[发明专利]一种对抗网络样本检测的方法

说明书

本发明公开了一种对抗网络样本检测的方法，包括：构建用于检测对抗样本的检测模型，所述检测模型包括特征提取单元、特征重构单元、图分类器、差异计算单元以及判别单元，其中，特征提取单元用于生成输入图像样本的提取特征，特征重构单元用于生成输入图像样本的重构特征，图分类器用于对输入的提取特征和重构特征进行处理，得到对应的概率分布，差异计算单元用于对输入提取特征对应的概率分布与重构特征对应的概率分布的差异值，判别单元用于依据差异值和预设阈值判别图像样本是否为对抗样本；将待检测图像样本输入至所述检测模型中，以实现对待检测图像样本的检测。

技术领域

本发明属于网络图像检测技术领域，具体涉及一种对抗网络样本检测的方法。

背景技术

虽然深度学习在许多实际任务(譬如节点分类、图分类、链路预测等)中都有了很广泛的应用，但最新的研究表明，深度学习模型极易受到恶意攻击的影响，它们常常会被对抗样本(通过在自然样本中添加微小而有目的的扰动而产生的样本)所轻易愚弄，这对深度学习在现实世界中的实际应用提出了巨大的挑战，如何增强其鲁棒性仍是有待解决的开放性问题。

目前在图像和网络领域，大多数防对抗样本的方法都主要集中在完善修改模型结构，具体包括对抗训练法以及掩饰梯度法，这些方法要么效果有限，要么成本高昂，二者很难兼顾。但还有另一类对抗检测方法是通过改变输入样本，但保持模型不变来构建检测模型从而识别对抗样本，这类方法相较而言更为简单并且成本更低。网络领域中有关对抗检测的研究工作，相较于图像领域还处于不太成熟的阶段。而在图像领域常见的检测方法主要分为三类，分别是基于样本统计、训练检测器以及预测不一致性的对抗检测方法；其中基于样本统计和训练检测器的方法都需要大量的对抗样本支撑，反之，基于预测不一致性的方法尤其是特征预处理的方法，其训练成本更低。

现有的图像对抗检测方法大多是通过特征压缩器对原始输入进行降噪等操作来构建检测模型，这是因为正常的图片降噪后和真实图片降噪后的结果基本一致，而对抗样本的结果会相差较大。即当模型对压缩输入的预测与对原始输入的预测之间的差异超过了阈值，则认为该输入是对抗样本，反之为合法样本；这种基于预测不一致性的检测方法目前在图像领域应用较多，但是不能直接迁移到网络领域，无法实现对网络对抗样本的检测。并且该技术对输入的数据进行特征压缩等操作，这些操作在很大程度上会牺牲掉一些原有样本的特征信息。

回归到网络领域，目前只有对异常节点的相关检测方法，这些检测方法主要是通过探索对抗样本和合法样本之间的内在差异来构造检测模型，从而提高图神经网络的鲁棒性。虽然这些检测方法能够有效地检测异常节点，但在面对异常图的对抗性攻击(即通过增删连边或节点使得图的类别发生改变的相关攻击)时，它们具有很强地不兼容性，目前在基于图分类任务的对抗网络样本检测并没有相关研究。

发明内容

鉴于上述，本发明的目的是提供一种对抗网络样本检测的方法，以实现对图像数据是否为对抗样本的检测。

为实现上述发明目的，本发明提供以下技术方案：

一种对抗网络样本检测的方法，包括以下步骤：

构建用于检测对抗样本的检测模型，所述检测模型包括特征提取单元、特征重构单元、图分类器、差异计算单元以及判别单元，其中，特征提取单元用于生成输入图像样本的提取特征，特征重构单元用于生成输入图像样本的重构特征，图分类器用于对输入的提取特征和重构特征进行处理，得到对应的概率分布，差异计算单元用于对输入提取特征对应的概率分布与重构特征对应的概率分布的差异值，判别单元用于依据差异值和预设阈值判别图像样本是否为对抗样本；

将待检测图像样本输入至所述检测模型中，以实现对待检测图像样本的检测。

与现有技术相比，本发明具有的有益效果至少包括：