[发明专利]一种基于自编码器的恶意图像查询样本检测过滤方法

说明书

本发明公开一种基于自编码器的恶意图像查询样本检测过滤方法，涉及机器学习领域，包括：一种获得合成数据集的方式；用数据集的某一类数据训练自编码器，用其他类别作为测试集用以生成，该方法可以大量生成数据并且在同一个分类器下的分类结果属于同一类别，可用于模型窃取攻击的查询数据集或者其他数据增强方法；一种模型训练的方法；将训练数据拆分、归类用单一类别训练单一自编码器，模型架构、参数选择以及过拟合后的调试过程。一种计算阈值的方法；将重构损失保存并压缩，压缩规则与恢复规则一致性。重构损失保存为灰度图像，以及图像保存的格式与参数。灰度图像计算阈值，阈值的恢复与重构阈值损失的获得。

技术领域

本发明涉及领域，具体的是一种基于自编码器的恶意图像查询样本检测过滤方法。

背景技术

深度学习模型有着广泛的应用场景并且逐渐的商业化即MlaaS(MachineLearning-as-a-Service)，诸如谷歌、亚马逊、百度、阿里巴巴等互联网巨头都已经开发并且部署了深度学习云端模型，这种云端模型为用户省去了搜集整理数据与训练调整模型的时间就可以直接使用，无疑是深度学习应用场景的又一大健将，但是目前一些研究人员发现深度学习模型，因其“黑盒(Black-box)”的特性，极其容易被攻击，因此引发了一系列对深度学习模型的担忧。

目前针对深度学习模型的攻击可以大致分为四种：模型窃取攻击、逃逸攻击、成员推断攻击和中毒攻击。其中模型窃取攻击(Model Stealing Attacks)(见附图)是一种高效、简单却难以防御的查询攻击，通过构建替代数据集(Synthetic Dataset)，攻击者可以有规律的查询模型并获得输出标签，之后再与替代数据合并成为新的数据集，用新的数据集训练替代模型，经过实验证明，替代模型的精度与原目标模型的精度相差最少不超过2％，因此模型窃取攻击已经日益成为深度学习发展的一大障碍，同时因为查询攻击者是捉摸不定的人，目前的方法几乎不可预测攻击者的存在，目前的防御方法包括放弃输出标签、输出迷惑信息、输入层扰动等等，虽然这些方法起到了一定的作用，但是对于人类而言可以轻易的识别这些防御方法并更换查询策略从而达到目的。因此，一种高效并且安全的模型窃取攻击防御方法就是必然的。

深度学习模型尤其是商业模型，是事先经过训练的模型，这个过程需要大量的数据、架构和调试等繁琐的操作，以此来保证该模型的准确性，因此其商业价值也就不言而喻了，模型一旦训练完成，根据其功能(如预测、分类等)不同可以实现不同的服务(如人脸识别、车流检测、行人检测、体温检测等)，用户在使用该模型的时候，只需要支付少量的费用(查询次/元)就可以跳过之前的训练步骤，直接将自己的数据输入到模型并使用，这种高效的方法一度大受欢迎，目前我国已经有百度AI、京东AI、阿里云AI等互联网巨头提供各项服务如人脸识别、文字识别、视频理解、自然语言处理等等服务，领域涉及到我们生活的方方面面。但是对于深度学习模型安全的担忧在我国目前还方兴未艾。

发明内容

为解决上述背景技术中提到的不足，本发明的目的在于提供一种基于自编码器的恶意图像查询样本检测过滤方法。

本发明的目的可以通过以下技术方案实现：

一种基于自编码器的恶意图像查询样本检测过滤方法，包括以下步骤：

S1、合成数据集的生成

用数据集的某一类数据训练自编码器，用其他类别作为测试集用以生成数据，用于模型窃取攻击的查询数据集或者其他数据增强方法；

S2、训练自编码器

通过在S1中得到的单一类别数据集，训练不同参数、结构相同的自编码器，调整损失函数与学习率直到模型收敛；

S3、计算阈值

计算S2中训练好的单一模型的重构损失，分别将其保存为黑白像素的图像，再用最大类间方差法计算阈值，再将阈值返回成重构损失，得到阈值。

进一步地，所述S1具体为：