[发明专利]一种基于对抗攻击的深度神经网络近似模型分析方法

说明书

本发明公开了一种基于对抗攻击的深度神经网络近似模型分析方法，包括以下步骤：构建待分析的深度神经网络；针对深度神经网络进行对抗攻击，获取数据集样本与对抗样本的数据样本对；输入数据集样本与对抗样本的数据样本对，获取深度神经网络的特征图对；利用得到的特征图对度量深度神经网络中各节点激活值变化情况，进而计算各节点贡献度；根据深度神经网络各层节点贡献度，对卷积核进行删除，获得深度神经网络的近似模型。本发明提出的基于对抗攻击的深度神经网络近似模型分析方法，可以对深度神经网络节点贡献度进行度量，且得到与原网络性能相近的近似模型。

技术领域

本发明属于深度神经网络可解释性研究领域，具体涉及一种基于对抗攻击的深度神经网络近似模型分析方法。

背景技术

随着计算能力的不断提升以及大数据时代的到来，近年来深度学习技术得到了迅猛的发展，深度学习已经成功运用在自然语言、多媒体、计算机视觉、语音和跨媒体等相关的特定领域。

然而，深度学习网络往往需要大量标注数据进行模型优化，具有黑盒特性。深度学习模型的透明性、可解释性、可信性不足，在进行智能决策、无人驾驶等安全攸关领域时无法为用户提供可信赖的计算结果，因此开展对深度学习的可信性技术迫在眉睫。

目前研究人员在关于深度学习透明性、可理解性以及可解释性问题上已经取得了一些进展，不同的学者解决问题的角度不同，对可解释性赋予的含义也不同，所提出的解释方法也各有侧重。但是该领域依然有许多科学问题尚待解决，其中之一便是深度神经网络节点规模庞大导致网络难以分析的问题。

发明内容

本发明所要解决的技术问题在于针对上述现有技术的不足，提供一种基于对抗攻击的深度神经网络近似模型分析方法，解决深度神经网络节点规模庞大导致网络难以分析的问题，增强深度神经网络的可解释性，帮助理解深度神经网络模型，提高深度学习算法的可信性。

为解决上述技术问题，本发明采用的技术方案是：一种基于对抗攻击的深度神经网络近似模型分析方法，其特征在于，包括以下步骤：

步骤一、构建待分析的深度神经网络：

步骤101、构建待分析的某一深度神经网络的模型架构；

步骤102、利用某一数据集对构建的深度神经网络模型进行训练，获得训练好的网络权重；

步骤二、针对深度神经网络进行对抗攻击，获取数据集样本与对抗样本的数据样本对：

步骤201、将数据集样本依次输入到待分析的深度神经网络,通过损失值的反向传播求得输入样本的梯度；

步骤202、在输入样本上加上样本的梯度得到中间样本，并且将中间样本中像素值限定在0到1之间；

步骤203、将中间样本输入网络进行分类，若分类结果仍然正确，则重复步骤201、202，直至分类结果错误，使得分类结果错误的样本为对抗样本；

步骤204、数据集样本和与之对应对抗样本的构成一个数据样本对；

步骤三、输入数据集样本与对抗样本的数据样本对，获取深度神经网络的特征图对：

步骤301、将数据样本对中的数据集样本和对抗样本依次输入到待分析的深度神经网络,获得样本在待分析网络各中间隐藏层所对应的特征图；

步骤302、数据样本对中的数据集样本和对抗样本在待分析网络上得到的特征图构成一个特征图样本对,若共有m组数据样本对，以及待分析网络有k个卷积层，则得到特征图样本对i＝1,2...m，其中(X^r,X^a)分别代表数据集样本特征图和对抗样本特征图；

步骤四、利用得到的特征图样本对度量深度神经网络中各节点激活值变化情况，进而计算各节点贡献度：