[发明专利]基于二进制粒子群通道优化的对抗防御方法

说明书

基于二进制粒子群通道优化的防御方法，包含：1)搭建对抗样本检测器；2)建立检测器数据集；3)通道优化，具体是：初始化粒子:首先确定粒子群的大小，之后通过二进制编码的方式对每一个粒子的位置参数进行初始化；计算个体极值、全局最优解；更新粒子位置；迭代优化；图像变换；4)训练检测器，将经过变换后的图片输入目标检测器，得到每帧的类置信度矩阵；用该矩阵训练对抗样本检测器。本发明在利用最少的资源情况下，明显加快了处理速度，并且有较高的对抗样本检测率。

技术领域

本发明涉及一种检测对抗样本的防御方法。

背景技术

随着深度神经网络的快速进步和巨大成功，其在安全领域中的应用也越来越多。尤其是在目标检测领域，深度神经网络在其中占据着重要地位。然而，最近大量的研究表明深度神经网络容易受到对抗样本(通过在输入上增加扰动，使神经网络做出错误的判断)的攻击。目前，易被攻击这一特点已经成为深度神经网络应用在安全领域中的主要挑战。

目前，根据神经网络的阶段，对抗攻击可以大体分为两种。一种是在深度神经网络训练阶段对其进行攻击。通过对训练集进行修改、改变输入特征或是数据标签，使训练得到的深度神经网络不能正常工作。Barreno等人就通过修改和删除训练集的方式改变了训练数据的原始分布，从而进行了对抗攻击。Biggio等人则是提出了一种改变训练数据标签进行对抗攻击的方法，通过修改训练集中40％的标签，他们成功地降低了支持向量机分类器的性能。Kloft等人则是通过向训练集中注入恶意数据来改变决策边界，进而形成对抗攻击。另一种对抗攻击在深度神经网络测试阶段进行。该攻击可以分为两类，一类是白盒攻击，另一类是黑盒攻击。白盒攻击下，攻击者可以知道模型的结构参数等信息，并通过这些信息建立对抗样本。在黑盒环境下，模型的相关信息都无法获得，主要是通过咨询模型，建立一个替代模型，利用对抗样本的传递性进行对抗攻击。

随着神经网络的快速发展，神经网络已经在图像识别、目标检测，对象分割等众多领域得到广泛的应用。在目标检测领域，从RCNN 到SSD再到YOLO，不断有不同系列的检测器出现，这一系列检测器也一直在原有的基础上有新的进展。与此同时，针对这一系列检测器的对抗攻击也在不断进行。这对深度神经网络的应用带来了巨大的挑战。目标检测的应用场景很多，包括无人车驾驶、无人机、机器人等。通过对抗攻击，给检测器接收到的视频添加扰动，使检测器错误检测视频中的对象，这会造成严重的后果。已有研究表明，通过对抗攻击产生的对抗样本可以使目标检测器检测不到视频中出现的人。这对神经网络在无人车驾驶等领域的应用是十分致命的。

发明内容

本发明要克服现有技术的上述缺点，提供一种基于二进制粒子群通道优化的对抗防御方法。

通过对抗攻击产生的对抗样本可以使目标检测器检测不到视频中出现的人，本发明就基于上述攻击场景，提出了一种对抗防御方法，可以使目标检测器识别出对抗样本，避免因为对视频中对象的错误检测而导致的严重后果。

当前，深度神经网络在目标检测领域中发挥着重要作用。但随之而来的是众多对抗攻击。快速梯度标记方法(Fast Gradient Sign Method，FGSM)是一种常见的白盒攻击方法。本发明针对该对抗攻击提出了一种防御方法，可以检测出视频是否被攻击。

本发明的技术方案如下：

一种基于二进制粒子群通道优化的对抗防御方法，步骤如下：

1)搭建对抗样本检测器框架；

2)建立检测器数据集；

2.1)生成对抗样本；

通过FGSM攻击产生对抗样本；

2.2)帧化视频；