[发明专利]基于迁移的对抗性环境下的防御毒化攻击的学习方法

说明书

技术领域

本发明涉及机器学习中对抗性环境下的训练数据污染问题的解决方法技术领域，尤其涉及一种基于迁移的对抗性环境下的防御毒化攻击的学习方法。

背景技术

机器学习方法在越来越多的领域中得到应用，随之而来的安全问题也得到越来越多的关注。如在垃圾邮件过滤系统中，攻击者会攻击系统中机器学习方法部分来扰乱垃圾邮件过滤系统的过滤效果。因此，在存在攻击者的情况下研究更加安全可靠的机器学习方法十分必要。对抗性环境下的机器学习即是研究在存在攻击的环境下的机器学习。

毒化攻击是指攻击者通过攻击训练集来误导学习过程的攻击方法。由于机器学习的主要学习内容来自训练集，因此，即使训练集只有一小部分遭受毒化攻击，仍会使得学习的效果大幅下降。如何抵御毒化攻击是对抗性环境下安全的机器学习的重要研究领域。目前的算法主要有两种防御方法：一是设计更好的学习方法，提高分类器的鲁棒性；二是对遭受毒化攻击的数据集进行过滤，从而使得分类器学习干净的数据。

这些防御方法往往都是针对特定的数据集或学习算法进行设计和改进，并且对于十分有效的针对训练数据标签进行攻击的攻击方法的防御方法仍待完善。

本发明借鉴迁移学习的概念和算法，结合数据集过滤和鲁棒性的分类器的方法针对标签攻击提出了解决方法。迁移学习作为一种机器学习方法，它使用辅助领域的知识来帮助源领域的知识的学习。常用于语义识别领域。目前没有将其应用于对抗性环境中，发明人在知识储备的过程中认识到迁移学习与对抗性环境下的毒化攻击问题有一定的相关性，并首次将迁移学习应用到毒化攻击的防御方法设计中。原迁移学习方法在对抗性环境中易受攻击样本的误导，从而使得其防御表现大幅下降。本发明考虑攻击样本对迁移算法的影响，以少量干净样本为参照，并将其作为源领域任务，将含有攻击的大数据集样本集作为辅助领域数据，通过设计的算法将辅助领域数据中与源领域数据中相似的数据迁移到源领域任务的学习中，经过多次的从不同的角度对待的源数据集的参照，获得最终的鲁棒性良好的分类器。从而达到防御毒化攻击的目的。

发明内容

为了克服现有技术存在的缺点与不足，本发明提供一种基于迁移的对抗性环境下的防御毒化攻击的学习方法，是基于迁移学习算法，以少量干净数据为参照目标，降低含有攻击的大量数据集中的攻击影响，从而获得一个知识丰富且干净的数据集构造一个鲁棒性良好的学习算法。

为解决上述技术问题，本发明提供如下技术方案：基于迁移的对抗性环境下的防御毒化攻击的学习方法，包括如下步骤：

S1、收集原始数据集并对其进行划分成源数据集T和辅助数据集S，对源数据集T和辅助数据集S进行初始化权重；

S2、进入迭代过程，每次迭代赋予源数据集T不同权重，辅助数据集S给与迭代后更新的权重，若为第一次迭代，则辅助数据集S使用初始权重；根据每次迭代的结果调整下一次迭代的权重，多次迭代中不同重要度的源数据集T样本为辅助数据集S样本的权重更新提供参考，最终找到辅助数据集S中的一些与源数据集T样本相似的样本；

S3、使用多次迭代后辅助数据集S的权重与初始源数据集T的权重共同训练一个最终分类器L_final。

进一步地，所述步骤S1具体为：

S11、将收集的原始数据集按已设定的比例R_cl，分配成源数据集T和辅助数据集S；所述比例R_cl为源数据集T和辅助数据集S之间的比例；

S12、初始化源数据集T的权重和辅助数据集S的权重初始权重的大小根据不同原始数据集及比例R_cl进行调节；所述不同原始数据集源于自身的特征维度以及特征值的不同。

进一步地，所述步骤S2具体为：

S21、设定总迭代次数为N，同时设定使用的现有技术已有的基本分类器L_base，进入迭代；

S22、基于源数据集T的初始权重给源数据集T一个随机权重为给辅助数据集S一个随机权重为第一次迭代辅助数据集S的权重为其余随机权重

S23、将随机权重为的源数据集T与随机权重的辅助数据集S结合使用基本分类器L_base训练成基础分类器L_n；