[发明专利]一种面向深度学习图像分类模型的泛化的安全性评估方法

说明书

本发明公开了面向深度学习图像分类模型的泛化的安全性评估方法，属于机器学习技术领域。目前深度学习相关研究中所要解决的重要问题是在解决深度学习图像分类模型面临的具有泛化特征的安全威胁问题的同时提高模型的鲁棒性，本发明利用面向深度学习图像分类模型的泛化的安全性评估方法，通过测试深度学习图像分类模型的针对对抗样本的主动防御能力、对抗样本检测能力以及针对对抗样本的被动防御能力等指标，对深度学习图像分类模型的安全性做出全面评估，并在评估过程中发掘模型存在的安全漏洞，与此同时，由于本发明存在的泛化特性，使得该方法能够适用于绝大多数深度学习图像分类模型，这对提高深度学习领域的安全性具有重要的理论和实践意义。

技术领域

本发明涉及一种面向深度学习图像分类模型的泛化的安全性评估方法，属于机器学习技术领域。

背景技术

深度学习(deep learning)技术是机器学习(machine learning)技术的一个重要分支，是一种以人工神经网络为架构，对数据进行表征学习的算法，也被称为无监督特性学习(unsupervised feature learning),即可以无需人为设计特征提取,特征从数据中学习而来。深度学习实质上是多层表示学习(representation learning)方法的非线性组合。近些年，深度学习技术快速发展，涌现出大量深度学习框架，如深度卷积神经网络(CNN)、生成对抗网络(GAN)、深度卷积生成对抗网络(DCGAN)等，基于这些框架的不断涌现，深度学习技术已被广泛应用于图像识别、语音识别、自然语言处理、信息检索与生物信息学等领域并取得了极好的效果。

然而，随着深度学习应用范围的不断扩大，其面对对抗样本时表现出来的脆弱性亟需解决。深度学习技术对于对抗样本普遍表现出脆弱性，受干扰之后的样本输入导致模型以高置信度给出一个错误的输出，很多情况下，在训练集的不同子集上训练得到的具有不同结构的模型会对相同的对抗样本实现误分，这意味着对抗样本成为了训练算法的一个盲点。与此同时，深度学习对抗攻击表现出极强的泛化特征，这种泛化特征意味着如果有人希望对图像分类模型进行恶意攻击，攻击者根本不必访问目标模型，就可以通过训练替代模型来生成对抗样本，然后将这些对抗样本部署到他们需要攻击的模型中。

发明内容

本发明提供的面向深度学习图像分类模型的泛化的安全性评估可在较大程度上解决上述问题。安全性评估利用大量对抗性深度学习攻击算法和安全防御策略，对深度学习图像分类模型做出全面可靠的评估，对于经安全性评估后发现存在安全漏洞的深度学习图像分类模型，通过多种手段完善其防御策略，提高其鲁棒性，将会对深度学习图像分类模型安全性的提升产生决定性的积极作用，与此同时，泛化的安全性评估方法能适用于大多数深度学习图像分类模型，这对保护深度学习图像分类模型的安全具有重要的理论和实践意义。

为了实现上述目的，本发明采用的技术方案是：一种面向深度学习图像分类模型的泛化的安全性评估方法，包括以下步骤：

(1)评估模型的主动防御能力：输入图像样本，判断深度学习图像分类模型训练中是否采用主动防御，以及对所采用的主动防御策略的可靠性进行评估；

(2)模拟攻击：以攻击者身份采用多种不同的对抗样本生成算法制作对抗样本对深度学习图像分类模型进行攻击；

(3)测试对抗样本检测能力：使用非负矩阵分解和余弦相似度测试深度学习图像分类模型能否检测出扰动程度大小不一的对抗样本，判断深度学习图像分类模型检测对抗样本能力；

(4)测试被动防御能力：对深度学习图像分类模型的被动防御策略的健全性以及对对抗样本的处理结果进行评估；

(5)综合多项指标全面评估：结合主动防御能力、对抗样本检测能力和被动防御能力，建立安全评估指标体系，全面评估深度学习图像分类模型的安全性。