[发明专利]基于图像高阶引导编码重组的对抗样本恢复方法及系统

说明书

本发明涉及一种基于图像高阶引导编码重组的对抗样本恢复方法及系统，该方法包括以下步骤：对抗样本输入预先训练好的编码器中，由该编码器将对抗样本编码为特征向量，并在该特征向量中引入高斯噪声；将引入高斯噪声的特征向量归一化后输入预先训练好的解码器中，输出得到恢复后的图像样本；所述编码器和解码器同时训练，编码器的输出作为解码器的输入，并在训练过程中引入图像分类器对解码器输出的图像样本进行分类，解码器输出的图像样本的损失为类别损失与图像损失之和，所述图像损失为输入图像和输出图像的回归损失；训练所采用的样本为正常样本。本发明不仅可以提高恢复效果，而且方法还特别简单，适于应用推广。

技术领域

本发明涉及深度学习的技术领域，特别涉及一种基于图像高阶引导编码重组的对抗样本恢复方法及系统。

背景技术

深度学习是学习样本数据的内在规律和表示层次，这些学习过程中获得的信息对诸如文字、图像和声音等数据的解释有很大的帮助。它的最终目标是让机器能够像人一样具有分析学习能力，能够识别文字、图像和声音等数据。深度学习是一个复杂的机器学习算法，在语音和图像识别方面取得的效果，远远超过先前相关技术。

深度学习能够学习各种复杂的高维特征以及拟合各种复杂的样本空间，使得它拥有非常强大的表达能力，因此在许多领域都获得了巨大的成功。但是在深度学习的使用过程中，也存在很多的安全隐患问题，比如，它的算法缺陷、训练模型的鲁棒性以及用于模型训练的数据完整性等；其中，对抗样本攻击就是其安全隐患之一。

对抗样本较为通俗的理解就是在干净的数据中添加一些经过人为精心构造的扰动形成的对抗样本，这种扰动或者说噪音非常的小，人们肉眼不能轻易分辨出来是否有对抗样本，但在深度学习进行分类时，这些对抗样本可以“蒙骗”神经网络模型使得分类器分类错误，这样的话，若将对抗样本应用到自然语言处理、人脸识别、自动驾驶等领域将会有极大的可能对人们的生命财产造成严重威胁。

对抗样本防御中完全防御的思路一般有两种，一是通过更改模型以提高鲁棒性，二是对数据本身进行处理，将对抗因子视为噪声，从图像去噪的方向考虑恢复对抗样本为干净样本。自编码器是以重构自身为目标的，但是在重构的过程中，如果压缩量太大则会导致部分重要特征丢失，从而无法实现重构或者重构之后的目标与原始目标相差甚远，其次一般自编码器在重构的过程中，只是简单的拷贝原始特征，并且将这些特征完全恢复出来，容易形成学习恒等函数的现状。因此对于含有对抗因子的对抗样本而言，一般的自编码器会连同对抗因子一起重构，导致重构后的样本依然具有很高的攻击性。

发明内容

本发明的目的在于提供一种基于图像高阶引导编码重组的对抗样本恢复方法及系统，基于去噪自编码器的原理，可以降低甚至消除恢复后的对抗样本的攻击性，而且方法简单，恢复效果更好。

为了实现上述发明目的，本发明实施例提供了以下技术方案：

一种基于图像高阶引导编码重组的对抗样本恢复方法，包括以下步骤：

获取待恢复的对抗样本，所述对抗样本为图像样本；

将所述对抗样本输入预先训练好的编码器中，由该编码器将对抗样本编码为特征向量，并在该特征向量中引入高斯噪声；

将引入高斯噪声的特征向量归一化后输入预先训练好的解码器中，由该解码器将引入高斯噪声的特征向量解码为图像，输出得到恢复后的图像样本；

其中，所述编码器和解码器同时训练，编码器的输出作为解码器的输入，并在训练过程中引入图像分类器对解码器输出的图像样本进行分类，解码器输出的图像样本的损失为类别损失与图像损失之和，所述图像损失为输入图像和输出图像的回归损失；训练所采用的样本为正常样本。

上述方案中通过引入类别损失，可以更好地引导图片重构，得到更高质量的恢复图像。