[发明专利]基于类别解纠缠的图像对抗样本的检测防御方法和装置

说明书

本发明公开了一种基于类别解纠缠的图像对抗样本的检测防御方法和装置，该方法包括：将图像采集器采集的待检测样本输入对抗样本检测盒中进行检测；将得到的检测结果输入图像识别模型，得到识别结果。本发明提供了一种方便的策略，提高了对各种对抗样本攻击的检测盒防御能力；通过提出一种基于类别解纠缠和分类器相结合的方法，将图像数据样本逻辑组成上拆分为冗余信息和分类信息两部分，采用这两部分数据的分类器，以实现对抗样本的检测和防御；提供了一种简单的机制，提升图像识别模型识别的识别性能。将对抗样本标注正确的标签后形成典型数据，加入训练数据集，提升图像识别模型的鲁棒性和泛化能力，减小遭受对抗样本攻击的可能。

技术领域

本发明涉及图像处理技术领域，特别是一种基于类别解纠缠的图像对抗样本的检测防御方法和装置。

背景技术

随着深度学习技术在人脸识别、自动驾驶、视频监控、恶意软件分类等领域的应用并取得令人满意的成果，人们越来越认可、接受甚至依赖人工智能技术。如今广泛使用的人工智能技术，为人们带来生产生活的便利、提高生产生活的质量的同时，也催生出了针对人工智能本身的攻击手段，暴露出了其背后的安全隐患，尤其是针对图像识别的攻击，其中以混淆图像识别结果为目标的对抗样本(adversarial example)尤为突出。对抗样本可以通过在原始图像中添加一些精心制作的扰动使得人眼无法感知，但却可以欺骗神经网络使其被错误分类。对抗样本的特点是寻找尽量小的扰动，而且这些扰动对于观察者来说不可察觉。对抗样本被证明是在不同的相似的网络体系结构中具有传递性的，以及在不相交的数据子集上训练的网络之间也具有传递性的。因此对抗样本的检测和防御十分必要。

对抗样本检测主要有三种方法：样本统计、训练检测器和预测不一致性。1、样本统计，使用密度比估计、最大均值偏差等评估指标作为模型的一种测量方法来检测对抗样本。基于真实样本与对抗样本具有不同的潜在概率密度或者最大均值偏差，通过密度比等指标的估计来检测出具有高置信度的对抗样本。然而，该方法需要大量的原始样本和对抗样本，训练过程繁琐且计算开销大，在现实场景中很难部署和应用；2、训练检测器，通过构造一个或多个单独的检测器网络，检测器网络通过近似于多种形式的普通样本来学习区分普通样本和对抗样本。然而，该技术需要大量对抗样本对检测器进行训练，并且改变原始模型会损失一部分原始样本的精度；3、预测不一致性，基于模型对特征压缩前后干净样本和对抗样本预测的不一致性来区分样本，从而达到检测对抗本的目的。该方法在不同攻击下都能表现出很好的检测性能。

对抗样本防御主要有数据预处理、对抗训练和自编码器去噪3种方法。1、数据预处理(Data Preprocessing)，以图像领域为例，在抵御对抗样本攻击时，可以根据不同的模型和数据集，对图像进行压缩，旋转，或者调整其对比度和亮度以及对图像滤波器的参数进行调整，来提高模型的鲁棒性；2、对抗训练(Adversarials Training)，首先使用常见的对抗样本算法，针对被攻击模型生成大量的对抗样本，然后把对抗样本和干净样本组合成新的训练数据集，重新训练模型，这样就得到了加固以后的模型；3、自编码器去噪(AutoEncoders)，自编码器是深度学习中常见的一种模型。自编码器隐藏层承担编码器和解码器的工作，编码器的工作过程是从高维度的输入层转化到隐层的转化过程，解码器的工作过程是从包含数据在潜在空间中表示的隐层到高维度的输出层的转化过程。自编码器通过学习数据集自身的特征，在一定程度上能够过滤叠加到原始数据上的不规则噪音，因此它常常也被用作去噪。该方法正是应用这一特点，通过使用自编码器来去除对抗样本中干扰模型做出错误判断的噪声。

发明内容

鉴于此，本发明提供一种基于类别解纠缠的图像对抗样本的检测防御方法，提高了对各种对抗样本攻击的检测盒防御能力，提升图像识别模型识别的识别性能。

本发明公开了一种基于类别解纠缠的图像对抗样本的检测防御方法，包括以下步骤：

步骤1：将图像采集器采集的待检测样本输入对抗样本检测盒中进行检测；

步骤2：将步骤1得到的检测结果输入图像识别模型，得到识别结果。