[发明专利]一种机器学习训练数据受投毒攻击的防御方法

权利要求书

1.一种机器学习训练数据受投毒攻击的防御方法，用于智能安防，其特征在于，所述训练数据采集于安防视频数据，所述防御方法包括：

获取待识别训练数据集对应的干净训练数据集的预测值分布；并将每个待识别训练数据输入已训练的预测模型，得到预测值；基于所述预测值与所述预测值分布确定该训练数据是否为投毒数据，以实现攻击防御；

其中，所述预测模型由以下训练方法得到：基于与待识别训练数据同类型的可信任训练数据进行数据增强，生成多个合成数据；采用由所述多个合成数据和所述可信任训练数据所构成的增强数据集训练并得到所述预测模型；所述增强数据集的分布同所述干净训练数据集，所述预测模型基于所述增强数据集所输出的预测值的分布作为所述预测值分布；

所述数据增强的方式为：

基于多个可信任训练数据，通过对抗训练的方式，训练cGAN网络，并采用训练得到的cGAN网络生成最终的合成数据；其中，在训练过程中，采用认证器监督所述cGAN网络中的生成器生成合成数据，使得最终的合成数据与可信任训练数据构成的增强数据集同所述干净训练数据集。

2.根据权利要求1所述的一种机器学习训练数据受投毒攻击的防御方法，其特征在于，所述训练过程的每次迭代训练具体为：

将多个包括条件信息的可信任训练数据输入所述cGAN网络的判别器，同时将对应多个噪声数据和所述条件信息输入所述生成器；所述生成器基于所述条件信息将所述多个噪声数据转换为多个合成数据并输入给所述判别器和所述认证器；所述判别器度量所述多个可信任训练数据和所述多个合成数据间的差异，得到cGAN损失函数；同时所述认证器预测所述多个合成数据对应的预测值并将其与对应真实值对比，得到认证器损失函数并反馈给所述cGAN损失函数，以用于调整所述cGAN网络的参数，其中，所述条件信息为数据标签或回归值。

3.根据权利要求2所述的一种机器学习训练数据受投毒攻击的防御方法，其特征在于，所述反馈给所述cGAN损失函数，具体为：

将所述cGAN损失函数与所述认证器损失函数相减，作为所述判别器的新的损失函数；将所述cGAN损失函数与所述认证器损失函数相加，作为所述生成器的新的损失函数。

4.根据权利要求2所述的一种机器学习训练数据受投毒攻击的防御方法，其特征在于，采用蒙特卡洛最大期望算法和随机梯度下降法调整所述cGAN网络的参数。

5.根据权利要求1所述的一种机器学习训练数据受投毒攻击的防御方法，其特征在于，所述训练并得到所述预测模型，实现方式为：

基于所述增强数据集，采用对抗训练的方式，训练cWGAN-GP网络，其中，所述cWGAN-GP网络为在WGAN-GP网络的生成器和判别器中增加标签数据输入而得到；将训练得到的所述cWGAN-GP网络中的判别器作为所述预测模型。

6.根据权利要求1所述的一种机器学习训练数据受投毒攻击的防御方法，其特征在于，所述基于所述预测值与所述预测值分布确定该训练数据是否为投毒数据，实现方式为：

采用Z-score法确定所述预测值分布的检测边界阈值；当该预测值小于所述检测边界阈值时，则该预测值对应的训练数据为投毒数据，否则为非投毒训练数据。

7.根据权利要求6所述的一种机器学习训练数据受投毒攻击的防御方法，其特征在于，所述检测边界阈值的确定方法为：

基于实际所需置信度水平值，查表确定所述预测值分布的Z_S值；

计算所述增强数据集的均值和方差；

基于所述Z_S值、所述均值和所述方差，计算得到检测边界阈值。

8.根据权利要求1至7任一项所述的一种机器学习训练数据受投毒攻击的防御方法，其特征在于，所述预测值分布符合正态分布。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序被处理器运行时控制所述存储介质所在设备执行如权利要求1至8任一项所述的一种机器学习训练数据受投毒攻击的防御方法。