[发明专利]面向多种对抗图片攻击的协同免疫防御方法

说明书

本发明公开了一种面向多种对抗图片攻击的协同免疫防御方法，包括：1)根据正常图片和已有攻击生成的对抗图片，即对抗样本训练不同结构的对抗样本子分类器，并用遗传算法进行优化。2)用多个对抗样本子分类器对用于检测的图片进行检测，共同判断是否为对抗样本以及对抗样本的种类。3)若在检测过程中发现新型攻击方法，用正常图片和新型对抗样本训练新型对抗样本分类器；训练完成后，对被判为正常的图片再次进行判断；并在一定时间后重新训练整个对抗样本分类器。本发明对新型对抗样本生成专门的新型对抗样本分类器，减少了对新型对抗样本进行防御的时间，提高了对新型对抗样本的防御效果。

技术领域

本发明属于深度学习安全技术领域，具体涉及面向多种对抗图片攻击的协同免疫防御方法。

背景技术

深度学习是机器学习的一个分支，自2006年被提出以来，受到了学术界的广泛关注及研究。深度学习主要是模仿人脑，通过多层感知机将低层特征抽象成更高层的属性或特征，以发现数据的分布式特征表示，具有更强大的特征学习和特征表达能力。其中卷积神经网络(CNN)被广泛的应用到图像分类、目标检测、图像语义分割等领域，并取得一系列的突破性研究。

然而随着深度学习模型在图像识别上的广泛应用，深度学习的抗干扰、攻击能力也逐渐成为人们关注的重点。无论是训练数据本身还是算法设计都存在着潜在的安全隐患，该类隐患会使得基于该类算法的应用存在安全问题，例如人脸识别错误从而获得高级权限或泄露隐私，自动驾驶识别错误从而发生车祸，安全监控无法识别到人从而无法发出警报等。

在自然界中，生物的免疫系统可以保护生物自身免受外界抗原的侵害。受此的启发，人们提出了人工免疫算法，用以识别计算机科学领域中受到的侵害或者异常，并在故障诊断、病毒检测、异常检测等领域取得了良好的结果。而深度学习在图像识别上的安全性问题在一定程度上也可以算作异常检测，但和普通的检测器不同，深度学习的检测器需要更长的训练时间。所以，如何有效地防御多种攻击和并对新型攻击进行检测是深度学习检测的重点。

综上所述，如何利用免疫方法对多种攻击模型产生的对抗样本进行防御，具有极其重要的理论与实践意义。

发明内容

为了提高图像分类器对多种对抗样本的防御效果，本发明提供了一种面向多种对抗图片攻击的协同免疫防御方法。该方法利用多个子检测器对对抗样本进行协同免疫，若检测出对抗样本则发出警报，若为正常图片则输入到图像分类器中，以实现对对抗样本的有效防御，提高图像分类器的分类精度。

为实现上述发明目的，本发明提供以下技术方案：

一种面向多种对抗图片攻击的协同免疫防御方法，包括以下步骤：

(1)将正常图片P输入到多种攻击模型中，生成与攻击模型对应的多种对抗样本；

(2)构建m个不同对抗样本子检测器结构，每个对抗样本子检测器结构均包括依次连接的第一卷积模块、第一池化模块、第二卷积模块、第二池化模块、第三卷积模块、第三池化模块、第四卷积模块、第四池化模块、全连接模块，不同对抗样本子检测器结构的同一层模块的输入输出数据维度相同；

(3)将多种对抗样本和正常图片P作为对当前对抗样本子检测器结构的输入，将多种对抗样本和正常图片P对应的真值标签作为当前对抗样本子检测器结构的真值输出，分别对m个对抗样本子检测器结构进行训练，获得m个对抗样本子检测器；

(4)计算每个对抗样本子检测器的分类准确率，利用分类准确率较高的对抗样本子检测器替换记忆池中与该对抗样本子检测器相似度最高且比该对抗样本子检测器分类准确率低的对抗样本子检测器，以此更新记忆池中的k个对抗样本子检测器；

(5)计算每个对抗样本子检测器的期望繁殖率；

(6)在满足迭代终止条件时，将记忆池中k个对抗样本子检测器构成对抗样本检测器CNN1，否则，执行步骤(7)；