[发明专利]一种对抗攻击样本扰动的去除方法

说明书

本发明针对深度学习模型防御对抗攻击的问题，公开了一种对抗攻击样本扰动的去除方法，通过建立Lsubgt;1,2/subgt;混合范数稀疏编码模型，将含有对抗扰动信息的图像块分解到近邻样本构成的稀疏字典上，获得稀疏编码系数，再通过字典和稀疏系数的合成运算重构扰动去除的干净图像块。具体包括稀疏编码字典构造、图像块的稀疏编码、图像块的扰动去除等三个主要步骤。本发明能有效移除对抗攻击样本中的扰动而最大限度的保留原始图像特征，同时，本发明方法不依赖具体的深度学习模型，具有普适性强、运算快的优点。

技术领域

本发明属于人工智能技术领域，涉及一种深度学习对抗样本攻击的防御方法，具体涉及一种基于L_1,2混合稀疏编码的对抗攻击样本扰动的去除方法。

技术背景

人工智能技术目前使用的算法与人类大脑的工作方式并不一样，人类能够借助某些伎俩来欺骗人工智能系统，比如在图像上叠加肉眼难以识别的修改，就可以欺骗主流的深度学习模型。这种经过修改的对机器具有欺骗能力而人类无法觉察出差别的样本被称为对抗样本(adversarial samples)，机器接受对抗样本后做出的后续操作可能给无人驾驶之类智能无人系统造成灾难性后果。例如已有研究者构造出一个图片，在人眼看来是一个stop标志，但是在汽车看来是一个限速60的标志。当前学术界已经披露了几十种针对深度学习模型的对抗性攻击(adversarial attacks)手段，人工智能系统尤其是基于深度学习的智能系统的可靠性面临严峻挑战。

现有针对深度学习模型对抗攻击的防御手段主要包括4种类型。对抗性样本检测：发现具有潜在危险的对抗样本，并将他们排除在处理范围之内；鲁棒优化：设计能够对扰动(perturbation)的影响完全鲁棒的目标模型，正确预测样本的原始类标；对抗性训练：将对抗样本添加到训练集中进行针对性训练，从而增加预测模型的免疫力；扰动去除预处理：预处理输入样本以消除对抗性扰动。

前三种方法不仅实施困难，而且不能保证模型的迁移性，即针对一种深度学习模型制定的防御方法往往不能有效迁移到其他模型上。第四种方法具有更好的普适性，几乎适用于所有的深度学习模型，但是要求在移除扰动数据的同时不能破坏原有图像，这并非易事。部分学者目前尝试的一种基于JPEG压缩的方法就不能很好地对压缩质量和扰动消除能力进行折中平衡，在比较高的压缩比下尽管可以较彻底地去除扰动，但带来了图像质量的损失。因此，提出能保护原有图像质量的对抗攻击扰动去除方法具有重要的应用价值。

发明内容

自然界图像具有天然的局部自相似性(local self-similarity)，即局部区域的图像内容(包括亮度、颜色、纹理结构等特征)高度相似；同时，自然图像也具有平滑稀疏的特点，图像内容具有空间上的连贯性，其结构模式符合人眼神经细胞稀疏感知的特点。反观对抗扰动信号，由于它们是根据一定攻击算法生成的随机噪声数据(如梯度攻击、生成对抗攻击、差分进化攻击等)，明显不具有局部自相似性这种规律性的分布，也欠缺稀疏性和空间平滑性。因此，将含有扰动的图像数据投影到邻域样本构成的稀疏字典空间，将能可靠保有原始图像信息而去掉扰动噪声。基于这一原理，本发明开拓性地提出一种基于L_1,2混合稀疏编码的对抗攻击样本扰动的去除方法。

本发明所采用的技术方案是：一种对抗攻击样本扰动的去除方法，其特征在于，包括以下步骤：

步骤1：对给定的观测图像块的邻域像素进行取样，构造由邻域样本组成的稀疏编码字典；

步骤2：针对稀疏编码字典，将图像块按L_1,2混合范数稀疏编码模型投影到稀疏编码字典空间，求取最优稀疏编码系数；

步骤3：利用步骤2中得到的最优稀疏编码系数，重构原始图像块，获得扰动去除后的干净图像块；

步骤4：重复步骤1、2、3，直到所有图像块处理完毕。

与现有的对抗攻击样本的防御方法相比，本发明具有以下优点和积极效果：