[发明专利]一种为图像分类器进行对抗样本防御的方法

说明书

本发明公开了一种为图像分类器进行对抗样本防御的方法，首先构造模型、准备图像训练数据并初始化超参数；其次将图像训练数据分成多个批次；使用一个批次的图像训练数据更新模型参数，包括：生成对抗样本、混合对抗样本与图像训练数据并调整对抗样本中图像数据的相对位置、使用反向传播算法更新模型参数；重复使用余下批次的图像训练数据实现模型参数的更新；重新开始新一轮的训练，直至训练完成；输出训练完成的模型。本发明将暹罗架构与对抗训练相结合，是对传统对抗训练算法的改进，可以更好应对图像分类器中对抗样本的攻击。

技术领域

本发明涉及一种为图像分类器进行对抗样本防御的方法，所述图像分类器为基于神经网络的图像分类器，属于图像分类领域。

背景技术

近年来，随着数据规模和计算能力的爆炸式增长，深度学习得到飞速发展，其中神经网络以优异的性能广泛服务于诸多应用之中。例如在图像分类中，采用了神经网络技术的图像分类器能够取得极佳的分类效果。然而，神经网络也面临着严峻的安全问题，对抗样本便是其中的一个典型示例。

对抗样本是一类通过人为手段向正常图片中添加微弱扰动而形成的恶意图片，它能够误导基于神经网络的图像分类模型，使其产生错误的输出。因而对抗样本的存在严重威胁着分类模型的鲁棒性，尤其是当模型所涉及到的安全性要求比较高时，威胁则更甚。

对抗训练作为一种有效的防御方法而受到了广泛的使用。其核心思想是在模型训练的每一次迭代中，借助当前模型与某种攻击算法动态地生成对抗样本，并将之作为训练数据，与原图像训练数据共同实现模型当前轮次的训练。经由对抗训练得到的模型能够显著提升自身对于对抗样本的抵御能力。然而对抗训练对图像训练数据的使用并不充分，其忽略了不同图像数据间的相互关系，存在一定的弊端。在经由对抗训练的模型的特征空间上，同类数据特征的距离不够近，不同类数据特征间隔不够远且彼此存在重叠，因而不利于模型的鲁棒性。

发明内容

发明目的：针对现有技术中存在的问题与不足，本发明提供一种为图像分类器进行对抗样本防御的方法，有效弥补传统图像分类器对抗训练算法的不足，进一步提升分类模型在应对对抗样本攻击时的抵御能力。

任意一组对抗样本与正常图像数据间存在三种关系：1)对抗样本是由正常图像数据生成，两者一一对应；2)对抗样本与正常数图像据同属一个类别，但并非一一对应；3)对抗样本与正常图像数据分属不同的类别。本发明将传统对抗训练算法与暹罗架构相互结合，并且设计对抗样本的重排机制，从而充分利用对抗样本与正常图像数据间的上述三种关系，能够在特征空间上，有效降低类内距并扩大类间距，使得训练出的模型对对抗样本具有更强的抵御能力。

技术方案：一种为图像分类器进行对抗样本防御的方法，包括如下步骤：

步骤1，构造模型，准备图像训练数据；

步骤2，将图像训练数据随机划分成多个mini-batch；

步骤3，借助一个mini-batch的图像训练数据实现模型的一次参数更新；

a)选择一个尚未参与计算的mini-batch的图像训练数据，生成对应的对抗样本；

b)将上一步生成的对抗样本与对应的图像训练数据混合，并调整对抗样本中各图像数据的相对位置；

c)借助反向传播算法，更新一次模型参数；

步骤4，重复步骤3，直至步骤2所划分的mini-batch全部参与了计算；

步骤5，重复步骤2-4，直至模型完成训练；

步骤6，输出步骤5完成训练的模型。

将图像训练数据集随机划分成多个mini-batch