[发明专利]一种基于扰动的对抗样本生成与对抗性防御方法

说明书

本发明公开了一种基于扰动的对抗样本生成与对抗性防御方法，属于深度学习技术领域。目前对抗样本生成的方法多样化，关于何种扰动更易形成对抗样本是所要解决的重要问题。本发明通过在图像数据中添加扰动生成对抗样本，基于深度神经网络模型，挖掘测试样本的高影响扰动，研究扰动对于对抗样本生成的相关影响，将无维数匹配约束的广义非负矩阵分解算法的降维功能应用在基于扰动的对抗样本的防御过程中，提出基于无维数匹配约束降维的对抗样本扰动消减方法，能够降低深度神经网络模型的识别出错率。

技术领域

本发明涉及一种基于扰动的对抗样本生成与对抗性防御方法，属于深度神经网络领域。

背景技术

目前，包括计算机视觉、语音识别和机器人在内的诸多人工智能应用已广泛使用了深度神经网络(deep neural networks，DNN)。神经网络是由一个个神经元相互连接并按层次排列构成的，而深度神经网络是有任意层的神经网络，这里的深度是指层次的多，有任意层就是要有一个循环来负责遍历每一层进行计算。由于深度神经网络在语音、图像领域取得的突出进展，以及DNN在语音识别和图像识别上的突破性应用，使用DNN的应用量也有了爆炸性的增长。

对抗样本是在数据集中通过故意添加细微的干扰所形成输入样本，受干扰之后的输入导致模型以高置信度给出了一个错误的输出。目前对于对抗样本生成的方法多样化，但是关于何种扰动更易形成对抗样本的研究甚少。深度学习模型对于对抗样本都具有极高的脆弱性，而针对深度神经网络模型，扰动对于对抗样本形成的影响机理，还没有系统化的研究。数据压缩、运用PCA等方法将高维数据投影到低维空间，对防御对抗样本攻击有一定的效果，给通过广义非负矩阵分解算法降维数据来防御对抗样本提供了研究思路。因此，为了提高深度神经网络模型的安全性，需要系统化研究基于扰动的对抗样本生成及其防御理论。

发明内容

本发明的目的是提供一种基于扰动的对抗样本生成与对抗性防御方法，能够降低深度神经网络模型的识别出错率。

本发明采用的技术方案是，一种基于扰动的对抗样本生成与对抗性防御方法，包括以下步骤：

S101针对图像样本，通过添加扰动干扰原始数据，分析出图像样本适用的扰动特性，基于深度神经网络模型，探究得到高影响扰动；

S102根据所述高影响扰动，针对深度神经网络模型，通过扰动强度递增变化过程中深度神经网络模型的输出结果，从而发现扰动强度的最低阈值；

S103根据高影响扰动构造出的对抗样本，通过分析扰动强度递增变化过程中的具有检测功能的深度神经网络模型的对抗样本检测结果，从而寻找扰动强度的最高阈值；

S104在深度神经网络模型之前引入广义非负矩阵分解算法，进行数据降维，实现减少对抗样本攻击和深度神经网络学习的防御。

进一步，所述步骤S101中，通过在图像样本中添加适当的扰动，如1)高斯噪声、2)瑞利噪声、3)指数分布噪声、4)椒盐噪声等，可以生成攻击样本。原始样本与攻击样本，输入到深度神经网络模型分别得到一个识别结果，分析比较识别结果的差异性，若差异性大则得到高影响扰动；否则重新添加扰动，继续分析比较识别结果。针对深度神经网络模型，探究得到的高影响扰动可用于对抗样本的生成，得到何种扰动更易形成对抗样本，及其为后面的研究提供基础。

进一步，所述步骤S102中，给出一个样本集，通过改变扰动强度，输入到深度神经网络模型，分析其强度变化过程中的识别效果，直至出现识别错误，即此扰动强度为最低阈值。针对深度神经网络模型，进行对抗攻击时，扰动强度的最低阈值可用于生成对抗样本，达到最小扰动致使深度神经网络模型识别出错的效果。