[发明专利]基于神经元激活模式的深度学习样本级对抗攻击防御方法及其装置

说明书

本发明公开了一种基于神经元激活模式的深度学习样本级对抗攻击防御方法及其装置，包括以下步骤：构建用于目标识别的深度学习模型，深度学习模型包括卷积层、池化层以及分类层；从深度学习模型的网络层中提取特征图构建神经元激活模式，神经元激活模式和交叉熵函数组成损失函数；利用正常图像样本对深度学习模型进行训练时，采用构建的损失函数优化深度学习模型的参数；根据损失函数的梯度得到像素增量作为防御对抗攻击的扰动；利用参数优化的深度学习模型进行目标识别时，将待识别的图像添加扰动后输入至深度学习模型，经计算得到目标识别结果。该方法能够有效地防御多种对抗攻击，并且不影响正常样本的正确率。

技术领域

本发明属于信息安全领域，具体涉及一种基于神经元激活模式的深度学习样本级对抗攻击防御方法及其装置。

背景技术

深度学习定义了一种新的数据驱动的编程范式，该范式通过一组训练数据来构建神经元网络的内部系统逻辑，从样本数据中学习到数据的内在规律和表示层次，能够获得比一般算法更准确的分类结果，具有强大的特征表达能力。由于深度学习具有与人类性能相匹配甚至超越人类性能的能力，因此在许多安全关键的场景中得以广泛应用。原则上而言，深度学习模型需要较强的鲁棒性和安全性，以便良好的抵御任何潜在的风险。

然而，深度学习本身缺乏可解释性，这就意味着容易遭受到一些潜在攻击。一些学者着力于探究深度学习的脆弱点，以尽可能的深入探究深度学习模型内部。目前针对深度学习的攻击可以根据攻击的阶段分为对抗攻击和中毒攻击。对抗攻击发生在模型测试阶段，攻击者通过在原始数据上添加精心设计的微小扰动得到对抗样本，从而对深度学习模型进行愚弄，使其以较高置信度误判的恶意攻击。中毒攻击发生在模型训练阶段，攻击者将中毒样本注入训练数据集，从而在训练完成的深度学习模型中嵌入后门触发器，在测试阶段输入毒药样本，则触发攻击。对于深度学习模型而言，对抗攻击的影响更加深远。从攻击的实现角度来说，对抗攻击方法可以分为基于梯度的攻击，基于优化的攻击或者其他，都将在测试与部署阶段对模型的性能造成不可估量的后果。

对于对抗样本的防御方法，目前防御措施沿着三个主要的方向发展：使用修改的输入进行训练或测试，其中包括了对抗性训练；对网络参数或结构进行修改，添加更多层/子网络、改变损失/激活函数等；对模型添加额外插件，用外部模型作为附加网络。这些防御的方法，都是在一定程度上通过改变模型对于样本的特征提取能力，使得模型重识别样本正确的感知特性，这其中的代价就会将十分巨大且不利于部署阶段的应用。此外，深度学习模型或存在一种通用扰动，通过生成跨越所有类分类边界的扰动致使分类出错。传统防御方法对此类攻击很难有效防御。对于以上问题，一方面，在输入测试样本阶段需要对异常数据进行辨别并拒绝异常数据的输入。另一方面，对于深度学习模型来说，需要具有自我防御机制，具有抵御任何潜在攻击的能力。有鉴于此，本发明提出了一种基于神经元激活模式的深度学习样本级对抗攻击防御方法及其装置，通过对输入样本增加防御逆扰动，在保证正常样本感知正确的情况下，对恶意样本的输入起修正感知结果的效果，从而使深度学习模型在实际部署和应用时更加安全可靠。

发明内容

鉴于上述，本发明的目的是提供一种基于神经元激活模式的深度学习样本级对抗攻击防御方法及其装置，实现对对抗攻击的防御。

第一方面，实施例提供了一种基于神经元激活模式的深度学习样本级对抗攻击防御方法，包括以下步骤：

构建用于目标识别的深度学习模型，深度学习模型包括卷积层、池化层以及分类层；

从深度学习模型的网络层中提取特征图构建神经元激活模式，神经元激活模式和交叉熵函数组成损失函数；

利用正常图像样本对深度学习模型进行训练时，采用构建的损失函数优化深度学习模型的参数；

根据损失函数的梯度得到像素增量作为防御对抗攻击的扰动；

利用参数优化的深度学习模型进行目标识别时，将待识别的图像添加扰动后输入至深度学习模型，经计算得到目标识别结果。