[发明专利]一种提高深度学习模型鲁棒性的方法及装置

说明书

技术领域

本发明涉及数据挖掘及机器学习技术领域，尤其涉及一种提高深度学习模型鲁棒性的方法及装置。

背景技术

深度学习在很多任务上都取得了巨大的成功，如图像识别、语音识别以及自然语言处理等领域。然而，在很多任务上可以达到很高准确率的深度学习模型在对抗环境中却很容易受到攻击。在对抗环境中，深度学习模型会被输入一些基于正常样本精心计算得到的对抗样本，例如图片或者语音等信息。这些对抗样本很容易被深度学习模型错误分类，但对于人类观察者来说却很难发现对抗样本和其基于的正常样本之间的区别。随着深度学习在各个领域发挥着日益重要的作用，提高深度学习方法的鲁棒性和可靠性成为关键的研究课题,特别是在一些对于可靠性要求很高的应用领域例如自动驾驶、医疗以及金融领域。

为了提高深度学习方法的鲁棒性，现有对数据进行分类的分类器的对抗训练策略包括：一、Szegedy C等人提出的随着训练过程动态地利用对抗样本扩充训练集。这种法可使被训练的模型对用来生成扩充训练集的对抗样本的攻击方法提高鲁棒性，但是不能保证对其它的攻击方法同样具有防御效果。另外这种对抗训练策略也会很大程度上额外增加训练过程中的计算量；二、Gu S等人提出的通过正则化的防御方法，是在训练过程使用的目标函数中加入抑制梯度大小的正则项。但这种方法只对基于梯度下降的攻击方法有一定的防御效果，对于只利用梯度方向或者符号信息的攻击方法并不能保证具有良好效果。三、Papernot N等人提出的防御性蒸馏方法，是通过在高温度假设下训练模型，在低温度假设下测试模型而达到提高鲁棒性的目的。这种方法在某些方法上具有很好的效果，但它是启发式的，没有理论上的保证，而且训练的温度假设也是需要调节的参数。而且，最近研究表明防御性蒸馏方法并不能很好地防御新的攻击方法。

鉴于此，在对抗环境中如何提高深度学习模型的鲁棒性成为目前需要解决的技术问题。

发明内容

为解决上述的技术问题，本发明实施例提供一种提高深度学习模型鲁棒性的方法及装置，在对抗环境中能够提高深度学习模型的鲁棒性。

第一方面，本发明实施例提供一种提高深度学习模型鲁棒性的方法，包括：

利用预设的反交叉熵训练方法训练深度神经网络，获得训练好的深度神经网络分类器；

将目标图像输入所述深度神经网络分类器，利用预设的联合分数阈值输出方法，计算所述目标图像的预测类别并判断是否输出所述预测类别。

可选地，所述利用预设的反交叉熵训练方法训练深度神经网络，获得训练好的深度神经网络分类器，包括：

将样本训练集合输入到深度神经网络中，将反交叉熵作为网络参数的目标函数，通过最小化平均反交叉熵对所述深度神经网络进行训练；

将训练后的深度神经网络中softmax输出层的输入取反，将取反后所述softmax输出层的输出作为训练好的深度神经网络分类器。

可选地，所述将目标图像输入所述深度神经网络分类器，利用预设的联合分数阈值输出方法，计算所述目标图像的预测类别并判断是否输出所述预测类别，包括：

将目标图像输入所述深度神经网络分类器，并计算所述深度神经网络分类器在所述目标图像上的预测类别和所述预测类别的联合分数；

判断所述联合分数是否大于预设阈值；

若所述联合分数大于预设阈值，则确定所述目标图像为正常样本并输出返回所述预测类别。

可选地，所述将目标图像输入所述深度神经网络分类器，并计算所述深度神经网络分类器在所述目标图像上的预测类别和所述预测类别的联合分数，包括：

将目标图像输入所述深度神经网络分类器，获取所述深度神经网络分类器在所述目标图像上的非最大元素熵、预测类别和所述预测类别的置信度；

根据所述非最大元素熵，获取所述深度神经网络分类器在所述目标图像上的高斯核非最大元素熵；

根据所述高斯核非最大元素熵和该预测类别的置信度，获取所述预测类别的联合分数。

可选地，在判断所述联合分数是否大于预设阈值之后，所述方法还包括：

若所述联合分数小于等于预设阈值，则确定所述目标图像为对抗样本并拒绝返回所述预测类别。

第二方面，本发明实施例提供一种提高深度学习模型鲁棒性的装置，包括：

训练模块，用于利用预设的反交叉熵训练方法训练深度神经网络，获得训练好的深度神经网络分类器；