[发明专利]基于分层分类的对抗防御方法

说明书

本发明公开了一种基于分层分类的对抗防御方法，包括：建立两阶段的分层分类模型：第一阶段将所有样本分成N类，第二阶段将第一阶段中预测为各个类的样本分别建立M分类任务，即N个M分类的子分类任务；将分类器联合起来进行训练：所述分类器包括超类分类器和细类分类器，所述超类分类器经过Softmax层输出得到超类概率，将超类概率分别乘到该超类下所属的各个细类概率值上，使得细类的预测规范到所属超类下，从而实现分层；本发明不人为引入对抗信息，不需要花费大量计算资源与时间来生成对抗样本，因此可节约大量时间成本。

技术领域

本发明涉及图像数据处理技术领域，特别是一种基于分层分类的对抗防御方法。

背景技术

Szegedy等人[1]发现，深度神经网络在进行分类预测时，容易被添加微小的扰动，对于图像，加入扰动前后对人类是无法察觉到的，但它却能够使得原本能够预测正确的模型以高置信度输出一个错误的预测，如图1所示，通过不可抗拒的图像操作攻击深度视觉模型(此处为GoogLeNet)会导致高置信度的错误预测。此处使用FGSM攻击来操作图像。

给定分类器F，样本数据(x,y)，在使得分类器F进行错误分类的最小扰动δ可表示为：

对抗样本的发现，使得某些强调安全的相关领域,比如人脸识别、自动驾驶等造成巨大的安全隐患，因此，如何防御住对抗样本的攻击，提升模型的鲁棒性是非常重要的。

目前来说，对抗训练是最常用的一种提高模型对抗鲁棒性的方法，主要做法就是在训练集中添加对抗样本，并重新训练模型。直观上来说，这样做可以使得模型学习到对抗样本的特征，对于这种攻击方法产生的对抗样本会有更好的鲁棒性。现有的对抗训练方法都是基于以下最小—最大化公式：

其中，L指的是损失函数，δ指的是加到样本上的扰动，S是对扰动所加的限制。最大化过程的目的是找到使得模型做出错误判断最严重的对抗样本，之后，最小化的过程可以视为一个矫正过程，让模型学习犯错最严重的对抗样本的特征，并训练模型使其正确分类。

对抗训练是一种常见的对抗防御方法，它通过在训练数据中添加对抗扰动来增强模型的鲁棒性。虽然对抗训练在某些情况下可以显著提高模型的鲁棒性，但也存在以下缺点：

(1)对抗训练需要大量的计算资源和时间。对抗训练需要生成对抗样本，生成对抗样本的过程需要大量的计算资源和时间。此外，为了提高模型的鲁棒性，通常需要进行多次迭代训练，也就是在每一次迭代中都需要重新生成对抗样本，这也会增加训练时间和计算成本。

(2)对抗训练可能导致模型性能下降。在对抗训练中，模型被迫学习处理添加了对抗扰动的数据，这可能会导致模型在处理常规数据时的性能下降。此外，对抗训练还可能会导致模型对噪声更加敏感，从而增加误判的风险。

[1]C.Szegedy,W.Zaremba,I.Sutskever,J.Bruna,D.Erhan,I.Goodfellow,andR.Fergus,“Intriguing properties of neural networks,”arXiv preprint arXiv:1312.6199,2013.

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种基于分层分类的对抗防御方法，本发明不人为引入对抗信息，不需要花费大量计算资源与时间来生成对抗样本，因此可节约大量时间成本。

为实现上述目的，本发明采用的技术方案是：一种基于分层分类的对抗防御方法，包括：

建立两阶段的分层分类模型：第一阶段将所有样本分成N类，第二阶段将第一阶段中预测为各个类的样本分别建立M分类任务，即N个M分类的子分类任务；