[发明专利]一种具有听觉高保真度特点的语音对抗样本修复方法

说明书

本发明涉及一种具有听觉高保真度特点的语音对抗样本修复方法，涉及人工智能安全技术领域。该方法包括步骤：构建对抗样本修复训练数据集；搭建RAE网络并设置网络参数；构建高保真音频重构损失，即基于信号均方误差的高保真度策略改进；设置训练参数并训练网络；利用训练好的RAE网络进行对抗样本修复，借助语音识别模型判断是否修复成功。与目前传统常用的语音信号修复方法相比，通过本发明算法生成的音频修复样本具有较高的听觉保真度和修复成功率，能够适用于更低信噪比情况下的对抗样本。

技术领域

本发明涉及人工智能安全技术领域，具体涉及一种具有听觉高保真度特点的语音对抗样本修复方法。

背景技术

近年来，语音识别对抗攻击开始成为人工智能一个新的研究热点，其通过在输入音频数据中添加人类难以察觉的微弱噪声就能诱导语音识别算法产生错误识别结果。面向语音对抗攻击威胁，国内外学者积极探索人工智能算法安全防御技术。主要的防御方法分为三类，一是通过对抗样本对训练数据集进行扩充进而进行对抗训练，提高智能算法的鲁棒性，这种方法需要产生大量对抗样本并改变原智能算法参数；二是对抗样本检测技术，通过对抗样本检测算法识别输入中的对抗样本，这种方法仅仅可以发现对抗攻击行为但是无法对其进行有效响应；三是对抗样本修复，通过对抗噪声过滤，拟制对抗攻击效果，进而保证原智能算法正确识别。因此，研究对抗样本修复技术对语音识别算法安全可靠应用具有重大现实意义。

浙江工业大学在其申请的专利″面向语音识别系统黑盒攻击模型的防御方法及防御装置″(专利申请号：201911031043.5，公开号：CN110992934A)中提出了一种针对语音识别系统黑盒攻击模型的防御方法。该防御方法首先对原始音频添加模拟环境噪声，模拟现实场景下的语音输入情况，随机添加噪声后形成初代对抗样本，通过遗传算法和梯度估计对对抗样本进行优化，获得精确对抗样本，然后将原始音频文件和对抗样本混合，作为对抗训练的训练数据集，对模型进行再训练，提高了模型对对抗样本的识别准确率，从而提高了模型对于对抗攻击的鲁棒性。但是，该方法仍存在的不足之处是：需要产生大量对抗样本，且仅使用一种类型的对抗样本进行对抗训练对其他攻击方法的防御效果不佳；需要对原语音识别算法进行二次训练，在实际应用中具有局限性。

北京邮电大学在其申请的专利″基于语音增强算法的对抗样本攻击防御方法及装置″(专利申请号：202010206879.0，公开号：CN111564154A)中提出了一种基于语音增强算法的对抗样本攻击防御方法。该方法首先获取待识别语音样本的频谱特征，根据待识别语音样本的频谱特征，通过基于连续最小值跟踪的谱减法与结合语音存在概率的对数最小均方误差算法MMSE算法对待识别语音样本进行噪声频谱的计算，并利用计算得到的估计噪声频谱对待识别语音样本进行去噪，得到去噪后的语音样本，然后通过预先训练的语音识别模型对去噪后的语音样本进行识别。该方法可以增加语音识别准确率，提高防御对抗样本攻击的效果。但是，该方法仍存在的不足之处是：该方法本质是一种传统的通用降噪算法，没有针对对抗样本噪声进行针对性改进，防御成功率不高。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种具有听觉高保真度特点的语音对抗样本修复方法，在保证对干净样本压缩重构后的音频样本与原始样本在听觉感知无较大差异的情况下，又能较好抑制对抗样本攻击效果。

(二)技术方案

为了解决上述技术问题，本发明提供了一种具有听觉高保真度特点的语音对抗样本修复方法，包括以下步骤：

(1)构建对抗样本修复训练数据集；

(2)搭建RAE网络并设置网络结构参数；

(3)构建高保真音频重构损失；

(4)基于步骤1、步骤2、步骤3设置训练参数并训练RAE网络；

(5)利用训练好的RAE网络修复对抗样本。