本发明专利技术涉及一种图像分类中基于生成器的对抗样本防御方法,包括:对图片数据集进行数据增强得到第一数据增强样本和第二数据增强样本;获取待训练分类器关于原始图片的第一梯度以及关于第一对抗样本的第二梯度;将第一数据增强样本、第二数据增强样本、第一梯度和第二梯度拼接,得到生成器输入集;固定生成器的参数,将生成器输入集输入到生成器中,以更新待训练分类器的参数,其中,生成器基于U‑net结构和残差扰动模块构建;固定待训练分类器的参数,利用生成器输入集更新生成器的参数;对待训练分类器和生成器交叉更新,直至待训练分类器的损失函数收敛,得到训练好的分类器。该方法实现了鲁棒性更强的分类器,提高了分类器对图像分类的准确率。
1、深度神经网络在各个领域取得了显著成功,但它们面对恶意攻击时非常脆弱,很容易受到添加了精心制作的扰动的对抗样本影响,从而输出不正确的结果。通常情况下,这种扰动是极其微小的,但却能够对分类模型产生较大的影响,人眼甚至很难区分自然样本和对抗样本。对抗样本的存在严重威胁到深度神经网络在许多安全领域中的应用,例如人脸识别、自动驾驶、医疗辅助系统等。因此,越来越多的人开始关注深度神经网络模型的鲁棒性,如何防御对抗样本的攻击成为非常重要的问题。
2、为了使神经网络免受对抗样本的影响,许多学者都投入到这个问题的研究中,相继提出了一系列的防御措施,主要分为主动性防御和检测性防御。其中,对抗训练具有优异的鲁棒性,是公认的最有效的防御方法之一。jiang等人提出了一种通用的对抗训练框架,并且设计了一个生成器来寻找能够有效地欺骗目标神经网络的对抗样本,利用深度神经网络的表达能力可以发现一些无法通过一阶方法获得的攻击。
3、现有技术中,基于梯度的攻击被认定为最强大的对抗扰动生成技术,然而强梯度迭代攻击的对抗训练不一定能应对各种类型的攻击,多步梯度攻击也容易缺乏多样性,随着对抗训练中攻击强度的增加,在自然图像上的测试性能会严重下降;基于生成器的方法存在生成器的结构过于简单,对于对抗训练的价值较低,产生的是确定性扰动,以及忽略了自然样本和对抗样本的特征对齐而导致鲁棒性准确率低的问题,从而导致分类器无法精确的对图像进行分类。
>技术实现思路1、为了解决现有技术中存在的上述问题,本专利技术提供了一种图像分类中基于生成器的对抗样本防御方法。本专利技术要解决的技术问题通过以下技术方案实现:
2、本专利技术实施例提供了一种图像分类中基于生成器的对抗样本防御方法,包括步骤:
3、对图片数据集进行数据增强得到第一数据增强样本和第二数据增强样本;
4、获取待训练分类器的第一交叉熵损失函数关于原始图片的第一梯度,以及所述待训练分类器的第二交叉熵损失函数关于第一对抗样本的第二梯度;
5、将所述第一数据增强样本、所述第二数据增强样本、所述第一梯度和所述第二梯度进行拼接,得到生成器输入集;
6、固定所述生成器的参数,将所述生成器输入集的样本输入到生成器中,输出扰动样本;将所述扰动样本与所述第一数据增强样本、所述第二数据增强样本叠加,得到第二对抗样本;将所述第二对抗样本、所述第一数据增强样本和所述第二数据增强样本输入至待训练分类器中以更新所述待训练分类器的参数;其中,所述生成器基于u-net结构和残差扰动模块构建;
7、固定所述待训练分类器的参数,利用所述生成器输入集的样本更新所述生成器的参数;
8、对所述待训练分类器的参数和所述生成器的参数进行交叉更新,直至所述待训练分类器的损失函数收敛,得到训练好的分类器;所述待训练分类器的损失函数和所述生成器的损失函数均基于信息瓶颈理论建立;所述训练好的分类器用于对待识别图片进行分类。
9、在本专利技术的一个实施例中,对图片数据集进行数据增强得到第一数据增强样本和第二数据增强样本,包括:
10、采用autoaugment方法对所述图片数据集进行第一次数据增强,得到第一数据增强样本;
11、采用autoaugment方法对所述图片数据集进行第二次数据增强,得到第二数据增强样本。
12、在本专利技术的一个实施例中,获取待训练分类器的第一交叉熵损失函数关于输入图片的第一梯度,以及所述待训练分类器的第二交叉熵损失函数关于第一对抗样本的第二梯度,包括:
13、将原始图片输入所述待训练分类器,计算所述待训练分类器的输出样本与对应标签之间的第一交叉熵损失函数,并计算所述第一交叉熵损失函数对原始图片的第一梯度,其中,所述原始图片包括第一数据增强样本或者第二数据增强样本;
14、结合所述第一数据增强样本、所述第二数据增强样本和所述第一梯度,利用fgsm方法生成第一对抗样本,并利用所述第一对抗样本攻击所述待训练分类器得到第二交叉熵损失函数,计算所述第二交叉熵损失函数对所述第一对抗样本的第二梯度。
15、在本专利技术的一个实施例中,所述生成器包括:第一残差扰动模块、第二残差扰动模块、第三残差扰动模块、第一conv-bn-relu模块、第四残差扰动模块、第五残差扰动模块、第六残差扰动模块和tanh激活层,其中,
16、所述第一残差扰动模块、所述第二残差扰动模块、所述第三残差扰动模块、所述第一conv-bn-relu模块、所述第四残差扰动模块、所述第五残差扰动模块、所述第六残差扰动模块和所述tanh激活层依次连接;
17、所述第一残差扰动模块的输出端连接所述第六残差扰动模块的输入端;
18、所述第二残差扰动模块的输出端连接所述第五残差扰动模块的输入端;
19、所述第三残差扰动模块的输出端连接所述第四残差扰动模块的输入端。
20、在本专利技术的一个实施例中,所述第一残差扰动模块、所述第二残差扰动模块、所述第三残差扰动模块、所述第四残差扰动模块、所述第五残差扰动模块和所述第六残差扰动模块的结构相同。
21、在本专利技术的一个实施例中,所述第一残差扰动模块、所述第二残差扰动模块、所述第三残差扰动模块、所述第四残差扰动模块、所述第五残差扰动模块和所述第六残差扰动模块均包括:第二conv-bn-relu模块、第三conv-bn-relu模块、conv-bn模块和相加模块,其中,
22、所述第二conv-bn-relu模块、第三conv-bn-relu模块和所述相加模块依次连接,所述conv-bn模块连接在所述第二conv-bn-relu模块的输入端和所述相加模块的输入端之间,所述相加模块的输出数据作为残差扰动模块的输出数据;
23、所述第二conv-bn-relu模块的输入数据中嵌入有第一高斯随机噪声,所述第三conv-bn-relu模块的输入数据中嵌入有第二高斯随机噪声。
24、在本专利技术的一个实施例中,所述第二conv-bn-relu模块、第三conv-bn-relu模块均包括依次连接的conv3×3卷积层、bn层和relu激活层。
25、在本专利技术的一个实施例中,所述conv-bn模块包括依次连接的conv1×1卷积层和bn层。
26、在本专利技术的一个实施例中,所述待训练分类器的损失函数和所述生成器的损失函数相同,均表示为:
27、ltotal=lcl+λlcr+εlib
28、
29、lcr=js(fθ(a1(x)+δ1;γ)||fθ(a2(x)+δ2;γ))
30、lib=ex[βkl(p(z|x)||q(z)]
31、其中,ltotal是总的损失函数,λ、ε是超参数,lcl是交叉熵损失函数,lce是分类器的输出数据与对应标本文档来自技高网...
【技术保护点】
1.一种图像分类中基于生成器的对抗样本防御方法,其特征在于,包括步骤:
2.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,对图片数据集进行数据增强得到第一数据增强样本和第二数据增强样本,包括:
3.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,获取待训练分类器的第一交叉熵损失函数关于输入图片的第一梯度,以及所述待训练分类器的第二交叉熵损失函数关于第一对抗样本的第二梯度,包括:
4.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述生成器包括:第一残差扰动模块、第二残差扰动模块、第三残差扰动模块、第一Conv-BN-Relu模块、第四残差扰动模块、第五残差扰动模块、第六残差扰动模块和Tanh激活层,其中,
5.根据权利要求4所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述第一残差扰动模块、所述第二残差扰动模块、所述第三残差扰动模块、所述第四残差扰动模块、所述第五残差扰动模块和所述第六残差扰动模块的结构相同。
6.根据权利要求5所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述第一残差扰动模块、所述第二残差扰动模块、所述第三残差扰动模块、所述第四残差扰动模块、所述第五残差扰动模块和所述第六残差扰动模块均包括:第二Conv-BN-Relu模块、第三Conv-BN-Relu模块、Conv-BN模块和相加模块,其中,
7.根据权利要求6所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述第二Conv-BN-Relu模块、第三Conv-BN-Relu模块均包括依次连接的Conv3×3卷积层、BN层和Relu激活层。
8.根据权利要求6所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述Conv-BN模块包括依次连接的Conv1×1卷积层和BN层。
9.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述待训练分类器的损失函数和所述生成器的损失函数相同,均表示为:
10.根据权利要求9所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述隐变量的获取方法为:
...
【技术特征摘要】
1.一种图像分类中基于生成器的对抗样本防御方法,其特征在于,包括步骤:
2.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,对图片数据集进行数据增强得到第一数据增强样本和第二数据增强样本,包括:
3.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,获取待训练分类器的第一交叉熵损失函数关于输入图片的第一梯度,以及所述待训练分类器的第二交叉熵损失函数关于第一对抗样本的第二梯度,包括:
4.根据权利要求1所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述生成器包括:第一残差扰动模块、第二残差扰动模块、第三残差扰动模块、第一conv-bn-relu模块、第四残差扰动模块、第五残差扰动模块、第六残差扰动模块和tanh激活层,其中,
5.根据权利要求4所述的图像分类中基于生成器的对抗样本防御方法,其特征在于,所述第一残差扰动模块、所述第二残差扰动模块、所述第三残差扰动模块、所述第四残差扰动模块、所述第五残差扰动模块和所述第六残差扰动模块的结构相同。
【专利技术属性】
技术研发人员:耿艳林,张晓庆,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。