[发明专利]一种规避对抗样本攻击的图像分类方法

说明书

本发明了一种规避对抗样本攻击的图像分类方法，此方法基于区域分类，在图像分类中可以减轻对抗样本对分类器的攻击。本方法主要包含如下步骤：1、对图像进行建模，把图像看成是一个包含多个马尔科夫过程的结构体。2、对可能的对抗样本进行修正，在修正的时候，沿着图像转移概率(Image Transition Probability，ITP)减小的方向进行修改图像的像素值，特别的，当修改某个像素的值后，其ITP变化很大超过一定阈值，就舍弃这个像素值的改变。3、在采样的时候，进行有方向采样。本发明中，所提出的方法，不仅能在干净样本上保持其高分类准确率，并且在对抗样本上也能具有一定准确率。这种方法的提出，为深度学习模型在安全相关的应用领域中进行应用提供了思考和操作。

技术领域

本发明属于神经网络技术，涉及一种基于探测图片样本并进行修正的图像区域分类器。

背景技术

近年来，深度学习在图像分类、语音识别、自然语言处理、恶意软件检测、计算机视觉等方面取得了显著的效果。尽管深度神经网络在分类方面表现出了非常好的性能，但深度神经网络极易受到对抗样本的攻击。例如，攻击者可以在测试示例中添加一个小的噪声，这样就可以欺骗最先进的分类器，使其给出不正确的分类，这种样本就叫对抗样本。因此，对抗样本极大地限制了深度学习的使用，特别是在安全关键的应用中，例如自动驾驶汽车和人脸支付。因此，人们有必要开发一种防御对抗样本攻击的方法，以减轻神经网络模型在关键问题上犯错。

为了防御对抗样本的攻击，人们提出了一些防御方法，如探测对抗实例、对抗训练和蒸馏防御等。对抗性实例的检测方法非常简单，检测模型根据对抗性实例与普通实例的区别来判断输入是否合法。如果输入非法，将执行异常处理策略。然而，通常很难设计出正确的异常处理策略。将图像视为马尔可夫过程的最新对抗性检测示例方法是由Zhou等人提出的。此外，还可以通过增强网络本身的健壮性来减轻规避攻击。例如对抗训练，用生成的对抗样本来训练神经网络模型。然而，对抗训练不能保护私有数据，也可能受到两步攻击。此外，Papernot等人引用提出了一种利用知识蒸馏提高神经网络自身鲁棒性的方法，使神经网络模型对对抗样本的攻击具有鲁棒性。然而，以上这些方法都牺牲了神经网络在干净样本上的分类精度。

发明内容

本发明要解决的问题是：提供一种防御对抗样本的分类器，一种规避对抗样本攻击的图像分类的方法。该方法，基于区域分类进行图像分类。区域分类，是一种在分类器识别图像的过程中，在此图像空间周围进行随机均匀采样，然后图像最后的分类是这些采样出来样本预测出的标签出现最多的为此图像最终预测的标签。因此，本发明提出的方法不仅能提高对对抗样本识别率还能保证神经网络在干净样本上的准确率。

本发明提供了一种规避对抗样本攻击的图像分类方法，包含如下步骤：

步骤1、基于马尔科夫对图像建模：

把图像的每一行看成是一个马尔科夫过程，即，一行中前后挨着的两个图像像素存在相关性，后一个值依赖于前一个值；如果一个图像有n行，则其可以看作是有n个马尔科夫过程的结构体，ITP代表一个图像中各个像素值进行转移的总概率，即其中，m代表一个图像的列数，n代表图像的行数，p(x_i,x_(i+1))代表行中第i+1个像素与i个像素的相关性；

步骤2、检测存在的对抗样本：

如果此图像的ITP大于阈值ITP_t，则认为此图像是一个对抗样本，执行步骤3；如果图像的ITP小于或等于阈值ITP_t，则进行区域分类；

步骤3、修正对抗样本：

首先对检测出来的对抗样本沿着ITP值减少的方向进行修改：