[发明专利]提升图像分类网络模型鲁棒性的损失函数方法及系统

说明书

本发明提供了一种提升图像分类网络模型鲁棒性的损失函数方法及系统，在进行图像分类时，用以引导映射特征的类间辨别性及类内紧凑性，进而学习到更本质和具有区分性的参数配置。利用本发明方法训练的模型，能有效提升对不同类型图像分类的性能，尤其在受到对抗样本攻击时，本发明所涉及模型仍能保持更好的稳定性，更适合真实世界中图像分类的实际情况。

技术领域

本发明涉及深度学习安全和图像识别的技术领域，具体地，涉及提升图像分类网络模型鲁棒性的损失函数方法及系统。

背景技术

随着计算架构、深度学习、移动智能终端的飞速发展，图像分类在现实世界中获得广泛应用。作为计算机视觉基础任务之一，图像分类是利用计算机根据图像信息中反映的不同特征，把不同类别目标划分开以进行图像理解和分析的方法。由于图像分类任务的基础性，它在物体检测，语义分割和文字识别等相关计算机视觉领域发挥着重要作用。

但是在现阶段广泛存在的基于深度学习的图像分类领域，研究者大都过多关注算法有效性(即在同种干净样本上的准确度评价指标)而忽略了鲁棒性这一衡量指标。据我们所知，AI算法非常脆弱，一些在实验室训练数据集上表现优秀的模型当迁移到陌生现实应用场景时，往往会面临安全性问题；另一方面，AI技术已经对人们的生活造成冲击，尤其在人脸支付和智能安防等对信息安全要求较高领域必须确保AI技术安全可控。为此，AI安全及对抗样本相应成为一个研究课题，例如当我们仅仅替换一点点图像像素，基于深度学习的系统就很有可能将灰蝶分类成草蛉。针对深度学习模型结构(线性映射层)进行物理攻击及其防御具有广泛的应用前景，如自动驾驶，物品的自动识别和鉴定等，研究如何保证深度学习模型的鲁棒性具有重要现实意义。

现在很多神经网络或者模型存在学到的特征并不是本质特征(换句话说，和人的认知还有很大区别)，主要是因为它们一般只过分追求类别的可分性而忽视了中间本质特征的学习。通常在实验室训练时，喂给模型的数据都是经过清洗的干净样本，而现实世界中的数据通常含有大量噪声或其他扰动，尤其在未定义环境下样本一个很小的变化量就可以导致模型判定结果的改变。为了提升样本分类网络的鲁棒性，引入新的特征学习准则用以减弱对抗样本因部分特征差异而严重干扰深度学习模型的决策对现实应用具有重要意义。与此同时，基于深度度量学习的方法针对特征和分类的权值向量做归一化并引入largemargin，让学到的特征更具有区分性，也为我们设计鲁棒深度学习分类模型提供新的启发。

在公开号为CN111950628A的专利文献中公开了一种人工智能图像分类模型的鲁棒性评估与增强系统，包括：白盒评估模块、黑盒评估模块和防御增强模块，白盒评估模块从用户处获得待评估模型及所选的评估指标，根据多个不同指标从各方面评估模型抵抗攻击的能力，并计算出所有指标的分数以及鲁棒性总分；黑盒评估模块从用户处获得待评估模型的输出结果，与正确标签相比较得到评估结果。提供了多种黑盒评估手段，从黑盒的角度评估模型的鲁棒性；防御增强模块内置多种鲁棒性提升手段。从用户处获得待增强的模型及所选的防御增强方法信息，使用相应的防御增强方法对使用者上传的模型进行鲁棒性增强。

因此，需要提出一种新的技术方案。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种提升图像分类网络模型鲁棒性的损失函数方法及系统。

根据本发明提供的一种提升图像分类网络模型鲁棒性的损失函数方法，所述方法包括如下步骤：