[发明专利]基于对抗式生成网络的深度学习对抗性攻击防御方法

说明书

一种基于对抗式生成网络的深度学习对抗性攻击防御方法，包括以下步骤：1)基于生成对抗网络在学习样本分布中表现出来的高性能，设计了通过生成对抗网络生成对抗样本的方法，在增加了目标模型网络集合TM_i后，基于G网络的样本生成变成了一个多目标的优化问题；对于AG‑GAN模型的训练主要是对生成网络G和判别网络D的参数训练，分为三个模块；2)利用AG‑GAN生成的对抗样本训练被攻击的深度学习模型，从而提高其防御不同种对抗样本的能力。本发明一种基于对抗式生成网络的深度学习对抗性攻击防御方法，有效提高其安全性。

技术领域

本发明属于人工智能领域的机器学习方法的安全领域，针对目前机器学习中深度学习方法存在对抗样本攻击的威胁，提出了一种基于对抗式生成网络的深度学习对抗性攻击防御方法，有效提高其安全性。

背景技术

深度神经网络模型凭借其良好的学习性能，在现实世界中得到广泛应用，包括计算机视觉、自然语言处理、生物信息分析等。特别是计算机视觉领域，在ILSVRC、Kaggle等赛事的推动下，深度神经网络表现出相比于其它机器学习方法更为先进的性能。Graves等人设计了一个新型深度学习系统，Differentiable Neural Computer(DNC)，将外围知识引入深度学习。等人提出一种新型的神经网络结构，将图作为深度学习的输入，与DNC结合实现了GCN模型。Hinton等人提出Capsule新概念，改进了传统CNN模型，提升了模型的结构多样性和防御能力。Chung等人提出边缘AI(EdgeAI)利用有性生殖，合成更多样、紧凑的神经网络。此外，深度学习的开源框架和GPU的硬件性能提升更进一步推广了深度学习的应用。

然而，在深度学习算法得到广泛应用的同时，其存在的安全隐患也不容忽视。一直以来，基于机器学习的应用中就存在对抗样本攻击的威胁。Szegedy等人率先发现尽管进行图像分类的现代深度神经网络具有很高的精度，却也很容易受到图像中细小扰动的敌对攻击。这种细小扰动对人类视觉系统来说几乎不可察觉的，却能导致神经网络分类器完全输出具有高置信度的错误分类。而且，相同的图像扰动可能具有同时愚弄多个基于深度学习的计算机视觉系统的能力。此外，Moosavi-Dezfooli等人还发现，存在“通用扰动”能够作用于多张图像来愚弄某个深度神经网络分类器。Athalye等人的研究证明了3D打印的真实世界的物体也能够欺骗深度神经网络分类器。此外，除了分类与识别之前的攻击也在后续的研究中被不断发现，包括对自动编码器的对抗攻击，循环神经网络的对抗序列输入，对深度增强学习的对抗攻击，语义分割和目标检测的对抗攻击。

虽然目前已经有研究关注对抗性攻击对深度学习应用的影响与安全隐患，对其防御方法的研究仍然迫在眉睫。如果不能很好的防御对抗性攻击，那么基于人脸识别的支付应用就会没有安全保证，账户登录可以通过生成相应的人脸对抗样本来冒充；自动驾驶技术的推广也会存在重大安全隐患，人眼无法区别的一个路标标志对抗样本会让自动驾驶车辆产生完全错误的识别结果。

发明内容

为了克服已有技术无法解决面向深度学习的对抗样本攻击、安全性较低的不足，本发明一种基于对抗式生成网络的深度学习对抗性攻击防御方法，有效提高其安全性。

本发明解决其技术问题所采用的技术方案是：

一种基于对抗式生成网络的深度学习对抗性攻击防御方法，所述方法包括以下步骤：

1)基于生成对抗网络在学习样本分布中表现出来的高性能，设计了通过生成对抗网络生成对抗样本的方法，过程如下：