[发明专利]一种对抗样本防御模型训练方法、系统及其应用

说明书

本发明涉及一种对抗样本防御模型训练方法、系统及其应用，首先获取训练集，训练集包括对抗样本和真实样本。然后构建初始防御模型，初始防御模型包括生成器、判别器和分类器。最后利用训练集对初始防御模型进行训练，得到防御模型，本发明通过构造相应逆扰动来重构对抗样本，得到近似于真实样本的重构样本，从而获得较好的对抗样本防御效果。在对对抗样本进行分类时，先利用上述防御模型对待分类对抗样本进行对抗扰动消除，得到重构样本，所得到的重构样本可近似真实样本，将该重构样本输入至分类模型，能够使得分类模型正确分类，避免对抗扰动导致分类模型错误分类的问题，显著提高分类模型对对抗样本的分类正确率。

技术领域

本发明涉及图像分类技术领域，特别是涉及一种对抗样本防御模型训练方法、系统及其应用。

背景技术

深度学习在短暂的几年时间内，逐渐成为驱动经济社会中各个领域从机械化、数字化向智能化加速发展的重要引擎。深度神经网络(Deep Neural Networks，DNN)在复杂问题解决方面展现出惊人的效果，如人脸识别、自动驾驶等。2014年，Szegedy等人发现添加微小扰动的图像会引导DNN模型误分类的现象，证明了深度学习中存在着人类尚未可知的潜在隐患，而经过扰动修改后的图像称为对抗样本。对抗样本中所添加的微弱扰动通常无法被人类视觉系统所察觉，然而却可以导致DNN模型以高置信度输出一个错误结果，甚至相同对抗样本可诱导多个DNN模型错误分类。这一发现反映出DNN模型本身存在诸多风险，且尚未得到相应的安全保障。

虽然国内外学者已经开始重视对抗样本所引发的深度学习安全问题，但是目前已有防御方法中，检测性防御仅仅检测对抗样本的存在，并不有效地处理对抗样本，而鲁棒性防御虽然可以处理对抗样本，但防御效果不佳。

发明内容

本发明的目的是提供一种对抗样本防御模型训练方法、系统及其应用，能够训练得到防御效果好的防御模型，利用该防御模型对对抗样本进行处理后，能够避免分类器对对抗样本分类错误的问题。

为实现上述目的，本发明提供了如下方案：

第一方面，本发明用于提供一种对抗样本防御模型训练方法，所述训练方法包括：

获取训练集；所述训练集包括对抗样本和真实样本；所述对抗样本通过向所述真实样本添加对抗扰动而得到；

构建初始防御模型；所述初始防御模型包括生成器、判别器和分类器；所述生成器分别与所述判别器和所述分类器相连接；所述生成器用于以所述对抗样本作为输入，生成逆扰动，并根据所述逆扰动得到重构样本；所述判别器用于以所述真实样本和所述重构样本作为输入，对所述重构样本进行判别；所述分类器用于以所述重构样本作为输入，对所述重构样本进行分类；

利用所述训练集对所述初始防御模型进行训练，得到防御模型。

一种对抗样本防御模型训练系统，所述训练系统包括：

第一获取模块，用于获取训练集；所述训练集包括对抗样本和真实样本；所述对抗样本通过向所述真实样本添加对抗扰动而得到；

构建模块，用于构建初始防御模型；所述初始防御模型包括生成器、判别器和分类器；所述生成器分别与所述判别器和所述分类器相连接；所述生成器用于以所述对抗样本作为输入，生成逆扰动，并根据所述逆扰动得到重构样本；所述判别器用于以所述真实样本和所述重构样本作为输入，对所述重构样本进行判别；所述分类器用于以所述重构样本作为输入，对所述重构样本进行分类；

训练模块，用于利用所述训练集对所述初始防御模型进行训练，得到防御模型。

第二方面，本发明用于提供一种对抗样本防御方法，所述防御方法包括：

获取待分类对抗样本；

以所述待分类对抗样本作为输入，利用防御模型得到重构样本；