[发明专利]一种深度神经网络图像分类模型鲁棒性提升方法

说明书

本发明针对深度神经网络图像分类模型鲁棒性问题，公开了一种深度神经网络图像分类模型鲁棒性提升方法，属于机器学习和AI智能安全领域。该方法首先基于相同的训练样本集训练n个模型，然后以最大化神经元覆盖率和模型差异行为为指导构建联合优化问题，更新测试样本集中未使n个图像分类模型产生差异行为的样本图像，并采用梯度上升方法求解联合优化问题，得到具有高神经元覆盖率且使n个图像分类模型产生差异行为的样本集，最后对样本集分类并标记正确的标签，加入训练样本集重新训练图像分类模型。本发明方法能够激活图像分类模型更多的神经元，有助于模型在极端输入下作出正确分类且分类准确率提高，由此模型鲁棒性得到提升。

技术领域

本发明属于机器学习和AI智能安全领域，具体涉及了图像领域的深度神经网络模型鲁棒性提升问题，提出了一种深度神经网络图像分类模型鲁棒性提升的方法。

背景技术

现如今，深度神经网络的快速发展使其在日常生活中的各个领域都取得卓越的成绩，比如人脸识别，自动驾驶等。在这些安全攸关的领域，深度神经网络系统在极端情况下的准确率和预测能力就显得尤为重要，如果被精心制作的输入蓄意攻击将导致难以估量的后果，如自动驾驶系统将大雾天气下的左拐标识符识别为右拐。但现有的深度神经网络的数据集多依赖于手动收集并标记，十分有限，且不能揭露系统对罕见输入作出的错误预测。因此通过不断添加输入数据并重新训练模型从而提升深度神经网络模型的鲁棒性，对于促进深度神经网络应用于安全关键领域起到重要作用。

目前，提升深度神经网络模型鲁棒性的方案主要有三大类，分别是修改模型的输入数据，修改模型网络结构和增加外部模块。在修改模型的输入数据方面，大部分学者通过向训练样本集添加对抗样本进行对抗训练，研究表明，这种方法能够在一定程度上提高深度神经网络的鲁棒性，但对抗训练所需对抗样本的生成耗费时间长，且无论添加多少对抗样本，都存在新的对抗样本再次欺骗网络。本发明通过最大化神经元覆盖率来探索深度神经网络逻辑的不同部分，生成新的样本集加入训练样本集对模型进行重新训练，使模型能够在极端输入下作出正确分类，且分类准确率高，提升深度神经网络图像分类模型鲁棒性。

发明内容

本发明从三个方面来提升深度神经网络图像分类模型鲁棒性，其一是从测试样本集中选择未使n个图像分类模型产生差异行为的样本图像，并以每一层神经元输出均值作为激活阈值，计算n个图像分类模型的神经元覆盖率，其二是以最大化神经元覆盖率和n个图像分类模型产生差异行为为指导构建联合优化问题更新样本图像，生成具有高神经元覆盖率且对被n个模型分类为不同类别的样本集，其三是将生成的样本集进行分类并标记正确的类别标签并加入训练样本集重新训练。目标是经过重新训练的图像分类模型能够对极端输入作出正确分类，相较于原始模型准确率有所提高，由此模型鲁棒性得到提升。

本发明包括以下步骤：

步骤一：对n个深度神经网络图像分类模型，基于相同的图像分类数据集，数据集包括训练样本集D和测试样本集C，使用相同的训练样本集D对模型进行训练，得到n个图像分类模型F₁,F₂,...,F_n，n是图像分类模型个数，是大于等于2的整数，F_n代表第n个图像分类模型；

步骤二：从测试样本集C中随机选取m个样本构成输入样本集Z；

步骤三：对于输入样本集Z中的每一个样本图像x，使用步骤一训练好的图像分类模型对样本图像x进行分类，n个图像分类模型将样本图像x分类为不同的类别或分类为同一类别但与x的标签不一致则表示n个图像分类模型存在差异行为，x被分类为同一类别且与x的标签一致则表示n个图像分类模型未存在差异行为；

步骤四：对于已经使n个图像分类模型产生差异行为的样本图像x保存在样本集S中；