[发明专利]一种众包任务下的鲁棒分类器训练方法

说明书

本发明提出了一种众包任务下的鲁棒分类器训练方法，使得训练得到的分类器结果更加鲁棒，在一定程度上可以抵御恶意对抗样本的攻击。本发明首先通过训练一个自动编码器，学习输入样例在隐空间上的表示。将输入投影到隐空间上后，进行两种处理并将损失与正常分类损失一起进行联合对抗训练，得到基本分类器f。鲁棒分类器g通过对输入样例加上高斯噪声扰动，利用蒙特卡罗方法不断查询基本分类器f，输出基本分类器输出最高的概率类别c。本发明还是一种可证明的防御，因而可以用在对安全性要求较高的任务中，在给定的安全范围内保证不会被恶意对抗样本攻击成功。

技术领域

本发明涉及神经网络对抗防御领域，具体涉及一种众包任务下的鲁棒分类器训练方法。

背景技术

随着深度学习技术的快速发展，其在图像分类、目标检测、语音识别、自然语言处理等领域的应用日益成熟，各应用场景中数据处理可以看作是一种黑箱操作，作用机理不明确，可解释性差。面对神经网络可能收到对抗样本的攻击，如何针对这些神经网络进行鲁棒性增强，面临着巨大的挑战。

在进行安全攸关的任务时，神经网络经常会遇到不可预知的错误，难以获得业务人员信任。随着深度神经网络规模的不断提升，其脆弱性也显著提升。在面对较高安全性要求的时候，传统神经网络的以分类准确率为目标的训练方式暴露出固有的不足，需要针对神经网络的训练目标和内在方式进行优化，以满足鲁棒性的要求。

通常攻击算法需要获得梯度作为指导信息。因此，传统对抗防御的方法是混淆梯度，即在梯度上做文章，例如使用不可微的模块或是利用数据不稳定性导致函数不存在或错误，又或者使用防御蒸馏使得梯度消失或爆炸，还以通过随机函数使得梯度具有随机性不可利用，从而达到防御的目的。这样的防御方式不能防御最新的自适应攻击，如CW算法。

发明内容

本发明主要解决的技术问题是，针对深度神经网络分类器容易受到对抗样本攻击的特点，进行对偶对抗训练。对偶对抗训练使用标准对抗样本和流形上对抗样本进行联合优化，可以同时抵御Lp范数攻击和非Lp范数攻击，又使用随机平滑，获得可以保证的防御范围。

本发明提出了一种众包任务下的鲁棒分类器训练方法，包括如下步骤：

步骤1，自动编码器训练；

通过自动编码器强迫输入输出尽可能一致，自动编码器包括编码器、解码器、以及用于连接编码器和解码器的隐层神经元，隐层神经元数量远小于输入和输出向量的维数，隐层神经元的值构成向量空间即为隐空间Z，对编码器和解码器进行训练，取自动编码器中的解码器为生成器G；

步骤2，将输入x经过自编码器训练得到的编码器，投影到隐空间Z上，变为z；

步骤3，基分类器训练

根据输入x投影后的隐空间表示z，利用PGD(Projected Gradient Descent)方法寻找标准对抗样本和流形上对抗样本，再利用两种对抗样本的联合损失进行对抗训练，得到基分类器f；

步骤4，通过随机平滑法训练鲁棒分类器；

鲁棒分类器g通过蒙特卡洛方法对输入加上随机的高斯噪声，不断查询基分类器f，根据采样结果中最常出现的类别作为鲁棒分类器g的输出。

本发明相比现有技术，具有以下有益效果：

使用传统混淆梯度的防御方法，通过梯度不可利用的方式，不足以抵御自适应的恶意对抗样本攻击的威胁，本发明使用一种众包任务下的鲁棒分类器训练方法，使得所训练的深度神经网络可以同时抵御Lp范数攻击和非Lp范数攻击；与此同时，通过随机平滑将基分类器进一步蒸馏，使得可证明防御边界成为可能。

附图说明

图1为本发明的方法整体流程图；

图2为本发明基分类器训练的流程图。