[发明专利]一种基于批利普希茨常数限制的鲁棒性对抗训练方法

说明书

本发明公开了一种基于批利普希茨常数限制的鲁棒性对抗训练方法，属于人工智能模型分析技术领域，包括如下步骤：获取神经网络训练好的分类器；基于训练好的分类器，得到批利普希茨常数限制的损失函数；基于批利普希茨常数限制的损失函数，进行反向传播与梯度下降，得到目标神经网络，完成基于批利普希茨常数限制的鲁棒性对抗训练；本发明在计算利普希茨常数的时候，从批的角度考虑整个数据集的情况，用批的局部利普希茨常数的来估算整体的利普希茨函数，解决了现有对抗性人工智能算法难以兼顾实用性与效果从而导致算法安全性不足的问题。

技术领域

本发明属于人工智能模型分析技术领域，尤其涉及一种基于批利普希茨常数限制的鲁棒性对抗训练方法。

背景技术

随着人工智能技术的高速发展，相关算法在各个领域已经得到了广泛的应用。人工智能算法与生活的强关联性引起了人们对于该技术的安全性的忧虑和思考。基于此出发点，越来越多的技术研究人员开始通过攻击(生成对抗样本)与防御(对抗训练)的交互来提升已有模型的安全性。在攻击与防守的交互中，攻击算法占据着较为明显的优势，与多样化且效果良好的攻击算法相比，防守算法的效果显著较差且实用性不高。

现有的防御技术的目的主要在于加强模型的鲁棒性。防御算法的问题在于，由于人工智能算法普遍的黑盒性质以及高数量级的参数数量，使得在设计防御算法时，要不使用直觉性的算法改良，来提升模型在遇到攻击时的防御力(即对抗性准确率)，但这种算法由于缺乏对于模型的理论分析，造成的结果就是陷入了实验主义的怪圈，难以对于模型进行控制，且最终的结果往往在提升了一定的对抗性准确率的情况下，损失大量的正常情况下的准确率。

现有算法在对抗性训练的基础上提升了一定的准确率，但仍然存在真实正确率过低的问题，要不就是降级了模型原本的准确率，导致模型没有了实际用途；要不就是只能在小模型上应用，对于现在的前端技术来说没有实际意义。因此，一种可以解决这些方法的算法，就变得至关重要。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于批利普希茨常数限制的鲁棒性对抗训练方法解决了现有对抗性人工智能算法难以兼顾实用性与效果从而导致算法安全性不足的问题。

为了达到上述发明目的，本发明采用的技术方案为：

本发明提供一种基于批利普希茨常数限制的鲁棒性对抗训练方法，包括如下步骤：

S1、获取神经网络训练好的分类器；

S2、基于训练好的分类器，得到批利普希茨常数限制的损失函数；

S3、基于批利普希茨常数限制的损失函数，进行反向传播与梯度下降，得到目标神经网络，完成基于批利普希茨常数限制的鲁棒性对抗训练。

本发明的有益效果为：本发明提供的基于批利普希茨常数限制的鲁棒性对抗训练方法，通过将数据集原有的批次处理方法抽象出来作为一个完整的数据集，继而定量的分析模型的利普西茨常数，将原本是黑盒的人工智能模型定量分析，并且将定量分析的结果用到了神经网络模型的训练之中；通过限制神经网络模型的利普希茨常数，限制神经网络模型在干扰下产生大扰动的可能性，继而增强了神经网络模型的鲁棒性；本方法具有普适性，不需要考虑攻击方式，而是强化了神经网络模型本身的相关性质，可以大量广泛的转移到任何一个人工智能算法当中。

进一步地，所述步骤S2包括如下步骤：

S21、基于训练好的分类器，得到全局利普希茨常数；

S22、基于全局利普希茨常数，得到局部利普希次常数；

S23、基于局部利普希次常数，得到神经网络的利普希次常数；

S24、基于神经网络的利普希次常数，定义神经网络的损失函数；

S25、通过梯度下降计算，得到交叉熵最大时的向量增量；