[发明专利]防御对抗样本攻击的图像分类方法、终端设备及存储介质

说明书

本发明涉及防御对抗样本攻击的图像分类方法、终端设备及存储介质，该方法中包括：S1：采集原始图像和其对应的对抗样本；S2：构建图像分类模型，图像分类模型采用深度神经网络结构，并在深度神经网络中添加去噪模块，去噪模块包括非局部均值模块和自注意力机制模块；S3：将原始图片和对应的对抗样本混合后对图像分类模型进行训练；S4：采用训练后的图像分类模型对图像进行分类。本发明通过端到端的方式在卷积网络的中间层添加去噪模块来降低对抗图像的噪声扰动，去噪模块由非局部均值模块和自注意力机制模块相结合，能够达到去噪目的且能够与任意卷积层相衔接，从而提高模型的对抗鲁棒性，有效解决了对抗样本攻击深度学习系统存在的隐患。

技术领域

本发明涉及图像分类领域，尤其涉及一种防御对抗样本攻击的图像分类方法、终端设备及存储介质。

背景技术

随着硬件能力的快速提升和大数据的发展，人工智能已被人们广泛应用于生活的方方面面。但是，新技术发展的同时也会带来新的挑战，如恶意场景下的模型攻击。因此针对深度学习算法的应用，研究者不仅要提高模型的计算速度、模型的准确率，模型对对抗样本的攻击防御能力也成为了评估模型性能的一项重要指标。

从攻击背景分析，对抗攻击可以分为白盒攻击、黑盒攻击以及灰盒攻击。白盒攻击指的是攻击者已掌握目标攻击模型的网络结构设计、网络权重和网络防御方法等信息；黑盒攻击指的是攻击者对目标攻击模型信息一无所知，仅通过模型的输入和输出来获取有限的模型内部信息，并对有限的信息进行分析设计攻击方案；灰盒攻击介于白盒攻击和黑盒攻击两者之间，攻击者只掌握目标攻击模型的部分信息，如只获取到目标攻击模型的网络结构信息，或只获取到目标攻击模型的网络权重。从攻击目的分析，对抗攻击可分为：定向攻击和非定向攻击。定向攻击指的是攻击者对目标攻击模型进行定向攻击时，能够使其输出的预测结果为事先设定的类别。非定向攻击指的是攻击者对目标攻击模型进行不定向攻击时，能够使其输出的预测结果为除了正确类别外的其他类别。

由于对抗样本具有较强的迁移性，因此对于同一个对抗样本能够在不同网络结构下干扰其分类。同时，相同数据集下不相交的子集训练的模型能够错误分类样本。不论是深层网络还是浅层网络都同样容易受到对抗样本的影响。

当前常见的提升模型鲁棒性的方法主要有修改模型训练数据以及数据分布、更改网络结构和增加外部模块的方法。修改模型训练数据可以提升模型鲁棒性的依据是由于模型在训练过程中训练数据覆盖范围将影响模型的泛化能力。因此，将对抗样本加入到训练数据中训练可以抵抗相应的对抗攻击。另一种修改数据方式是对测试数据进行压缩，利用JPG压缩算法对待预测样本进行处理从而降低对抗样本中的对抗扰动，提升模型的鲁棒性。但是，JPG图像压缩算法是针对FGSM和DeepFool攻击算法构建的防御策略，无法防御CW等更强的攻击算法。

由于目前大多数的攻击算法都是基于梯度实现的，因此更改网络结构能够在一定程度上增加模型的鲁棒性。更改网络结构的其中一个方法是遮掩模型的梯度。当一个模型不可微分时，该模型无法采用FGSM攻击算法构造对抗样本。但是，攻击者依然可以在替代模型上训练对抗样本进行攻击，从而影响模型的鲁棒性。另一种常用的更改网络结构方法是防御性蒸馏，学生网络与教师网络所使用的结构是相同的。将教师模型学习的知识迁移到学生模型中，该方法虽然有助于提高模型的鲁棒性，但是防御性蒸馏依然不能很好的防御CW攻击。

在原有模型的基础上增加一个外部检测模型也是防御对抗样本攻击的主要方法。该检测模型的训练与原模型完全独立，不影响原模型的分类性能。但是，该方法存在一定的局限性，只能防御全局扰动，无法阻止其他类型的攻击。还有一类外部防御是特征压缩算法，它的实现主要包含两类特征压缩的方式，第一类是减小每个像素的深度，从原有的256个取值范围进行压缩，减小取值范围。第二类是减小空间维度上的差异，通过一些像素平滑技术，如中值模糊等去除相邻像素之间的相关性。该方法可以有效的提升模型的鲁棒性，但同时也会在一定程度上导致模型的准确率下降。

发明内容

为了解决上述问题，本发明提出了一种防御对抗样本攻击的图像分类方法、终端设备及存储介质。