[发明专利]一种语音对抗样本检测方法、系统、存储介质及应用

说明书

本发明属于深度学习安全技术领域，公开了一种语音对抗样本检测方法、系统、存储介质及应用，读取输入的音频并进行谱减法降噪；接着对降噪前后的音频进行mfcc特征提取，输入到语音识别系统DeepSpeech中得到转录文本；接着，根据转录文本计算相似度；根据初始输入音频的mfcc特征矩阵计算对抗度；加载音频对抗样本二分类网络的模型和参数，将相似度和对抗度输入二分类网络中，预测音频是否为对抗样本。本发明对相似度衡量标准WER进行简单的归一化处理；提出了对抗度的概念，将不同维度的音频mfcc特征压缩，扩大样本适应度的同时，保留了音频mfcc特征的性质；相比现有的音频对抗样本检测方法来说，提高了精确率和召回率。

技术领域

本发明属于深度学习安全技术领域，尤其涉及一种语音对抗样本检测方法、系统、存储介质及应用。

背景技术

目前：随着物联网技术的发展，越来越多的智能产品选择语音作为人机交互的接口；而语音识别的准确率也在深度学习的飞速发展下稳步提升。深度学习给语音识别系统带来更高识别准确率的同时，也给系统的安全性带来了潜在风险。最新研究表明，深度神经网络容易受到对输入数据添加细微扰动的对抗攻击，使得模型输出错误的预测结果，导致语音识别系统准确率的下降，甚至给自动驾驶、身份认证等安全等级较高的应用领域带来严重的安全隐患。

然而，针对语音对抗样本领域的研究却少之又少，而且主要集中于语音对抗样本的生成，仅有的语音对抗样本的检测方法要么基于音频预处理进行相似度比对，即将待检测音频进行压缩、语音编码、过滤或音频平移等，然后与初始音频进行转录比对；要么基于音频的mfcc特征进行分类训练，即将语音对抗样本的检测问题转换为二分类问题进行神经网络训练，选取大量的音频良性样本和对抗样本，提取其mfcc特征作为神经网络的输入，进行二分类训练，最后将训练好的模型用于对抗样本的检测。

基于音频预处理进行相似度比对的检测方法需要对两次转录的文本进行相似度对比，相似度一般选取词错率作为衡量标准，即WER越小，表明相似度越高。WER取值范围为[0,+∞)，因此，该方法需要进行手动阈值threshold的设置，即将WER≥threshold的样本视为对抗样本。

基于音频mfcc特征直接进行二分类训练的检测方法一般通过卷积神经网络的方法来进行训练，不同时长的音频具有不同维度的mfcc特征。然而，在神经网络中，一般要求输入的维度必须保持一致(不一致时进行填充或截断)，对mfcc特征进行截断或填充处理将破坏mfcc的性质。因此，该检测方法要求音频具有相同时长，不具有普遍性。

此外，经实验证明，现有的语音对抗样本检测方法普遍具有较低的精确率和召回率，防御效果一般。

通过上述分析，现有技术存在的问题及缺陷为：

(1)基于音频预处理进行相似度比对的检测方法需要手动设置阈值。

(2)基于音频mfcc特征直接进行二分类训练的检测方法一般通过卷积神经网络的方法来进行训练，对样本的要求比较苛刻，不具有普遍性。

(3)此外，现有的语音对抗样本检测方法普遍具有较低的精确率和召回率，防御效果一般。

解决以上问题及缺陷的难度为：

(1)如何解决手动阈值设置的问题或提出一种不需要设置阈值的方法；

(2)如何处理不同时长音频的问题，更加合理地使用音频mfcc特征；

(3)如何进一步提升语音对抗样本的精确率和召回率。

解决以上问题及缺陷的意义为：通过解决以上问题，将语音对抗样本的防御方法落地，无疑会大大提升依赖于语音识别系统的产品的安全性，降低其被攻击的风险，进一步增加这些产品受欢迎的程度。

发明内容

针对现有技术存在的问题，本发明提供了一种语音对抗样本检测方法、系统、存储介质及应用。