[发明专利]一种通用对抗扰动生成方法

说明书

本发明公开了一种通用对抗扰动的生成方法，包括以下步骤：(1)获取目标人工神经网络的网络结构和权重矩阵；(2)初始化对抗扰动向量；(3)从训练集中随机采样图片，和当前通用对抗扰动叠加后输入神经网络；(4)分别在当前图片标签和此外预测概率最大的标签反向传播梯度；(5)利用预测向量和两组梯度计算对抗扰动的更新量；(6)重复上述步骤3‑步骤5，直到当前通用对抗扰动能够在测试集上达到预定的错误率。该发明可以基于目标人工神经网络的网络结构和权重矩阵，准确找出目标人工神经网络的决策边界所在位置，在一定程度上反应了分类器在特征提取中的盲点。

技术领域

本发明属于深度学习安全领域中的对抗样本生成算法，特别是一种通用对抗扰动生成方法。

背景技术

深度学习引领着新一轮的人工智能浪潮，在很多领域受到广泛关注。尤其在图形图像领域里，人脸识别和自动驾驶等应用正在逐渐进入我们的生活。同时，深度学习的安全问题也渐渐显现出来，面临来自多个方面的威胁：包括深度学习框架中的软件实现漏洞、对抗攻击、训练数据的污染等。其中对抗攻击指在不改变目标机器学习系统的情况下，通过构造特定输入样本以完成欺骗目标系统的攻击，攻击者为实施对抗攻击而特意构造的样本通常被称为“对抗样本”。这些威胁可能导致人工智能所驱动的识别系统出现混乱，形成漏判或者误判，甚至导致系统崩溃或被劫持。在推进人工智能应用的同时，我们迫切需要关注并解决这些安全问题。因此，如何高效地生成对抗样本，利用生成的大量高强度对抗样本进行对抗训练，从而提高系统的鲁棒性和防御对抗攻击的能力是当前研究的热点之一，这也是目前需要解决的一个难点。

Ian Goodfellow提出了产生对抗攻击的根本原因的猜测——深度神经网络在高维空间中的线性特性，而非之前人们猜测的神经网络的复杂性。同时，在这个假设前提下，他提出了一种更高效制造对抗样本的方法。针对近年来卷积神经网络中存在的对图像的对抗性攻击的问题，学术界和工业界实现了适合于多种场景和特定需求的对抗样本生成方法：包括快速梯度法、迭代攻击、基于像素的攻击、基于迭代计算最小扰动生成对抗样本和反向神经网络等。研究发现，由于对抗样本不是根据语义生成的，因此，对抗样本对图像预处理过程非常敏感，任何区域截图、放大缩小、旋转都很容易让对抗样本失效。同时，目前生成对抗样本的方法不同程度上存在不收敛性问题，生成的对抗样本的泛化能力、多样性和对抗强度还有待提升。

发明内容

本发明旨在解决养猪场场景的目标识别问题，特别创新地提出了一种通用对抗扰动生成方法。

8、为了实现本发明的上述目的，本发明提供一种通用对抗扰动生成方法，其特征在于，包括以下步骤：

步骤1：获取目标人工神经网络的网络结构和权重矩阵；

步骤2：初始化通用对抗扰动；

步骤3：从训练集中随机采样图片，和当前通用对抗扰动叠加后输入神经网络；

步骤4：分别在当前图片标签和此外预测概率最大的标签反向传播梯度；

步骤5：利用预测向量和两组梯度计算对抗扰动的更新量；

步骤6：重复上述步骤3-步骤5，直到当前通用对抗扰动能够在测试集上达到预定的错误率。

进一步地，所述步骤1中，神经网络分类器带有损失函数层，其结构和参数需要预先指定，且不再变化；适用于该分类器的分类任务的数据分布须给定，即：指定包含类别标签的图像数据集，且数据集能被分类器以高精度预测输出。

进一步地，所述步骤2中，通用对抗扰动向量以全零的形式的初始化，以随机数或预训练的方式初始化亦是可以接受的。

进一步地，所述通用对抗扰动向量的长和宽须与输入图片的尺寸一致。