[发明专利]一种基于变换自编码器的对抗样本防御方法

说明书

本发明公开了一种基于变换自编码器的对抗样本防御方法，包含两层防御方法，第一层为由编码网络和解码网络组成的自编码器结构，该结构对干净样本和对抗样本判别经过自编码器前后的差距，检测出对抗样本，并筛选出剩余样本；第二层防御方法对剩余样本进行总方差最小化的图像变换，去除对抗样本中的扰动信息再交给目标分类器。本发明可检测对抗样本并去除对抗样本中的扰动，通过建立双重防御模型，提高了目标分类器的分类正确性，且不需要对抗样本的参与和训练目标分类器，具有良好的可迁移性和普适性。

技术领域

本发明涉及信息安全领域，更具体地，涉及为一种基于变换自编码器的对抗样本防御方法。

背景技术

随着深度学习中的分类方法在各个领域逐渐应用具体包括人脸识别，自动驾驶和文本分析等，其中的对抗样本攻击问题也显露出来。2013年由Szegedy等人提出对抗样本的攻击问题，该攻击表明通过在数据集中添加人眼无法辨别的微小扰动就能造成神经网络错误分类，且这种错误分类现象在各个分类器中普遍存在。

面对对抗样本的众多攻击方法，研究人员也提出许多针对攻击的防御方法。2015年Goodfellow等人在ICLR国际会议上发表论文提出对抗训练的方式来应对对抗样本的攻击。在原有分类模型的数据集中加入对抗样本一同训练，经过交互式训练的分类模型对对抗样本有了更高的鲁棒性，同时也存在防御模型单一，不能抵御新攻击的缺点。

当前图像去噪的功能越来越强大，对抗样本中的噪声也能通过去噪的方式进行处理。传统方法是通过非局部均值(Non Local Means，NLM)去噪，该方法利用整幅图像存在的冗余信息来去除噪声。将图像分割为多个块，在每个块中根据相似度大的区域来取均值，平滑图像邻域之间的边界，从而去除图像噪声的目的。在对抗样本中所添加的噪声大都在以像素为单位的邻域内，与原图像差别不明显，以NLM均值去噪的方式不能有效去除对抗样本添加的噪声。相比于传统去噪方式，深度学习中也提出利用卷积神经网络(ConvolutionalNeural Networks,CNN)来进行图像去噪，效果未能让人满意。

2017年Papernot等人提出了蒸馏防御模型，基本原理是训练一个导师网络和学生网络，通过改变在神经网络最后一层的softmax来修改分类概率，最终达到对抗样本和干净样本分类到同一类别的目的。不过该防御方法已经被Carlini和Wagner等人提出的CW攻击方法攻破。

因此，构建一种性能优异的对抗样本通用防御方法，防御效果不依赖于攻击方式具有重要意义。

发明内容

针对上述内容，本发明提出了一种基于变换自编码器的对抗样本防御方法，能够有效地防御对抗样本的攻击。因为对抗样本是在干净样本上添加扰动所造成的攻击，故本发明将检测并消除对抗样本中的扰动。

为达到上述目的，本发明提供如下技术方案：本发明包含两层防御，第一层是以判别重构误差为主导的自编码器网络，分为编码和解码两部分，通过对干净样本和对抗样本进行编解码重构，区分出编码前后两种样本的区别，可检测出对抗样本；第二层是以第一层中未能识别的图像为数据，通过图像变换的方式消除对抗样本中的扰动信息，将图片主要信息进行压缩，结合总方差最小化的方式对图像进行重组，总方差是重组后图像与原图像的微小差值，以最小化的方式使得二者之间图像相似，且去除原有图像中的微小扰动。最后将这部分去除扰动的图像输入到深度学习的分类模型中，得到准确的分类结果。

进一步，实现该方式包括以下几个步骤：

S1获取干净样本数据集：将获取到的正常图像作为干净样本数据集，并随机分为训练集和测试集，用以后续训练目标分类器；

S2训练目标分类器：建立深度学习的网络分类结构，使用S1中的干净样本数据集进行训练和测试，得到目标分类器，并使用测试集记录分类的正确率；