[发明专利]深度网络防御能力的预测方法及装置

说明书

本申请提供一种深度网络防御能力的预测方法及装置，方法包括：确定深度网络输出的攻击向量的分类与目标分类的交叉熵；根据深度网络输出的分类与目标分类的距离确定该深度网络对应的损失函数；基于损失函数并采用梯度下降法对攻击向量进行训练，得到损失函数的损失函数值以及训练后的攻击向量；计算训练后的攻击向量和训练之前的攻击向量之间差值的平滑度，并基于该平滑度与损失函数值之间的乘积得到深度网络的评价指标，以根据该评价指标对深度网络的防御能力进行预测，本申请能够确定目标深度网络对特定攻击方式的防御能力，进而能够有效提高应用该深度网络的人工智能产品和服务的安全性及应用可靠性。

技术领域

本发明涉及深度学习技术领域，具体涉及一种深度网络防御能力的预测方法及装置。

背景技术

近年来，深度学习算法得到了长足的发展，各类基于深度学习的人工智能产品和服务也随之广泛应用。大量的深度学习产品使用经典算法进行网络训练，部分产品甚至在网络训练过程中使用了公开的样本库。在这种情况下，恶意攻击者可以利用公开的深度学习算法和样本，构造结构和参数近似的深度网络(Deep Network)，以对该部分产品中的算法发起白盒攻击，寻找扰动样本使上述的部分产品中的深度网络输出意外值，从而实现攻击目的。

在这样的攻击中，攻击者可以通过训练构造出用于攻击的样本，攻击者可能构造多种不同的攻击样本对深度网络进行有目标类型/无目标类型的攻击。目前是把攻击者在有限计算条件下能够对给定深度网络构造出的较优样本对人和机器的欺骗性进行比较，作为评价深度网络防御能力的指标。该方式确定的指标无法准确评价深度网络的防御能力。

因此，亟需一种能够准确评价深度网络的防御能力的指标。

发明内容

针对现有技术中的问题，本发明提供一种深度网络防御能力的预测方法及装置，能够准确预测深度网络面对白盒攻击的防御能力，进而能够有效提高应用该深度网络的人工智能产品和服务的安全性及应用可靠性。

为解决上述技术问题，本发明提供以下技术方案：

第一方面，本发明提供一种深度网络防御能力的预测方法，包括：

确定深度网络输出的攻击向量的分类与目标分类的交叉熵；其中，所述深度网络模型用于对输入的向量进行分类；

根据深度网络输出的分类与目标分类的距离确定该深度网络对应的损失函数；

基于所述损失函数并采用梯度下降法对所述攻击向量进行训练，得到所述损失函数的损失函数值以及训练后的攻击向量；

计算训练后的攻击向量和训练之前的攻击向量之间差值的平滑度，并基于该平滑度与所述损失函数值之间的乘积得到所述深度网络的评价指标，以根据该评价指标对所述深度网络的防御能力进行预测。

进一步的，所述确定深度网络输出的攻击向量的分类与目标分类的交叉熵，包括：

确定深度网络输出的攻击向量的分类与正确分类的第一交叉熵以及确定深度网络输出的攻击向量的分类与指定分类的第二交叉熵；

其中，正确分类是训练生成攻击向量的训练向量所对应的分类，指定分类是预设的攻击向量对应的分类。

进一步的，所述根据深度网络输出的分类与目标分类的距离确定该深度网络对应的损失函数，包括：

确定所述第二交叉熵与所述第一交叉熵的差值为该深度网络对应的损失函数。

进一步的，在基于所述损失函数并采用梯度下降法对所述攻击向量进行训练时，若梯度下降循环中的攻击向量与训练之前的攻击向量之间差值的各个分量中最大模值大于预设值，则采用与所述梯度下降循环中的攻击向量欧式距离最小的攻击向量代替该所述梯度下降循环中的攻击向量，继续进行梯度下降；