[发明专利]一种基于神经通路的深度学习的中毒防御方法及装置

权利要求书

1.一种基于神经通路的深度学习的中毒防御方法，其特征在于，包括如下步骤：

(1)获取图像数据集；

(2)根据获取的图像数据集预训练中毒深度学习模型；

(3)根据预训练好的中毒深度学习模型构建Top-k神经通路；

构建Top-k神经通路包括如下步骤：

(3.1)利用干净图像数据构建特征图通路，将特征图中激活值最大的Top-k神经元进行累加，构成损失函数：

其中，TKFeature(X)表示取X样本集中的Top-k特征图通路，λ表示平衡参数；max_k(f_emb(x_i))表示第e层激活值最大的k个特征图；f_emb(x_i)为样本在中毒深度学习模型卷积层与池化层的嵌入特征，x_i∈X,i＝1,2,...；表示取当x_i∈X,i＝1,2,...时，激活值最大的前k个特征图的集合；

(3.2)通过对像素值进行变异构建变异样本，通过对损失函数梯度上升作为导向对原始图像的像素进行改变，即：

x′_i＝x_i+s*grad

其中s为迭代步长，x_i∈X,i＝1,2,...，x_i'表示由x_i像素改变的后得到的样本；

(3.3)Top-k整体神经通路定义如下：

其中，N＝{n₁,n₂,...}为深度学习模型的一组神经元；T＝{x'₁,x'₂,...}为深度学习模型的一组变异输入；φ_i(x',n)代表在给定输入x'_i∈T，n∈N时，第i层所得到的神经元输出值，max_k(φ_i(x',n))表示第i层激活值最大的k个神经元；

(4)根据Top-k神经通路构建防御机制；

构建防御机制包括如下步骤：

(4.1)通过神经通路的激活状态增加人工神经元；

对每层神经元后安插一层人工神经元作为评判指标，假设i层有p个神经元，则每层神经元激活值记为神经元的激活值与该层权重密切相关，则触发人工神经元A_T激活的条件为：

当输入样本的进入该层，该层激活值达到阈值θ_T，说明可能触发潜在后门最终导致深度学习模型发生错误，需要通过人工神经元来进行调整；

(4.2)计算连接下层神经元的权重；

设正常输入时第i+1层神经元的激活值为Zⁱ⁺¹，通路产生的样本刺激时得到的激活值记为我们利用函数计算需要的优化权重向量ζ^*：

其中，wⁱ⁺¹为下层神经元的权重；

(5)对防御机制进行评估；

对防御机制进行评估包括如下步骤：

(5.1)将步骤(3.2)中生成的变异样本输入到增加防御机制后的深度学习模型中，统计模型的标签变化率：

当小于一定阈值T_th说明模型得到了一定的修复，当小于一定阈值T_th重复步骤(3)；

其中，衡量测试模型的敏感性。

2.根据权利要求1所述的基于神经通路的深度学习的中毒防御方法，其特征在于：步骤(1)中所述的图像数据集包括MNIST数据集、CIFAR-10数据集和ImageNet数据集，将获取的图像数据集保存为X以及每张图像相应的类标Y。

3.根据权利要求2所述的基于神经通路的深度学习的中毒防御方法，其特征在于，步骤(2)中所述的预训练中毒深度学习模型包括如下步骤：

(2.1)将图像数据集按预设比例划分为训练集和测试集，通过one-hot编码将图片数据集中每个样本的标签转化为一维向量；

(2.2)收集并保存模型中毒攻击方法；

(2.3)选取中毒攻击方法，利用该中毒攻击方法对获取的图像数据进行下毒操作，并将中毒的图像数据混入到干净样本中进行模型训练。

4.一种基于神经通路的深度学习的中毒防御装置，其特征在于，包括：

收集模块，收集图像并对图像进行整理分类；

预训练模块，根据获得的图像进行中毒，预训练中毒深度学习模型；

构建通路模块，利用卷积和池化层构建初始化变异种子，通过对模型进行刺激模拟触发样本的数据流动方向；

构建防御机制模块，通过神经通路的激活状态增加人工神经元，并获得连接下层神经元的权重；

评估模块，通过评估防御后模型与防御前模型的敏感性指标来评判是否需要迭代，当敏感性指标大于一定阈值则表明模型达到一定程度上的修复。