本专利技术属于图像分类,具体涉及一种图像分类中基于生成器的对抗样本防御方法。
技术介绍
1、深度神经网络在各个领域取得了显著成功,但它们面对恶意攻击时非常脆弱,很容易受到添加了精心制作的扰动的对抗样本影响,从而输出不正确的结果。通常情况下,这种扰动是极其微小的,但却能够对分类模型产生较大的影响,人眼甚至很难区分自然样本和对抗样本。对抗样本的存在严重威胁到深度神经网络在许多安全领域中的应用,例如人脸识别、自动驾驶、医疗辅助系统等。因此,越来越多的人开始关注深度神经网络模型的鲁棒性,如何防御对抗样本的攻击成为非常重要的问题。
2、为了使神经网络免受对抗样本的影响,许多学者都投入到这个问题的研究中,相继提出了一系列的防御措施,主要分为主动性防御和检测性防御。其中,对抗训练具有优异的鲁棒性,是公认的最有效的防御方法之一。jiang等人提出了一种通用的对抗训练框架,并且设计了一个生成器来寻找能够有效地欺骗目标神经网络的对抗样本,利用深度神经网络的表达能力可以发现一些无法通过一阶方法获得的攻击。
3、现有技术中,基于梯度的攻...
【技术保护点】
1.一种图像分类中基于生成器的对抗样本防御方法,其特征在于,包括步骤:
2.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,对图片数据集进行数据增强得到第一数据增强样本和第二数据增强样本,包括:
3.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,获取待训练分类器的第一交叉熵损失函数关于输入图片的第一梯度,以及所述待训练分类器的第二交叉熵损失函数关于第一对抗样本的第二梯度,包括:
4.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述生成器包括:第一残差扰动模...
【技术特征摘要】
1.一种图像分类中基于生成器的对抗样本防御方法,其特征在于,包括步骤:
2.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,对图片数据集进行数据增强得到第一数据增强样本和第二数据增强样本,包括:
3.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,获取待训练分类器的第一交叉熵损失函数关于输入图片的第一梯度,以及所述待训练分类器的第二交叉熵损失函数关于第一对抗样本的第二梯度,包括:
4.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述生成器包括:第一残差扰动模块、第二残差扰动模块、第三残差扰动模块、第一conv-bn-relu模块、第四残差扰动模块、第五残差扰动模块、第六残差扰动模块和tanh激活层,其中,
5.根据权利要求4所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述第一残差扰动模块、所述第二残差扰动模块、所述第三残差扰动模块、所述第四残差扰动模块、所述第五残差扰动模块和所述第六残差扰动模块的结构相同。
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。