[发明专利]基于协同多任务训练的对抗攻击防御方法

说明书

本发明公开了一种基于协同多任务训练的对抗攻击防御方法，1)训练五个结构相似的图像分类模型；2)取数据集中第i类图片调用五种无目标攻击生成对抗样本；3)将每一类的5种对抗样本输入对应的模型中，统计得到最难攻击的目标类y_robust；4)双通道结合，对三个置信度层和三者之间的梯度锁定结构进行协同多任务训练，检测并防御对抗样本。该抗攻击防御方法对黑盒和迁移性攻击的防御性能较好，通过双通道和三层置信度层协同多任务训练同时完成检测对抗样本和防御对抗攻击。

技术领域

本发明属于攻击防御领域，具体涉及一种基于协同多任务训练的对抗攻击防御方法。

背景技术

计算机视觉是深度学习实现突出成就的领域。从图像分类到物体目标检测、文字识别，它的成功被广泛证明。

然而，深度模型容易受到对输入的对抗性操作而出现误判断。这些添加在输入中的对抗性扰动非常小，并不能被人眼察觉到，但是已经足以改变模型的判断。在图像分类方面，对抗性攻击有L-bfgs，FGSM(Fast Gradient Sign Method)，BIM，CW，Deepfool，PGD等几种典型方法。同时，对抗样本也具有迁移性，同一输入会被不同结构的模型同时误判断。

在自动驾驶、人脸识别、监控分析等对安全性要求较高的场合，对抗性攻击都可能存在，这对社会和网络的私密性、完整性和可用性造成极大的潜在危害。所以，防御对抗性攻击尤为重要。Goodfellow等人将对抗样本加入训练集，用对抗性训练来加强模型对于攻击的鲁棒性。Dziugaite等人将对抗样本进行压缩，在上采样过程中部分滤除对抗性扰动，使模型重新判断正确。Papernot等人提出了防御蒸馏来修改深度模型的参数，以抵御小规模的对抗性扰动。Prakash等人利用基波变换的像素偏转方法，对对抗样本重新分配像素值并去除噪声，使图片的类标得到恢复。Akhtar等人在原始模型中添加一个经过训练的单一网络，在不调整系数的情况下，使深度模型获得抵御由普遍扰动引起的攻击的能力。

但是，现有技术中至少存在以下缺点和不足：

(1)这些防御措施只能做到对抗样本的防御，而不能判断输入图片是否为对抗样本。

(2)这些方法在面对黑盒攻击时，经常不能取得较好的效果。

(3)对于可迁移的攻击，这些防御方法会遭到破坏。

发明内容

为了克服已有防御方法不能检测图片是否为对抗样本、对黑盒攻击防御效果欠佳的不足，本发明提供一种能同时识别并防御对抗样本且对黑盒攻击有较好防御效果的基于协同多任务训练的对抗攻击防御方法。

本发明解决其技术问题所采用的技术方案是：

一种基于协同多任务训练的对抗攻击防御方法，包括以下步骤：

利用FGSM，IGSM，JSMA，CW l₂，Deepfool五种攻击方法对每类原始图像进行攻击处理，获得针对每类原始图像的五种对抗样本，将这五种对抗样本分别对应输入至五个图像分类模型中，输出5组预测置信度数列；

对每组预测置信度数列中预测置信度按照降序排序后，将预测置信度对应的图像类标记为一个类标数列；

统计5个类标数列中，图像类标出现次数最小的类标即为最难攻击类标，这样针对每张原始图像会有唯一一个正常类标和唯一一个最难攻击类标，且正常类标和最难攻击类标是一一对应关系；

选择图像分类模型中的任意一个作为预测分类器，将预测分类器的输出并行连接第一置信度层和第二置信度层，第一置信度层和第二置信度层之间连接有第一梯度锁定器，第一置信度层和第二置信度层的输出分别连接第一softmax和第二softmax，形成检测通道；将原始图像和对抗样本作为预测分类器的输入，以原始图像的正确类标和最难攻击类标作为预测分类器的输出，预测输出和真实输出的交叉熵作为损失函数，对检测通道进行训练；