[发明专利]一种对抗样本攻击的防御方法、装置及电子设备

说明书

本发明公开了一种对抗样本攻击的防御方法、装置及电子设备，包括：获取原始样本并进行预处理；根据深度神经网络分类模型和预处理后的样本生成对抗样本；输入原始样本和对抗样本，分别获得原始样本和对抗样本基于所述深度神经网络分类模型的表征；对原始样本和对抗样本的表征进行匹配；以表征匹配误差为正则项构建目标函数，实施防御训练；对待测样本进行预处理；将所述预处理后的待测样本输入至防御训练后的深度神经网络分类模型中，输出分类结果。本发明可以有效提高分类模型对对抗样本的分类准确性，从而减小对抗样本攻击对分类模型造成的损失。

背景技术

随着数据规模和计算能力的急速增长，深度学习在学术研究和商业推广中获得了广泛关注和实施。然而，最新研究发现深度神经网络容易受到对抗样本攻击，即，在正常样本中添加精心设计的不明显扰动，能够导致原本分类精度极高的深度神经网络彻底失效。

对抗样本给实际应用场景带来了巨大安全威胁，例如，在基于人脸识别的身份验证系统中，攻击方可利用对抗样本非法获得授权；在自动驾驶场景中，攻击方可利用对抗样本误导系统对交通信号的识别，等等。因此，提高深度神经网络对对抗样本攻击的防御能力迫在眉睫。

对抗训练是一种常用的对抗样本攻击的防御方法，通过将对抗样本添加至训练集中以提高模型泛化性。尽管深度网络经对抗训练后对对抗样本的分类准确率有所提高，但与之对正常样本的分类准确率仍有明显差距，降低了深度神经网络在实际应用中的适用性和可靠性。

发明内容

本发明实施例的目的是提供一种对抗样本攻击的防御方法、装置及电子设备，以解决现有深度神经网络对对抗样本的分类精度低的问题。

第一方面，本发明实施例提供一种对抗样本攻击的防御方法，包括：

获取原始样本并进行预处理；

根据深度神经网络分类模型和预处理后的样本生成对抗样本；

输入原始样本和对抗样本，分别获得原始样本和对抗样本基于所述深度神经网络分类模型的表征；

对原始样本和对抗样本的表征进行匹配；

以表征匹配误差为正则项构建目标函数，实施防御训练；

对待测样本进行预处理；

将所述预处理后的待测样本输入至防御训练后的深度神经网络分类模型中，输出分类结果。进一步地，获取原始样本并进行预处理，包括：

利用随机信号对原始样本进行翻转；

对翻转后的样本进行缩放；

对缩放后的样本进行裁剪；

对裁剪后的样本进行归一化。

进一步地，根据深度神经网络分类模型和预处理后的样本生成对抗样本，包括：

通过下式，生成对抗样本：

其中，x′表示对抗样本，下标t+1和t分别表示第t+1次和第t次迭代，α表示步长，sign是符号函数，x表示原始样本，S表示有效的对抗扰动幅值，表示将像素值投影至有效取值范围的投影算子，J是交叉熵损失函数，表示深度神经网络分类模型的交叉熵损失函数J对x′_t的每个像素点求负梯度，y表示样本真正类别，θ表示深度神经网络分类模型的参数。

进一步地，所述对抗样本的初始值x′₀如下：

其中，ε表示像素值的最大扰动幅值，random(-1，1)表示和原始样本x尺寸相同的、取值范围在(-1,1)内的随机向量。

进一步地，所述表征包括原始样本和对抗样本在所述深度神经网络分类模型的预设层的激活特征图。