[发明专利]针对对抗性攻击的深度学习模型防御方法及深度学习模型

说明书

本发明公开了一种针对对抗性攻击的深度学习模型防御方法，包括获取待训练的原始深度学习模型和原始训练数据；构建转换层；对原始训练数据进行数据转换并补充数据构成训练数据；对待训练的原始深度学习模型进行训练得到深度学习模型；将转换层插入到深度学习模型的输入层后面得到高鲁棒性深度学习模型；在高鲁棒性深度学习模型工作时对输入的数据进行监测，并采用深度学习模型中的转换层进行对应的防御。本发明还公开了包括所述针对对抗性攻击的深度学习模型防御方法的深度学习模型。本发明提高了模型在面对各类对抗样本时的鲁棒性，同时保证了模型的精度不受到影响；而且通用性高、可靠性好且防御效果好。

技术领域

本发明属于安全技术领域，具体涉及一种针对对抗性攻击的深度学习模型防御方法及深度学习模型。

背景技术

随着计算机性能和数据处理能力的不断提升，人工智能在图像与语音识别、自动驾驶、自然语言处理及网络安全检测等领域展示出了巨大的优势。然而，近年来人工智能的安全问题引起了研究者的高度重视。在各类人工智能安全威胁中，对抗样本作为一种极具威胁性的攻击手段，已经出现在了各种应用场景中。2014年，Szegedy等人提出了对抗样本(adversarial example,AE)的概念，即通过对神经网络模型的输入添加细微的扰动，使对抗样本被模型以高置信度错误分类，且人眼难以分辨出对抗样本与真实样本的区别。对抗样本对机器学习在安全敏感行业的应用和发展产生了极大的影响，可能会引发机器学习模型执行错误决策，甚至给人们的生命带来巨大的威胁。因此，针对对抗样本的防御方法研究变得越发重要。

为了防御对抗样本，研究人员提出了各种的防御方法。其中，对抗训练(adversarial training)作为一种主流的防御方法，被广泛使用。在训练过程中，将生成的对抗样本投入到数据集中进行迭代训练，从而使模型正确分类对抗样本；但该方法只能让模型学习到某类对抗样本的特征分布，攻击者构造的不同类型的对抗样本依然可以绕过对抗训练后的模型。防御性蒸馏(defensive distillation)，通过生成平滑的分类器来降低神经网络模型对输入扰动的灵敏度，使分类器更能适应对抗样本；但该方法对现实场景中应用广泛的黑盒攻击效果不佳。除上述的提高模型鲁棒性为目的的防御方法以外，对抗样本检测也是目前主流的防御方法之一：在模型识别输入样本前，先使用检测器检测其是否为对抗样本；如果不是对抗样本，模型直接进行预测分类；如果是对抗样本，模型对其进行丢弃或者还原等二次处理。然而，此类方法无法防御强大的黑盒攻击且训练检测器带来了较大的开销。

综上所述，当前的防御方法大多针对特定类型的对抗性攻击，无法同时防御白盒攻击和黑盒攻击。而基于检测器的防御方法则带来了更多开销，而且不能提高模型本身的鲁棒性。

发明内容

本发明的目的之一在于提供一种通用性高、可靠性好且防御效果好的针对对抗性攻击的深度学习模型防御方法。

本发明的目的之二在于提供一种包括了所述针对对抗性攻击的深度学习模型防御方法的深度学习模型。

本发明提供的这种针对对抗性攻击的深度学习模型防御方法，包括如下步骤：

S1.获取待训练的原始深度学习模型和原始训练数据；

S2.构建转换层；

S3.采用步骤S2构建的转换层，对步骤S1获取的原始训练数据进行数据转换，并将转换后的数据补充到原始训练数据当中，构成训练数据；

S4.采用步骤S3得到的训练数据，对原始深度学习模型进行训练；

S5.将步骤S2构建的转换层插入到步骤S4得到的深度学习模型的输入层后面，得到高鲁棒性深度学习模型；

S6.在步骤S5得到的高鲁棒性深度学习模型工作时，对输入的数据进行监测，并采用深度学习模型中的转换层进行对应的防御。

步骤S2所述的转换层，转换层的工作过程包括如下步骤：