[发明专利]一种基于神经通路的深度学习的中毒防御方法及装置

说明书

本发明公开了一种基于神经通路的深度学习的中毒防御方法及装置，其中公开了基于神经通路的深度学习的中毒防御方法，利用中毒模型，通过特征提取层产生导向性样本从而构建深度学习模型的关键神经通路，模拟触发样本的数据流动过程，对激活值异常的神经元通过人工神经元来抑制激活值，增加新的权重使得模型实现自我防御机制。本发明还公开了一种基于神经通路的深度学习的中毒防御装置，包括收集模块，预训练模块，构建通路模块，构建防御机制模块，评估模块。

技术领域

本发明涉及深度学习的中毒防御领域，特别涉及一种基于神经通路的深度学习的中毒防御方法及装置。

背景技术

由于高度可并行化的算法(CNN)的新变种的发展以及针对现代图像处理单元(GPU)优化的高效并行网络框架的出现，是的深度神经网络具有十分良好的商业前景。

然而，虽然深度学习模型能较好的适用于各种场景并展现出其独有的精确、高效的性能，但它非常容易受到恶意数据的攻击。对于深度学习模型的攻击，分为对抗攻击和中毒攻击，相对对抗攻击而言，中毒攻击往往对深度学习的安全性威胁性更大。中毒攻击通常针对深度学习模型的训练阶段，通过对干净样本添加一定的扰动或将两张干净样本的特征混合实现毒药样本的构建，并标注错误的标签混入干净样本中进行训练；在预测阶段，潜在的触发样本输入到深度学习模型中，将会使模型内部发生混乱从而导致错误分类，值得注意的是，触发样本可能与干净样本无异。因此，特别是在自动驾驶和人脸识别等安全性相关领域中，注入毒药样本训练后的中毒模型对一些潜在的触发样本造成误分类的现象，将会对人工智能安全乃至人生安全产生严重的威胁。因此建立深度学习的中毒防御是必要的。

现有的用于对抗中毒攻击的方法如公开号为CN112905997A的中国专利申请中公开的面向深度学习模型中毒攻击的检测方法、装置及系统，包括如下步骤：获取样本集和待检测模型；预训练与待检测模型结构相同的良性模型；对部分样本进行数据增广，组成新样本集；将每一类新样本作为目标类，剩下的所有类新样本作为源类，对预训练后的良性模型进行目标类的多种中毒攻击，获得多种中毒模型和多种中毒样本；获得中毒样本在所有非所出中毒模型下的检测结果，依据检测结果筛选并构建中毒模型池和中毒样本池；依据中毒样本在待检测深度学习模型的检测结果和中毒样本在非所出中毒模型下的检测结果来判断待检测深度学习模型是否中毒。来实现对面向深度学习模型中毒攻击的快速准确检测。

上述专利申请公开的方法仅能对中毒攻击进行检测，并未形成防御机制，用于对抗中毒攻击不够完善。

发明内容

为解决现有技术中存在的问题，本发明提供一种基于神经通路的深度学习的中毒防御方法及装置，通过模拟异常样本在深度学习模型中的数据流动过程增加防御机制，从而使深度学习模型在实际部署和应用时更加安全可靠。

一种基于神经通路的深度学习的中毒防御方法，包括如下步骤：

(1)获取图像数据集；

(2)根据获取的图像数据集预训练样本在模型卷积层与池化层的嵌入特征；

(3)根据预训练好的中毒深度学习模型构建Top-k神经通路；

(4)根据Top-k神经通路构建防御机制；

(5)对防御机制进行评估。

步骤(1)中所述的图像数据集包括MNIST数据集、CIFAR-10数据集和ImageNet数据集，将获取的图像数据集保存为X以及每张图像相应的类标Y。

步骤(2)中所述的预训练中毒深度学习模型包括如下步骤：

(2.1)将图像数据集按预设比例划分为训练集和测试集，通过one-hot编码将图片数据集中每个样本的标签转化为一维向量；

(2.2)收集并保存模型中毒攻击方法；