[发明专利]一种提升深度神经网络模型鲁棒性的方法及装置

说明书

本发明公开了一种提升深度神经网络模型鲁棒性的方法，同时公开了一种提升深度神经网络模型鲁棒性的装置。本发明首先提出了神经单元敏感度的指标，用于度量深度神经网络模型中各神经单元在面对原始样本和对抗样本的表现差异；进一步找出深度神经网络模型中的敏感单元；然后根据各敏感单元组成敏感单元集合，作为训练集，针对待检测模型中预定的至少一层进行训练。因此，本发明可以有效地找到深度神经网络模型的弱点，并进行针对性的修复，提高模型对于对抗样本的鲁棒性。

技术领域

本发明涉及一种提升深度神经网络模型鲁棒性的方法，同时涉及一种提升深度神经网络模型鲁棒性的装置，属于机器学习技术领域。

背景技术

深度神经网络为多层神经网络结构，而且每一层都包含多个神经单元。近年来，深度神经网络已经在计算机视觉、语音识别和自然语言处理等诸多领域展示了卓越的表现。尽管深度神经网络已经取得了惊人的成就，但是包含人类不可感知的细小噪声而可以误导模型分类错误的对抗样本的出现，使得深度神经网络的可解释性受到了广泛的关注。同时，这也使得深度神经网络已经被广泛应用的领域，诸如自动驾驶和人脸识别，受到了对抗样本的潜在的安全威胁，可能会造成财产损失甚至人员伤亡。

为了避免对抗样本对现实世界应用造成潜在威胁，许多用于提升深度神经网络对抗鲁棒性的方法被相继提出。这些方法可以被分类为对抗训练(adversarial training)、输入转换、特殊模型架构设计和对抗样本检测。

从另一个角度看，深度神经网络由于结构复杂以及包含大量非线性操作被当做“黑盒”模型，而对抗样本对于理解深度神经网络的内部行为有着重要的价值。理解对抗样本可以找到模型的缺陷和弱点，从而有助于我们理解和训练出鲁棒的深度神经网络。有一些基于对抗扰动的模型鲁棒性分析方法被业界专家学者提出，它们中有人使用对抗样本理解深度神经网络内部表征；有人通过分析模型在面对对抗样本时，输入图像各区域的影响程度，来分析模型的弱点。

从更高层次的角度看，模型面对噪声的鲁棒性可以被视为一种全局的不敏感特质。深度神经网络可以通过学习对于对抗样本的不敏感表征，减少其在面对对抗样本时的表现退化情况。

发明内容

本发明所要解决的首要技术问题在于提供一种提升深度神经网络模型鲁棒性的方法。

本发明所要解决的另一技术问题在于提供一种提升深度神经网络模型鲁棒性的装置。

为实现上述目的，本发明采用下述的技术方案：

根据本发明实施例的第一方面，提供一种提升深度神经网络模型鲁棒性的方法，包括如下步骤：

构建偶对集合；所述偶对集合由原始样本和对应对抗样本构成；

在待检测模型的各层中，选出至少一层预设层；

针对各预设层，逐层计算每个神经单元在偶对集合上的神经单元敏感度；

根据各预设层中各神经单元的神经单元敏感度，得到各预设层的敏感单元集合；

将偶对集合作为训练集，根据各预设层的敏感单元集合，针对各预设层进行训练。

其中较优地，所述构建偶对集合，具体包括：

获取原始样本；

使用基于梯度的PGD白盒攻击方法在原始样本上，针对待检测模型进行攻击，生成对应的对抗样本；

每个原始样本和唯一对应的对抗样本构成一组偶对数据；

各偶对数据构成偶对集合。

其中较优地，所述PGD白盒攻击方法为：