[发明专利]一种基于集成防御的鲁棒性增强的分类方法及装置

说明书

本发明属于人工智能科学领域，提供了一种基于集成防御的鲁棒性增强的分类方法及装置，主旨在于解决传统图像去噪、自编码网络去噪和原有蒸馏防御的问题。主要方案包括首先将取自图像的原始数据集经过数据预处理后进行特征提取；然后对图像进行是否是对抗样本的分类检测，主要步骤为将图像分别进行传统图像去噪、深度学习去噪，将原对抗样本和两种去噪图像分三次输入到原始分类模型中进行预测，分别计算两次去噪图像预测的标签概率与原图像预测概率之差，并取差值的最大值，若差值大于某阈值则判别输出为对抗样本，反之则不是；最后对模型进行梯度平滑的鲁棒性增强，鲁棒性增强模型。

技术领域

本发明属于人工智能科学领域，其用途是利用对抗样本检测和模型平滑的集成防御方式对原始网络进行鲁棒性增强，首先用对抗样本检测检测出部分对抗样本，无法正确分类的对抗样本进一步使用梯度平滑后的模型进行正确分类，梯度平滑主要利用了软标签来替代硬标签，最后达到对原始神经网络模型进行鲁棒性增强和区分出对抗样本的效果，同时涉及了一种提升深度神经网络模型鲁棒性的装置。

背景技术

深度学习是目前研究最活跃的计算机领域之一，其已被证明在很多机器学习的问题上处理表现优异，如人脸识别、图片分类和物品跟踪等。这些深度神经网络(DNN)能够有效地从大量训练样本中学习高度精确的模型，然后以非常高的准确度对看不见的样本进行分类。然而，这种用于分类的模型却极易遭受由攻击者精心设计的对抗样本的攻击，这种攻击能使原始的分类模型的准确率大大下降，甚至能使模型将数据分类为攻击者想要的类别。这种对抗样本对于深度学习的应用产生极大的威胁，引发了相关安全问题的广泛讨论。

在此之前有人提出了知识蒸馏的方法，其最初设计是用于使用从不同DNN传输的知识来训练DNN。有研究者基于此制定了一种新的蒸馏变体来提供防御训练：使用从原始DNN中提取的知识来提高其对抗样本的适应能力，而不是在不同的体系结构之间传递知识。

但是传统的蒸馏防御技术限制了用于蒸馏的小规模的学生模型的结构，一些扰动较大的对抗样本本身非常难以分类准确，单纯使用学生模型难以提升包含对抗样本的大规模数据集的分类准确率，同时会进一步降低原始干净图像的分类准确率；此外，传统的对抗样本防御方法成本更高，对于模型的改动更大，难以部署到真实场景中。使用对抗样本检测的方法能够将扰动特性难以确定、扰动大的图像进行检测性二分类，再结合提升模型鲁棒性的方法能够对剩余分类后的样本进行更准确的分类，综合来看成本更低，防御效果更好。

发明内容

针对上述研究的问题，本发明的目的在于提供一种基于集成防御的鲁棒性增强的分类方法及装置，解决传统图像去噪、自编码网络去噪和原有蒸馏防御方法。

为了达到上述目的，本发明采用如下技术方案：

一种基于集成防御的鲁棒性增强的分类方法，

数据预处理：计算机获取训练集中的原始训练数据和原始训练数据的真实标签进行预处理，原始训练数据包括多张图像，图像为基本的图像数据集mnist或cifar10数据集，并将原始训练数据集通过对抗样本生成算法fgsm、BIM、CW生成原始对抗样本，最后输入进行分类检测的原始图像数据集包括原始训练数据和原始对抗样本数据；

对抗样本去噪：将预处理后的各图像分别进行图像位数压缩去噪和深度学习自编码网络去噪；

对抗样本分类预测：将原始图像数据和两种去噪图像分三次输入到原始分类模型中进行预测，得到原始干净图像的预测值p₁，压缩去噪图像预测值p₂和自编码网络去噪预测值p₃；