[发明专利]基于神经元激活率的对抗攻击防御方法

说明书

本发明公开了一种基于神经元激活率的对抗攻击防御方法，包括：1)获取图像数据集并进行预处理，构建训练集和测试集；2)构建CNN网络结构的分类器模型；3)构建二分类判别器D，对分类器模型关于输入本x的输出N进行判定；4)根据分类器模型和二分类判别器D的损失函数构建整体的损失函数，确定整体优化目标；采用训练集对整体模型进行联合训练，当整体的损失函数收敛时，停止训练并保存模型；5)输入测试集对训练后的分类器模型进行测试，若分类准确率低于阈值，则修改整体损失函数的λ，按步骤4)再次进行训练，直至分类准确率高于阈值。本发明的防御方法具有良好的适用性和准确率，对对抗攻击有良好的防御效果。

技术领域

本发明涉及对抗攻击防御方法，尤其涉及一种基于神经元激活率的对抗攻击防御方法。

背景技术

深度学习以其优越的性能被广泛应用于图像分类、目标检测、生物信息、语音识别、自然语言处理等众多领域，在计算机视觉领域获得了前所未有的成功。但深度模型容易受到人眼不可见扰动的影响而出现错误分类，这引起了研究人员的注意。在深度模型逐步替代人类进行自主决策的过程中，由于其容易受到对抗攻击等问题，已经对网络安全、数据安全、算法安全和信息安全产生了严重威胁。深度模型面对对抗样本的脆弱性也阻碍了深度学习在一些安全性苛刻的场景中的进一步应用，例如人脸识别、自动驾驶。因此，研究针对对抗攻击的防御，提高深度学习技术的安全性和鲁棒性十分必要。

在图像分类识别领域，目前已经有很多种对抗攻击方法已经被提出来发现深度模型的安全漏洞。按照其是否需要知道模型的结构参数，它们可以分为白盒攻击和黑盒攻击。白盒攻击可以分为基于梯度的FGSM，BIM，JSMA和基于决策面的DeepFool等等。黑盒攻击一般是基于模型决策的，如ZOO等。

同时，针对对抗攻击的防御研究也在展开，不同技术主要沿着一下三种方向：数据修改(如对抗性训练和数据预处理)，模型修改和添加附加网络。Goodfellow和Huang等人将对抗样本加入训练集，用对抗性训练来加强模型对于攻击的鲁棒性。Prakash等人通过像素偏移来重新分配对抗样本中的像素值，再对其进行基于小波的去噪操作，从而有效地恢复图片的真实类标。Papernot等人提出了防御蒸馏，利用网络的知识来塑造自己的鲁棒性，并证明其可以抵抗小幅度扰动的对抗攻击。

添加附加网络的方法一般是使用一个或多个外部扩展的模型来帮助主模型应对对抗性扰动，附加模型可以是自编码器，GAN或者集成模型。Hlihor等人提出了DAE方法，训练自编码器缩小输入样本和良性样本的距离，以达到移除对抗性扰动的效果。Ju等人研究了神经网络的集成方法Ens-D用于图像识别任务，当一个模型收到攻击时，集成的方法依旧能做出正确的判断。Samangouei等人提出Defense-GAN和Jin等人提出APE-GAN将噪声或对抗样本与良性样本混合后输入给GAN，训练模型直到它能消除输入中的对抗性扰动。

尽管现有防御方法能达到较好的效果，但它们仍存在以下缺点和不足：

(1)这些防御措施只能针对已有的对抗样本，对未知的对抗性输入没有抵御能力。

(2)这些方法在面对黑盒攻击时，经常不能取得较好的效果。

(3)对于可迁移的攻击，这些防御方法会遭到破坏。

对于深度模型来说，需要从模型本身出发，提高自身对于对抗性输入的鲁棒性，而不只是针对已有的对抗样本做防御。基于此，本发明提出了一种基于神经元激活率的对抗攻击防御方法，通过附加判别器进行联合训练，增加被激活的神经元数量，以减弱对抗性输入对模型分类的影响，使深度模型在应用时更加安全可靠。

发明内容

本发明提供了一种基于神经元激活率的对抗攻击防御方法，该对抗攻击防御方法从深度模型内部出发，提高模型安全鲁棒性，减弱对抗性扰动对分类的影响，对未知对抗样本均有防御能力。

本发明的技术方案如下：