[发明专利]对深度网络解释算法的对抗噪声攻击扰动图像的防御方法

说明书

本发明公开了一种对深度网络解释算法的对抗噪声攻击扰动图像的防御方法。包括：对抗噪声攻击获得原始扰动图像，计算一阶局部梯度的幅值，获得一阶局部梯度幅值图像；对一阶局部梯度幅值图像进行归一化后，获得归一化梯度幅值图像；利用解释算法对原始扰动图像进行解释，获得可视化的解释图像同时定位对抗噪声特征区域，填充获得二进制掩码图像，对原始扰动图像进行高频噪声的滤除，获得滤除掉高频噪声的扰动图像；再采用解释算法进行解释，获得解释后的图像，判断是否防御成功。本发明对可解释性的对抗噪声攻击具有一定的防御能力，并在五种深度神经网络可解释算法上进行了验证，且能够对攻击区域进行不同程度的防御，增强了解释算法的鲁棒性能。

技术领域

本发明涉及了一种图像处理的对可解释攻击的防御方法，尤其是涉及了一种对深度网络解释算法的对抗噪声攻击扰动图像的防御方法。

背景技术

对于应用广泛的人工智能系统来说，系统的端到端决策使得用户无法理解决策的过程，所以拥有可解释的人工智能系统模型变得十分重要，让人们明白系统内部是如何工作的，理解决策是如何形成的，从而帮助用户对错误原因进行准确定位、并对其进行改进。因此，研究深度学习的可解释性十分必要。其中事后局部可解释技术通过研究对单一决策贡献最大的输入特征，并多以可视化的手段来高亮出这些相关特征，这是一种比较直接的解释技术。本发明主要是对这种可视化解释技术进行攻击后的防御。

随着深度神经网络可解释算法的不断提出，出现了对可解释算法的攻击。例如在输入图像特定区域中加入视觉不可感知的对抗噪声得到扰动图像，通过设计损失函数迭代优化对抗噪声及扰动图像，使得在保持扰动图像预测分类不发生改变的同时，将可视化解释定位到该区域，无法对图像类别进行准确解释，这体现了现有解释算法的脆弱性，促使研究人员寻找有效可行的防御措施，使解释算法在面对此类攻击时更加稳健，从而能够准确的解释深度神经网络模型，因此对深度神经网络的可解释性算法攻击进行有效的防御已刻不容缓。

发明内容

本发明的目的在于对现有深度神经网络图像分类可解释性算法的对抗噪声攻击进行有效的防御，可以在不影响低频图像区域的情况下，仅对高频噪声区域进行查找和抑制，提供一种对深度网络解释算法的对抗噪声攻击扰动图像的防御方法，也是一种基于局部梯度滤波的对神经网络可解释性攻击的防御方法。

本发明中要解决的技术问题包括：一种有效的防御算法；查找对抗噪声攻击的区域；仅对扰动图像的高频噪声区域进行滤波，保持低频区域不变；滤波程度可控。

为了对可解释性技术的对抗噪声攻击进行防御，设计一种有效的对深度学习可解释性算法攻击的防御方法是本发明要解决的技术问题之一。

此外，针对对抗噪声攻击，想要恢复扰动图像的正确解释，由于主要是在扰动图像的特定区域中引入了集中的高频噪声来愚弄解释，因此寻找高频的对抗噪声攻击的特定区域也是本发明要解决的技术问题之一。

本发明在对扰动图像进行梯度滤波后，不仅能够恢复扰动图像的正确解释，也要确保滤除了高频噪声后的扰动图像结构不发生明显改变，和原始图像在视觉上尽可能保持一致，因此是一种局部滤波，即仅对扰动图像的高频噪声区域进行滤波，保持低频区域不变，这也是本发明要解决的技术问题之一。

本发明是在不同的解释算法上进行攻击后的防御，因此使用不同程度的对抗噪声进行攻击，为了更直观便捷的观察本发明的防御力度，因此需要设定一个过滤因子，来观察到不同程度的防御，以此来寻求到不同解释算法上的比较合适的防御度。

本发明是通过以下技术方案来实现的：

本发明首先利用梯度来估计噪声引入的区域；然后只在这些区域进行局部滤波，并保持其他低频图像区域不变，从而减少这些对抗噪声，使得滤除了高频噪声的扰动图像和原始图像在视觉上尽可能一致，且解释再次恢复准确。

包括以下步骤：

本发明包括如下步骤：